„Terroryści mogą wkrótce odkryć, że zrujnowanie rynków finansowych, spustoszenie rynku papierów wartościowych lub spowodowanie chaosu w systemie kontroli ruchu powietrznego jest dużo bardziej skuteczne niż wysadzenie samochodu - pułapki..., dlatego powinniśmy być przygotowani i musimy myśleć o sytuacjach, które są nie do wyobrażenia".
Gerard Sio ud mann, Ambasador, Centrum Polityki Bezpieczeństwa,
Władysław Wójtowicz
BEZPIECZEŃSTWO
INFRASTRUKTURY
KRYTYCZNEJ
Warszawa 2006
Korekta: Stanisław Zarób ny
Okładka: Krzysztof Sal ara on
ISBN 83-60140-29-4 978-83-60140-294
Wydawca:
PPH. Zapol Dmochowski, Sobczyk spółka jawna
71-062 Szczecin, al. Piastów 42
tcl./fax (+48 91) 434 10 21, 449 49 23, 434 72 66
c-mail: drukarnia@zapol.com.pl
www.zapol.com.pl
Skład, łamanie, druk:
P.P.H. Zapol Dmochowski, Sobczyk spółka jawna
71-062 Szczecin, al. Piastów 42
tel./fax (+48 91) 434 11) 21, 449 49 23, 434 72 66
e-mail: drukarnia@zapol.com.pl
www.zapol.com.pl
SPIS TREŚCI
PRZEDMOWA 5
ROZDZIAŁI 8
ASPEKTY TEORETYCZNE ZAGADNIENIA 8
ROZDZIAŁ 2 32
PRZEGLĄD POLITYKI OCHRONY INFRASTRUKTURY
KRYTYCZNEJ W WYBRANYCH PAŃSTWACH 32
Austria 32
Szwajcaria 34
Szwecja 36
Finlandia 39
Holandia 40
Norwegia 43
Niemcy 45
Anglia 47
ROZDZIAŁ 3 55
ORGANIZACJE REGIONALNE I MIĘDZYNARODOWE 55
Międzynarodowa organizacja obrony cywilnej (ICDO) 55
Organizacja Paktu Północnoatlantyckiego (NATO) 56
Organizacja Współpracy Gospodarczej i Rozwoju (OECD) 58
Rada Europy (EC) 59
Kraje grupy G8 59
Unia Europejska 61
ROZDZIAŁ 4 63
WYBRANE ASPEKTY INFRASTRUKTURY
KRYTYCZNEJ W POLSCE 63
Niektóre działy administracji publicznej, w tym województwa 63
Wybrane dokumenty prawne odnoszące się do problematyki 65
UWAGI KOŃCOWE 69
ROZWINIĘCIE SKRÓTÓW 74
PRZEDMOWA
Energia, woda, sieci telekomunikacyjne i komputerowe to infrastruktura krytyczna, która jest niezbędna dla funkcjonowania gospodarki i nowoczesnych społeczeństw. Transport lądowy, powietrzny i morski to także infrastruktura odgrywająca kluczową rolę w rozwoju ekonomicznym świata, coraz bardziej globalnego i wzajemnie zależnego. Wszystkie te obszary działalności człowieka są dzisiaj narażone na ataki, poczynając od zdarzających się często zakłóceń i awarii, na aktach terroryzmu kończąc. Uszkodzenia takiej infrastruktury mogą powodować skutki ekonomiczne, ale niosą za sobą również zagrożenia dla życia populacji mieszkańców zamieszkujących w pobliżu miejsc rozlokowania tego typu obiektów. Elektrownia nuklearna, czy zakłady chemiczne, lotniska, porty, linie kolejowe, bazy i składy są urządzeniami, których zaatakowanie przez terrorystów zagrażać może bezpieczeństwu państwa, w tym ludności. Stąd też obiekty tego typu mają duże znaczenie dla bezpieczeństwa i obronności państwa, i jako takie podlegają szczególnej ochronie w postaci zaplanowanego i zorganizowanego układu.
Lawinowo narastający od wczesnych lat dziewięćdziesiątych rozwój w dziedzinie porozumiewania się, zwłaszcza przy pomocy komputera zrewolucjonizował sposób, w jaki rządy i społeczeństwa większości państw komunikowały się dotychczas i prowadziły przedsięwzięcia biznesowe. Wykorzystywanie sieci komputerowych przynosi wymierne korzyści, zapewnia całodobową dostępność do informacji, ułatwia badania niemal w każdej dziedzinie naukowej. Sieć internetowa, biuletyny oraz poczta e-mailowa pozwalają nam łączyć się łatwo i szybko, właściwie z nieograniczoną liczbą adresatów, czy odbiorców. Jednak niezależnie od tych korzyści, tak rozpowszechnione łączenie się ze sobą indywidualnych osób, grup ludzi, podmiotów życia społeczno - gospodarczego niesie ze sobą ogromne ryzyko dla bezpieczeństwa systemów komputerowych, ale co ważniejsze dla zasadniczych działań i przedsięwzięć systemów i operacji na szczeblu państwa, w tym także operacji prywatnych. Funkcjonowanie tych systemów podtrzymuje określona infrastruktura wykorzystywana w obszarze telekomunikacji, dystrybucji rodzajów energii, obronie narodowej, stosowania prawa przez wymiar sprawiedliwości, usługach publicznych, czy służbach ratunkowych.
Przełom roku 2000 (zmiana daty) przywołał nowe aspekty użytkowania infrastruktury znane dotychczas tylko specjalistom, takich aspektów jak wzajemna zależność systemów opartych na wykorzystywaniu programów komputerowych, czy podatność takich systemów na zakłócenia. Wyzwania
5
związane z przejściem w nowy wiek potwierdziły ich rosnące znaczenie w wielu krajach. "Większość potraktowała tę chwilę jako specyficzny test narodowych zdolności do ochrony infrastruktury, zwłaszcza teleinformatycznej. Rozumiano, iż trwała ochrona wybranej infrastruktury nazywanej krytyczna przed wrogim atakiem wymaga poważniejszego potraktowania.
Publikacja zawiera wybrane informacje na tcmai ochrony infrastruktury krytycznej w aspekcie zapewnienia bezpieczeństwa działalności wytypowanych sektorów i służb państwowych oraz wybranych usług życia publicznego, w tym prywatnego biznesu. W rozdziale pierwszym skupiam się na rozważeniu istoty pojęcia „infrastruktura krytyczna'7 oraz postrzegania potencjalnych zagrożeń determinujących o typowaniu „obszarów krytycznych", zwy-kJe świadczących o poziomie ambicji danego państwa, czy trudnościach w dokonywaniu przełomu we współpracy sektora państwowego i prywatnego. Pozwala to na przeanalizowanie kolejnych zagadnień, w tym m.in. uwarunkowań politycznych, stanowienia prawa, koordynacji i planowania środków bezpieczeństwa pozostających w dyspozycji struktur państwowych (agencji rządowych) oraz sektora prywatnego. Podkreślam konieczność podjęcia aktywnego przeciwdziałania poprzez tworzenie strategii oraz opracowanie planu szczególnej ochrony obiektów krytycznych. W rozdziale drugim publikacji przedstawiam przegląd przedsięwzięć podjętych przez wybrane państwa i implementowanych systemów przeciwdziałania zagrożeniom odnoszącym się do narodowych rozwiązań instytucjonalnych, stosowanych mechanizmów i procedur ochrony infrastruktury krytycznej, zaangażowania sil i środków oraz formuły sygnalizowania o zagrożeniach, tzn. wczesnego ostrzegania. W rozdziale trzecim wyselekcjonowałem organizacje międzynarodowe, które w ramach swoich kompetencji w różnym stopniu angażują się w kreowanie polityki wobec infrastruktury krytycznej. Rozdział czwarty ma za zadanie zasygnalizować skalę problemu w warunkach Polski. Dlatego przywołuję tu wybrane działy administracji publicznej, które wraz z przedsiębiorcami prywatnymi dysponują ważną infrastrukturą i ponoszą odpowiedzialność za ich ochronę. Podnoszona jest w tym miejscu ważność planowania zadań wykonywanych w ramach przygotowań obronnych państwa przez organy administracji rządowej i organy samorządu terytorialnego. Planowanie operacyjne na tych szczeblach musi obejmować obiekty infrastruktury szczególnie ważne dla bezpieczeństwa i obronności. W zakończeniu jest szersze odniesienie do zjawiska milenijnego pod nazwą Y2K; również proponuję zagadnienia do dalszej dyskusji w gronie fachowców na temat ochrany infrastruktury krytycznej.
Ponieważ każde państwo stosuje swoje własne - heterogeniczne podejście do tytułowego problemu, to można wyodrębnić (odrzucając podejście Chin) dwa sposoby traktowania infrastruktury:
6
Pierwszy, to ochrona krytycznej infrastruktury informatycznej (CIIP) -
odnosi się wyłącznie do bezpieczeństwa i ochrony połączeń technologii
informatycznych i rozwiązań informatycznych wewnątrz i między po
szczególnymi sektorami infrastruktury. W tym przypadku fizyczna
ochrona komponentów (obiektów) jest zapewniona w ramach innych
rozwiązań organizacyjnych. Funkcje i kompetencje w odniesieniu do
ochrony infrastruktury krytycznej są rozdysponowane miedzy różne organy. Zauważa się próby integrowania sektora prywatnego na wszystkich poziomach infrastruktury krytycznej.
Drugi sposób, to ochrona zarówno krytycznej infrastruktury informatycznej, jak również fizyczna ochrona infrastruktury krytycznej rozumianej tradycyjnie (CIP), czyli podejście holistyczne - rozpatrywanie
wszystkich zagrożeń razem - łącznie. Ochrona fizyczna jest wtedy częścią modelu narodowej obrony cywilnej i centralnie sterowanej koordynacji, a zasadnicze organy działają równolegle w obszarze bezpieczeństwa technologii informatycznych, obrony cywilnej oraz w sytuacjach
nadzwyczajnych zagrożeń, stąd też brak jest klarownego podziału między poszczególnymi komponentami systemu. Podkreślić należy widoczną rolę ministra obrony koordynującego działania tych komponentów.
Znaczenie kluczowej infrastruktury wzrosło, kiedy rząd RP dostrzegł
potrzebę opracowania wykazu obiektów ważnych dla bezpieczeństwa i obronności państwa, a w konsekwencji przygotowania i prowadzenia szczególnej ochrony tych obiektów. Opracowanie nawiązuje do tych zagadnień i w tym sensie wywoła, być może nie tylko ważny intelektualnie interes. Zainteresowanie szerszą dyskusją liderów sektora publicznego (organów, instytucji, jednostek organizacyjnych) i prywatnego (przedsiębiorców, formacji zmilitaryzowanych), w których właściwości znajdują się obiekty ułatwi wymianę poglądów i rozwijanie wzajemnych kontaktów. Zwłaszcza, że zwykle ochrona obiektów jest prowadzona z udziałem sił zbrojnych, policji, służb ratunkowych i obrony cywilnej.
Rosnące znaczenie obiektów i sektorów infrastruktury krytycznej dla bezpieczeństwa państwa wynika z ich strategicznego znaczenia dla podtrzymania niezakłóconego funkcjonowania państwa w warunkach współczesnych zagrożeń. Zagrożenia atakiem terrorystycznym, niestabilnością regionalną w pobliżu granic państwowych, użyciem BMR w dalszym, lub bliższym otoczeniu kraju, czy potencjalna możliwość powstania sytuacji kryzysowej wymaga zwiększenia wysiłków zarówno w Polsce, gdzie dynamicznie rośnie wartość realizowanych inwestycji, jak i w innych częściach Europy, gdzie są planowane inwestycje o tym charakterze.
7
rozdział 1
Aspekty teoretyczne zagadnienia
Pojęcie „infrastruktura krytyczna" (CIP) - co czyni infrastrukturę „krytyczną"?
Żadna ze znanych definicji ostatnich lat określająca, co składa się na pojęcie infrastruktura krytyczna nie jest ostatecznie sformułowana. Co prawda w pewnym sensie ograniczone zostało pole rozważań, ale nadal pozostawiają one wystarczająco miejsca na dowolną interpretację, jaka infrastruktura pasuje do określonej definicji. Specyficzne sektory gospodarki, które posiadają elementy infrastruktury stanowią raczej ilustrację, przykład, lecz nic wyczerpują pełnej listy takich obiektów występujących w różnych sektorach, dziedzinach, branżach, itp. Co więcej, jak zauważono w minionym czasie, w miarę jak następuje rozwój cywilizacyjny, ogólna definicja obejmująca to, co jest żywotne - zasadnicze dla obrony narodowej, bezpieczeństwa ekonomicznego oraz kontynuowania funkcjonowania administracji rządowej objęło również to, co istotnie ważne dla ochrony zdrowia publicznego. Odpowiednio, dotychczasowy wykaz zawierający spis infrastruktury, niezbędnej dla funkcjonowania przede wszystkim obrony i gospodarki narodowej (np. transport, energia, finanse i bankowość) rozszerzy! się o specyficzne elementy, które mogłyby powodować masowe zniszczenia i śmierć (np. produkcja specjalna, transport i składowanie materiałów niebezpiecznych), choć de facto nie są one traktowane jako krytyczne elementy skuteczności obrony, czy efektywności gospodarki. W wyniku rosnącego trendu do uznawania za krytyczne coraz to innych obiektów, na taką ogólną listę trafiły rzeczy uznawane za ważne dla kultury i tradycji społeczności danego państwa, jak np. pomniki kultury narodowej. Dlatego proces identyfikacji infrastruktury krytycznej bez rygorystycznego ograniczenia, co decyduje, aby trafić na taką listę będzie trwał, w rezultacie tworząc, być może wiele list.
Zanim infrastruktura krytyczna stalą się obiektem ataków terrorystów takie pojęcie odnosiło się powszechnie do dróg, mostów, systemów wodnych i transportu, które byty uznawane za strategicznie ważne, stąd też zawsze stanowiły część planu obronnego. Wraz z końcem zimnej wojny celowość ich zaatakowania stała sie wątpliwa, a ujmowanie w pla-
8
nach operacyjnych niecelowe. Ponieważ brak było standardowej definicji infrastruktury, jej traktowanie w różnych koncepcjach (koncepcjach w sensie politycznym) było względne, i taki stan trwai niemal do polowy lat dziewięćdziesiątych1.
Interesujące wydaje się prześledzenie rozwoju znaczenia tego pojęcia, zwłaszcza w odniesieniu do coraz powszechniej użytkowanych technologii informatycznych (IT), w miarę pojawiania się z upływem lat nowych zagrożeń dla infrastruktury krytycznej, na przykładzie Stanów Zjednoczonych, gdzie wieloletnia debata wokół tradycyjnie rozumianej infrastruktury nabrała innego wymiaru po atakach terrorystycznych2. Okazuje się, że rząd federalny traktował bezpieczeństwo kluczowych sektorów tradycyjnie, mimo iż, pogłębiała się zależność funkcjonowania niektórych służb rządowych (opieka społeczna, obrona cywilna) od infrastruktury kontrolowanej przez ich prywatnych właścicieli. Poniższe chronologiczne zestawienie uwag i spostrzeżeń wybranych instytucji wskazuje na rosnącą wśród decydentów świadomość nowych aspektów tego pojęcia:
W 1994 roku raport Połączonej Komisji Bezpieczeństwa USA
ostrzegał, że sieci komputerowe są „przyszłym polem walki", a nie
bezpieczeństwo nie dotyczy tylko systemów militarnych. Komisja
skonstatowała, że jeśli ktoś zaatakuje pozbawioną ochrony cywilną
infrastrukturę (np. system telefonii publicznej) koszty ekonomiczne
i inne mogą okazać się poważne.
W 1996 roku, Dyrektor Centralnej Agencji Wywiadowczej (CIA)
stwierdził, że są dowody na tworzenie w niektórych krajach doktryn, strategii i narzędzi niezbędnych do prowadzenia ataku informatycznego. Dodat, że „międzynarodowe grupy terrorystyczne dysponują siłami i środkami (zdolnościami) umożliwiającymi wykona
nie ataku na infrastrukturę informatyczną USA". Obawa przed atakiem hakerów - terrorystów wynikała z możliwości użycia przez
nich technik prowadzenia wojny informacyjnej jako części skoordynowanej akcji wymierzonej w system kontroli lotów, czy działalność
sektora finansowego pozbawionych dostawy energii elektrycznej.
W sierpniu 1997 roku nowo powołana Komisja Ochrony Infrastruk-
tury Krytycznej (CCIP) stwierdziła, że bezpieczeństwo, gospodarka, sposób życia oraz być może nawet przetrwanie uprzemysłowionego świata zależeć może od wzajemnie zależnego trio: energii
1 Słowniki terminologii wojskowej: Centrum Szkolenia Językowego w Monlerey z 1985 roku oraz Departamentu Obrony (Połączonych Szefów Sztabów) Z 1988 roku nie zawierają takiego pojęcia. ! Korzystałem z protokołów przesłuchań przed komisjami Kongresu i Senatu z lat 1994-2000.
9
elektrycznej, łączności oraz komputerów. Komisja uznała także, że zaawansowane społeczeństwa wykorzystują powszechnie stosowaną infrastrukturę (w domyśle krytyczną) podatną na zakłócenia fizyczne oraz zagrożenia wirtualne.
• W marcu 1998 roku Szef Centrum Ochrony Infrastruktury Narodowej
(NIPC) oraz Federalne Biuro Dochodzeniowe zeznali, że „międzynarodowa przestępczość zorganizowana szybko zorientuje się w doniosłości wy korzystania narzędzi cybernetycznych". Szef Centrum zilustrował tę tezę przykładem z 1994 roku, kiedy zagraniczne grupy kryminalne wdarły się do głównego ośrodka zarządzania gotówką jednej z instytucji finansowych, skąd usiłowano wytransferować około 10 min USD.
• Dyrektywa Prezydenta PDD 63 z maja 1998 roku nakazywała wyko-
nanie planu ochrony infrastruktury, włączając do planu inne obiekty i elementy niż tradycyjnie rozumiane.
• Po ukazaniu się raportu CIA w grudniu 1998 roku o „prowadzeniu
wojny cybernetycznej" jej dyrektor stwierdził, że „nadszedł najwyższy
czas, aby uznać, ze mamy dzisiaj paru wrogów, niekoniecznie militar
nych, gdyż są to przestępcy i terroryści dysponujący wystarczającymi
zdolnościami do zadania dużych strat w infrastrukturze, którą wszyscy
wykorzystujcmy". W lutym 1999 roku uzupełnił stwierdzeniem, że ter
roryści są już świadomi, iż prowadzenie wojny informacyjnej może się
odbywać przy „niskich nakładach, z możliwością skutecznego i skryte
go użycia narzędzi służących im do osiągnięcia zakładanych celów",
Z chwilą, kiedy bezpieczeństwo własnej ojczyzny zaczęło być traktowane z najwyższym priorytetem pojęcie „infrastruktura krytyczna" nabrała znaczenia politycznego. Dobitnym tego przykładem jcsl dyrektywa prezydenta USA z 1996 roku3, która wyspecyfikowała następujące sektory infrastruktury krytycznej: telekomunikacja, elektryczność, składowanie i transport gazu oraz ropy, bankowość i finanse, systemy dostawy wody, służby ratunkowe i porządkowe oraz obszar funkcjonowania władzy i administracji państwa posiadający taki aspekt polityczny. Wykorzystując język dyrektywy Komisja CCIP opracowała w 1997 roku raport, w którym sformułowała zakres pojęciowy poszczególnych sektorów. I tak np.: Bankowość i finanse: to organizacje handlowe i detaliczne, fundusze inwestycyjne, domy handlowe, giełdy, biura wymiany, systemy rezerw oraz stowarzyszone organizacje operacji finansowych (maklerskie, rządowe), zabezpieczenia wszystkich rodzajów transakcji monetarnych, włącznie z przechowywaniem dla celów oszczędności, inwesto-
1 Dyrektywa Prezydenta Cflnwna nr 13010 z 1S lipca 1996r„ Vol. 61, No 138 10
waniem kapitału, wymianą walutową, udzielaniem kredytów, pożyczek i innych produktów pieniężnych.
Elektryczność: to elektrownie, sieci przesyłowe i dystrybucji do odbiorców końcowych zapewniając normalne ich funkcjonowanie, włącznie z transportem i składowaniem paliwa niezbędnego dla tego systemu. Służby ratunkowe i porządkowe: to medyczne, policja, straż pożarna, system ratownictwa wraz z personelem gotowym do działania w sytuacjach nadzwyczajnych. Tego rodzaju służby są typowe dla działań na poziomie lokalnym z rym, że władze stanowe i federalne udzielają im wsparcia, jeśli to niezbędne.
Produkcja, transport i składowanie gazu i ropy naftowej: to urządzenia produkcji i przechowywania gazu naturalnego, ropy i produktów rafinowanych, paliw ropopochodnych, tankowce, pojazdy i wagony cysterny transportujące te produkty od źródła dostaw do systemów, które są zależne od gazu i ropy.
Łączność i informatyka: to sprzęt informatyczny telekomunikacyjny, oprogramowanie, procesory oraz ludzie, którzy obsługują przetwarzanie, zapamiętywanie i transmisję danych, przekształcają informacje w zasoby know-how oraz tworzą bazy danych. Transport: to systemy fizycznej dystrybucji ważne dla bezpieczeństwa narodowego, ekonomicznego i dobrobytu ludzi, włącznie z ruchem powietrznym, liniami, statkami powietrznymi i lotniskami, drogami i autostradami, pojazdami i personelem, portami, torami wodnymi i statkami na wodzie, transportem publicznym zarówno autobusowym jak i kolejowym, rurociągi gazowe, naftowe i innych materiałów niebezpiecznych, fracht i pasażerowie podróżujący pociągami dalekobieżnymi oraz służby pocztowe i kurierskie.
System dostawy wody: obejmuje źródła wody, rezerwuary i zbiorniki, akwedukty, urządzenia filtrujące, czyszczące i zabezpieczające, wodociągi, systemy chłodzenia i inne urządzenia dostawcze dla celów domowych i przemysłowych, włącznie z przepompowniami, oczyszczalniami i zbiornikami przeciwpożarowymi.
Istotnym elementem dyrektywy było zidentyfikowanie obszarów krytycznych, za których bezpieczeństwo w pełni odpowiadał rząd federalny. Wśród nich znalazło się m.in.; bezpieczeństwo wewnętrzne i stosowanie prawa, wywiad zagraniczny, sprawy zagraniczne oraz obrona narodowa. W tekście dokumentu sprecyzowano konieczność dokonywania bieżącej oceny następujących sektorów infrastruktury narodowej: żywność, woda, rolnictwo, system zdrowia i służby medyczne, energia (elektryczna, nuklearna, gaz i ropa, elektrownie wodne), transport, (po-
11
wietrzny, lądowy, kolejowy, porty, tory wodne), informatyka i telekomunikacja, bankowość i finanse, energia, chemikalia, przemysł obronny, poczta i żegluga oraz narodowe monumenty i symbole.
Powyższe przykłady w dużej części ilustrują jak administracja prezydencka postrzegała, co czyni infrastrukturę krytyczną. Po prostu odpowiednio modyfikowano pojęcie uznając, iż „pewna infrastruktura narodowa jest tak życiowo istotna, że jej niesprawność lub zniszczenie osłabiałoby bezpieczeństwo obronne i ekonomiczne państwa", i w tym sensie czyniło ją „krytyczną". Bezpośrednie zagrożenie tego typu sektorów i usług z nimi związanych, nie jest jednakowe i dlatego ich relatywna ważność obniża się w miarę wielkości i zakresu potencjalnych uszkodzeń lub zakłóceń. Pokazuje to poniższa tabela wskazująca na preferencje w określaniu infrastruktury krytycznej. Warto zwrócić uwagę na fakt, że niektóre z sektorów (służb) uznawanych za krytyczne, jak np. policja i siły zbrojne nabierają istotnego znaczenia dopiero wtedy, kiedy zaistnieje faktyczne zagrożenie, czy wystąpi sytuacja kryzysowa. Z tego samego powodu brak w tym zestawieniu obiektów dużego ryzyka, np. elektrowni atomowych uznawanych za bezpieczne.
Tabela |
1. Poziom ważności infrastruktury |
|
Sektory i usługi |
1 |
Elektryczność |
2 |
Zasoby wody |
3 |
Dostawy wody pitnej |
4 |
Zapewnienie bezpieczeństwa publicznego |
|
Dostawy żywności |
|
Ochrona zdrowia |
5 |
Sieci usług telekomunikacyjnych |
|
Usługi łączności komórkowej |
|
Utrzymanie ładu i porządku publicznego |
|
Ruch drogowy |
|
Łączność satelitarna |
|
Łączność radiowa i nawigacja |
|
Ropa naftowa |
|
Administracja wymiaru sprawiedliwości i więziennictwo |
|
Stosowanie prawa |
|
Ruch kolejowy |
6 |
Gaz naturalny |
7 |
Inne sektory i usługi |
Zródlo: TNO, dlu potrzeb projektu Guick Scan, Holandia.
12
Wykorzystując takie rozważania zdefiniowano infrastrukturę krytyczną jako „życiowo istotne elementy infrastruktury, których niesprawności lub zniszczenie miałoby osłabiający efekt na bezpieczeństwo publiczne, ekonomiczne i socjalne". W następstwie ataku z 11 września 2001 roku powołane zostały w USA nowe struktury bezpieczeństwa narodowego, ale nadal nie zdefiniowano jednoznacznie tytułowego pojęcia. Natomiast wśród przypisanych im zadań odnoszących się do ochrony infrastruktury pojawiły się nowe, np. ochrona obiektów, w których produkuje się, składuje lub neutralizuje materiały nuklearne. Wskazano na potrzebę zapewnienia ochrony wysokim przedstawicielom rządowym podczas specjalnych wystąpień. Widziano konieczność ochrony krajowego rolnictwa, zasobów żywego inwentarza i zapasów żywności, a także ujęć wody przemysłowej. Wkrótce po tym Kongres uchwalił ustawę „The USA PATR1OT ACT", w której rozważane pojęcie zdefiniowano jako „systemy i zasoby, niezależnie - materialne lub wirtualne, tak życiowo ważne dla USA, że ich niesprawność lub zniszczenie miałoby osłabiający wpływ na poczucie bezpieczeństwa, narodowe bezpieczeństwo gospodarcze, publiczną służbę zdrowia". Ilustrację zmian zakresu pojęciowego przedstawiam w szerszym aspekcie na diagramie. Pionowo umieszczone są sektory (komponenty) uważane w miarę upływu czasu za krytyczne. Poziomo, od lewej do prawej wpisane są obszary uznawane za krytyczne. Znak „x" spełnia rolę ilustracyjną. Proszę zauważyć, że przemysł chemiczny na przykład nabrał dopiero wtedy znaczenia, kiedy stało się oczywiste po 11 września 2001 roku, jakie straty może spowodować użycie trującego składnika chemicznego, co wcale nie umniejsza znaczenia tej gałęzi przemysłu dla gospodarki Stanów Zjednoczonych.
Rys. 1: Zmiana składowych pojęcia infrastruktura krytyczna
Infrastruktura |
Kryteria determinujące krytyczność. Ważne dla... |
|||
|
Obrony narodowej |
Bezpieczeństwa ekonomicznego |
Ochrony zdrowia publicznego |
Wpływ na morale |
Sieci telekomunikacyjne / informatyczne |
X |
X |
|
|
Energia |
X |
X |
|
|
Bankowość / finanse |
|
X |
|
|
Transport |
X |
|
|
|
Woda |
|
|
X |
|
13
Służby ratunkowe |
|
|
X |
|
Rząd |
|
|
X |
|
Stużba zdrowia |
|
|
X |
|
Obrona narodowa |
X |
|
|
|
Wywiad zagraniczny |
X |
|
|
|
Stosowanie prawa |
|
|
X |
|
Sprawy zagraniczne |
X |
|
|
|
Elektrownia jądrowa wraz z urządzeniami |
|
|
X |
|
Nagie zdarzenia |
|
|
|
X |
Żywność / rolnictwo |
|
|
X |
|
Produkcja przemysłowa |
|
X |
|
|
Chemikalia |
|
|
X |
|
Przemysł obronny |
X |
|
|
|
Poczta / żegluga morska |
|
|
X |
|
Monumenty narodowe |
|
|
|
X |
Zródlo; Rapoii dla Kongresu, styczeń 2003 r., Biblioteka Kongresu
Pojęcie krytycznej infrastruktury informacyjnej (CHP)
Wraz z nastaniem „rewolucji informacyjnej i w sprawach wojskowych", trwała w latach dziewięćdziesiątych nieustanna transformacja we wszystkich aspektach życia spoleczno-gospodarczego, przynosząc wraz ze zmianami nowe jakościowo wyzwania i ryzyka, Jeśli dodać wnioski z Y2K, to oczywistym stal się dylemat rosnącej zależności nowoczesnych społeczeństw od szerokiego zakresu narodowej i międzynarodowej infrastruktury informatycznej, niezwykle współzależnej od systemów kontrolnych, oprogramowania komputerowego i dostaw energii. Wrażliwość takiej infrastruktury wywodzi się z całego kompleksu zależności, ponieważ jej większość jest skonstruowana i monitorowana (kontrolowana) przez podatne na zakłócenia systemy technologii informatycznych i łączności. Taka „cyber-infrastruktura", czyli la część globalnej i narodowej infrastruktury informatycznej, która jest niezbędna dla funkcjonowania sektorów (obiektów, urządzeń, instalacji) infrastruktury krytycznej przyjmuje nazwę krytycznej infrastruktury informatycznej. Infrastruktury, której podstawowa technologia jest dostępna niemal powszechnie, a zagrożenie związane z nabyciem i wykorzystaniem posia-
14
danych (niekoniecznie legalnie) najnowszych osiągnięć technologicznych przebacza granice państw i kontynentów'. Działania wybranych państw przedstawiam w rozdziale drugim, ale warto zauważyć, że infrastruktura informatyczna jest różnie postrzegana, np. jako użyteczne narzędzie konkurencyjności w biznesie, jako systemy techniczno-operacyjne, jako niechciane udogodnienia dla przestępców, jako strategiczny potencjał obronny, jako problem prywatno-korporacyj ny, wreszcie jako jeden z celów polityki bezpieczeństwa. Dlatego kompetencje do zajęcia się tym zagadnieniem są również różnic rozdzielone, poczynając od określonych agencji rządowych, poprzez dziedzinę prawno-legislacyjną, ochronę środowiska, obronę narodową lub na połączeniach mieszanych kończąc. Fakt, iż pewna część infrastruktury znajduje się w rękach prywatnych, czy zagranicznych właścicieli jeszcze bardziej utrudnia możliwość klarownego podziału odpowiedzialności za ochronę. Wydaje się więc, że państwo indywidualnie nic jest w stanie zapewnić ochronę krytycznej infrastrukturze informatycznej we własnym zakresie. Raczej niezbędne są nowe rozwiązania i współpraca z różnymi podmiotami w kraju i zagranicą pomijanymi dotychczas w polityce bezpieczeństwa. Stąd też rozważania te prowadzą do dość istotnego pytania: czy krytyczna infrastruktura - także informatyczna jest aspektem życia codziennego - rutynowego działania, czy też raczej wchodzi w zakres polityki bezpieczeństwa narodowego i międzynarodowcgo7\ Odpowiedź powinna wskazać, kto ma ponosić odpowiedzialność za działania ochronne, wyznaczenie celów, opracowanie strategii, pozyskanie sił i środków oraz przygotowanie narzędzi niezbędnych do opanowania problemu.
Infrastruktura tak rozumiana jest coraz częściej elementem polityki bezpieczeństwa i ważnym punktem działań ochronnych. W ślad za Stanami Zjednoczonymi, które po wydarzeniach z 11 września 2001 roku zwiększyły zakres ochrony infrastruktury krytycznej w kraju podejmując wspólne wysiłki rządu, społeczeństwa, organizacji oraz sektorów uznanych za krytyczne, wiele państw, w tym także organizacje międzynarodowe podjęły własne działania w tym obszarze.
' Technologie systemów umieszczonych w kosmosie dla celów obronnych (broni kosmicznych), dolychczas znane głównie- Stanom Zjednoczonym (także Rosji i Chinom) stają się obecnie przedmiotem działalności komercyjnej, co umożliwia innym państwom i organizacjom pozyskanie znaczących zdolności uderzeniowych.
1 Infrastruktura krytyczna, zwłaszcza informatyczna, jest dziś widziana jako kluczowa część bezpieczeństwa narodowego wiciu państw i stalą się centralnym punkiem debaty na temat przeciwdziałania terroryzmowi.
15
Zagrożenia działalności opartej o systemy komputerowe
Infrastruktura krytyczna wykorzystująca systemy komputerowe funkcjonuje w nieustannym zagrożeniu zaistnienia poważnych zakłóceń. Współzależność połączeń takie ryzyko nawet zwiększa, kiedy jeden system może zakłócić kolejny, działający dotychczas sprawnie. Masowość takich powiązań sieciowych stanowi swego rodzaju ścieżkę między systemami, które jeśli nie są odpowiednio chronione, to ich zasoby informacyjne mogą być przeglądane, a więc dostępne dla nieuprawnionych użytkowników operujących z odległych miejsc. Oczywiście takie zagrożenie może mieć miejsce również w przypadku naturalnych katastrof, (trzęsienia ziemi, powodzie, itp.), ale doświadczenia wyniesione ze zmiany czasu Y2K wskazują, że bariery przeciwzakłóceniowe mogą stać się celem ataku osób - grup o złych zamiarach, np. terrorystów lub grup narodowościowych zaangażowanych w prowadzenie wojny informacyjnej. Rezultaty takich wrogich działań mogą być różne, zależne od skali zagrożenia. Prawdopodobne jest jednak, iż niektóre z istotnych dla danego segmentu operacje mogą być zakłócone lub sabotowane, dane niejawne mogą zostać ujawnione lub nawet skopiowane, albo też zaistnieją takie zmiany, które uniemożliwią normalne funkcjonowanie takiego segmentu. Szczególnie istotnym okazać się może możliwość zorganizowania celowego ataku komputerowego przez terrorystów lub wrogie państwo na zasadniczo ważne systemy, takie jak dystrybucja energii, telekomunikacja, służby bankowe i finansowe, zdolności obronne państwa, jak również celowe działanie dezorganizujące system pomocy socjalnej w danym kraju. Zrozumienie tych uwarunkowań związanych z funkcjonowaniem infrastruktury krytycznej i określenie sposobu zapobiegania takim zakłóceniom jest, jak się wydaje jednym z głównych wyzwań bezpieczeństwa państwa. Potrzeba wzmocnienia bezpieczeństwa operacji komputerowych jest coraz bardziej powszechna zarówno po stronie rządowej jak i po stronie sektora prywatnego.
W celu określenia poziomu bezpieczeństwa chronionych obiektów infrastruktury krytycznej niezbędne staje się poznanie rodzaju ryzyka z tym związanego. Zwłaszcza, że takie rozpoznanie zagrożenia jest procesem ciągłym wobec nieustannego rozwoju technologii komputerowych, narzędzi i technik posługiwania się nimi oraz ich dostępności dla osób nieuprawnionych (intruzów, hakerów). Kilka przykładów potwierdzających wrogie wykorzystywanie osiągnięć technicznych. Wspomnieć warto w tym miejscu o zorganizowanej serii ataków w Stanach Zjednoczonych w lutym 1998 roku na operacyjny system naprowadzania rakiet Solaris. Cechą charakterystyczną tego ataku (Solar Sunrise) była systc-
16
matyczność (trwał cały miesiąc) oraz działanie w sposób świadczący
0 próbie skoordynowanego ataku na wicie elementów infrastruktury in
formatycznej Departamentu Obrony USA w czasie, kiedy trwały prace
planistyczne nad możliwą operacją militarną w Iraku.
Nieco inny kontekst wynika z raportu Generalnego Biura Audytu z grudnia 1999 roku. Autorzy raportu stwierdzili w tym okresie poważne słabości systemu bezpieczeństwa informatycznego Departamentu Obrony USA wskazujące Ba możliwość modyfikowania, wykradania, nieumiejętnego otwierania, a nawet niszczenia niejawnych danych przez hakerów, w tym również przez wielu pracujących tam użytkowników sieci niedbale traktujących swoje obowiązki. Osłabiło to poważnie zdolności Departamentu w kontrolowaniu fizycznego i elektronicznego dostępu do systemu i danych. System nic funkcjonował tak jak to było założone, gdyż nie blokował pracownikom wykonywanie niedozwolonych operacji. Konkluzja raportu wskazywała na to, że wiele funkcji ochronnych systemu, włącznie z superkomputerem, logistyką, finansami, zakupami sprzętu, zarządzaniem personelem, wojskową służbą zdrowia oraz wypłatami wynagrodzeń stało się już przedmiotem ataku łub próby oszustwa. Dodać należy, że zapewne użycie wirusa „Melissa", który w kwietniu 1999 roku skaził oprogramowanie Microsoft Word spowodowało wręcz paniczną obawę o katastrofalny niemal efekt, który jakoby miai mieć związek ze zmianą daty roku 2000, co najlepiej ilustruje doniosłość pytania, kto lub, co powoduje zaistnienie ryzyka
1 gdzie może ono zaistnieć. Doświadczenia z wrogiego wykorzystywania
nowinek technicznych wskazywały na potrzebę posiadania kompetent
nego ośrodka kierowniczego, dysponowania odpowiedniej klasy eks
pertami zdolnymi do zidentyfikowania ryzyka, ustanowienia współpra
cy między sektorem publicznym i prywatnym, zastosowania technologii
i posiadania kadry kierowniczej oraz naukowej. Niezależnie od takich
negatywnych doświadczeń ciągle istnieją niebezpieczeństwa podważają
ce wiarygodność i integralność bazy danych komputerowych służących
istotnym sektorom publicznym i w nieco mniejszym zakresie działa
niom prywatnym. Poniższy diagram przedstawia najbardziej prawdopo
dobne.
17
Rysunek 2: Niebezpieczeństwa warunkujące powodzenie operacji komputerowych
Żródio: Narodowy Instylut Slaiidaidów i Technologii, (N1ST).
Diagram opracowano w oparciu o szerszą interpretację wybranych niebezpieczeństw, sytuacji oraz zdarzeń zakwalifikowanych jako prawdopodobne zagrożenia, w tym m.in.:
• Złośliwi hakerzy: osoby, które poszukują możliwości uzyskania bezprawnego dostępu do systemu komputera są szczególnie niebezpieczne, ponieważ trudno ich zidentyfikować, a ich intencje są nieznane. W ostatnich latach wzrasta obawa, że mogą pracować dla terrorystów lub obcych wrogich państw powodując znaczne szkody w infrastrukturze komputerowej.
■ Złośliwe kody, znane powszechnie jako wirusy, robaki, konie Troja-na i bomby logiczne są często rozprzestrzeniane przy użyciu poczty
18
c-mail, mogą powodować poważne uszkodzenia i zakłócenia trudne do skorygowania. Takim przykładem może być wirus Melissa. Błędy lub pominięcia w danych wejściowych są poważnym niebezpieczeństwem dla tworzenia bazy danych i jej integralności. Takie biedy powstają nie tylko w wyniku zlej woli operatora komputera wprowadzającego tysiące informacji każdego dnia, aic także przez innych użytkowników tworzących i redagujących takie bazy. Niedozwolona modyfikacja oprogramowania jest zwykle dokonywana przed zainstalowaniem lub podczas prac obsługowych i konserwacyjnych. W tej sprawie mogą wypowiedzieć się fachowcy, którzy potwierdzają, że największe ryzyko jest związane z instalowaniem oprogramowania niewiadomego pochodzenia (piracko kopiowanego), początkowo niezłośliwego, ale sprzyjającego powstawaniu błędów, co może doprowadzić do „eksplozji komputera".
Oszuści i złodzieje wykorzystują systemy komputerowe stosując metody tradycyjne lub opracowują nowe, szczególnie w odniesieniu do uzyskania dostępu do zasobów materiałowych i finansowych, lufa zestawień danych. Atak konstruowany jest poprzez obezwładnienie systemu za pomocą przesyłania ogromnych ilości niepotrzebnych informacji, albo przez dystrybucję niewinnych maszyn, zwanych „zombi" przydatnych do organizowania kolejnych fal ataków. Co istotne, tego typu narzędzia są szeroko dostępne w Internccie. Sabotaż pracowników może być szczególnie niebezpieczny ze względu na fakt, że pracownicy (także zatrudnieni czasowo) posiadają szczegółową wiedzę o systemach operacyjnych, ich zabezpieczeniach i słabych punktach. Taki sabotaż może obejmować niszczenie urządzeń, „podkładanie" bomb logicznych niszczących oprogramowanie lub dane, blokowanie systemów lub wykradanie i ukrywanie informacji niejawnych.
Działania szpiegowskie obcych rządów mogą być ukierunkowane nie tylko na informacje niejawne. Pozyskanie informacji jawnych dotyczących planów podróży kierownictwa państwa, obrony cywilnej i przygotowań obronnych na wypadek nadzwyczajnych zagrożeń, danych nt. wybranych zakładów produkcyjnych i stosowanych tam technologii, stanu personelu i ich danych osobowych oraz teczek dochodzeniowych i spraw sądowych może być także interesujące i przydatne.
■ Prywatność życia osobistego jest narażona jak nigdy dotąd, gdyż dane osób indywidualnych są przetwarzane i gromadzone komputero-
19
wo przez instytucje i agencje rządowe, instytucje finansowo - kredytowe, przedsiębiorstwa prywatne, itp. W wiciu przypadkach dane personalne stają się coraz częściej „towarem" na sprzedaż. ■ Szpiegostwo przemysłowe może być realizowane albo przez zakłady poszukujące sposobów na polepszenie swej konkurencyjności lub przez przedstawicieli rządów poszukujących sposobów udzielenia pomocy przemysłowi krajowemu.
Jaka infrastruktura wymaga ochrony?
Po zidentyfikowaniu, co można uważać za infrastrukturę krytyczną konieczna jest strategia działania, która określi, jakie elementy infrastruktury są „krytyczne" dla jej funkcjonowania, a jakie dziedziny muszą być chronione, by nie dopuścić do znacznego zachwiania stabilności państwa i obniżenia stanu posiadania społeczeństwa. Nie cały potencjał państwa może być uznany za krytyczny, to oczywiste, choć poszczególne elementy będą traktowane z różnym priorytetem. Wielkość i kompleksowość takiej infrastruktury może być zadaniem zniechęcającym na szczeblu rządowym do jej kategoryzowania i ewidencjonowania. Specjaliści zajmujący się infrastrukturą uważają, że w jej skład wchodzi określona liczba portów morskich i lotniczych, statków morskich (śródlądowych) i powietrznych, kompleks infrastruktury transportowej, czyli policzalna ilość kilometrów dróg, skrzyżowań, mostów, przepustów, węztów kolejowych, linie przesyłowe i terminale, przekaźniki (RTV, telefonii komórkowej, meteorologiczne, itp.), rezerwuary wodne, oczyszczalnie i akwedukty, elektrownie i fabryki (np. zakłady chemiczne) oraz wiele innych obiektów posiadających określone znaczenie dla oceny ryzyka i określania priorytetów. Jednocześnie z drugiej strony dobrze się składa, że taka ewidencja lub statystyka jest dostępna dla planistów i może być wykorzystana w pracach planistycznych pozwalając na dyskusję ekspertów jak taki potencjał (lądowy, wodny, powietrzny) powinien być postrzegany w kontekście, czy są to, lub nic, elementy krytyczne infrastruktury.
Każdy system teleinformatyczny połączony bezpośrednio, lub pośrednio z Internetem, albo z sieciami publicznymi jest narażony na ryzyko, bowiem niepewność jest praktycznie nieusuwalnym elementem systemów komputerowych zaprojektowanych głównie do zapisywania, wyszukiwania i wymiany informacji, a mechanizmy ochrony są drugorzędnymi elementami dla systemu. Wyrafinowany atak jest niemożliwy do wykrycia przy użyciu rutynowych narzędzi bezpieczeństwa, takich jak zapory ogniowe oraz system wykrywania intruzów. Świadczy o tym
20
wbudowanie protokołów komputera gtęboko, wewnątrz systemu w celu ułatwiania dostępu do wewnętrznych połączeń, ale już raniej do zapobiegania, co niekiedy jest wykorzystywane przez osoby nieuprawnione jako ułatwienie w planowaniu ataku.
Elektrownie jądrowe wraz z instalacjami zawsze byty ochraniane, choć pogląd, co i jak należy chronić zmieniał się wielokrotnie. W latach sześćdziesiątych skupiono się na zapobieganiu proliferacji broni masowego rażenia (BMR), w następnych latach uwagę przywiązywano do potencjalnego szantażu lub ataku ze strony państw posiadających BMR nielegalnie, by po 2001 roku obawiać się sabotażu, łub ataku samobójczego z wykorzystaniem samolotu6.
Po zliberalizowaniu rynku dostawy gazu pojawiły się nowe wyzwania. Poprzednio konsorcja współpracowały ze sobą, oferowały usługę zintegrowaną i ponosiły odpowiedzialność za dostawę gazu i za infrastrukturę przesyłową. Obecnie nastąpi! wyraźny rozdział interesów między oferującymi produkt a właścicielami urządzeń przesyłowych, co zamazuje klarowność podziału zakresu odpowiedzialności. Zauważalne jest zjawisko przejmowania infrastruktury przesyłowej (urządzeń) na terytorium innych państw przez podmioty obce, nie narodowe (firmy pośredniczące nieznanego pochodzenia).
Transport morski należy do specyficznej infrastruktury, a wiele z jej elementów wymaga ochrony. Statki jako środki transportu stają się niebezpieczne głównie z powodu przewożenia specjalistycznych towarów, np. trujących, szkodliwych, zabronionych embargiem dostaw części zamiennych do urządzeń wybuchowych lub elektrowni, czy materiały rozszczepialne. Doniosłe znaczenie ma trasa żeglugi morskiej statków, które ze względu na przewożony ładunek oraz położenie, np. tankowce przepływające w pobliżu brzegów lądu, miast, czy w cieśninie stanowią zagrożenie dla innych.
Transport lądowy wykorzystuje często przeróżną infrastrukturę drogową, ale wystarczy tylko wspomnieć o kompleksie problemów związanych z pokonywaniem wielokilometrowych tuneli przez pojazdy z kontenerami, lory kolejowe, pędzące samochody osobowe, lub transport specjalny, by dojść do wniosku o konieczności zapewnienia specjalnych procedur ochronnych.
Na początku 2003 roku byliśmy świadkami dużego kryzysu sanitarnego związanego z epidemią choroby wirusowej SARS. Kryzys pokazał
* Elektrownia atomowa KKL Leibstadt, w Szwajcarii po przeprowadzeniu symulacji prawdopodobnych skutków takiego ataku przesłoniła reaktor specjalnej konstrukcji kopułą znoszącą uderzenia i eksplozje. Zniszczenie innych instalacji elektrowni nie powodują takich zanieczyszczeń jak io może mieć miejsce w przypadku uszkodzenia reaktora.
21
w sposób brutalny wiele niedoskonałości dotyczących zarządzania kryzysowego w wielu częściach świata. Pokazał również, że epidemia, która przybrała charakter globalny (Hongkong, Pekin, Toronto, Johanes-burg) rozpowszechniając się z prędkością samolotu, może być zahamowana wyłącznie dzięki sprawnemu systemowi ochrony istotnych urządzeń, posiadania zasobów medycznych i wyszkolonych załóg ratunkowych oraz dzięki podjęciu skutecznych kroków przeciwdziałania problemowi mimo oczywistego zaskoczenia władz, ludności i właścicieli elementów infrastruktury, w których przebywali ludzie.
Rozległa przerwa w dostawie energii elektrycznej, która miała miejsce w północnych stanach Stanów Zjednoczonych i Kanadzie w dniu 14 sierpnia 2003 roku, spowodowała pozbawienie zasilania ponad 50 milionów ludzi. Wyłączone zostało oświetlenie domów i ulic, wagony kolei i metra zatrzymały się nagle (także w tunelach podziemnych), urządzenia chłodnicze przestały chłodzić, większość odbiorców została pozbawiona elektryczności przez około dwa dni. Z wypowiedzi Sekretarza Stanu ds. energii wynikało, że elektrownie wyłączyły dostawy nieoczekiwanie, po otrzymaniu złych danych do systemu monitorowania, powodując lawinowy efekt na liniach przesyłowych. Raport komisji w tej sprawie wskazywał na trzy przyczyny zaistnienia tego zdarzenia:
Niedostateczna wiedza we wczesnym zorientowaniu się (o sytuacji,
że zaistniał problem) w elektrowni Ohio dostarczającej energię
oraz operatora systemu przesyłania prądu;
Nieodpowiednie słupy wzdłuż kluczowego odcinka linii, podtrzymujące
przewody elektryczne umożliwiające przeciążenia na podwieszeniach;
Brak systemu monitorowania w czasie rzeczywistym oraz niezdol
ność do lokalizacji i określenia skali wyłączenia, a w dodatku brak
koordynacji miedzy dostawcą a operatorem sieci.
Tych kilka przykładów ważnej infrastruktury potwierdza, że żadna z nich nie może funkcjonować w całkowitej izolacji od drugiej. Produkcja energii zależy w poważnej mierze od transportu, transport potrzebuje energii, natomiast obydwa sektory nie mogą się obejść bez sieci informatycznych, których efektywne działanie zależy od energii. Wszędzie powinni być przygotowani specjaliści do radzenia sobie z takimi przypadkami, w dodatku otoczeni opieką medyczną. Dlatego te wzajemne zależności powodują, że atak na jeden z tych segmentów infrastruktury wpłynie destrukcyjnie na inny, a każdy z tych sektorów wydaje się uprawniony do zapewnienia ochrony. Jednocześnie warto pamiętać, że wiele gałęzi przemysłu wykorzystuje urządzenia, np. choćby akumulatory i generatory produkowane przeważnie przez jedną fabrykę, być mo-
22
że zagraniczną, a zapas magazynowy nie pozwala na ich natychmiastową wymianę w dużej ilości, kiedy zaistnieje nagła potrzeba. Wyprodukowanie tych urządzeń zajmuje zwykle kilka miesięcy. W poszukiwaniu odpowiedzi na pytanie co warto ochraniać i w jakiej kolejności należy lakże brać pod uwagę geograficzne położenie poszczególnych elementów infrastruktury, gdyż rozlokowanie wiciu obiektów infrastruktury krytycznej na niewielkiej przestrzeni i malej odległości od siebie musi wpłynąć na wybór priorytetu. Nic wolno także lekceważyć przygotowania „krytycznego" personelu, chronionego umiejętnie zarówno przed atakiem fizycznym, jak również wywiadowczym zmierzającym do ujawniania ich niejawnej najczęściej wiedzy, bez którego wicie specjalistycznych urządzeń nie będzie w ruchu.
Jedną z ciekawszych propozycji odpowiedzi na pytanie jaka infrastruktura wymaga ochrony wydaje się być analizowanie wybranych sektorów państwowych, które zakwalifikowały zarządzane przez nich obiekty infrastruktury jako krytyczne, czyli wybrane i wymagające ochrony. Jednak to zbyt prosta odpowiedź, gdyż administracja każdego kraju zajmująca się np. problemami środowiska naturalnego powinna przy rozważaniu tego dylematu wziąć pod uwagę przykład ataku ziej pogody, która spustoszyła środowisko naturalne człowieka w styczniu 1998 roku w Kanadzie (prowincja Guebec); za wcześnie na przytoczenie tragedii „fal Tsunami". Marznący deszcz przechodzący w burzę lodową spowodował katastrofę technologiczną, gdyż szybko dały o sobie znać awarie urządzeń, wadliwe działanie i niewydolność najważniejszej infrastruktury, zidentyfikowanej w Kanadzie jako krytyczna. Była to przede wszystkim telekomunikacja, transport, system bankowy i finanse, dostawy wody pitnej i energii, czyli infrastruktury zapewniającej podstawy funkcjonowania społeczeństwa. Straty poniesione w wyniku tego ataku oszacowano na 3 miliardy dolarów GAD'. Przykład ten potwierdza, jak wiele potencjalnych słabości infrastruktura krytyczna posiada, większość z nich wynika z jej wielkości i wzajemnych powiązań, tj. współzależności.
Problemy ochrony
Jednym z zasadniczych problemów wydaje się być brak wysiłków narodowych zmierzających do zapewnienia bezpieczeństwa przyszłych konfiguracji systemu energetycznego państwa, włącznie z sieciami prze-
1 Uznano w Kanadzie za niezbędne, wprowadzenie do szkolnych programów nauczania przedmiotu Geografia i nauki społeczne tematu „Zrozumieć istotne aspekty katastrofy naturalnej", jako doświadczenie wyniesione z burzy lodowej.
23
syiowymi elektryczności, innymi zależnymi generatorami mocy i urządzeniami dystrybucji. Problem się pogłębia, jeśli spojrzeć na zagranicznych, w domyśle prywatnych właścicieli określonych segmentów (części) tego sektora. Trudno przypuszczać, aby planowali rozwój w tej dziedzinie adekwatnie do wspomnianych konfiguracji określonych w strategii energetycznej państwa i to we współpracy międzynarodowej.
Drugi problem, to nic wiadomo jak układające się stosunki między sektorem rolnictwa a służbami specjalnymi, jeśli jakiekolwiek relacje istnieją. Brak kontaktów miedzy tymi działami administracji oznacza, że informacje o możliwości ataku na dostawy żywności mogą omijać agencje za to odpowiedzialne, być może nadal rządowe, jeśli agencja bezpieczeństwa nie uważa za konieczne współpracować w tej sprawie z określonymi strukturami rolniczymi.
Kolejny znany już problem, to system ochrony zdrowia, który nie jest gotowy na udzielenie pierwszej pomocy medycznej w przypadku ataku biologicznego, chemicznego, czy radiologicznego. Szczególną słabością tego systemu jak wiadomo jest niewystarczający poziom finansowania szpitali i klinik rozmieszczonych w różnych regionach kraju, brak pełnej kompatybilności sprzętowej ratownictwa, niestabilny stan prawny oraz zaległości w stosowaniu prawa, brak wyszkolonego personelu, czy wreszcie możliwe braki w dostawach specjalistycznego sprzętu medycznego i środków adekwatnych do rodzaju środka i skali użycia. Należy podkreślić, że nie jest to problem jednego tylko państwa.
Rozlokowanie elementów infrastruktury wynikające z zupełnie niezależnych przesłanek na etapie jej powstawania generuje zagrożenia, bowiem niektóre ze specyficznych obiektów, jak np. centra komputerowe i kontrolne są szczególnie intratnym celem ataku. Tymczasem tTzy sektory infrastruktury: rurociągi naftowe, transport powietrzny i linie kolejowe korzystające powszechnie z tych urządzeń i programów komputerowych użytkują dużą liczbę takich central (łączności, węzły rozdzielcze, stacje zasilania i wzmocnienia sygnałów) rozmieszczone w dużych iiościach na terenie całego kraju. Rozproszenie tak ważnego i dużego segmentu infrastruktury czyni go podatnym na zakłócenia nawet z powodu małych incydentów, a ochrona wszystkich jest niemożliwa.
Biorąc dotychczasowe rozważania pod uwagę można stwierdzić, że problemy z ochroną infrastruktury krytycznej sprowadzają się do prostych braków, niedociągnięć i zaniedbań. Typowym jest brak pełnego rozpoznania niebezpieczeństw na poziomie narodowym zwłaszcza, że niektóre z sektorów krytycznych nie są wystarczająco kontrolowane i ochraniane. Równie znanym jest brak współpracy międzynarodowej oraz koordynacji międzyrządowej, co jest szczególnie dotkliwe przy alo-
24
kacji środków finansowych i obawy o racjonalne wykorzystanie wkładu finansowego. Dotyczy to również koordynacji między rządami i sektorem prywatnym, szczególnie w odniesieniu do okazywanej niechęci dzielenia się informacjami z przedstawicielami biznesu prywatnego. Zaniedbaniem powszechnym jest niewystarczający poziom uświadomienia społeczeństwu ważności dla stabilnego życia istotnej infrastruktury rozlokowanej w ich otoczeniu. Wystarczyłoby skorzystać z mediów publicznych zwykle będących w posiadaniu państwa, aby stan laki zmienić zasadniczo. Wynika to jak sadzić należy, z niepokoju towarzyszącego decydentom w jednoznacznym nadawaniu odpowiedniej rangi zagrożeniu. Wielu z polityków pozostających u władzy preferuje podejście wyczekujące, bez perspektywy, uznając ryzyko za matę, a niebezpieczeństwo za nieprawdopodobne, na rzecz podejmowania zdecydowanych działań po zaistnieniu faktu, kiedy skutki są daleko poważniejsze.
Problemy z ochroną infrastruktury byty tematem międzynarodowego forum bezpieczeństwa w Genewie, które w trakcie warsztatów roboczych wypracowało następujące propozycje rozwiązań":
Zapewnienie współpracy czołowego personelu sektora państwowe
go z liderami grup przemysłowych dla zorganizowania ochrony
elektrowni, linii przesyłowych i węzłów przekaźnikowych;
Obniżanie poziomu ryzyka ataku terrorystycznego na rafinerie paliwowe. Można przypuszczać, iż taki atak może być wykonany z lądu
lub z powietrza. W każdym przypadku niezbędna jest pełna ocena
słabych punktów i przygotowanie planu reagowania zapobiegające
go powstaniu niekontrolowanych zniszczeń;
Spełnienie restrykcyjnych wymogów bezpieczeństwa przy produkcji
i magazynowaniu żywności, a gdy zaistnieje zagrożenie istnieć po
winna ścisła współpraca agencji rządowych i producentów. Podczas,
gdy przemysł (każdy producent) musi zapewnić kontrolę dostępu
do produkcji żywności, to przedstawiciele rządu muszą zadbać
o łączność informującą o incydentach i przeszkodach tworząc atmosferę zaufania do pewności dostaw żywności;
Podjecie inicjatywy wyposażenia służb agrotechnicznych i ochrony
zdrowia w możliwości monitorowania, wykrywania i wstępnej weryfikacji chemicznych lub biologicznych środków toksycznych. Takie
zdolności należałoby zapewnić strukturom w dół do lokalnego producenta lub dostawcy żywności.
1 Nowe wyzwania dla instytucji i sektora prywatnego, Centrum Polityki Bezpieczeństwa, Genewa 7-8 września 2004 r.
25
• Przyspieszenia wymaga przygotowanie przez rząd specjalistów służ
by zdrowia, przeszkolonych i zdolnych do podjęcia pierwszych dzia
łań po ataku terrorystycznym z użyciem środka biologicznego lub
chemicznego. Dane o składowanych środkach pomocy winny być
dostępne na poziomie lokalnym, do wykorzystania w przypadkach
nadzwyczajnych zagrożeń. Zrozumiałe jest, że tego typu zadania
wymagają dodatkowego zasilania finansowego;
■ Przeszkolenie specjalistów reagujących w pierwszej kolejności w miejscach po zaobserwowaniu niezidentyfikowanego środka chemicznego powinno leżeć w obszarze zainteresowań przemysłu chemicznego, w tym także nadanie priorytetu szkolenia personelu medycznego gotowego do udzielania pomocy przy skażeniach chemicznych;
Doskonalenie dublowanej (tworzenie tam gdzie trzeba) łączności
ratunkowej (alarmowej) zapewniającej połączenia z sektorami kry
tycznej infrastruktury, przedstawicielami instytucji sądowniczych
i instytucjami bezpieczeństwa publicznego;
Tworzenie listy „godnych zaufania" przedsiębiorstw spedycyjnych
i przewoźników, którzy napotykaliby mniejsze restrykcje w trakcie
podwyższonych stanów gotowości, zwłaszcza w portach, w których
spedytorzy wpisani na taką listę korzystaliby z ułatwień w trakcie inspekcji ruchu towarów dalekomorskich, kolejowych, czy rzecznych,
a pozostający poza tym wykazem musieliby być odprawiani w osobnych bazach (tam składowaliby kontenery). Zauważyć należy, że
obecnie drogą morską i lotniczą przesyłanych jest ponad 90% towarów w kontenerach, z których większość pozbawiona jest odpowiedniej ochrony. Istnieje możliwość ingerencji w ich zawartość na po
szczególnych etapach podróży';
Utworzenie narodowego (być może dostosowanego do unijnego)
systemu identyfikacji transportu, mimo iż wymaga to inicjatyw ustawodawczych.
Propozycje wskazują na długofalowy proces tworzenia lub doskonalenia strategii ochrony infrastruktury krytycznej, co winno być prowadzone w oparciu o systematyczne planowanie na szczeblu centralnym z zejściem na poziom lokalny, także z udziałem sektora prywatnego.
h W połowie 2003 roku w transporcie morskim byto w użyciu około 11 min kontenerów - dane Światowej Rady Transportu Morskiego.
26
Strategia fizycznej ochrony infrastruktury krytycznej i zasadniczych zasobów państwa
Rosnąca liczba infrastruktury, która wymaga ochrony wymusza zwiększone zaangażowanie administracji rządowej w tworzenie ustawodawstwa dotyczącego ochrony infrastruktury, zobowiązuje administrację rządową do kontaktów z każdym sektorem infrastruktury krytycznej oraz do gromadzenia danych w bazie danych na temat wrażliwych, sia-bych punktów, wykorzystywania danych do analiz stanu ochrony, monitorowania incydentów w każdym z sektorów, w tym również wysyłania sygnałów ostrzegawczych o zagrożeniach. Wykonanie tego jest możliwe tylko w drodze opracowania strategii działania, która powinna co najmniej zidentyfikować rzeczywiste zasoby krytyczne, których ochrona jest absolutnie niezbędna. Wytypowanie obiektów podlegających szczególnej ochronie może nastąpić w drodze formalnej akceptacji przez rząd, ponieważ tego typu obiekty wraz z elementami współpracującymi występują w więcej niż jednym sektorze strukturalnym. Typowym przykładem obiektu specjalnego, stosowanego w każdym niemal sektorze może być określony system informatyczny.
Przy opracowaniu strategii niezbędne jest, aby jej autorzy brali pod uwagę zasady i kierunki polityki bezpieczeństwa danego państwa. Z nich wynikać powinna konieczność przeciwdziałania potencjalnym zagrożeniom skierowanym przeciwko infrastrukturze. Znane i nowe zagrożenia pojawiające się wraz z postępem technologicznym związane z niesprawnością sprzętu, błędem człowieka obsługującego takie urządzenie, wpływem warunków pogodowych lub innych przyczyn naturalnych, a także bezpośrednimi atakami na urządzenia i „przestrzeń" komputerową uzmysłowiły wielu krajom fakt, że ochrona obiektów i urządzeń wspomagających sektory krytyczne w państwie, jest niezwykle ważna nie tylko dla polityki narodowej, ałc ma także duże znaczenie w wymiarze ponadnarodowym. Dlatego polityka wobec problematyki ochrony infrastruktury krytycznej musi znaleźć się w centrum uwagi koncepcji bezpieczeństwa narodowego każdego kraju.
Jedną z podstawowych założeń strategii fizycznej ochrony infrastruktury jest posiadanie przepisów prawa pozwalających na podjecie skutecznych działań. Wynika to z faktu, że w ochronie infrastruktury krytycznej uczestniczy wiele podmiotów państwa posługujących się szerokim spektrum mechanizmów i narzędzi działania, mających w tym różne interesy. Różni ich także pojęcie infrastruktury. Infrastruktura krytyczna rozumiana jako systemy występujące zarówno w dziedzinie materialnej jak i teleinformatycznej (komputerowej), a które są życiowo
27
tak istotne, że ich niezdolność do funkcjonowania lub zniszczenie osłabiłoby poważnie bezpieczeństwo narodowe, stabilność ekonomiczną lub bezpieczeństwo publiczne były historycznie rzecz biorąc fizycznie i logicznie systemami rozdzielonymi z małym marginesem współzależności. Jednakże w związku z rozwojem technologii informatycznych oraz potrzebą poprawy efektywności życia społcczno-gospodarczego, infrastruktura tego typu jest narastająco automatyzowana, a funkcje wzajemnie powiązane. Stąd koniecznym jest wydanie aktu prawnego w sprawie obiektów infrastruktury szczególnie ważnych dla bezpieczeństwa i obronności państwa, który ujednolici pojęcie i wskaże na obiekty i urządzenia krytyczne. W takim dokumencie powinny być zidentyfikowane obiekty o różnej kategorii pod względem ważności. Przeglądając materiały źródłowe można przypuszczać, że do kategorii pierwszej można by zaliczyć zakłady produkujące i remontujące uzbrojenie i sprzęt wojskowy, bazy, magazyny rezerw państwowych (w tym materiałów jądrowych i odpadów promieniotwórczych) i składy, obiekty wykorzystywane przez sektor finansowo-bankowy, wytypowane urządzenia transportu drogowego, lotniczego, morskiego i lotniczego, zapory wodne, czy urządzenia służące nadawaniu programów przez media. Kategorię drugą mogłyby tworzyć elektrownie i urządzenia telekomunikacyjne, obiekty wybranych instytucji państwowych, zakłady stosujące materiały stwarzające zagrożenia dla życia lub wywołujące choroby, czy inne obiekty, których zniszczenie lub uszkodzenie stanowiłoby zagrożenie dla życia i zdrowia ludzi, dziedzictwa narodowego oraz środowiska naturalnego. Do tej kategorii włączone mogą być obiekty pozostające we władaniu zarówno instytucji państwowych jak i przedsiębiorców prywatnych. Można domyślać się, że taki akt prawny powinien odnieść się również do sposobu traktowania obiektów wykorzystywanych przez organy władzy publicznej, gdyż atak na nie mógłby zakłócić funkcjonowanie państwa. Wydaje się, że opracowanie założeń strategii ochrony spowoduje, iż struktury wykonawcze wypełnią swe obowiązki określone w przepisach prawa oraz wytycznych zobowiązując je do zapewnienia bezpieczeństwa zasobom infrastruktury krytycznej, w tym informatycznej. W założeniach znajdzie się propozycja podziału ról różnych struktur rządowych (federalnych), określając ich kompetencje w kwestiach bezpieczeństwa infrastruktury. Założenia zidentyfikują zapewne najbardziej doniosłe problemy stojące przed tymi strukturami, a zadaniom przez nich realizowanym nadadzą rangę pierwszeństwa. Ponadto gotowa strategia stanowić będzie narzędzie ostrzegania dla wyższych przedstawicieli administracji o zagrożeniach bezpieczeństwa wybranych sek-
28
turów, zwłaszcza tych, których zasadnicze funkcje są zautomatyzowane. Należy oczekiwać, iż strategia wymieni użyteczne narzędzia bezpieczeństwa i ochrony, techniki i uznane zwyczaje zarządzania (powoływanie grup roboczych, zespołów międzyresortowych), wskaże na konieczność posiadania ekspertów z najwyższymi - specyficznymi kwalifikacjami oraz zobowiąże wybrane sektory, w tym zwłaszcza finansowy do regularnej oceny bezpiecznego poziomu zasobów finansowych państwa. Równocześnie nazwie cele długookresowe zakreślając horyzont czasowy ich osiągnięcia, wskaże na strukturę kontrolną oceniającą wykonawstwo zadań z perspektywy rządu. Przy tworzeniu strategii i uchwalaniu podstaw prawnych rząd będzie także pod naciskiem finansowania środków bezpieczeństwa i ochrony infrastruktury zastosowanych na różnych poziomach administracji, w tym samorządowym, nic tylko w sektorach publicznych, ale także infrastruktury pozostającej w rękach prywatnych. Dotyczyć to może także wykorzystywania zgodnie z prawem limitów osobowych i innych zasobów państwa niezbędnych do zapewnienia szczególnej ochrony. Dlatego, aby sprostać temu niezbędne okazać się może zastosowanie priorytetów w celu podziału ograniczonych środków w taki sposób, aby zminimalizować skutki przyszłych ataków (terrorystycznych) wymierzonych w infrastrukturę narodową. Przy tworzeniu strategii zaleca się zastosowanie technik i modelów komputerowych do opracowania hierarchii ważności i określenia słabych punktów infrastruktury. Uwzględniając założenia strategia wskaże na niezbędność opracowania narodowego planu ochrony infrastruktury krytycznej przed potencjalnym atakiem (np. terrorystycznym), który określi racjonalnie wyważone przedsięwzięcia zapewniające bezpieczeństwo infrastrukturze. Zastosowanie rygorystycznego planowania definiującego cele, dokonywanie analiz „koszt - efekt" proponowanych rozwiązań, mierzenie postępów w realizacji celów, adaptowanie sprawdzonych rozwiązań i inwestowanie w bezpośrednią ochronę fizyczną obiektów i ich zabezpieczenie, w system alarmowania, powiadamiania i obrony jest sprawdzonym działaniem usuwającym problemy, nie tylko związane z ochroną infrastruktury krytycznej.
Powyższe rozważania wskazują, że organem wiodącym w realizacji tak skonstruowanej strategii byłby rząd, który prowadziłby prace koncepcyjne, planistyczne, organizacyjne, logistyczne, techniczne, szkoleniowe i kontrolne. Miałby również za zadanie koordynować działania między sektorami, także zajmować się problemami ograniczeń i przeszkód w realizacji planów na niższym szczeblu udzielając niezbędnej pomocy. Najistotniejsze w działaniach ochronnych rządu jest jak się wyda-
29
je zdefiniowanie obiektów krytycznych (ich kategoryzacja) oraz utworzenie formacji ochronnych wspólnych dla wszystkich uczestników tego typu działań. Wiązać się to będzie z potrzebą uregulowania zakresu i szczegółowych zasad prowadzenia przygotowań do tzw. militaryzacji w działach administracji rządowej i samorządowej oraz w sektorze prywatnym. Osobną kwestią pozostaje rozstrzygnięcie, kto powinien opracować plany ochrony infrastruktury krytycznej? Można zakładać, że zadania ogniw ochronnych zostaną sprecyzowane, albo w strategii albo w planie obronnym kraju, dlatego rządowi, a właściwie ministrowi właściwemu do spraw wewnętrznych lub obronności pozostaje rola koordynacyjna. Wyrażać się ona może W nadzorowaniu opracowywania, uzgadniania i aktualizowania planów ochronnych infrastruktury krytycznej wykonywanych przez jednostki organizacyjne, instytucje, formacje i biznesmenów, w których właściwości znajdują się obiekty tego typu infrastruktury. Precyzowanie ogólnych wymagań w stosunku do opracowywania planów ochrony obiektów poszczególnych kategorii oraz wskazywanie na podstawy prawne przygotowywania i wykorzystywania sił i środków pozostających w gestii innych dysponentów mogłoby wchodzić w zakres działań koordynacyjnych. Niezbędnym może się okazać nazwanie przedsięwzięć obejmujących zapewnienie szczególnej ochrony wytypowanych obiektów infrastruktury w czasie podwyższania gotowości obronnej państwa i w czasie wojny.
Opracowanie planu ochrony obiektów szczególnie ważnych zapewnić może zrealizowanie powyższych zamiarów. Sporządzenie planu nadającego priorytet poszczególnym działaniom i określającym, które z przedsięwzięć ochronnych są konieczne, a które powinny być podejmowane w pierwszej i drugiej kolejności umożliwi rozpoczęcie przedsięwzięć realizujących strategię ochrony fizycznej. Aby być efektywnym plan powinien zdefiniować cele, ocenić potrzebne siły i środki oraz posiadać harmonogram realizacji zadań. Taki plan pokieruje aktywnością wielu grup i jednostek włączonych w zapewnienie ochrony obiektów infrastruktury krytycznej. Stanowić może też podstawę do zapewnienia środków zmniejszających podatność infrastruktury na ataki, wskaże wykonawców i dzieli odpowiedzialność, wreszcie monitoruje postęp w realizacji zaplanowanych przedsięwzięć.
Doświadczenia innych państw wskazują na istnienie problemów związanych z nieprecyzyjnym rozdziałem odpowiedzialności za realizację zadań związanych z organizowaniem ochrony poszczególnych obiektów. Jedną z pierwszych przeszkód jest zwykle przekonanie o nadrzędności interesu danej instytucji, a nie problemu w szerszym kontekście
30
bezpieczeństwa kraju. Agencje i instytucje rządowe dążą do samodzielnego organizowania przeciwdziałania potencjalnym zagrożeniom. Bywa tak zwłaszcza w odniesieniu do sieci komputerowych, kiedy w ramach posiadanych możliwości organizują budowę sieci transmisji danych oraz wykorzystanie komputerów do tego celu uznając, że tylko one mają prawo narzucać zasady prowadzenia operacji na swoim terenie. Co prawda ponoszą one odpowiedzialność za bezpieczeństwo ich użytkowania, ale często zdarza się, że kto inny odpowiada za nadzór nad tworzeniem standardów użytkowania tych urządzeń, a jeszcze inna agencja ma za zadanie kontrolować wykorzystywanie urządzeń. Charakterystycznym przykładem takich zachowań są specyficzne procedury obowiązujące przy pracach niejawnych. Takie działania skupione na zachowanie swobody wyboru stoją zazwyczaj w sprzeczności z nowymi, niekoniecznie docenianymi centralnie inicjatywami ochrony infrastruktury krytycznej.
Ważnym dla realizacji założeń strategicznych jest klarowne rozstrzygnięcie ponoszenia odpowiedzialności za zorganizowanie i prowadzenie działań ochronnych. Sprzyjać temu będzie prawne uregulowanie zagadnienia łączące problematykę programowania obronnego i militaryzacji (obronności państwa) z problematyką bezpieczeństwa wewnętrznego i porządku publicznego, w tym także regulujące ochronę osób i mienia. Akt prawny w tej sprawie powinien także wskazywać na zasady ochrony obiektów specjalnych, np. tych użytkowanych przez kierownictwo państwa na czas kryzysu i wojny. Projekt takiego dokumentu może być opracowany w ramach prac badawczych fenomenu terroryzmu prowadzonych obecnie w wielu krajach, gdyż największe zagrożenie bezpieczeństwa tego typu infrastruktury jest związane z działaniami terrorystycznymi. Podejście takie zapobiegnie rywalizacji między agencjami rządowymi w działaniach zapobiegawczych i ograniczy znacznie koszt całego przedsięwzięcia. Coraz szersza jest bowiem świadomość, że dokładna wiedza o zależnościach w obszarze wykorzystywanej infrastruktury, czyli o źródłach zagrożenia jest warunkiem wstępnym do sformułowania przeciwdziałania i zwalczania zjawiska. Naukowe i metodyczne podejście do zwalczania terroryzmu może stanowić pozytywny przykład rozwiązania, które może być powielone przy organizowaniu ochrony szczególnie ważnej infrastruktury. Dostarczy zainteresowanym wyniki analizy danych, pozwoli na wykorzystanie sprawdzonych narzędzi badawczych, a co najważniejsze istniejące zdolności do oceny zagrożeń i zidentyfikowania ryzyka zostaną efektywnie wykorzystane do skonstruowania planu działania.
31
ROZDZIAŁ 2
Przegląd polityki ochrony infrastruktury
krytycznej w wybranych państwach1"
Przegląd skupia się na podejściu wybranych państw do infrastruktury krytycznej, a dokładnie: (1) definicji infrastruktury krytycznej oraz nazwaniu sektorów zidentyfikowanych jako istotnie ważne i przez to uznawane w danym kraju za krytyczne, (2) wymienia podjęte inicjatywy wyrażające politykę państwa w tym obszarze, (3) nazywa zasadnicze struktury organizacyjne oraz (4) sygnalizuje sposoby ostrzegania o zagrożeniach; zamiast podtytułów będą się powtarzać tylko cyfry. Zrezygnowałem z opisywania projektów e-Government - typowych dla polityki UE w lym obszarze.
Austria
Jako kraj nowoczesny, Austria posiada wiele elementów infrastruktury zarówno wojskowej jak i cywilnej szczególnie narażonych na zakłócenia. Mimo tego nie istnieje jedna, zgodna koncepcja definiująca infrastrukturę krytyczną. Jednak bazując na opracowaniu Gartncr Heinz / Holi Otmar, Bezpieczeństwo ogólne (Wiedeń, 2001) oraz Podręcznik rządu federalnego w sprawach bezpieczeństwa można przyjąć, że następujące sektory są uważane za krytyczne (1):
Telekomunikacja
Bankowość i finanse
Nadawanie programów
Służby zabezpieczające
Energia
Służby informacyjne
Obrona militarna
Policja
System pocztowy
Administracja publiczna
ln Korzystałem z opracowania „Ochrona krytycznej infrastruktury informatycznej - C11P", wydawnictwa szwajcarskiego Federalnego Instytutu Technologii, Zurych, 2002 rok
32
Publiczna służba zdrowia
Opieka społeczna
Transport
Usługi komunalne
Zaopatrzenie w wodę.
Doktryna bezpieczeństwa i obrony 2001 określa, że strategicznym
celem polityki bezpieczeństwa jest „obrona ludności kraju oraz funda
mentalnych wartości przed wszystkimi zagrożeniami". Uwzględniła no
we zagrożenia, do których powinny być dostosowane programy obrony
i polityki bezpieczeństwa. Doktryna jednoznacznie wskazuje, że dla
państwa małego, jakim jest Austria pełny i nieskrępowany dostęp do
istotnych obszarów krytycznych, w tym do informacji jest ważnym ele
mentem swobody działania. Opracowanie dziedzinowych strategii dzia
łania powinno zapewnić niezbędną współpracę w tych obszarach.
W 2000 roku rząd Austrii zdecydował wprowadzić w życie program ba
zujący na standardzie e-Government stwarzający możliwość komuniko
wania się między mieszkańcami a administracją publiczną oraz umożli
wiający łączność wewnętrzną między poszczególnymi branżami tej ad
ministracji. Za implementację programu odpowiedzialny został Mini
ster Służb Publicznych i Sportu, a wszystkie aspekty bezpieczeństwa po
wierzono wyspecjalizowanej grupie ekspertów (IKT Board), która za
stosowała niezbędne zabezpieczenia techniczne oraz wypracowała od
powiednie procedury postępowania. Na stronic internetowej biura
kanclerza dostępne są aktualne informacje dotyczące polityki bezpie
czeństwa; dostępne są także oficjalne raporty. W ślad za projektem
podpisu elektronicznego na początku 2003 roku rozpoczęto wprowa
dzać w życie pilotażowy projekt „Karta mieszkańca'', tj. karty z chipem
zawierającą zakodowane dane personalne obywatela.
Problematyką infrastruktury krytycznej zajmuje się głównie rząd,
a zwłaszcza Minister Spraw Wewnętrznych, Minister Obrony, Minister
Służb Publicznych i Sportu oraz Kanclerz Federalny. Wynika z tego, że
odpowiedzialność za ten problem spoczywa na kilku reprezentantach
sektora publicznego. Ogólnie rzecz biorąc większość z ministerstw dys
ponuje swoim własnym zasobem środków obrony przed atakiem ze
wnętrznym i nieuprawnionym dostępem do zastrzeżonych danych. Jed
nocześnie istnieją specjalne komórki do spraw nowych technologii in
formatycznych pod jednym wspólnym specjalistycznym nadzorem Sze
fa Biura Informacyjnego. Ministerialne koncepcje bazują na przygoto
waniu organizacyjnym i proceduralnym mechanizmów ochraniających
33
sieci wewnętrzne oraz na posiadaniu technicznych środków ochrony danych niejawnych.
W Ministerstwie Spraw Wewnętrznych problemem ochrony infrastruktury, głównie bezpieczeństwa danych i przestępstw cybernetycznych, zajmują się wyspecjalizowane oddziały. W 1999 roku powołane zostało Centrum Zwalczania Przestępstw Internetowych, znane jako „Cybercop". Z kolei Ministerstwo Obrony odpowiedzialnością za prowadzenie wojny informacyjnej obciążyło departament kontroli współpracujący z dwiema wojskowymi służbami wywiadu. Natomiast zgodnie z austriacką konstytucją siły zbrojne są odpowiedzialne nie tylko za obronę narodową, utrzymanie porządku i bezpieczeństwa wewnętrznego, ale także za ochronę konstytucyjnych instytucji zapewniając im swobodę funkcjonowania oraz za ochronę infrastruktury krytycznej. Przedsięwzięcia ochronne są wielokrotnie ćwiczone z udziałem instytucji cywilnych.
W urzędzie kanclerskim ulokowana została Komisja Ochrony Danych (DSK), posiadająca uprawnienia kontrolne dotyczące obróbki danych pub licz no-prywatnych. Mieszkańcy maja prawo składać zażalenia do tej komisji w przypadku pogwałcenia przysługujących fan praw do ochrony danych osobowych.
(4) Austria posiada system wczesnego ostrzegania o katastrofach nuklearnych i naturalnych bazując w tym obszarze na umowach społecz-no-cywilnych. Jednakże brak jest pełnego i skoordynowanego systemu w odniesieniu do ataku na sektory krytyczne. Natomiast posiada w systemie wczesnego ostrzegania organizację bezpieczeństwa (CIRCA), której głównym zadaniem jest ostrzeganie użytkowników o wirusach i innych zagrożeniach, głównie internetowych.
Szwajcaria11
Podatność technologii teleinformatycznych, tak powszechnie wykorzystywanych przez sektor publiczny i prywatny jest problemem zauważonym i dyskutowanym w szwajcarskiej polityce bezpieczeństwa do tego stopnia, że obowiązkiem federalnym jest zapewnienie funkcjonowania szwajcarskiego „społeczeństwa informacyjnego". (1) W Koncepcji Obrony Cywilnej z 17.09.2001 r. zapisano, że żywotnymi zasobami są „wszystkie elementy niezbędne do życia ludzi, w szczególności dostawy
" Korzystałem w wydawnictwa Swiss Army 2000 - Armcd forces and dvii prolection in Swil-zcrland, 199'J rok, także 7 zapisów Koncepcji Obrony Cywilnej z 17.09.2001 roku, Raport Rady Federacji dla Zgromadzenia Federalnego.
34
żywności, energii i surowców odpowiednio do potrzeb, funkcjonowanie gospodarki, niezakłócony dostęp do międzynarodowych rynków, narodowa i trans graniczna infrastruktura oraz środowisko naturalne nieza-nieczyszczonc tak długo jak to możliwe". Koncepcja potwierdza również, że bezpieczeństwo infrastruktury informatycznej i telekomunikacji ma strategiczne znaczenie dla Szwajcarii, dlatego Rada Federacji jest zobowiązana do podjęcia niezbędnych środków zapewniających jej bezpieczne funkcjonowanie nie zdejmując tego obowiązku z każdego cztonka „społeczeństwa informatycznego". Ponieważ autorzy badający tą problematykę nie posługują się jedną definicją infrastruktury krytycznej przyjąć należy, że biorą pod uwagę następujące sektory krytyczne:
Administracja (publiczna)
Obrona cywilna i służby ratunkowe
Telekomunikacja
Energia, gaz, woda
Finanse
Przemysł i produkcja przemysłowa
Media
Zdrowie publiczne
Transport i logistyka
Dobra kulturalne
Pojawienie się nowych zagrożeń, takich jak klęski i katastrofy ży
wiołowe oraz sytuacje nadzwyczajne, które stanowią obecnie najwięk
sze wyzwanie dla systemu obrony cywilnej legiy u podstaw decyzji Rady
Federacji o dostosowaniu posiadanych instrumentów do przeciwdziała
nia takim zagrożeniom. Opracowana została wspomniana koncepcja,
w której system obrony cywilnej (z niewielkimi modyfikacjami) jest od
powiedzialny za ochronę społeczeństwa i jego życiowych zasobów za
pewniając zarządzanie, ochronę, ratownictwo i pomoc, w tym za
zmniejszenie możliwych strat i zniszczeń. Federalne Biuro do spraw
obrony cywilnej (FOCP) koordynuje działalność pięciu oddzielnie dzia
łających pionów gotowych do codziennego reagowania: policji, straży
pożarnej, służby zdrowia, służb technicznych oraz służb ochrony i za
bezpieczenia (P&S).
Dla naszych rozważań istotny jest zakres zadań służb technicz
nych, które mają chronić infrastrukturę techniczną, szczególnie dosta
wy wody, gazu i energii, usuwanie zanieczyszczeń, transport i telekomu
nikację. Z kolei służby P&S ochraniają ludność i dobra kulturalne.
35
Wraz z utworzeniem w 2003 roku biura FOCP wszystkie sprawy obrony cywilnej, dotychczas rozproszone po federalnym departamencie obrony i sportu są w tym biurze zgrupowane. Biuro identyfikuje krytyczne części infrastruktury narodowej, wprowadza wyższe stany alarmowe, systematycznie monitoruje i dokonuje oceny zagrożeń, identyfikuje je i (4) w ramach .systemu wczesnego ostrzegania inicjuje jako pierwszy ściągnięcie określonych przedstawicieli upoważnionych do podjęcia decyzji niezbędnej do wspólnego działania. Koordynuje rozwojem niejawnej łączności alarmowej Polycom przeznaczonej dla struktur ratowniczych i obronnych. W ramach biura działa też Narodowe Centrum Operacyjne (NEOC), wysoce wyspecjalizowane na wypadek nadzwyczajnych zagrożeń. Zakres działalności centrum obejmuje stałe pomiary radioaktywności (awarie elektrowni, transport materiałów nuklearnych, atak z użyciem BMR), utrzymywanie bazy danych o substancjach oraz materiałach niebezpiecznych dla otoczenia, jak również śledzenie pęknięć i przecieków w tamach i zaporach zbiorników wody w kontekście zagrożenia uderzeniem rakietowym na tego typu obiekty.
Podsumowanie
Ćwiczenie zarządzania strategicznego z 1997 roku skutkowało zaadoptowaniem Strategii społeczeństwa informacyjnego Szwajcarii. Od tej chwili minister obrony i sportu odgrywa ważną role w obszarze ochrony infrastruktury krytycznej, która głównie jest rozumiana jako mająca funkcje polityczno-militarne oraz państwowe. Brak jest obecnie rzeczywistej integracji sektora prywatnego, a współpraca jest ograniczona do dziedzin widzianych jako niezbędne dla funkcjonowania obrony cywilnej. Brak jest TÓwnicż centralnego organu (organizacji) kontrolnego i koordynacyjnego. Najważniejsza organizacją jest Departament obrony, cywilnej obrony i sportu, oczekujący przede wszystkim na programy ochrony infrastruktury krytycznej. Z końcem 2003 roku utworzono centralne biuro analiz i bezpieczeństwa informacji (MELANI) z zadaniem gromadzenia informacji dotyczących zagrożeń infrastruktury informatycznej. Biuro stanowi obecnie kluczowy element systemu wczesnego ostrzegania. Jest forum integrującym sektor prywatny.
Szwecja
Szwedzki system obrony totalnej obejmuje zarówno obronę militarną jak i cywilną, a jednym ze strategicznych zadań systemu jest udzielenie wsparcia społeczeństwu w momentach zaistnienia poważnych sytuacji nadzwyczajnych czasu pokoju. Sytuacje takie określane są jako
36
różnego typu sytuacje ekstremalne, które mogą zostać zapoezątkowane przez wypadek, naturalną katastrofę lub akt sabotażu obejmując wiele obszarów życia publicznego". Właśnie obrona cywilna odpowiada za posiadanie zdolności do zapobiegania i opanowania takich sytuacji. Obrona cywilna obejmująca caie społeczeństwo, ale szczególnie służby i sektory takie jak: ochrona zdrowia, służby ratownicze, dostawy elektryczności i wody, które muszą funkcjonować w czasie kryzysu lub wojny wykorzystuje w czasie pokoju zasoby i potencjał przygotowany na wypadek wojny. (1) Wymogi efektywnego zarządzania i monitorowania gotowości społeczeństwa zobowiązały wybrane ministerstwa do ponoszenia odpowiedzialności za sześć następujących sektorów'1-, które spełniają kryteria definicji infrastruktury krytycznej:
infrastruktura techniczna
Transport
Rozprzestrzenianie zakaźnych substancji, toksycznych chemikaliów
oraz substancji radioaktywnych
■ Bezpieczeństwo ekonomiczne
Koordynacja, wzajemne relacje oraz informacja w poszczególnych
sektorach
Ochrona zdrowia, pomoc medyczna, służby medyczne.
Planowanie i tworzenie zasobów oraz zdolności zwalczania za
grożeń w tych sześciu obszarach na wypadek zagrożeń czasu pokoju nie
zbędnych dla funkcjonowania takiej infrastruktury jest istotnym ele
mentem polityki państwa. Przygotowania są prowadzone w oparciu
o zasoby społeczne i system administracyjny czasu pokoju, które w ra
mach ćwiczeń przygotowywane są do sprostania tym ekstremalnym wy
zwaniom. Planowanie przygotowań musi sprostać także zagrożeniom
powodowanym atakiem terroru. Według zgodnej opinii rządu i parla
mentu (Riksdag) w celu sprostania nadzwyczajnym zagrożeniom nie
zbędne są odpowiednie przygotowania do sprostania wyzwań spowodo
wanych przez atak terrorystyczny, przerwy w dostawie elektryczności,
zakłócenia w telekomunikacji i radio i telewizji, braku dostaw wody,
masowy napływ azylantów, powódź i przerwanie tam oraz zapór wod
nych, wybuch epidemii i chorób zakaźnych, skażenia radioaktywne, wy
padki z chemikaliami oraz konieczność usuwania skażeń na morzu.
Dla opanowania sytuacji nadzwyczajnych zagrożeń i ograniczenia
negatywnych skutków po ich zaistnieniu konieczne jest zazwyczaj sko-
11 Ważność łych sektorów potwierdzona zostata pr;ez nowo wydany akt prawny z dnia 12 listopada 2004 roku Rescue Sewices Act.
37
ordynowanie działań różnych struktur (ministerstw, agencji, centrów, komórek, itp). Rola taka przypadła w udziale Agencji Zarządzania w sytuacjach nadzwyczajnych zagrożeń SEMA'!, która koordynuje badania naukowe, wspiera struktury niższego szczebla zaangażowane w prace zarządzania kryzysowego organizując współpracę sektora publicznego i prywatnego. Jednakże większość z ministerstw jest odpowiedzialnych za aspekt obrony cywilnej w odniesieniu do swojego zakresu kompetencyjnego dbając o dokonywanie analiz ryzyka i zdolności wykonania zadań, określania potrzeb i braków. Minister Obrony sprawuje funkcję koordynacyjną w państwie i jest również odpowiedzialny za ograniczenie skutków skażenia radioaktywnego, powodzi i pęknięć tam wodnych, jak również zdarzeń z udziałem chemikaliów oraz za rozładowanie w portach morskich materiałów niebezpiecznych. Struktura zarządzania na wypadek kryzysu spowodowanego zakłóceniem funkcji wymienionej infrastruktury opiera się zasadniczo na przekazaniu zwiększonej odpowiedzialności radom miast (gmin), co jest traktowane jako typowe uprawnienie w warunkach szwedzkich. Służby bezpieczeństwa należące do policji odpowiedzialne są za ochronę obiektów specjalnych, działania kontrwywiadowcze, anty terroryzm i ochronę konstytucji. Z kolei Departament Śledczy zajmuje się śledztwami międzynarodowymi.
Podsumowanie W ramach obrony totalnej ochrona infrastruktury krytycznej włączona została do kompleksu obrony narodowej. Ochrona infrastruktury krytycznej jest postrzegana jako kombinacja zapewnienia bezpieczeństwa informacji, ochrony infrastruktury krytycznej, defen-sywnych operacji informatycznych oraz prowadzenia wojny informacyjnej. Sektor prywatny został włączony w strukturę organizacyjną na wyższych poziomach z pozostawieniem wiodącej pozycji ministra obrony. Obszar odpowiedzialności został klarownie podzielony, co widać w przypadku Agencji zarządzania w sytuacji nadzwyczajnych zagrożeń (SEMA), w której prace są włączone wszystkie istotne służby sektora publicznego. W sektorze prywatnym brak koordynacji i organu do tego powołanego na wzór istniejącej struktury w sektorze publicznym. Jak się wydaje, w dążeniu do przejrzystości systemu unikane są jakiekolwiek duplikujące działania.
1J Agencja SEMA powstała w 2002 roku i przejęła iadariia Agencji Planowania Cywilnego oraz Narodowej Rady ds. Obrony Psychologicznej.
38
Finlandia
Krytyczna infrastruktura informatyczna jest postrzegana jako życiowo ważna dla interesów narodowych. Znajduje to potwierdzenie w raporcie Ministra Obrony Finlandii dla Parlamentu pt. „Fińska polityka bezpieczeństwa i obrony w 2001 roku", gdzie stwierdzono, iż zapewnić należy funkcjonowanie w każdych warunkach zarówno infrastruktury państwowej, jak i tej pozostającej we władaniu biznesu i osób indywidualnych. Wszelkie działania zabezpieczające podejmowane są w oparciu o „Ustawę o bezpieczeństwie dostaw"' oraz zezwolenie Narodowej agencji dostaw w sytuacjach nadzwyczajnych, (NESA). (1) Zgodnie z ustawą za krytyczne sektory uznano:
Bankowość i finanse
Dostawa energii
Dostawa żywności
Sektor technologii informatycznych i łączności
Przemysł produkujący na rzecz obrony
Media
Zdrowie publiczne
Usługi publiczne
Służby ratunkowe
Opieka społeczna
Transport i logistyka
Dostawa wody.
(2) Rezolucja Parlamentu z 2003 roku w sprawie zabezpieczenia funkcji życiowo ważnych dla społeczeństwa oraz strategia opracowana przez Komitet Obrony i bezpieczeństwa uznają za krytyczne następujące obszary: dostawy energii i żywności, przemysł i służby zabezpieczające, transport i ruch z tym związany, opieka socjalna i służba zdrowia, promieniowanie, choroby zakaźne i zagrożenia chemikaliami, a także łączność elektroniczna i systemy informatyczne. (3) Wskazuje się na po-Irzebę zwiększenia zdolności policji do zwalczania przestępstw dokonanych przy zastosowaniu narzędzi elektronicznych (cybererime), ochrony systemów informatycznych i połączeń telekomunikacyjnych. Oficjalnym autorytetem w dziedzinie narodowego bezpieczeństwa informatycznego jest „Fińska władza nadzorująca teleinformatykę" (FICORA), która odpowiada m.in. za autoryzację systemów, oprogramowanie, prowadzenie dochodzeń w przypadku ataków. Podkreślić należy, że system łączności w Finlandii należy do najlepiej zorganizowanych i funkcjonu-
39
jących w świecie, niezależnie od przeszkód czasu pokojowego i trudności w sytuacji kryzysu lub wojny11. Dzieje się tak, dlatego, że operatorzy zostali zobligowani do zapewnienia łączności w każdej sytuacji, co pozwala utrzymywać na bieżąco wysoki poziom przygotowań zwłaszcza, że koszty są im zwracane przez agencję NESA. Z kolei w najnowszym raporcie nr 6/2004 nt. polityki bezpieczeństwa i obrony znajduje się definicja bezpieczeństwa dostaw, do czego państwo jest zobowiązane: „to niezbędne sfużby i zasadnicze struktury społeczne, techniczne, transportu, składowania i dystrybucji, dostawy wody, energii i żywności, opieka socjalna i służba zdrowia oraz produkcja wojskowa i system zabezpieczenia obrony militarnej". Ponadto zapisano tam, że w przypadku ataku na terenie Finlandii prawdopodobnymi celami mogą być nie tylko budynki i obiekty publiczne, ale także środki transportu, w tym terminale portowe i lotniska. (3) W ramach Ministerstwa spraw wewnętrznych powołane zostanie międzysektorowe ciało (jako struktura rządowa), które będzie centralnym punkiem strategii ochrony istotnych dla życia społecznego funkcji, czyli zdefiniowanej wcześniej infrastruktury krytycznej. (4) Komórką wczesnego ostrzegania jest silna grupa CERT-FI, która otrzymuje sygnały od operatorów o incydentach i zagrożeniach, a następnie zapewnia informacje i udziela pomocy zarówno organizacji publicznych jak i osób indywidualnych.
Podsumowanie
Ochrona infrastruktury krytycznej jest częścią ogólnego systemu obrony totalnej z zastosowaniem podejścia całościowego CIP. Poszczególni ministrowie ponoszą odpowiedzialność za bezpieczeństwo technologii informatycznych w ramach swojego zakresu kompetencyjnego. CIP/EM jednoznacznie odpowiada za obronę cywilną i obronę narodową. Z kolei agencja NESA odpowiada za zorganizowanie fizycznej ochrony narodowej infrastruktury krytycznej. Odpowiedzialność za bezpieczeństwo łączności i reagowanie na zakłócenia komputerów przynależy od roku 20(10 organowi usytuowanemu centralnie.
Holandia
Środowiska biznesowe oraz rząd holenderski byty od pewnego czasu świadome narastających zależności wewnętrznych działalności biznesowej oraz ich negatywnych konsekwencji w przypadku poważnych zakló-
11 Osoby wchodzące w skład kierownictwa państwa po.stugują się specjalnie zaprojektowanymi telefonami działającymi w systemie Terrestial Trunded Radio (TETRA).
40
ceń procesu inwestycyjnego. W odpowiedzi na wyzwania, które pojawi-ty się w efekcie Y2K oraz 11 września 2001 r. rząd ogłosił plan działania, którego jednym z celów było „opracowanie w Ministerstwie Spraw Wewnętrznych pakietu powiązanych wzajemnie środków do ochrony infrastruktury państwowej i biznesowej oraz gospodarczej, włącznie z technologiami informatycznymi". Międzyresortowy zespól opracował taki pakiet, który składał się z określonych produktów i usług krytycznych poddanych dogłębnej analizie przez ekspertów reprezentujących wszystkie zainteresowane instytucje. Pozwoliło to na wytypowanie sektorów krytycznych, wraz z produktami i usługami, które najczęściej narażone są na negatywne konsekwencje w przypadku zakłóceń lub zniszczeniaIS.
(1) Interesujące wydaje się pytanie, co jest krytyczne? Najczęściej prezentowaną odpowiedzią jest opinia Organizacji Stosowanych Badań Naukowych (TNO): jest to sektor lub produkt, albo służba rzeczywiście ważna dla społeczeństwa lub po prostu „ważna". Wynika z tego, że Holendrzy dążą do wykorzystywania definicji praktycznej (roboczej), pozostawiając politykom rozwiązywanie problemu. Niezwykle interesująco zidentyfikowane zostały sektory krytyczne przez TNO, które przedstawiam jako odpowiadające powyższej definicji:
Telekomunikacja: służby stałych i mobilnych sieci telekomunikacyjnych,
łączność radiowa i nawigacja, łączność satelitarna (w tym GPS), audycje
programowe RTV, dostęp do intemetu, służby pocztowe i kurierskie;
Energia i urządzenia funkcjonalne: elektryczność, gaz naturalny, ro
pa naftowa;
Żywność (dostawy i jej ochrona);
Dostawy wody pitnej;
Zdrowie (opieka medyczna);
Bezpieczeństwo i porządek publiczny: utrzymanie tadu i porządku
publicznego, utrzymanie bezpieczeństwa publicznego;
Finanse: służby finansowe i infrastruktura (prywatne), służby trans
feru finansów (rządowe);
Administracja publiczna: dyplomacja, rządowe zapewnieni e dostę
pu do informacji, siły zbrojne i obrona, administracja publiczna;
Transport; drogowy, kolejowy, morski, powietrzny, nawigacja we
wnątrz lądowa, linie przesyłowe;
■ Zarządzanie i zachowanie wód powierzchniowych: zarządzanie jakością wody, zapewnienie dostępu i nadzór nad jakością wody pitnej.
■' Przedstawiciel TNO prezentował wstępna koncepcję w Warszawie, w liniach 6-7 listopada 21102 r.; niestety autor nic posiada danych, na jakim forum.
41
Lista powyższa zawiera 11 sektorów rozwiniętych w 31 produktów lub stużb/usiug, które uważa się za krytyczne, gdyż:
stanowią niezbędne, niezastąpione udogodnienia społeczne, a ich
zniszczenie szybko skutkowałoby wprowadzeniem stanu nadzwy
czajnego (np. zakłócenia w dostawach elektryczności lub brak pit
nej wody);
zakiócenie z korzystania z tych usług lub zaprzestanie ich świadcze-
nia mogłoby wywołać niekorzystny efekt w dłuższej perspektywie {przedłużająca się blokada lub niszczący efekt produkcji wymykającej sie spod kontroli);
- składają się na incydenty osłabiające niezastąpione mechanizmy
koniroli, które gwarantują normalne warunki lub opanowują sytu
acje kryzysowe (np. policja, straż pożarna, siły zbrojne).
Plan działania pod nazwą „Action Plan 10" był główną inicjatywą
polityczną rządu, która przyczyniła się do powstania i realizacji projek
tu ochrony infrastruktury krytycznej (Minister spraw wewnętrznych
Królestwa składał raporty o jego realizacji; ostatni w kwietniu 2(1004r.).
Wśród struktur zajmujących się CIP należy wymienić dwie podsta
wowe. Pierwsza to Narodowe Centrum Koordynacji (NCC), wchodząc
w skład Ministerstwa spraw wewnętrznych odgrywa centralną rolę w po
noszeniu odpowiedzialności za zarządzanie kryzysowe, nadzorowanie po
rządku publicznego oraz środków bezpieczeństwa na szczeblu państwa.
W przypadku kryzysu wymagającego zaangażowania kilku ministerstw za
pewnia siły i środki dla ich funkcjonowania oraz dostarcza informacje
i propozycje oficjalnym przedstawicielom państwa. Zabezpiecza także po
moc na szczeblu niższym (wojewódzkim) w przypadku poważniejszych
trudności. Drugą strukturą jest Organizacja stosowanych badań nauko
wych, którego częścią jest TNO-FEL. TNO jest organizacją „know-how"
wychodzącą naprzeciw potrzebom badawczym organów rządu, przedsię
biorstw i organizacji publicznych. TNO-FEL, to laboratorium fizyczne
i elektroniczne zajmujące się „łańcuchem informacyjnym", od zbierania,
przez przekazywanie i przetwarzanie dla potrzeb bezpiecznego użytkowa
nia. Laboratorium włączone zostało w proces realizacji projektu CIP, pu
blikując kilka istotnych raportów, w tym m.in. „In Bits and Pieces (B1T-
BREUK), oraz „Cooperation for a safe use of Internet: an e-Deltaplan
(KWINT). Bierze także udzia! w projekcie studyjnym ACIP, na temat
ochrony infrastruktury w Unii Europejskiej.
Podsumowanie
Inicjatywa ochrony infrastruktury krytycznej pochodzi z ministerstwa obrony. Rola państwa w odniesieniu do ochrony infrastruktury krytycz-
42
nej polega na opracowaniu strategii, dostosowaniu przepisów prawa do nowych zagrożeń i promowaniu nowych rozwiązań. Funkcje taktyczne i operacyjne są widziane albo jako funkcje podzielone między sektory publiczny i prywatny, albo wyłącznie przynależne części prywatnej. W warunkach holenderskich sektor prywatny odgrywa szczególnie ważną rolę nie mając nad sobą centralnie usytuowanej organizacji koordynującej i kontrolującej narodowe środki infrastruktury krytycznej. Funkcje takie wykonywane są przez organizację prywatną Holenderska platforma handlu i elektroniki (ECP.NL). Powoduje to pewne problemy związane z brakiem koordynacji w aspekcie bezpieczeństwa. Zasadą powszechnie uznawaną w Holandii jest ponoszenie odpowiedzialności przez użytkowników we własnym zakresie za dostęp i użytkowanie każdego z sektorów infrastruktury krytycznej. Dokument polityki rządu VIR 1994 określi! ramy bezpieczeństwa technologii informatycznych obowiązujące w sektorze publicznym. Nie wyeliminowano jak dotychczas struktur dublujących się.
Norwegia
W polityce bezpieczeństwa i obrony rządu norweskiego funkcjonuje koncepcja obrony totalnej obejmująca obronę militarną i cywilne planowanie w sytuacji nadzwyczajnych zagrożeń. Podstawową przesłanką planowania cywilnego jest zasada, że instytucje odpowiedzialne za funkcje publiczne w normalnym czasie, są również odpowiedzialne w swoim obszarze za przygotowania na sytuacje kryzysowe — w razie niebezpieczeństwa. Oznacza to, iż wiele organizacji państwowych i prywatnych jest włączonych w proces planowania i przygotowań. W ciągu kilku ostatnich lat rząd norweski skupił swoją uwagę na niektórych elementach infrastruktury, w tym zwłaszcza na telekomunikacji, dostawie energii elektrycznej oraz transporcie, traktując te dziedziny jako infrastruktura krytyczna. Jednocześnie rząd uznał, że zasadniczym celem ochrony jest (1) „ustanowienie takiego poziomu solidności w infrastrukturze krytycznej (I&C), aby uniknąć niemożności zabezpieczenia wykonywania ważnych funkcji społecznych"16. W momencie kryzysu lub wojny solidność infrastruktury musi zabezpieczyć funkcje życiowe społeczeństwa. Uwaga rządu dotyczyła zarówno wyzwań ochrony fizycznej jak i ochrony Internetu, w kontekście współzależności między nimi. W tej sytuacji następujące sektory postrzega się jako krytyczne:
" Cytal ł wypowiedzi naczelnego inżyniera Ministerstwa Handlu i Pramyslu, Pana Kjell Olav Nystuen.
43
Bankowość i finanse
Telekomunikacja
Obrona
Energia i usługi
Dostawy ropy i gazu
Policja
Zdrowie publiczne
Służby ratownicze
Bezpieczeństwo socjalne
Transport
Dostawa wody i system kanalizacji.
Szybki rozwój technologiczny, uwolnienie cen i wolny rynek wymuszają większy dostęp do informacji, co w sposób naturalny wymaga pozyskania wybitnych fachowców lub zlecania takich usług zagranicą. (2) W celu dostosowania się do pojawiających się wyzwań powołane zostały dwie rządowe komisje oraz opracowano jeden projekt przekrojowy17. Jednocześnie prowadzone były w latach od 1994 do 2001 badania ochrony społeczeństwa w szerokim kontekście pojawiających się zagrożeń, wskazując na niedopatrzenia w zachowaniu środków ostrożności przy ochronie ważnej infrastruktury, jak choćby przy dystrybucji energii, czy uchybienia obowiązujących procedur teleinformatycznych. Wyniki badań wykorzystano przy opracowaniu w 201)3 roku strategii działania państwa, która zmierza do tworzenia partnerstwa publiczno prywatnego, promowania wymiany informacji, ustanowienia struktur wczesnego ostrzegania, ukierunkowania badań i nauki, harmonizacji prawa oraz włączenia użytkowników prywatnych w ponoszenie odpowiedzialności za ochronę życiowo ważnej infrastruktury, zwłaszcza telekomunikacji i elektryczności. (3) Jak wspomniałem wcześniej w Norwegii odpowiedzialność ministerstw, agencji, czy niższych poziomów administracji przenosi się z czasu pokoju na czas kryzysu i wojny, co również odnosi się do ochrony CIP. Praktycznym krokiem dostosowującym strategię działania do wyników badań i nowych wyzwań teleinformatycznych byto powołanie Centrum Bezpieczeństwa Informacji (SIS), niezależnie od pozostawienia całości koordynacji planowania cywilnego w rękach Ministerstwa Sprawiedliwości i podległemu Zarządowi Obrony Cywilnej i planowania w sytuacji nadzwyczajnej (DSB)IB. SIS to
11 Pierwsza komisja zajmowała się technolog i ara i komputerowymi i aspektami stabości społeczeństwa, a diuga analizowała perspektywy poprawy stanu wrażliwości społeczeństwa. " Podaję ?a Inlernational CEP handbook, Szwecja, 2000 r,
44
przykład organizacji publiczno-prywatnej zajmującej się bezpieczeństwem technologii informatycznych i łączności.
Podsumowanie
Studium „Technologia komputerowa i słabość społeczeństwa" podkreśliło potrzebę „krzyżowego' podejścia do ochrony infrastruktury krytycznej w ramach koncepcji obrony totalnej. Jednocześnie zaleca się podejście łączne, czyli połączenie obrony cywilnej i ochrony infrastruktury funkcjonującej w oparciu o technologie informatyczne. Istnieją plany powołania Centrum Bezpieczeństwa Informacji. Motorem wszystkich działań modelu norweskiego jest Zarząd obrony cywilnej i planowania w sytuacji nadzwyczajnych zagrożeń (DCDEP).
Niemcy1'
Wskazuje się na postępujące uzależnienie rządu, gospodarki i osób indywidualnych od wiarygodnych i bezpiecznych technologii informatycznych i łączności. W tym kontekście postrzega się ochronę infrastruktury krytycznej jako powinności rządu i sektora prywatnego, skazanych na współpracę. (1) Sektory lub systemy krytyczne to takie, które są kluczowe dla ustroju państwa albo administracji. Niszcząc je lub uszkadzając powoduje się braki, a nawet dramatyczne konsekwencje dla dużych części populacji mieszkańców. Krótko mówiąc, infrastruktura krytyczna to taka, która umożliwia funkcjonowanie razem sektora publicznego i prywatnego bez większych przeszkód w następujących obszarach:
Telekomunikacja i technologie informatyczne;
Energia;
Finanse i ubezpieczenia;
Transport;
Ochrona zdrowia, włącznie z dostawami żywności i wody;
■ Służby porządkowe i ratunkowe;
Agencje i administracja rządowa.
(2) W rozważaniach nad strategią ochrony infrastruktury przykłada się duże znaczenie do technologii informatycznych, jednakże niezbędna jest pełna strategia, wykraczająca poza aspekty techniczne uwzględ-
10 Korzystałem z opracowania Federalnego Biura Be7pieczeńs!wa lnfoimalycznego (BSI),
przedstawionego na konferencji w Zurychu v* 2003 roku.
45
niająca podejmowanie środków zaradczych na wszystkich poziomach, na etapie wczesnego wykrywania i szybkiej reakcji zarówno w ceiu oceny zniszczeń, jak i zidentyfikowania sprawcy takiego zdarzenia, ograniczania efektów zakłóceń utrudniających prace rządu i spoleczeńsiwa oraz gotowości systemu zastępczego do włączenia, zanim nie zostanie usprawniony ten zasadniczy.
Za początek współpracy międzyresortowej uznaje się inicjatywę Ministra Spraw Wewnętrznych z 1997 roku regularnego monitorowania i meldowania o problemie ochrony infrastruktury na szczeblu ministerialnym. W rezultacie to ministerstwo, z racji swej odpowiedzialności za bezpieczeństwo wewnętrzne w Niemczech jest bezpośrednio zaangażowane w tę problematykę, koordynując ochronę fizyczną (ludzi, udzielanie pomocy), zapobieganie zagrożeniom (w kontekście stosowania prawa) oraz w kompleks zależności technologii informatycznych. Na przy-kiad Oddział IT 3 (Systemów bezpieczeństwa informatycznego) podległy naczelnemu urzędnikowi ds. informacji jest odpowiedzialny za sprawy technologii informatycznych w aspekcie ochrony informacji krytycznych.
(3) Federalne Biuro Bezpieczeństwa Informatycznego (BSI) odgrywa decydującą rolę w obszarze bezpieczeństwa komputerowego, (cy-berspace), dlatego realizuje m.in. zadania związane z bezpieczeństwem internetowym (analizy, koncepcje, porady), kierowaniem CCRT, kluczową infrastrukturą publiczną oraz infrastruktura krytyczną. Fizyczne bezpieczeństwo leży w zakresie odpowiedzialności Federalnego Biura ds. obrony cywilnej i reagowania na katastrofy (BBK). Federalne Biuro policji kryminalnej (BKA) odpowiada m.in. za wyjaśnienia przestępstw fizycznego niszczenia obiektów infrastruktury krytycznej. Ponieważ około 90% infrastruktury krytycznej w Niemczech znajduje się w rękach prywatnych Federalne Ministerstwo Gospodarki i Pracy (BMWA) tworzy zasady dostaw energii oraz zapewnia dostęp do infrastruktury i usług telekomunikacyjnych. Zaangażowane ministerstwa, także niewy-micnione (np. sprawiedliwości, obrony) wykonują określone zadania pod nadzorem Urzędu Kanclerza. W odniesieniu do ochrony krytycznej infrastruktury informatycznej istnieje również partnerstwo publiczno prywatne, np. Partnerstwo biznesowe bezpiecznego Internetu, czy wspólna grupa robocza ochrony infrastruktury krytycznej (AKSIS) zajmująca się analizami powiązań wzajemnych sektorów krytycznych i ich zależności od technologii, mechanizmów zapobiegania i reagowania oraz kierowania. (4) W ostrzeganiu o zagrożeniach czołową rolę odgrywa wyspecjalizowana grupa reagowania na zakłócenia komputerowe CERT-Bund działająca w strukturze BSI w skład, której wchodzą przedstawiciele administracji federalnej oraz pięciu firm zainteresowa-
46
nych wymianą informacji o niskim poziomie bezpieczeństwa, zagrożeniach i incydentach.
Podsumowanie
Międzyresortowa grupa robocza ochrony infrastruktury krytycznej została powołana w Niemczech w stanowiąc efekt amerykańskiego raportu Komisji Prezydenta nt. ochrony infrastruktury krytycznej (PCCIP) z 1997 roku opracowanego pod auspicjami Federalnego Ministra spraw Wewnętrznych (BMI). To od tego momentu ochrona infrastruktury krytycznej nabrała odpowiedniego znaczenia. Różne kampanie, jak np. Bezpieczeństwo w Internccic oraz powołanie komisji Bundestagu zmierzały do podniesienia świadomości znaczenia ochrony tej infrastruktury. Federalne Biuro Bezpieczeństwa Informacji posiada kompetencje koordynacyjne, jak również dysponuje odpowiednimi technologiami i rozwiązaniami w obszarze bezpieczeństwa. Strategia porównywalna do narodowego planu działania jest w trakcie opracowywania. Zauważalne są pierwsze próby nawiązania współpracy z sektorem prywatnym oraz pierwsze niezależne inicjatywy po stronie tego sektora. Są nimi zwłaszcza, inicjatywa D 21, Partnerstwo biznesowe bezpiecznego Internetu oraz grupa AKSIS. Grupa CERT-Bund odgrywa coraz znaczniejszą rolę w ochronie infrastruktury krytycznej, gdyż dysponuje środkami zapobiegawczymi na wrażliwość technologii informatycznych oraz zdolnościami natychmiastowego reagowania na ataki. Niemiecki system ochrony infrastruktury jest dość skomplikowany, choć po 11 września prace usprawniające system zostały przyspieszone. Prace studyjne prowadzone przez BSI w 2002 roku potwierdzają analityczne podejście, zorientowane na problem infrastruktury. Kilka uniwersytetów prowadzi prace badawcze w obszarze bezpieczeństwa technologii informatycznych. Ponadto przemysł, agencje federalne i osoby prywatne mają możliwość otrzymać aktualne informacje o ochronie infrastruktury krytycznej na stronic internetowej BSI.
Anglia
Infrastruktura krytyczna odnosi się głównie do podstawowych sieci komputerowych - zarządzanych przez rząd lub sektor prywatny - zabezpieczających codzienne życie, czyli usługi, które traktujemy za rzec2 naturalną, ale bez których trudno się obejść.
(1) Pojęcie narodowej infrastruktury krytycznej (CNI) odnosi się do „te części infrastruktury, rządu i przemysłu, których ciągłość jest tak ważna dla życia obywateli i Anglii jako całości państwa, że utrata lub
47
poważne wslrzymanie jakiejkolwiek części CNI, także pogorszenie jakości usług zagrażałoby życiu, stabilności gospodarczej lub powodowałoby inne poważne skutki socjalne dla społeczności, lub jakiejkolwiek jej znaczącej części, lub wymagałoby pilnej reakcji rządu". Takie ujęcie problemu wskazuje, że systemy posługujące się technologiami informatycznymi traktowane są jako CNI. Tak więc za CNI uznawane są następujące sektory krytyczne;
Telekomunikacja
Pomoc w nagłych wypadkach
Energia
Finanse
Żywność
Sfużby rządowe i publiczne
Zdrowie
Bezpieczeństwo publiczne
Transport
Woda.
Uważa się, że uszkodzenie jednego sektora może poważnie zagrozić sprawności drugiego. Zależność wielu z tych sektorów od Inlernetu oznacza, że są one podatne na atak elektroniczny (eA).
(3) Minister Spraw Wewnętrznych (Home Secrctary) nadaje impuls działaniom na rzecz ochrony narodowej infrastruktury krytycznej. Organizacją rządową, która odgrywa czołową rolę w ochronie infrastruktury krytycznej jest Narodowe Centrum Koordynacji Bezpieczeństwa Infrastruktury, (N1SCC), które istnieje, aby chronić CNI i jest odpowiedzialne za minimalizowanie ryzyka ataku elektronicznego wymierzonego w narodową infrastrukturę krytyczną. Publikuje szereg użytecznych informacji pomocnych każdemu zainteresowanemu utrzymaniem integralności systemów informatycznych; znane są zwłaszcza „Alerts" i „Briefings". Odpowiada za cztery główne kierunki:
ocena zagrożenia: wykorzystując dostępne narzędzia prowadzi do
chodzenia, dokonuje oceny sytuacji i zapobiega niebezpieczeństwu;
program zewnętrzny: promowanie ochrony i pewności przez infor
mowanie, doradztwo oraz dobry przykład;
- reagowanie: ostrzeganie o nowych zagrożeniach, doradzanie
0 zmniejszeniu niedogodności, udzielanie pomocy infrastrukturze
narodowej, prowadzenie dochodzeń po ataku i powrót do normy;
- rozwój i nauka: projektowanie najbardziej zaawansowanych technik
1 metod.
48
NISCC jest centrum międzyresortowym wykorzystując doświadczenia innych agencji rządowych, zwłaszcza Rady Ministrów, Laboratorium Obrony, Nauki i Technologii (DSTL), Departamentu Handlu i Przemyślu, Ministerstwa Obrony i Spraw Wewnętrznych, Służb specjalnych. Z centrum współpracuje Rada doradcza wiarygodności informacji (1AAC), grupujący szefów korporacji, czołowych działaczy gospodarczych i politycznych, przedstawicieli prawa i nauki zajmujących się wspólnie wyzwaniami ochrony infrastruktury informatycznej. Każdemu z czionków komitetu zapewniana jest specjalistyczna pomoc w przypadku ataku elektronicznego, której kluczowym elementem jest Rządowa grupa reagowania (UNIRAS). Dysponuje ona ekspertami przejmującymi techniczne kierowanie elektronicznymi elementami zaatakowanej sieci. Kolejna struktura to US-CERT (powstała w 2003 r.) to przykład partnerstwa publiczno-prywatnego ukierunkowaną na poprawę przygotowań i reagowania na atak cybernetyczny. Inne, takie jak Stowarzyszenie dostawców usług internetowych (ISPA), czy forum IT-ISAC lub FS-ISAC służą wymianie doświadczeń, w tym nawet wykorzystywania doświadczeń od osób włamujących się lub nieuprawnionych. (4) Punkty reporterskie, doradztwa i ostrzegania (WARP) są częścią strategii wymiany informacji NISCC. Grupują ludzi zainteresowanych wczesnym ostrzeganiem i wymianą informacji na temat unikania ryzyka utraty danych w ich systemach.
Podsumowanie
Do końca lat dziewięćdziesiątych ochrona infrastruktury krytycznej nie zaprzątała uwagi decydentom w Anglii. W ostatnich latach zadania i kompetencje odnoszące się do ochrony narodowej infrastruktury krytycznej przekazane zostały istniejącym organizacjom. Najważniejszym organem po stronie państwa jest Narodowe centrum koordynacji bezpieczeństwa infrastruktury (NISCC), gdzie zbierają się przedstawiciele instytucji ponoszących część odpowiedzialności w swoim zakresie za ochronę CNI, np. policji, ministerstw, M15, głównie w celu wymiany informacji. Po stronie pub licz no-prywatnej Komitet doradczy wiarygodności informacji (IAAC), uznawany za modelowe rozwiązanie zapewniające dialog i współpracę między rządem, sektorem prywatnym i mieszkańcami. Podobnie postrzegany jest the Directors Information Insurance Network mający za cel wyczulenie szefów firm na bezpieczeństwo infrastruktury. Nic istnieje w Anglii ogólna koncepcja strategiczna dotycząca CNI. Wraz z utworzeniem Rządowego panelu łącznikowego sektor prywatny włączony został do struktury narodowej, zapewniając niezbędną przejrzystość w zarządzaniu.
49
Podsumowanie ogólne przeglądu
W celu podsumowania rozdziału przedstawiam poniżej zestawienie tabelaryczne sektorów i obszarów (usług) krytycznych.
Zidentyfikowane sektory i obszary (ushigi) krytyczne |
||||||||||
Państwo / Sektor |
AT |
CH |
FIN |
NO |
HOL. |
SE |
UK |
GER |
USA |
UcAa |
Systemy kontroli ruchu powietrznego |
|
|
|
|
|
٧ |
|
|
|
1 |
Bankowość i finanse |
٧ |
٧ |
٧ |
٧ |
|
٧ |
٧ |
|
٧ |
8 |
Rząd / stużby |
|
|
٧ |
٧ |
|
٧ |
٧ |
|
٧ |
6 |
Obrona cywilna |
|
٧ |
|
|
|
|
|
|
|
1 |
Telekomunikacja |
٧ |
٧ |
٧ |
٧ |
|
٧ |
٧ |
٧ |
|
8 |
Tamy wodne |
|
|
|
|
|
|
|
|
٧ |
1 |
Szkolnictwo wyższe |
|
|
|
|
|
|
|
|
٧ |
1 |
Energia / Elektryczność |
٧ |
٧ |
٧ |
٧ |
٧ |
٧ |
٧ |
٧ |
٧ |
9 |
Służby ratownictwa |
٧ |
٧ |
٧ |
٧ |
|
|
٧ |
|
٧ |
6 |
Żywność / rolnictwo |
|
|
٧ |
|
|
|
٧ |
٧ |
٧ |
4 |
Materiały niebezpieczne |
|
|
|
|
|
|
|
٧ |
٧ |
2 |
Służba zdrowia |
٧ |
٧ |
٧ |
٧ |
٧ |
|
٧ |
٧ |
٧ |
8 |
Przemysł obronny / zakłady produkcyjne |
|
٧ |
٧ |
|
|
|
|
|
٧ |
3 |
Media |
٧ |
٧ |
٧ |
|
|
٧ |
٧ |
|
|
5 |
Ubezpieczenia |
|
|
|
|
|
|
|
|
٧ |
1 |
Sprawiedliwość/ stosowanie prawa |
|
|
|
|
|
|
٧ |
|
٧ |
2 |
Obrona militarna / siły zbrojne / instalacje wojskowe |
٧ |
|
|
٧ |
|
|
|
|
|
2 |
Pamiątki narodowe |
|
|
|
|
|
|
|
|
٧ |
1 |
Elektrowniejądrowe |
|
|
|
|
|
|
|
|
٧ |
1 |
Dostawa gazu i ropy |
|
|
|
٧ |
|
|
|
|
|
1 |
Policja |
٧ |
|
٧ |
٧ |
|
|
٧ |
|
|
4 |
Poczta |
٧ |
|
|
|
|
|
|
|
٧ |
2 |
Administracja publiczna |
٧ |
٧ |
٧ |
|
|
|
٧ |
٧ |
٧ |
6 |
50
Państwo / Sektor |
AT |
CH |
FIN |
NO |
HOL |
SE |
UK |
GER |
USA |
Liczba |
Bezpieczeństwo i porządek publiczny |
|
|
|
|
|
|
٧ |
٧ |
|
2 |
Gospodarka odpadami |
|
|
|
٧ |
|
|
٧ |
|
|
2 |
Bezpieczeństwo socjalne/opieka |
٧ |
|
٧ |
٧ |
|
|
|
|
|
3 |
Transport / logistyka / dystrybucja |
٧ |
٧ |
٧ |
٧ |
٧ |
|
٧ |
٧ |
٧ |
8 |
Usługi komunalne |
٧ |
|
|
٧ |
|
|
|
|
|
2 |
Dostawa wody |
٧ |
٧ |
٧ |
٧ |
|
|
٧ |
٧ |
٧ |
7 |
Z tabeli wynika, jakie kraje zidentyfikowały odpowiednie sektory krytyczne. Warto pamiętać jednak, że niektóre z państw, np. Holandia, Anglia, czy USA precyzyjnie określiły te sektory wraz z obszarami usług, podczas gdy w Szwecji, czy Austrii trudno o listę takich sektorów. Ponadto nazwa danego sektora niekoniecznie oznacza to samo w innym kraju, dlatego trudno o takie bezpośrednie porównania. Nie czyniąc zbytniej nadinterpTCtacji można się pokusić o wyszczególnienie najczęściej wymienianych sektorów krytycznych, które uznawane są za kluczowe dla funkcjonowania nowoczesnych społeczeństw, a których zniszczenie lub zakłócenie uważa się za najbardziej druzgocące w skutkach:
Bankowość i finanse
Rząd centralny / służby rządowe
Telekomunikacja / technologie informatyczne
Służby ratownicze
Energia / elektryczność
Służba zdrowia
Transport / dystrybucja
Dostawa wody
Poniżej kilka spostrzeżeń wynikających z przeglądu ochrony infrastruktury krytycznej w wybranych państwach wraz z tabelą przeglądową danych CIP.
1. Rządy krajów przedstawionych w rozdziale aktywnie podchodzą do ochrony infrastruktury krytycznej. CIIP jest zwykle postrzegana jako wchodząca w skład CIP, co zamazuje klarowność podziału między tymi rodzajami infrastruktury. W użyciu stosuje się koncepcje tożsame dla obu znaczeń ze względu na brak takiego rozróżnienia. Mimo nieustannego poszukiwania definicji pojęcia „infrastruktura krytyczna"
51
zauważalne jest dążenie administracji rządowej do zidentyfikowania „co jest krytycznie ważne" dla bezpieczeństwa państwa i życiowych funkcji człowieka, jakie centrum monitoruje zjawisko, kto koordynuje i utrzymuje bazę danych, jaka jest strategia działania i plan przeciwdziałania oraz jakie niezależne ciato uczestniczy w tworzeniu pudstaw prawnych. Niektóre przykłady dowodzą, ze w polityce tych państw zauważalne jest zaadoptowanie rekomendacji niektórych organizacji międzynarodowych (Unii Europejskiej, państw G8), wzorowanie się na konkretnych rozwiązaniach innych państw, zwłaszcza Stanów Zjednoczonych, czy tworzenia własnych strategii uwzględniających ochronę wytypowanej infrastruktury krytycznej. Rozszerza się również współpraca między sektorem publicznym i prywatnym przez tworzenie struktur umożliwiających współpracę rządu, przemysłu i przedstawicieli biznesu. Dzieje się tak, mimo istnienia niechęci do wymiany informacji, konieczności ponoszenia nakładów finansowych oraz braku niezbędnych rozwiązań prawnych.
Im bardziej odczuwana jest świadomość braku możliwości zapewnie
nia pełnego bezpieczeństwa sieci informatycznych, które są zasadni
czym elementem krytycznej infrastruktury informatycznej (technolo
gie teleinformatyczne), tym bardziej należy skupić się na solidności
i odporności nowych propozycji ochronnych na ataki. Powinny one
być przedmiotem współpracy międzynarodowej na poziomie decy
zyjnym, a na niższych poziomach powinien toczyć się dialog i konsul
tacje z udziałem mieszkańców. Aby to osiągnąć istnieć musi organ
wiodący ponoszący pełnię odpowiedzialności za ochronę infrastruk
tury, wskazane też powinny być agencje współpracujące z przedsta
wicielami poszczególnych gałęzi przemysłu, w tym z reprezentantami
prywatnego biznesu. Sprzyjać to będzie ustaleniu w czyjej dyspozycji
pozostają elementy infrastruktury, wymianie informacji o słabych
punktach i potrzebach oraz uzgodnieniu wielkości wkładu finanso
wego z przeznaczeniem na inwestycje i przedsięwzięcia ochronne.
Sektor gazowy, który jak dotychczas nie szczędzi sobie kłopotów
związanych z liberalizacją rynku energetycznego będzie musiał spro
stać rosnącej zależności od źródeł zagranicznych (poza Europą Za
chodnią). W poszukiwaniu większej efektywności nastąpi zdecentra
lizowanie odpowiedzialności za dostawy i przesyłanie gazu, co z ko
lei wymusi zapewne podjęcie działań zwiększających bezpieczeństwo
instalacji i urządzeń.
Bezpieczeństwo transportu skupia się na zredukowaniu słabości
w obszarze lotnictwa cywilnego, portów lotniczych, ruchu powietrz-
52
nego, transportu lądowego, w tym morskiego, który wymaga jeszcze wiciu wysiłków. Zwrócenie uwagi zwłaszcza na biedy ludzkie, które w 80% są przyczyną wypadków w transporcie powinno służyć poprawie stanu ochrony tego typu infrastruktury.
W odniesieniu do bezpieczeństwa energii nuklearnej istnieje zagro
żenie atakiem terrorystycznym z wykorzystaniem „brudnej bomby",
aktów sabotażu w elektrowni i w układach sterowania reaktorem nu
klearnym, a także atakowanie pojazdów przewożących materiały ra
dioaktywne. Ib właśnie wrażliwość sieci informatycznych może być
wykorzystywana do uszkodzenia stacji zasilania urządzeń elektrowni.
Niezależnie od postępu, w wielu aspektach ochrony infrastruktury
krytycznej w dalszym ciągu zauważalna jest niechęć do współpracy
z sektorem prywatnym, którego pozbawia się w ten sposób widzenia
własnego interesu - korzyści z zapewnienia ochrony infrastrukturze.
Występuje także potrzeba porozumienia się sektora publicznego
z prywatnym zapewniającego kontynuowanie produkcji dóbr mate
rialnych dla ludności, determinującego które z potencjalnych przed
sięwzięć winny być objęte priorytetem, i jak powinno się je finanso
wać; przypuszcza się, że w tym aspekcie UE odegra rolę doprowa
dzenia do konsensusu na poziomie współpracy międzynarodowej.
Analizując politykę wybranych państw można zauważyć traktowanie
obrony cywilnej na równi z tradycyjną obroną militarną w ramach
systemu obronnego państwa, co świadczy o dążeniu do podniesienia
rangi obrony cywilnej, przez włączenie kierownictwa państwa w pra
ce planistyczne i praktyczne ćwiczenia z ochrony infrastruktury kry
tycznej. Wydaje się to uzasadnione zwłaszcza, gdy weźmie się pod
uwagę fakt, że zapewnienie społeczeństwu „zero-ryzyka" jest nie
możliwe, a w kulturze zachowań ludzi i kadry kierowniczej oczekuje
się wzmożenia czujności. Jeśli dodać, że celem działań zapobiegaw
czych jest poprawienie solidności systemu ochrony infrastruktury
krytycznej oraz zwiększenie jego odporności na ataki i nieuniknione
przecież zakłócenia, to warto wymienić doświadczenia z państwami
stosującymi takie podejście.
53
Tabela przeglądowa danych o CIP
Kr!) |
|
Strategia flarodon |
Srukluiy organiŁicfir.c |
Współpraca z icfcluicm |
Prz<^T7y<tn*f |
Znaczenie ochrimy CIP |
UK |
CIIP |
Nie islnieje |
- NISCC na szczeblu krajowym - IAAC szczebel publiczno-prywat -nym |
Sektor prywatny zintegrowany od 2001 r. |
Modelowa |
Średnie |
AT |
CIP/ CIIF |
Doktryna bezpieczeń-slwa i obrony |
W każdym ministerstwie departament technologii informatycznych - departament kontroli w MOD |
Współpraca rozwija się |
Niezbyt przejrzysty |
Średnic |
FIN |
CIP/ CIIP |
Obrona totalna |
Odpowiedzialność w ministerstwach |
|
|
Średnic |
HOL |
CIIP |
- obowiązuje dokument VIR 1994 r. - będzie opracowana |
Brak instytucji centralnej koordynacji i kontroli |
- Sektor prywatny jest w centrum uwagi - Występują problemy koordynacji |
Zapewniona |
Duże |
GER |
CIP/ CIIP |
Opracowana w 2003 |
- BSI odgrywa rolę czołową - Największa odpowiedzialność pozostaje w rękach BMI |
- Różne formy współpracy - Inicjatywy sekiora prywatnego |
Niezbyt przejrzysty |
- Średnie -Zdecydowany postęp w 2003 r. |
NO |
CIP/ CIIP |
Obrona totalna |
Kluczowym organem jest DCDEP |
|
|
Średnic |
SE |
CIP/ CIIF |
Obrona totalna |
Wyróżniająca się rola Ministra Obrony |
- Sektor prywatny włączony - Brak organu koordv nacji |
Zapewniona |
Duże |
CH |
CIP/ CIIP |
Koncepcja obrony |
- Czołowa rola Ministra Obrony - Brak organu kontroli i koordynacji |
Praktycznie, integracja niedokończona |
|
Duże |
CIP - ochrona infrastruktury krytycznej - podejście iączne CIIP - ochrona krytycznej infrastruktury informatycznej
Źródłu: Stefan Ritter, Joachim Wcbcr, BSI.
ROZDZIAŁ 3
Organizacje regionalne i międzynarodowe
Zagrożenia infrastruktury krytycznej oraz krytycznej infrastruktury informatycznej występują ponad granicami geograficznymi, dlatego podobne sektory krytyczne w różnych krajach odczuwają relatywnie podobną podatność na zakłócenia i podlegają podobnym zależnościom. Szczególnie jest to widoczne w odniesieniu do infrastruktury zasilanej energią, której działanie wspierają systemy teleinformatyczne. Takie powiązania sprzyjają nawiązywaniu współpracy międzynarodowej, tworzeniu partnerstwa miedzy rządami, właścicielami tejże infrastruktury oraz operatorami sieci. Wiele organizacji angażuje się w ten obszar współpracy i podejmuje kroki podnoszące świadomość zagrożeń, ułatwiające partnerstwo oraz uczestniczy w stanowieniu wspólnych zasad i praktyk działania. Ponieważ większość wysiłków skupia się na poziomie koncepcyjnym, niektóre z tych dokonań przedstawiam w dużym skrócie30.
Międzynarodowa Organizacja Obrony Cywilnej (ICDO)
Jest wyspecjalizowaną agencją ONZ, która skupia przedstawicieli narodowych struktur obrony cywilnej państw - członków organizacji. Stanowi platformę porozumiewania się, wymiany informacji i rozwijania współpracy. Jednym z głównych obszarów aktywności jest standaryzacja narodowych struktur obrony cywilnej i procedur zarządzania w sytuacjach nadzwyczajnych. W tym obszarze ICDO skupia się na opracowaniu programów szkolenia, które są podstawą szkolenia personelu obrony cywilnej w regionalnych centrach (Egipt, Pakistan, Panama, Rosja) oraz szkolenia personelu kierowniczego w centrum w Szwajcarii. Ponadto zapewnia audyt i konsultacje oraz pomoc przy opracowaniu strategii narodowych. Posiada też centrum dokumentacji dostępne dla zainteresowanych. Znaczącym osiągnięciem organizacji jest sfinalizowanie w 2001 roku Ramowej Konwencji o Obronie Cywilnej oraz opracowanie publikacji przeznaczonych dla managerów służb obrony cywilnej, m.in. podręcznika zarządzania w sytuacji katastrof. Zadaniem stałym jest ukierunkowanie na włączenie sektora prywatnego w prace organizacji.
™ Zagadnienie przeanalizowane i w pełni opracowane przez Centrum Siudiów Bezpieczeństwa, ETH Zurych, Volume 2, 2004
55
Jednym z zasadniczych osiągnięć Europejskiej Komisji Gospodarczej, (ECE) agencji ONZ jest opracowanie konwencji o zagrożeniach bezpieczeństwa, gdzie opisana została natura zagrożeń oraz jednoznacznie zapisano potrzebę współpracy przy rozstrzyganiu spraw dotyczących infrastruktury między organizacjami rządowymi, pozarządowymi i prywatnymi. Konwencja stanowi podstawę uregulowań prawnych i standardów w sprawie infrastruktury oraz stymuluje prace nad konwencjami dziedzinowymi, w tym transportu materiałów niebezpiecznych i wypadków przygranicznych, powstałych po obu stronach. Wspólnie z Organizacją Bezpieczeństwa i Współpracy w Europie aktywnie działa na rzecz sfinalizowania projektu systemu wczesnego ostrzegania. W swojej działalności przykłada dużą uwagę do włączenia w swoje prace przedstawicieli społeczeństwa, także biznesu.
Organizacja Paktu Północnoatlantyckiego (NATO)
Posiada w swej strukturze dwa specjalistyczne oddziały zajmujące się ochroną infrastruktury krytycznej we współpracy międzynarodowej: Oddział planowania cywilnego w sytuacjach nadzwyczajnych (CEP) na szczeblu planowania operacyjnego grupujący kilka grup i komitetów (np. PBOS, PBIST, CPC), oraz Komitet w sprawie wyzwań nowoczesnych społeczeństw (CCMS) na poziomie dyplomacji publicznej wraz z panelem naukowo-badawczym SST.
1) Planowanie cywilne
„Wytyczne Ministerialne na lata 2003-2004" wskazały na potrzebę podjęcia wspólnej pracy ze względu na fakt, iż ochrona infrastruktury krytycznej wykracza poza kompetencje poszczególnych komitetów i grup planowania NATO. Po wrześniu 2001 roku powołano grupy ad hoc w celu opracowania raportu o Klanie gotowości państw NATO krajów partnerskich (raport przyjęty rok później) oraz opracowania koncepcji ochrony infrastruktury krytycznej określającej wspólne podejście i posiadającej uzgodnioną definicję. Z dokumentu wynika kilka konkluzji, z których najistotniejsze to;
- żaden kiaj nie jest w stanie poradzić sobie z takim kompleksem
spraw angażujących tak wiele uczestników w jego rozwiązanie
zwłaszcza, że konsekwencje dotykają innych państw;
- niezbędna jest współpraca międzynarodowa służąca wymianie in
formacji i koncepcji, podnoszenia gotowości i świadomości zagro
żeń oraz udzielania pomocy w formie podobnej do utworzonego
56
w maju 1998 r. Euroatlantyckiego Centrum Koordynacji Reagowania (EADRCC) w przypadku katastrof;
doświadczenia wojskowe NATO mogą być wykorzystane do ochro
ny zasobów cywilnych mimo braku bezpośredniego przełożenia
między bezpieczeństwem militarnym a globalnym;
NATO to nie tylko sojusz militarny, ale także narzędzie wpływające
stabilizująco na społeczność cywilną;
stanowi unikalne forum dyskusji dla wielu krajów partnerskich, Ro
sji, Ukrainy i krajów dialogu śródziemnomorskiego, współpracuje
z ONZ (stały oficer łącznikowy i Unią Europejską (spotkania szta
bowe).
2) Dyplomacja publiczna
Sekcja wyzwań i zagrożeń poszukuje możliwości zwiększania wymiany informacji i zainteresowania problemem. Komitet CCMS pod-niósi jako pierwszy sprawę ochrony infrastruktury krytycznej wraz z ogłoszeniem projektu pt. „Wrażliwość społeczeństwa wewnętrznie połączonego", w którym brali udziat eksperci z 14 krajów. Zorganizowany został okrągły stół (w marcu 2003 r.) z udziafem przedstawicieli 34 krajów, UE i Organizacji żywności i rolnictwa. Efektem tych obrad jest przekonanie, ze współpraca międzynarodowa w usuwaniu tych słabych punktów jest niewystarczająca. Kluczową sprawą jest upowszechnianie wiedzy i szkolenia wśród dysponentów infrastruktury, i w tym aspekcie CCSM podzieli się doświadczeniami wspomagając budować sieć ekspertów. Ponadto CCSM podjęło się pilotować dwa projekty analizujące nowe - nietradycyjne zagrożenia dla bezpieczeństwa: „Bezpieczeństwo przesmyków wodnych, portów i przyległych rejonów zamieszkania" z udziałem PBOS i PBIST, oraz dni-gi projekt „Bezpieczeństwo systemu dostaw żywności" z udziałem FAO. Z kolei panel SST zorganizowaf kilka spotkań roboczych, na których rozważano tematykę odnoszącą się do ochrony infrastruktury krytycznej, w tym m.in. „Wojna cybernetyczna - wojna sieciowa", „Bezpieczeństwo energetyczne i zależności regionu Bałtyku", czy też „Nowe zagrożenia stabilności i bezpieczeństwa energetycznego" i "Biznes a bezpieczeństwo".
3) Kryteria współpracy
Po 11 września 2001 r. NATO uznało, że wojskowi i cywile nie mają już monopolu na mądrość w sprawach bezpieczeństwa, które nałeży traktować globalnie. Jednocześnie NATO przekształca się stopniowo
57
z organizacji polityczno-militarnej w organizację bezpieczeństwa międzynarodowego gotową do wspólnego działania na rzecz zapewnienia szeroko rozumianego bezpieczeństwa, w tym lepszej ochrony infrastruktury krytycznej przed zamierzonym atakiem, np. terrorystycznym. Ponadto NATO posiada unikalne siły i środki do dyspozycji spoicczności międzynarodowej, w tym zwłaszcza doświadczenie we współpracy międzynarodowej (włącznie ze współpracą militarną i wymianą informacji wywiadowczych), organizowania symulacji i dużych, wielonarodowych ćwiczeń oraz jest najważniejszym ogniwem spinającym relacje od Północnej Ameryki, przez Europę do Azji. Stąd też można zasugerować pewne kryteria dotyczące polepszenia współpracy w obszarze ochrony infrastruktury krytycznej:
po pierwsze zrozumienie różnic kulturowych między krajami w po
dejściu do problemu, z czego najistotniejsze wydaje się zrobienie
pierwszego kroku w kierunku reagowania kolektywnego poprzez
budowanie współdziałania cywilno- wojskowego państw członkow
skich.
po drugie wykorzystywanie przywołanej wiedzy i doświadczeń wy
niesionych ze zdarzeń już zbadanych i opisanych na potrzeby doko
nania oceny zaistniałej sytuacji (co stanowi o sile, a co o słabości)
oraz rozpoczęcia usprawniania współpracy (tworzenie wzmocnio
nego partnerstwa). Służyć to będzie polepszenia stanu świadomości
zagrożeń, a w konsekwencji szkolenia decydentów politycznych
i dysponentów sił i środków zaangażowanych w ochronę CIP.
Współgrać z tym będą ćwiczenia i symulacje komputerowe ocenia
jące stan przygotowań na wypadek zaistnienia zagrożenia.
trzecie kryterium zmierza do skoordynowania działań organizacji
międzynarodowych w formie spotkań oficerów (punktów) kontak
towych różnych organizacji w celu wymiany informacji o przedsię
wzięciach i zidentyfikowania możliwych obszarów dla wspólnych
projektów.
ostanie wskazuje na zasadność podejścia wybiegającego w przy
szłość (perspektywicznego), w trakcie kiedy NATO rozpozna lepiej
nowe zagrożenia dla stabilności społeczeństw i będzie lepiej przy
gotowane do przeciwdziałania.
Organizacja Współpracy Gospodarczej i Rozwoju (OECD)
Jako wyspecjalizowana w problemach ekonomicznych skupia swą działalność na skutkach ekonomiczno-gospodarczych katastrof naturalnych, klęsk żywiołowych i celowych ataków powodujących zniszczenia
angażując się coraz bardziej w sprawy ochrony infrastruktury. Zwykle w takich przypadkach organizacja bada skutki dla sektora ubezpieczeniowego, udziela pomocy w odbudowie telekomunikacji w krajach dotkniętych katastrofą oraz zajmuje się bezpieczeństwem żeglugi morskiej. Po wydarzeniach 11/09/2001 organizacja postanowiła skuteczniej zwalczać cyber-terroryzm oraz działania hakerów przyjmując na 1037 sesji (lipiec 2002) „Wytyczne bezpieczeństwa systemów i sieci informatycznych", które mimo iż nie są wiążące dla wszystkich krajów uwzględniały konsensus między rządami, przedstawicielami przemysłu technologii informatycznych, społeczności biznesu jako użytkowników tych produktów. OECD forum pod nazwą Globalne forum systemów informatycznych i bezpieczeństwa sieci zwołane pod koniec 2003 roku było poświęcone bezpieczeństwu systemów sieciowych - ogólnie CIIP oraz stosowaniu powyższych wytycznych. Wspomnieć warto o inicjatywie zbadania zależności między infrastrukturą a poziomem życia mieszkańców. Powstało ciekawe opracowanie analizujące wyniki badań w 33 krajach dotyczące roli infrastruktury w sprzyjaniu wzrostu ekonomicznego i obniżaniu poziomu biedy, przedstawione w raporcie z grudnia 2003 roku. W sprawach dotyczących kilku sektorów jednocześnie organizacja poświęca uwagę systemowemu podejściu do nowo powstających niebezpieczeństw, skutków ekonomicznych terroryzmu oraz wypadków z chemikaliami i ich skutków dla środowiska. W tym ostatnim przypadku społeczność biznesowa jest w pełni włączona w działalność organizacji.
Rada Europy (EC)
Skupia swą działalność w tym obszarze na tworzeniu mechanizmów zapobiegania zagrożeniom. Efektem takich działań było utworzenie Centrum Euro-Śródziemnomorskiego, stanowiącego forum wymiany rezultatów konkurencyjnych analiz na temat resocjalizacji oraz odbudowy po konfliktach. W 1987 roku sformułowała dokument Niepełne Otwarte Porozumienie o ważnych niebezpieczeństwach zachęcające do współpracy w dziedzinie zarządzania ryzykiem - niezobowiązujące państw członków do przestrzegania, otwarte również dla państw spoza rady. Rada podejmuje próby krzewienia zachowań w obliczu niebezpieczeństw związanych z katastrofami przez promowanie kierunków studiów akademickich, włącznie z uzyskiwaniem tytułów naukowych w takich dziedzinach jak medycyna wypadków, sejsmologia, aspekty prawne i socjalne, itp. W edukacji obywatelskiej promuje również pogłąd oswajania się z ryzykiem, zalecając ujmowanie tych zagadnień w programach szkolnych. Ponadto promuje także stosowanie nowych technologii
59
w procesach podejmowania decyzji. Zauważalny jest brak koordynacji międzyministerialncj w Radzie.
Kraje grupy G8
Zdecydowały się zajmować bezpośrednio ochroną infrastruktury krytycznej po szczycie w Vancouver w maju 2002 roku z udziałem ministrów sprawiedliwości i spraw wewnętrznych, którzy rok później zaakceptowali jedenaście kierunkowych zasad zachęcających państwa członkowskie do tworzenia strategii ochrony ich infrastruktury krytycznej w wymiarze narodowym i międzynarodowym. Zgodnie ze swoją rolą katalizatora przemian kraje G8 zachęcają do wprowadzania tych zasad w życie w państwach, gdzie infrastruktura jest siabiej rozwinięta i mniej wzajemnie uzależniona. Między innymi dla tych krajów, ale nie tylko cenne wydaje się zrozumienie sposobu traktowania problemu. Kraje G8 uznały, że infrastruktura telekomunikacyjna i informatyczna tworzą część zasadniczej infrastruktury krylycznej. W celu ochrony infrastruktury kiytycznej państwo powinno szczególną uwagę zwrócić na jej skuteczną ochronę i zabezpieczenie przed ewentualnymi zniszczeniami. Skuteczna ochrona infrastruktury krytycznej - według G8 polega na: identyfikacji zagrożeń skierowanych przeciwko niej; eliminowaniu słabości mogących przyczynić się do jej uszkodzenia lub zniszczenia; skutecznym odtworzeniu po ewentualnym ataku w możliwie krótkim czasie; identyfikacji źródła szkody, lub źródła ataku, mając na uwadze analizy ekspertów i wyniki dochodzenia służb policyjnych. Ponadto skuteczna ochrona infrastruktury kiytycznej wymaga sprawnego systemu łączności, koordynacji i kooperacji narodowej oraz międzynarodowej pomiędzy wszystkimi odbiorcami przemysłowymi, uniwersytetami, sektorem prywatnym, strukturami administracyjnymi, a także policją i służbami ochrony. Wysiłki te muszą uwzględniać działania w zakresie ochrony informacji niejawnych, a tworzone regulacje prawne powinny umożliwiać zabezpieczenie przed atakami na sieci informatyczne. Właśnie ze względu na powyższe cele kraje GS postanowiły wdrożyć następujące zasady:
Państwa będą musiały tworzyć sieć alarmowania i sieć pogotowia bę
dące w stanie stawić czoła istniejącym zagrożeniom, sieci skonstru
owane na kształt niezawodnego systemu informacji i telekomunika
cji.
Państwa będą musiały uwrażliwić odbiorców na specyfikę infrastruk
tury telekomunikacyjnej i informatycznej oraz brać pod uwagę jej
doniosłość dla funkcjonowania państwa.
60
Państwa będą musiały uważnie śledzić struktury infrastruktury i wła
ściwie identyfikować relacje zachodzące miedzy nimi, aby wzmocnić
ich ochronę.
Państwa będą musiały promować partnerstwo pomiędzy odbiorcami,
którzy mogą posiadać charakter publiczny lub prywatny, atak aby in
spirować wymianę informacji pomiędzy nimi, dotyczących infra
struktury krytycznej, z uwzględnieniem działań zapobiegawczych.
5) Państwa będą musiaiy organizować i utrzymywać sieć łączności kry
zysowej oraz ją testować, aby zagwarantować jej właściwe funkcjono
wanie, bezpieczeństwo oraz stabilność w sytuacji kryzysowej.
Państwa będą musiały upewnić się czy reguły dostępu do informacji
w sposób wystarczający zabezpieczają system i nic przynoszą szkody
dla ochrony infrastruktury krytycznej.
Państwa będą musiały określić rodzaj ataku skierowanego przeciwko
infrastrukturze krytycznej i według uznania przekazywać określone
dane za granicę.
Państwa będą zobowiązane do zapewnienia skutecznego procesu
szkolenia i procesu prowadzenia ćwiczeń i treningów w celu uspraw
nienia zdolności skutecznej odpowiedzi na atak oraz testowania swo
ich planów niesienia pomocy w przypadku ataków skierowanych
przeciwko infrastrukturze krytycznej. Powinny jednocześnie zachę
cać operatorów do działania w tym samym kierunku.
Państwa będą musiały się upewnić, czy ich regulacje prawne z zakre
su prawa karnego i administracyjnego dotyczące przestępczości cy
bernetycznej są zgodne z Konwencją Rady Europy z 23 listopada
2001 r. oraz czy ich wykształcony personel (policja, służby informa
cyjne, służby ochrony) zapewniają efektywne prowadzenie działań
operacyjnych w zakresie przeciwdziałania tej przestępczości oraz
skutecznego ścigania, jak również czy zapewniają skuteczną koordy
nację prowadzenia czynności dochodzeniowo - śledczych przy współ
udziale innych państw.
Państwa będą zobowiązane do aktywniejszego zaangażowania się
do współpracy międzynarodowej w celu zapewnienia bezpieczeństwa
infrastruktury krytycznej, z uwzględnieniem narodowych regulacji
prawnych, rozwoju i koordynacji systemów alarmowania i pogoto
wia, wymiany i analizy informacji - stosownie do skali zaistniałych in
cydentów i zagrożeń oraz koordynację czynności dochodzeniowo -
śledczych dotyczących tej infrastruktury.
Państwa będą musiaiy promować prace naukowo-badawcze i roz
wojowe w tym zakresie, prowadzone również przy współpracy mię-
61
dzynarodowcj, a także zachęcać do powszechnego certyfikowania urządzeń, zgodnie z międzynarodowymi normami bezpieczeństwa aplikacji certyfikatów bezpieczeństwa.
Unia Europejska
Jest wiodącą instytucją we wprowadzaniu w powszechne użytkowanie technologii komputerowych, zwłaszcza dostępu do Internetu. W ramach strategii modernizowania ekonomii europejskiej uruchomiony zosta! w 1999 roku program cEurope - Społeczeństwo informatyczne dla wszystkich. Jest on wyrazem doceniania korzyści ekonomicznych i socjalnych jakie są związane z wdrażaniem technologii informatycznych oraz komunikowania się. Komisja Europejska zajęła się opracowaniem planu dziaiania zapewniającym każdemu w Europie odniesienie korzyści z rozwoju technologicznego podkreślając w ten sposób istotne znaczenie infrastruktury CIP / CIIE Plan ten nadal nowy impuls realizacji takich projektów jak e-Govcrnment„ e-Learning, e-Business oraz e-Health. Realizując plan działania eEuropc 2002 powołano specjalne ciało Forum UE w sprawach przestępstw cybernetycznych, którego celem jest podnoszenie świadomości o zagrożeniach, promowanie najlepszych rozwiązań prawnych, identyfikowanie narzędzi i procedur zapobiegających przestępstwom oraz tworzenia wczesnego ostrzegania i reagowania na zagrożenia bezpieczeństwa systemów komputerowych. Świadczy to o dążeniu do wprowadzania w życie zasad ustalonych w Unii Europejskiej w sposób skoordynowany i uregulowany. Pragmatyczne podejście Komisji było dotychczas także widoczne w przypadkach różnych kryzysów (Czernobyl, 9/11), ale ostatnio poświęciła wiele wysiłków na rzecz ograniczenia skali ryzyka po zliberalizowaniu lynków energii, rozwijając w tym celu kontakty miedzy rządami i sektorem prywatnym. Aktywność Komisji widziana jest także przy rozważaniu problemu zaopatrywania w energię krajów sąsiadujących - zależnych od źródeł obcych.
62
ROZDZIAŁ 4
Wybrane aspekty infrastruktury krytycznej w Polsce
Niektóre działy administracji publicznej, w tym województwa
Znacznie częściej niż dotychczas pojawia się pytanie o zasadność i możliwość zapewnienia ochrony infrastruktury krytycznej w naszym kraju. Wynika to przede wszystkim z narastającej świadomości istnienia ryzyka związanego zarówno z atakiem terrorystycznym (np. akty terrorystyczne w pociągach i na obiekty kolejowe w Madrycie), jak i doniosłymi konsekwencjami zabirrzeń w funkcjonowaniu ważnych sektorów dla życia rozwiniętych społeczeństw europejskich (np. przerwa w dostawie energii elektrycznej we Włoszech). Stąd wzrastająca liczba seminariów i konferencji międzynarodowych, głównie w Stanach Zjednoczonych i Anglii, ale także w Szwajcarii i we Francji poświęconych temu tematowi. Inne kraje, zwłaszcza skandynawskie traktują ten problem równie poważnie i angażują się coraz bardziej uczestnicząc aktywnie w tych przedsięwzięciach.
W opracowywanych dotychczas dokumentach strategicznych zagadnienie infrastruktury rozpatrywano głównie pod kątem jej wpływu na planowane działania obronne. Szerszy kontekst, zwłaszcza społeczny nie brano pod uwagę. Dopiero Strategia Bezpieczeństwa Narodowego RP z 22 lipca 2003 roku, (SBN) odnosi się wielokrotnie do problemu bezpieczeństwa obywateli, obiektów oraz służb istotnych dla sprawnego funkcjonowania państwa. Stwierdza wręcz, że „państwo dbać będzie o stworzenie należytych warunków do sprawnego funkcjonowania kluczowych elementów infrastruktury gospodarczo-finansowej państwa". Identyfikuje zagrożenia, wśród których zapewnienie bezpieczeństwa energetycznego kraju staje się poważnym wyzwaniem obligującym państwo do dbania o bezpieczeństwo regionów wydobycia i tras tranzytu surowców strategicznych. Strategia wskazuje na zapobieganie degradacji środowiska naturalnego, przeciwdziałanie katastrofom ekologicznym, zapobieganiu awariom elektrowni atomowych i zakładów chemicznych, katastrofom transportowym z niebezpiecznymi materiałami i zanieczyszczeniom atmosfery i wody. Natomiast w rozdziale czwartym zatytułowanym „Gospodarcze podstawy bezpieczeństwa państwa", można doszukać się próby zidentyfikowania infrastruktury krytycznej w Polsce, Wymienione są tu elementy i systemy infrastruktury, które należy uznać
63
za krytyczne, w lym m.in.: budżet i finanse publiczne, technologie zapewniające bezpieczeństwo państwa i rozwój przemysłu obronnego, infrastruktura obronna w tym asortymenty uzbrojenia, sprzętu i wyposażenia
kluczowym znaczeniu dla obronności, towary i usługi o znaczeniu stra
tegicznym, rezerwy strategiczne ropy naftowej i zbiorniki gazu ziemnego
w tym obiekty transportu, przesytu i dystrybucji paliw i energii, infrastruk
turę kolejową, drogową (autostrady i drogi ekspresowe), lotniska, lądo
wiska i system nawigacyjny, strategiczną infrastrukturę teleinformatycz
ną, żeglugę morską i śródlądową, obiekty transgranicznego bezpieczeń
stwa ekologicznego oraz bazy logistyczne, zwłaszcza na wschodniej grani
cy Polski, która stanie się zewnętrzną granicą obszaru UE. Strategia na
daje wymienionej infrastrukturze istotne znaczenie dla obronności
funkcjonowania mieszkańców, wskazuje organom i służbom państwa
potrzebę podejmowania działań analitycznych i planistycznych.
To zrozumiale, że poszczególna infrastruktura krytyczna pozostaje w zakresie odpowiedzialności różnych organów administracji publicznej. I jak wskazuje poniższy przegląd jest to ta sama, lub podobna infrastruktura, która często występuje w różnych resortach, np. systemy informatyczne występują niemal w każdej komórce organizacyjnej państwowej i prywatnej. Znacząca część obiektów zakwalifikowanych do kluczowej infrastruktury znajduje się w dyspozycji kilku ministerstw, w tym zwłaszcza w obszarze odpowiedzialności Ministerstwa Infrastruktury, którego zasadniczym działem funkcjonowania jest transport, a zwłaszcza drogowy, kolejowy, morski i śródlądowy oraz budownictwo.
W Ministerstwie Skarbu Państwa do infrastruktury krytycznej należy zaliczyć zaopatrywanie w energię i paliwa, obiekty telekomunikacji, urządzenia gromadzenia i przekazywania informacji, usługi bankowe i finanse, zaopatrywanie w wodę, żywność oraz opiekę zdrowotną, urządzenia transportowe, komunikacyjne i ratownicze oraz zapewniające funkcjonowanie organów władzy publicznej.
Minister właściwy dla gospodarki, pracy i rozwoju regionalnego również może wskazać na infrastrukturę krytyczną państwa pozostającą w jego kompetencji. Będzie to w szczególności sektor paliwowy posiadający bazy paliwowe, rurociągi, rafinerie naftowe, przemysł energetyczny, chemii ciężkiej i farmaceutyczny, bazy danych systemów informatycznych oraz technologie i materiały z branży chemii ciężkiej. Również obiekty infrastruktury gospodarczej z jej elementami krytycznymi jak: elektroenergetyczne sieci przesyłowe i dystrybucyjne, stacje roz-dzielczo-redukcyjne oraz elektrownie i obiekty przemysłowego potencjału obronnego w szczególności o dużym zagrożeniu wybuchem.
64
Dla ministra właściwego dla rolnictwa i rozwoju wsi najistotniejsze znaczenie będzie miaio zapewnienie bezpieczeństwa żywnościowego, które zgodnie z tekstem deklaracji Szczytu Rzymskiego z 1996 r. oznacza sytuacje w których wszystkie gospodarstwa domowe mają dostęp materialny i ekonomiczny do żywności potrzebnej dla osób i nie są zagrożone ryzykiem utraty dostępu. Dlatego bezpieczeństwo żywności będzie zależało od zapewnienia ochrony uTz;jdzeń produkcji i obrotu żywnością oraz środków żywienia zwierząt gospodarskich, ale takie od ochrony artykułów rolno-spożywczych i środków spożywczych.
Z kolei niektóre obiekty hydrotechniczne administrowane przez ministra właściwego dla gospodarki wodnej podlegają z mocy prawa obowiązkowej ochronie, m.in.: zbiorniki wodne, bazy postojowe barek, porty śródlądowe, Śluzy, węzły, stopnic i zapory wodne. Stanowią one przykład typowej infrastruktuiy krytycznej. Ponadto z analizy możliwych zagrożeń dla działu administracji środowisko wynika, że przeciwdziałanie nadzwyczajnym zagrożeniom w przypadku awarii jądrowych21 wymusza zapewnienie ochrony radiologicznej kraju, ochrony mienia i ochrony przeciwpożarowej w lasach i parkach. Dziaf gospodarka wodna chronić powinien także wody śródlądowe wraz z drogami wodnymi, wody powierzchniowe i podziemne wraz z infrastrukturą techniczną obejmującą budowle i urządzenia wodne, zapewnić ochronę przeciwpowodziową, W tym utrzymanie urządzeń wodnych zabezpieczających przed powodzią.
Zauważyć należy, że przeważająca część obiektów infrastruktury jest rozlokowana na terenach administrowanych przez województwa. Wystarczy tylko wspomnieć o województwie mazowieckim, gdzie najbardziej zagrożonym obiektem wydaje się być Metro Warszawskie i jedyny eksploatowany w Polsce obiekt jądrowy, czyli reaktor „Maria" w Instytucie Energii Atomowej Świerk. Inne obiekty, takie jak obiekty administracji rządowej i samorządowej, instytucje państwowe, obiekty religijne, banki, szpitale, hotele, dworce kolejowe, porty lotnicze i lotniska, stadiony, mosty i tunele mogą również być uznane za infrastrukturę krytyczną wymagającą ochrony.
Ten pobieżny przegląd infrastruktury krytycznej pozwala na sformułowanie następującej ogólnej definicji takiego pojęcia: „urządzenia, instalacje i usługi, powiązane ze sobą więzami funkcjonalnymi, kluczowe dla bezpieczeństwa państwa i jego obywateli oraz zapewnienia sprawnego funkcjonowania organów władzy i administracji publicznej, a także instytucji i przedsiębiorców stanowią infrastrukturę krytyczną".
;' Elektrownie jądrowe w promieniu 250 km od granic RP znajdują się na Słowacji, w Czechach, Ukrainie oraz w Szwecji; ich iąc/.na moc wynosi około 14 tys MW.
65
Wybrane dokumenty prawne odnoszące się do problematyki
Do już wyszczególnionych elementów infrastruktury krytycznej w Polsce warto dodać te wymienione w rozporządzeniu RM z 20 sierpnia 2004 w sprawie „Wykaz przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym". Rozporządzenie potwierdza, że określone systemy, elementy i obiekty infrastruktury wraz z instytucjami w których dyspozycji pozostają znajdują się w gestii rządu, który je wyszczególnia i kategoryzuje. Wykaz obejmuje 107 pozycji infrastruktury, w tym m.in. zakłady energetyczne, koncerny naftowe, nafto bazy, TV i radio, górnictwo naftowe i gazownictwo, wytwórnię papierów wartościowych, przedsiębiorstwa eksploatacji rurociągów naftowych, budownictwo wodne, hydro technika, RUCH S.A., itp.
Identyfikowaniu obiektów, jako krytycznie ważnych dla funkcjonowania państwa służyć może rozważenie, czy są lo obiekty szczególnie ważne dla bezpieczeństwa państwa. Obiekty zidentyfikowane jako szczególnie ważne dla bezpieczeństwa państwa pogrupowane zostały w kategorie, co skutkuje najczęściej ich przeznaczeniem do militaryzacji. Z rozporządzenia wynika, że do kategorii pierwszej zaliczone zostały obiekty o dużym znaczeniu dla zabezpieczenia warunków funkcjonowania systemów energetycznych. Dlatego są to m.in.; zbiorniki wodne, zwykle z zaporami stopnia wodnego i często elektrowniami, podziemne magazyny gazu, bazy paliw, mosty, zakiady wodociągowe (stacje uzdatniania i ujęcia wody), oczyszczalnie ścieków, itp. Kategorię drugą stanowią m.in.: ministerstwa, zakłady energetyczne, dyspozycje mocy w zakładach, stacje i zakiady energetyczne, zakłady farmaceutyczne, centralna i regionalne rozgłośnie radiowe, TV, radio, rozgłośnie regionalne, radiowe centra nadawcze z ich funkcją informacyjną niezbędną do zabezpieczenia funkcjonowania systemu obronności państwa, zakłady chemiczne i azotowe, obiekty elektroenergetyczne (stacje energetyczne), przedsiębiorstwa PGNiG i EuRoPol GAZ, kopalnie ropy naftowej i gazu ziemnego, tłocznie gazu, węzły przesyłowe i regionalne dyspozycje gazu, stacje rozdzieiczo-pomiarowe, mieszalnie gazu, Rurociąg Naftowy Przyjaźń wraz z stacjami pomp, kopalnia soli i węgla, zakłady chemiczne siarki, Polski Koncern Naftowy ORLEN oraz LOTOS, przedsiębiorstwo poszukiwań i eksploatacji złóż ropy i gazu, zakład gospodarki cysternami, rurociągi naftowe i nafto bazy zaopatrujące SZ i gospodarkę narodową w paliwa płynne, zakłady gazownicze i przesyłu gazu, budowle hydrotechniczne wraz z przedsiębiorstwam-i budownictwa hydrotechnicznego i budownictwa wodnego oraz zakiady farmaceutyczne.
66
Rozważając elementy polskiej infrastruktury krytycznej należy brać pod uwagę okoliczności i skutki możliwych zagrożeń dla ich funkcjonowania. Jednym z ważniejszych wyzwań bezpieczeństwa we współczesnym świecie, także w Polsce staje się zapewnienie zasobów odpowiedniej ilości i jakości wody oraz ochrona zasobów przed zanieczyszczeniem. Zaburzenia klimatyczne powodujące katastrofy dolegliwe w swych skutkach materialnych, ale także niosące śmierć okazują się być wyzwaniem dla ochrony przeciwpowodziowej, osłony hydrologicznej i służb meteorologicznych. W takich przypadkach zapewnienie bezpieczeństwa budowli hydrotechnicznych oraz utrzymanie śródlądowych dróg wodnych staje pod znakiem zapytania. Możliwe jest bowiem fizyczne zniszczenie infrastruktury, zakłóceniu ulegnie funkcjonowanie instalacji i urządzeń gospodarki wodnej wywołane brakiem dostaw energii, zanieczyszczeniem i skażeniem zasobów wody powierzchniowej i podziemnej. Podobne sytuacje mogą wystąpić w przypadku celowego ataku na systemy informatyczne sterujące urządzeniami. Wystąpienie niedostatku zasobów wody zarówno z przyczyn kaprysu natury jak i działalności człowieka (nadmierna eksploatacja, obniżenie jakości wody) skutkować będzie powstaniem konfliktów wewnętrznych. Tymczasem przypadkowy wyciek z autocysterny powoduje skażenie i zanieczyszczenie cieków wodnych.
Drugim wyzwaniem dla bezpieczeństwa państwa i obywateli jest wykorzystywanie infrastruktury w produkcji przemysłowej dla potrzeb gospodarki narodowej. Zakłady o tzw. zwiększonym ryzyku używają toksyczne środki przemysłowe w procesach produkcji, są to głównie niebezpieczne dla ludzi i środowiska naturalnego związki chemiczne chlorku i amoniaku, ale także kwasy, cyjanek, siarkowodór, fluorowodory, substancje wybuchowe jak propan/ butan. Większość z tych produktów, często przechowywanych w zapasie, może być przyczyną wybuchów i stanowić źródło pożarów. Osobnym zagadnieniem jest pozostający poza monitoringiem służb państwowych transport takich produktów między producentem a odbiorca (rafinerie - stacje paliw), w tym tranzyt zużytego paliwa (także radioaktywnego) przez terytorium Polski. Aktualnie najbardziej dokuczliwym wyzwaniem w odbiorze społecznym jest przeciwdziałanie aktom terroru w cywilnych portach lotniczych. Najważniejszym zadaniem dla zarządzającego portem lotniczym jest ustanowienie odpowiednich procedur w zakresie bezpieczeństwa funkcjonowania infrastruktury znajdującej się na lotniskach. Program ochrony lotniska przed aktami bezprawnej ingerencji przewiduje tworzenie wyposażenia ochrony technicznej obiektów. Dokument ten stanowi bazę
67
dla służb odpowiedzialnych za bezpieczeństwo do stworzenia m.in. systemu telewizji dozorowej, czy zastosowania urządzeń i przegród antyw-lamaniowych,
Podsumowanie
1. Polska wykazuje umiarkowane zainteresowanie problemem infra
struktury krytycznej o czym świadczyć może brak jakiejkolwiek mię-
dzyresoTtowej debaty mimo, iż SBN stwierdza, że „działania na rzecz
utrzymania właściwego stanu polskiej infrastruktury są jednym z wa
runków zapewnienia odpowiedniego potencjału obronnego i bezpie
czeństwa kraju, zarówno wewnętrznego, jak i zewnętrznego". Brak
takiej debaty, nie wspominając o publicznej pozostawia bez rozpa
trzenia takie zagadnienia jak:
ocena potencjalnych zagrożeń dla utrzymania sprawności obiektów
infrastruktury odpowiednio do ich kategorii zaszeregowania na
czas pokoju, kryzysu i wojny;
zidentyfikowanie przedsięwzięć organizacji międzynarodowych
i poszczególnych rządów w tej dziedzinie, w tym zwłaszcza państw
sąsiednich;
współpraca między sektorem prywatnym a służbami publicznymi,
dla których ogólne zadania zostały określone w rozdziale trzecim
SBN i innych dokumentach planowania operacyjnego;
zapewnienie bezpieczeństwa sieciom informatycznym, telekomuni
kacji, dostawom surowców energetycznych i transportu materiałów
niebezpiecznych na i przez terytorium RP;
zapewnienie sprawności eksploatacyjnej infrastruktury wydobyw
czej, przesyłowej i utrzymania żywotności baz paliwowych oraz za
bezpieczania dostaw paliwa gazowego i energii elektrycznej na po
trzeby GN i ludności.
Ponadto obserwuje się sporadyczny i formalny udział zupełnie przypadkowych przedstawicieli administracji rządowej w przedsięwzięciach dotyczących ochrony infrastruktury realizowanych na forum międzynarodowym.
2. Dla potrzeb SZ niezbędne jest utrzymanie określonych obiektów ma
jących ważne - krytyczne znaczenie dla powodzenia planowanych
operacji. Szczególnie istotne będą te obiekty, które zapewniają kon
tyngentom wojskowym możliwość swobody poruszania się na teatrze
68
działań. Do takich należy zaliczyć budowle wodne wraz ze środkami technicznymi w rejonach przewidywanych przepraw promowych i mostowych. Ich przydatność będzie oceniana według stopnia utrzymania śródlądowych szlaków żeglownych w gotowości eksploatacyjnej na ustalonych odcinkach, nagromadzenia środków technicznych oraz zorganizowania osłony technicznej dróg wodnych, utrzymywania służb państwowych (hydrologiczno- meieorologicznej i hydrologicznej) do wykonania zadań na rzecz SZ. W związku z istnieniem powyższych uwarunkowań oraz możliwymi zagrożeniami dla ważnych obiektów użyteczności publicznej, urzędów państwowych, przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym, niezbędne jest przygotowanie planów i procedur ochrony kluczowej - krytycznej infrastruktury państwa.
Uwagi końcowe
Społeczeństwa borykają się obecnie z różnorodnymi i rosnącymi ciągle zagrożeniami i ryzykami. Jest to problem szczególnie istotny dla państw rozwiniętych, posiadających porównywalnie korzystniejszy bilans rozwoju cywilizacyjnego osiągniętego w ostatnich kilkudziesięciu latach, ale także dla krajów reszty świata, mimo ich słabszego statusu ekonomicznego i dość znacznego uzależnienia od tych pierwszych. Ponadto państwa upadłe, zorganizowana przestępczość, broń masowego rażenia oraz terroryzm reprezentują osobno i w połączeniu znaczne zagrożenie dla efektywności struktur bezpieczeństwa międzynarodowego. W świecie bez granic „terroryści mogą zamieszkiwać w większości społeczeństw i mogą pochodzić z każdej narodowości, rasy, czy religii". Sytuację można zmienić tylko wtedy, kiedy możliwa będzie współpraca, podejście całościowe do powyższych zagrożeń, zwłaszcza długoterminowe pozwalające na wyrugowanie przyczyn i korzeni terroryzmu.
Efekt milenijny - Y2K"' okazał się pouczającym przykładem niepełnej gotowości odpowiednich mechanizmów reagowania na wyzwanie, którego istota nie była w pełni rozpoznana i zrozumiała. To sprzyjało narastaniu katastroficznych przewidywań, zwłaszcza w miarę rosnącego poziomu świadomości istnienia współzależności poszczególnych sektorów krytycznych, możliwości lawinowego narastania niewydolności elementów infrastruktury technicznej i telekomunikacyjnej, braku struktur
" Skról Y2K jest powszechnie używany w literaturze specjalistycznej (w języku angielskim), wobec braku polskiego odpowiednika używam lego samego skrótu.
69
zarządzania kryzysowego zdolnych do opanowania zupełnie nowego zagrożenia. W tym miejscu warto przytoczyć wysiłki Austrii, która utworzyła specjalną grupę roboczą w urzędzie kanclerskim z zadaniem wyczulania kadry kierowniczej na potencjalne problemy powodowane przez Y2K. Grupa monitorowała także stan przygotowań infrastruktury, przede wszystkim krytycznej w obszarach energii, transportu i bankowości. Ustanowiony został ,,Punkt informacyjny 2000", który przez trzy lata zbierał dane o zakłóceniach w użytkowaniu infrastruktury znajdującej się w ministerstwach, landach i innych instytucjach. Przykład ten świadczy jak dużą siie sprawczy niosą ze sobą problemy infrastruktury krytycznej, takiej jak produkcja energii elektrycznej i jej dystrybucja, linie przesyłowe gazu i ropociągi, sieć transportu powietrznego oraz linie telekomunikacyjne, czyli infrastruktura, której słabość polega na podatności na zakłócenia, zwłaszcza takie, które są efektem planowego działania terrorystów, przestępców, czy wrogiej zagranicy. Wystarczy przytoczyć powszechnie znany słaby punkt takich obiektów związany z trudnością zorganizowania i zapewnienia stałej formy ochrony zasadniczym urządzeniom telekomunikacyjnym i produkcji energii, tzn. dwóch sektorów infrastruktury krytycznej, bez których życie większości społeczeństw powoli dezorganizuje się i pozostaje w chaosie. Choćby dlatego, że takie służby jak pomoc medyczna lub służby ratownicze będą wystarczająco zdezorganizowane z powodu braku dostaw prądu i łączności, a ich skuteczność stanic się znikoma. A to oznacza, iż bezpieczeństwo publiczne, utrzymanie sprawności służb państwowych oraz zapewnienie nieprzerwanego kierowania państwem wymaga udziału ogółu społeczeństwa w zapewnieniu ochrony infrastrukturze krytycznej. Doświadczenia tamtej chwili potwierdziły złożoność kwestii infrastruktury wymagającą nowego podejścia naukowo - badawczego oraz wzięcia pod rozwagę w badaniach otoczenia, czyli potraktowanie tego problemu w sposób kompleksowy. Możliwymi kierunkami projektów badawczych stanowiących konsekwencje efektu Y2K, które uwzględniałyby szerszy kontekst infrastruktury krytycznej mogłoby być zbadanie uwarunkowań związanych z polityką społeczną, prawną, ekonomiczną i międzynarodową oraz dokonanie oceny jak ograniczenia ekonomiczne wpływają na eliminowanie (powstawanie) zagrożeń takiej infrastruktury i zarządzanie skutkami zakłóceń3. Niezbędne jest zrozumienie takich uwarunkowań oraz racjonalna polityka
23 Korporacja RAND badając .skutki Y2K przyjęła dla swoich rozważań, że: seklor energii (produkcja elektryczności, składowanie ropy i gazu orai ich dystrybucja), infrastruktura telekomunikacyjna, siużby społeczne, lotnictwo wraz z infrastrukturą oraz bankowość i służby fi-nanSOwe mogły być najbardziej podalnc na zakióceniS.
70
uwzględniająca istniejącą trwale niepewność spowodowaną brakiem możliwości całkowitego wyeliminowania podobnych zagrożeń.
Pojawiają się coraz to inne w swym charakterze zagrożenia dla infrastruktury krytycznej, jak np. naturalne katastrofy, błędy człowieka, czy też złośliwe ingerencje hakerów, także bezwzględne ataki terrorystyczne. Jednakże warto pamiętać, że w dzisiejszych czasach wszyscy jesteśmy najbardziej zależni od dostaw energii elektrycznej. Tymczasem nowe projekty energetyczne powodują, iż systematycznie wydłużają się ramiona dostaw surowców energetycznych, których wydobycie i dystrybucja pozostaje w rękach zagranicy. Świadczą o tym wielokilometrowe linie przesyłowe zaopatrujące często kraje sąsiednie (i nic tylko), stanowiąc poważny problem dla ich zabezpieczenia przed uszkodzeniami. Sprzyja to tworzeniu publicznego odczucia nieuchronności kryzysu i podważa wiarygodność działań zapobiegawczych.
Infrastruktura krytyczna, taka jak telekomunikacja, czy dostawa energii umożliwia stabilne funkcjonowanie i rozwój państw. W przypadku zaistnienia jakichkolwiek zakłóceń powodujących, że jakiś istotny element infrastruktury „padnie", odbije się to na sprawności innych uzależnionych sektorów. Możliwe, iż skutki będą odczuwalne poza granicami kraju. Dlatego ochrona infrastruktury nabiera cech problemu ponadnarodowego (globalnego) nie zwalniajcie innych państw z obowiązku ciągłego śledzenia problemu. Problemu nie zdefiniowanego do końca wobec tak różnych definicji infrastruktury krytycznej jak różne są koncepcje jej ochrony w poszczególnych krajach Europy. Choć z drugiej strony możliwe jest zidentyfikowanie w omawianych krajach pewnych wspólnych elementów strukturalnych, podobieństwa dotychczas podjętych inicjatyw, tożsamych niekiedy funkcji struktur organizacyjnych odpowiedzialnych za ochronę infrastruktury, z utrzymującym się na dzień dzisiejszy nieporównywalnym poziomem takiej ochrony.
W wielu krajach brak jest znaczącego zainteresowania problemem oraz brak sygnałów rozsądnego zaalarmowania administracji, organizacji gospodarczych i biznesowych oraz przedstawicieli mieszkańców do-niostym znaczeniem skutków braku ochrony infrastruktury krytycznej. Jednym ze znamiennych faktów takiego stanu jest podjęcie (dopiero teraz) przygotowań w nowych krajach NATO do realizacji zadań państwa - gospodarza, które determinują program rozwoju infrastruktury obronnej państwa. Symptomatyczne jest również dążenie do adaptacji modelu amerykańskiego do warunków państwa europejskiego. Tymczasem nie da się zastosować w pełni modelu innego kraju bez dokonania istotnych modyfikacji, eo więcej nie wszystkie omawiane kraje muszą
71
podejmować przedsięwzięcia poprawiające ochronę infrastruktury. Zwłaszcza, że niemożliwe jest zapewnienie ochrony wszystkim elementom (obiektom) infrastruktury krytycznej w 100%.
Rosnące znaczenie posiadania wiarygodnej informacji oraz dostępność środków elektronicznych niezbędnych dla ich przetworzenia sprawiło, że systemy informatyczne stają się zasobami krytycznymi coraz mniej wartościowymi w tym sensie, że ciągle są i pewnie pozostaną niezwykle wrażliwe na uszkodzenia i zakłócenia, stając się w ten sposób najbardziej atrakcyjnymi celami ataków. Kluczową sprawą staje się pytanie, jak zarządzać sic-ciowymi systemami informatycznymi w warunkach ekonomiczno - gospodarczych zorientowanych na obsługę nowoczesnych społeczeństw informatycznych. Podczas, gdy możliwości technologii informatycznych i telekomunikacyjnych są znane i szeroko wykorzystywane, to skutki powiązań wewnętrznych między sektorami infrastruktury krytycznej, głównie w obszarze infrastruktury informacyjnej nic są jak dotychczas brane pod uwagę. Rosnąca obawa o pojawienie się nowych, nieznanych zagrożeń w dziedzinie wymiany informacji zachęci być może naukowców, sektor prywatny i publiczny do bliższego poznania krytycznej infrastruktury informatycznej w celu efektywniejszego zarządzania i skuteczniejszej ochrony zasobów cyfrowych, tak ważnych dla bezpieczeństwa nowoczesnych krajów.
Podejścia do rozważania problemów infrastruktury krytycznej przedstawione we wstępie mają swych zwolenników i przeciwników. Podejście CIIP cechuje maksymalna specjalizacja, zwiększony udział sektora prywatnego biznesu, ale w zakresie podziału funkcji i kompetencji istnieje dwuznaczność, co wiąże się z postrzeganiem CIIP jako czysto problemu technicznego. Podejście CIP gwarantuje klarowny podział zakresu odpowiedzialności i kompetencji kierowania oraz niewielką liczbę osób sektora publicznego zajmujących się problemem, co zapewnia bezpośredni przepływ informacji i szybkie podejmowanie decyzji. Jednocześnie powoduje to zwiększone obciążenie organizacji zmuszonej zajmować się zarówno obroną cywilną jak i ochroną technologii informatycznych, co nierzadko przekłada się na zwiększenie wydatków wojskowych (koordynująca rola ministra obrony) i opór środowiska biznesowego przed wiączaniem się w takie struktury. Należy także zauważyć, że oba podejścia wykazują próby zintegrowania części państwowej z prywatną w jeden narodowy model organizacyjny, jednakże współpraca między nimi niemal nie istnieje na poziomie strategicznego zarządzania, lub ma charakter incydentalny.
Wydaje się, iż przyczyną takiego stanu są wahania, czy potrzebna jest narodowa - obowiązująca wszystkich strategia ochrony infrastruktury
72
krytycznej. Jest błędem zakładać, że sytuacja bezpieczeństwa w obszarze infrastruktury krytycznej jest podobna (taka sama) we wszystkich krajach, i że jest wystarczająca jedna globalna strategia, która ponadto ochronę narodowej infrastruktury krytycznej zawęża tylko do sektora publicznego. Tymczasem współpraca z przedstawicielami prywatnego biznesu, także międzynarodowego jest twórczym imperatywem.
Niezależnie od powyższego opracowania wydaje się, iż w kontekście zapewnienia ochrony infrastrukturze krytycznej interesujące może być podjęcie dyskusji wokół następujących zagadnień:
jakie strategie po obu stronach Atlantyku zastosowano w odpowie
dzi na potencjalne zagrożenie dla bezpieczeństwa państwa, w tym
dla infrastruktury mającej istotne znaczenie dla zapewnienia takie
go bezpieczeństwa? Jakie inicjatywy wielonarodowe mogą być przy
datne w zorganizowaniu ochrony infrastruktury, wytypowanej i za
aprobowanej w danym kraju jako krytyczna;
jakie służby przemysłowe i z jakich przedsiębiorstw powinny prowa
dzić ochronę szczególnie ważnych obiektów infrastruktury? Czy tylko
zmilitaryzowanie tych jednostek może przyczynić się do zwiększenia
bezpieczeństwa infrastruktury i zapewnienia działań ochraniających;
jakie działania wprowadzające w życie zasady bezpieczeństwa w sek-
torze publicznym (państwowym) i prywatnym planują rządy i organizacje międzyrządowe;
• jakie nowe regulacje są podejmowane, aby osiągnąć założony wyż
szy, bardziej skuteczny poziom gwarancji bezpieczeństwa ważnych
dziedzin życia publicznego bez stworzenia nieuzasadnionych ogra
niczeń, czy zwiększenia kosztów funkcjonowania gospodarki pań
stwowej, w tym zwłaszcza sektora prywatnego;
istniejące zagrożenia powodujące dysharmonię życia społeczno -
gospodarczego, np. sabotaż linii energetycznych (w Stanach Zjed
noczonych traktowany poważnie) wymagają wzmocnienia mechani
zmów reagowania na zagrożenia, zacieśnienia współpracy między
rządowej, zidentyfikowania luk w planowaniu przedsięwzięć i środ
ków ochrony. Czy UE może sprostać temu wyzwaniu?;
jak włączyć sektor prywatny w poszukiwanie alternatywnych propo
zycji zmierzających do osiągnięcia zakładanego poziomu przygoto
wań ochronnych dotyczących krytycznej infrastruktury żywnościo
wej? Kto powinien ponosić odpowiedzialność w państwie za pro
dukcje, dystrybucję i magazynowanie żywności na czas kryzysu
i wojny w sytuacji, gdy resort właściwy dla spraw rolnictwa nie po
siada takich kompetencji?
■i WAI73
ROZWINIĘCIE SKRÓTÓW
Skrót |
Nazwa angielska |
Nazwa polska21 |
AKSTS |
Proteclion of Infraslructures Working Group |
Robocza grupa ochrony infrastruktury krytycznej |
BMI |
Federal Ministry of the Interior |
Ministerstwo Spraw Wewnętrznych |
BSI |
Federal Office for Information Security |
Federalne Biuro Bezpieczeństwa |
CCIP |
Commission on Critical Infrastructurc Pro i c et i on |
Komisja Ochrony Infrastruktury Krytycznej |
CCMS |
Committec on the Challenges of Modern Society |
Komitet w sprawie wyzwań nowoczesnych społeczeństw |
CE |
Council of Europę |
Rada Europejska |
CEP |
Civii Emergency Planning |
Planowanie Obrony Cywilnej w sytuacji Nadzwyczajnych Zagrożeń |
CERT |
Computer Emergency Response Team |
Grupa reagowania na zakłócenia komputerowe |
CIIP |
Critical informalion infra infrastructure protection |
Ochrona krytycznej struktury informacyjnej |
CIP |
Critical infrastructure protection |
Ochrona infrastruktury krytycznej |
CIRCA |
Computer Incident Response Coordination Austria |
Koordynacja i reagowanie na incydenty komputerowe w Austrii |
CNI |
Critical National Infrastructure |
Narodowa infrastruktura krytyczna |
CPC |
Conflict Prevention Center |
Centrum Zapobiegania Konfliktom |
DCDEP |
Directorate for Civil Defense and Emergency Planning |
Zarząd obrony cywilnej i planowania w sytuacjach nadzwyczajnych |
"Tłumaczenia oficjalne oraz. itukjra
74
DSK |
Commission on Dala Protection |
Komisja ochrony danych |
DSTL |
Defense Science and Technology Laboratory |
Laboratorium obrony, nauki i technologii |
eA |
Electronic attack |
Atak elektroniczny (internet owy) |
EADRCC |
Euro-Atlanlic Disaster Response Coordination Center |
Euratlanlyckie Centrum Koordynacji Reagowania w przypadku katastrof |
ECE |
Economic Commission for Europę |
Europejska Komisja Gospodarcza (przy ONZ) |
ECP.nl |
Platform Electronic Commercc in the Netherlands |
Platforma handlu elektroniką w Holandii |
FAO |
Food Agriculture Organization |
Organizacja do spraw Wyżywienia i Rolnictwa |
FICORA |
Finnish Communications Regulatory Authority |
Fińska władza nadzorująca teleinformatykę |
FIRST |
Forum on Ineident Response Security Team |
Forum bezpieczeństwa w sprawach incydentów |
FOCP |
Federal Office for Civ ii Protection |
Federalne biuro obrony cywilnej |
FS-ISAC |
Financial Scrvices Information Sharing and Analysis Center |
Centrum analiz i wymiany informacji o służbach finansowych |
IAAC |
Information Assurance Advisory Council |
Rada wiarygodności informacji |
ISPA |
Internet Serviccs Providers Associalion |
Stowarzyszenie dostawców ushig i n te r n et o wy c h |
IT |
Information Technology |
Technologie informatyczne |
IT-ISAC |
Information Technology Information Sharing and Analysis Centeri |
Centrum analiz i wymiany informacji o technologii informatycznych |
MBLANI |
The Reporting and Analysis Center for Information Assurance |
Centralne biuro analiz i bezpieczeństwa informacji |
NCC |
The National Coordination Center |
Narodowe centrum koordynacji |
75
NEOC |
National Emergency Operation Center |
Narodowe centrum operacyjne |
NESA |
National Emergency Supply Agency |
Narodowa agencja dostaw w sytuacjach nadzwyczajnych |
NIPC |
National Infrastructure Protcction Center |
Centrum Ochrony Infrastruktury Narodowej |
N1SCC |
National Infrastructure Security Coordination Center |
Narodowe Centrum Koordynacji Bezpieczeństwa Infrastruktury |
NIST |
National Institute of Standards Technology |
Narodowy Instytut and Standardów i Technologii |
OECD |
Organization for Economic Cooperation and Developmeril |
Organizacja Współpracy Gospodarczej i Rozwoju |
PBIST |
Planning Board for Inland Surface Transport |
Rada Planowania Śródlądowego Transportu Nawodnego |
PBOS |
Planning Board for Ocean Shipping |
Rada Planowania Przewozów Oceanicznych |
SCADA |
Supcrvisory control and data acquisition system |
System nadzoru, kontroli oraz danych o zakupach |
SEMA |
Emergency Management Agency |
Agencja zarządzania w sytuacjach nadzwyczajnych zagrożeń |
SIS |
Center for Information Sccurity |
Centrum bezpieczeństwa informacji |
SST |
Security related Science and Technology panel |
Panel bezpieczeństwa nauki i technologii |
TBTRA |
Terrestrial Trundled Radio |
Cyfrowy telefon dla VIPów |
TNO |
The Netherlands' Organization for Applied Science Research |
Organizacja Stosowanych Badań Naukowych |
UNIRAS |
UK Governmcnt Computer Emergency Rcsponse Team |
Rządowa grupa reagowania na zakłócenia komputerowe |
WARP |
Warning, Advice, and Reporting Points |
Punkty informacyjne, doradztwa i ostrzegania |
76