Ksiązka Bezpieczeństwo infrastruktury krytycznej Wł Wójtowicz(1)



„Terroryści mogą wkrótce odkryć, że zrujnowanie rynków finansowych, spu­stoszenie rynku papierów wartościowych lub spowodowanie chaosu w syste­mie kontroli ruchu powietrznego jest dużo bardziej skuteczne niż wysadzenie samochodu - pułapki..., dlatego powinniśmy być przygotowani i musimy my­śleć o sytuacjach, które są nie do wyobrażenia".

Gerard Sio ud mann, Ambasador, Centrum Polityki Bezpieczeństwa,

Władysław Wójtowicz

BEZPIECZEŃSTWO

INFRASTRUKTURY

KRYTYCZNEJ

Warszawa 2006


Korekta: Stanisław Zarób ny

Okładka: Krzysztof Sal ara on

ISBN 83-60140-29-4 978-83-60140-294

Wydawca:

PPH. Zapol Dmochowski, Sobczyk spółka jawna

71-062 Szczecin, al. Piastów 42

tcl./fax (+48 91) 434 10 21, 449 49 23, 434 72 66

c-mail: drukarnia@zapol.com.pl

www.zapol.com.pl

Skład, łamanie, druk:

P.P.H. Zapol Dmochowski, Sobczyk spółka jawna

71-062 Szczecin, al. Piastów 42

tel./fax (+48 91) 434 11) 21, 449 49 23, 434 72 66

e-mail: drukarnia@zapol.com.pl

www.zapol.com.pl


SPIS TREŚCI

PRZEDMOWA 5

ROZDZIAŁI 8

ASPEKTY TEORETYCZNE ZAGADNIENIA 8

ROZDZIAŁ 2 32

PRZEGLĄD POLITYKI OCHRONY INFRASTRUKTURY
KRYTYCZNEJ W WYBRANYCH PAŃSTWACH 32

Austria 32

Szwajcaria 34

Szwecja 36

Finlandia 39

Holandia 40

Norwegia 43

Niemcy 45

Anglia 47

ROZDZIAŁ 3 55

ORGANIZACJE REGIONALNE I MIĘDZYNARODOWE 55

Międzynarodowa organizacja obrony cywilnej (ICDO) 55

Organizacja Paktu Północnoatlantyckiego (NATO) 56

Organizacja Współpracy Gospodarczej i Rozwoju (OECD) 58

Rada Europy (EC) 59

Kraje grupy G8 59

Unia Europejska 61

ROZDZIAŁ 4 63

WYBRANE ASPEKTY INFRASTRUKTURY

KRYTYCZNEJ W POLSCE 63

Niektóre działy administracji publicznej, w tym województwa 63

Wybrane dokumenty prawne odnoszące się do problematyki 65

UWAGI KOŃCOWE 69

ROZWINIĘCIE SKRÓTÓW 74



PRZEDMOWA

Energia, woda, sieci telekomunikacyjne i komputerowe to infrastruktu­ra krytyczna, która jest niezbędna dla funkcjonowania gospodarki i nowo­czesnych społeczeństw. Transport lądowy, powietrzny i morski to także in­frastruktura odgrywająca kluczową rolę w rozwoju ekonomicznym świata, coraz bardziej globalnego i wzajemnie zależnego. Wszystkie te obszary działalności człowieka są dzisiaj narażone na ataki, poczynając od zdarza­jących się często zakłóceń i awarii, na aktach terroryzmu kończąc. Uszko­dzenia takiej infrastruktury mogą powodować skutki ekonomiczne, ale niosą za sobą również zagrożenia dla życia populacji mieszkańców za­mieszkujących w pobliżu miejsc rozlokowania tego typu obiektów. Elek­trownia nuklearna, czy zakłady chemiczne, lotniska, porty, linie kolejowe, bazy i składy są urządzeniami, których zaatakowanie przez terrorystów za­grażać może bezpieczeństwu państwa, w tym ludności. Stąd też obiekty te­go typu mają duże znaczenie dla bezpieczeństwa i obronności państwa, i jako takie podlegają szczególnej ochronie w postaci zaplanowanego i zor­ganizowanego układu.

Lawinowo narastający od wczesnych lat dziewięćdziesiątych rozwój w dziedzinie porozumiewania się, zwłaszcza przy pomocy komputera zre­wolucjonizował sposób, w jaki rządy i społeczeństwa większości państw ko­munikowały się dotychczas i prowadziły przedsięwzięcia biznesowe. Wyko­rzystywanie sieci komputerowych przynosi wymierne korzyści, zapewnia całodobową dostępność do informacji, ułatwia badania niemal w każdej dziedzinie naukowej. Sieć internetowa, biuletyny oraz poczta e-mailowa pozwalają nam łączyć się łatwo i szybko, właściwie z nieograniczoną liczbą adresatów, czy odbiorców. Jednak niezależnie od tych korzyści, tak rozpo­wszechnione łączenie się ze sobą indywidualnych osób, grup ludzi, pod­miotów życia społeczno - gospodarczego niesie ze sobą ogromne ryzyko dla bezpieczeństwa systemów komputerowych, ale co ważniejsze dla za­sadniczych działań i przedsięwzięć systemów i operacji na szczeblu pań­stwa, w tym także operacji prywatnych. Funkcjonowanie tych systemów podtrzymuje określona infrastruktura wykorzystywana w obszarze teleko­munikacji, dystrybucji rodzajów energii, obronie narodowej, stosowania prawa przez wymiar sprawiedliwości, usługach publicznych, czy służbach ratunkowych.

Przełom roku 2000 (zmiana daty) przywołał nowe aspekty użytkowania infrastruktury znane dotychczas tylko specjalistom, takich aspektów jak wzajemna zależność systemów opartych na wykorzystywaniu programów komputerowych, czy podatność takich systemów na zakłócenia. Wyzwania

5


związane z przejściem w nowy wiek potwierdziły ich rosnące znaczenie w wielu krajach. "Większość potraktowała tę chwilę jako specyficzny test narodowych zdolności do ochrony infrastruktury, zwłaszcza teleinforma­tycznej. Rozumiano, iż trwała ochrona wybranej infrastruktury nazywanej krytyczna przed wrogim atakiem wymaga poważniejszego potraktowania.

Publikacja zawiera wybrane informacje na tcmai ochrony infrastruktury krytycznej w aspekcie zapewnienia bezpieczeństwa działalności wytypowa­nych sektorów i służb państwowych oraz wybranych usług życia publicznego, w tym prywatnego biznesu. W rozdziale pierwszym skupiam się na rozważe­niu istoty pojęcia „infrastruktura krytyczna'7 oraz postrzegania potencjal­nych zagrożeń determinujących o typowaniu „obszarów krytycznych", zwy-kJe świadczących o poziomie ambicji danego państwa, czy trudnościach w dokonywaniu przełomu we współpracy sektora państwowego i prywatne­go. Pozwala to na przeanalizowanie kolejnych zagadnień, w tym m.in. uwa­runkowań politycznych, stanowienia prawa, koordynacji i planowania środ­ków bezpieczeństwa pozostających w dyspozycji struktur państwowych (agencji rządowych) oraz sektora prywatnego. Podkreślam konieczność podjęcia aktywnego przeciwdziałania poprzez tworzenie strategii oraz opra­cowanie planu szczególnej ochrony obiektów krytycznych. W rozdziale dru­gim publikacji przedstawiam przegląd przedsięwzięć podjętych przez wybra­ne państwa i implementowanych systemów przeciwdziałania zagrożeniom odnoszącym się do narodowych rozwiązań instytucjonalnych, stosowanych mechanizmów i procedur ochrony infrastruktury krytycznej, zaangażowania sil i środków oraz formuły sygnalizowania o zagrożeniach, tzn. wczesnego ostrzegania. W rozdziale trzecim wyselekcjonowałem organizacje międzyna­rodowe, które w ramach swoich kompetencji w różnym stopniu angażują się w kreowanie polityki wobec infrastruktury krytycznej. Rozdział czwarty ma za zadanie zasygnalizować skalę problemu w warunkach Polski. Dlatego przywołuję tu wybrane działy administracji publicznej, które wraz z przedsię­biorcami prywatnymi dysponują ważną infrastrukturą i ponoszą odpowie­dzialność za ich ochronę. Podnoszona jest w tym miejscu ważność planowa­nia zadań wykonywanych w ramach przygotowań obronnych państwa przez organy administracji rządowej i organy samorządu terytorialnego. Planowa­nie operacyjne na tych szczeblach musi obejmować obiekty infrastruktury szczególnie ważne dla bezpieczeństwa i obronności. W zakończeniu jest szersze odniesienie do zjawiska milenijnego pod nazwą Y2K; również pro­ponuję zagadnienia do dalszej dyskusji w gronie fachowców na temat ochra­ny infrastruktury krytycznej.

Ponieważ każde państwo stosuje swoje własne - heterogeniczne podej­ście do tytułowego problemu, to można wyodrębnić (odrzucając podejście Chin) dwa sposoby traktowania infrastruktury:

6


  1. Pierwszy, to ochrona krytycznej infrastruktury informatycznej (CIIP) -
    odnosi się wyłącznie do bezpieczeństwa i ochrony połączeń technologii
    informatycznych i rozwiązań informatycznych wewnątrz i między po­
    szczególnymi sektorami infrastruktury. W tym przypadku fizyczna
    ochrona komponentów (obiektów) jest zapewniona w ramach innych
    rozwiązań organizacyjnych. Funkcje i kompetencje w odniesieniu do
    ochrony infrastruktury krytycznej są rozdysponowane miedzy różne or­gany. Zauważa się próby integrowania sektora prywatnego na wszyst­kich poziomach infrastruktury krytycznej.

  2. Drugi sposób, to ochrona zarówno krytycznej infrastruktury informa­tycznej, jak również fizyczna ochrona infrastruktury krytycznej rozu­mianej tradycyjnie (CIP), czyli podejście holistyczne - rozpatrywanie
    wszystkich zagrożeń razem - łącznie. Ochrona fizyczna jest wtedy czę­ścią modelu narodowej obrony cywilnej i centralnie sterowanej koordy­nacji, a zasadnicze organy działają równolegle w obszarze bezpieczeń­stwa technologii informatycznych, obrony cywilnej oraz w sytuacjach
    nadzwyczajnych zagrożeń, stąd też brak jest klarownego podziału mię­dzy poszczególnymi komponentami systemu. Podkreślić należy widocz­ną rolę ministra obrony koordynującego działania tych komponentów.

Znaczenie kluczowej infrastruktury wzrosło, kiedy rząd RP dostrzegł

potrzebę opracowania wykazu obiektów ważnych dla bezpieczeństwa i obronności państwa, a w konsekwencji przygotowania i prowadzenia szczególnej ochrony tych obiektów. Opracowanie nawiązuje do tych za­gadnień i w tym sensie wywoła, być może nie tylko ważny intelektualnie in­teres. Zainteresowanie szerszą dyskusją liderów sektora publicznego (or­ganów, instytucji, jednostek organizacyjnych) i prywatnego (przedsiębior­ców, formacji zmilitaryzowanych), w których właściwości znajdują się obiekty ułatwi wymianę poglądów i rozwijanie wzajemnych kontaktów. Zwłaszcza, że zwykle ochrona obiektów jest prowadzona z udziałem sił zbrojnych, policji, służb ratunkowych i obrony cywilnej.

Rosnące znaczenie obiektów i sektorów infrastruktury krytycznej dla bezpieczeństwa państwa wynika z ich strategicznego znaczenia dla pod­trzymania niezakłóconego funkcjonowania państwa w warunkach współ­czesnych zagrożeń. Zagrożenia atakiem terrorystycznym, niestabilnością regionalną w pobliżu granic państwowych, użyciem BMR w dalszym, lub bliższym otoczeniu kraju, czy potencjalna możliwość powstania sytuacji kryzysowej wymaga zwiększenia wysiłków zarówno w Polsce, gdzie dyna­micznie rośnie wartość realizowanych inwestycji, jak i w innych częściach Europy, gdzie są planowane inwestycje o tym charakterze.

7


rozdział 1

Aspekty teoretyczne zagadnienia

Pojęcie „infrastruktura krytyczna" (CIP) - co czyni infrastruk­turę „krytyczną"?

Żadna ze znanych definicji ostatnich lat określająca, co składa się na pojęcie infrastruktura krytyczna nie jest ostatecznie sformułowana. Co prawda w pewnym sensie ograniczone zostało pole rozważań, ale nadal pozostawiają one wystarczająco miejsca na dowolną interpretację, jaka infrastruktura pasuje do określonej definicji. Specyficzne sektory go­spodarki, które posiadają elementy infrastruktury stanowią raczej ilu­strację, przykład, lecz nic wyczerpują pełnej listy takich obiektów wystę­pujących w różnych sektorach, dziedzinach, branżach, itp. Co więcej, jak zauważono w minionym czasie, w miarę jak następuje rozwój cywi­lizacyjny, ogólna definicja obejmująca to, co jest żywotne - zasadnicze dla obrony narodowej, bezpieczeństwa ekonomicznego oraz kontynu­owania funkcjonowania administracji rządowej objęło również to, co istotnie ważne dla ochrony zdrowia publicznego. Odpowiednio, dotych­czasowy wykaz zawierający spis infrastruktury, niezbędnej dla funkcjo­nowania przede wszystkim obrony i gospodarki narodowej (np. trans­port, energia, finanse i bankowość) rozszerzy! się o specyficzne elemen­ty, które mogłyby powodować masowe zniszczenia i śmierć (np. produk­cja specjalna, transport i składowanie materiałów niebezpiecznych), choć de facto nie są one traktowane jako krytyczne elementy skutecz­ności obrony, czy efektywności gospodarki. W wyniku rosnącego tren­du do uznawania za krytyczne coraz to innych obiektów, na taką ogól­ną listę trafiły rzeczy uznawane za ważne dla kultury i tradycji społecz­ności danego państwa, jak np. pomniki kultury narodowej. Dlatego pro­ces identyfikacji infrastruktury krytycznej bez rygorystycznego ograni­czenia, co decyduje, aby trafić na taką listę będzie trwał, w rezultacie tworząc, być może wiele list.

Zanim infrastruktura krytyczna stalą się obiektem ataków terrory­stów takie pojęcie odnosiło się powszechnie do dróg, mostów, systemów wodnych i transportu, które byty uznawane za strategicznie ważne, stąd też zawsze stanowiły część planu obronnego. Wraz z końcem zimnej wojny celowość ich zaatakowania stała sie wątpliwa, a ujmowanie w pla-

8


nach operacyjnych niecelowe. Ponieważ brak było standardowej defini­cji infrastruktury, jej traktowanie w różnych koncepcjach (koncepcjach w sensie politycznym) było względne, i taki stan trwai niemal do polo­wy lat dziewięćdziesiątych1.

Interesujące wydaje się prześledzenie rozwoju znaczenia tego pojęcia, zwłaszcza w odniesieniu do coraz powszechniej użytkowanych technologii informatycznych (IT), w miarę pojawiania się z upływem lat nowych za­grożeń dla infrastruktury krytycznej, na przykładzie Stanów Zjednoczo­nych, gdzie wieloletnia debata wokół tradycyjnie rozumianej infrastruktu­ry nabrała innego wymiaru po atakach terrorystycznych2. Okazuje się, że rząd federalny traktował bezpieczeństwo kluczowych sektorów tradycyj­nie, mimo iż, pogłębiała się zależność funkcjonowania niektórych służb rządowych (opieka społeczna, obrona cywilna) od infrastruktury kontro­lowanej przez ich prywatnych właścicieli. Poniższe chronologiczne zesta­wienie uwag i spostrzeżeń wybranych instytucji wskazuje na rosnącą wśród decydentów świadomość nowych aspektów tego pojęcia:

tury Krytycznej (CCIP) stwierdziła, że bezpieczeństwo, gospodar­ka, sposób życia oraz być może nawet przetrwanie uprzemysłowio­nego świata zależeć może od wzajemnie zależnego trio: energii

0x08 graphic
1 Słowniki terminologii wojskowej: Centrum Szkolenia Językowego w Monlerey z 1985 roku oraz Departamentu Obrony (Połączonych Szefów Sztabów) Z 1988 roku nie zawierają takie­go pojęcia. ! Korzystałem z protokołów przesłuchań przed komisjami Kongresu i Senatu z lat 1994-2000.

9


elektrycznej, łączności oraz komputerów. Komisja uznała także, że zaawansowane społeczeństwa wykorzystują powszechnie stosowaną infrastrukturę (w domyśle krytyczną) podatną na zakłócenia fizycz­ne oraz zagrożenia wirtualne.

W marcu 1998 roku Szef Centrum Ochrony Infrastruktury Narodowej

(NIPC) oraz Federalne Biuro Dochodzeniowe zeznali, że „międzynaro­dowa przestępczość zorganizowana szybko zorientuje się w doniosłości wy korzystania narzędzi cybernetycznych". Szef Centrum zilustrował tę tezę przykładem z 1994 roku, kiedy zagraniczne grupy kryminalne wdarły się do głównego ośrodka zarządzania gotówką jednej z instytu­cji finansowych, skąd usiłowano wytransferować około 10 min USD.

Dyrektywa Prezydenta PDD 63 z maja 1998 roku nakazywała wyko-

nanie planu ochrony infrastruktury, włączając do planu inne obiek­ty i elementy niż tradycyjnie rozumiane.

Po ukazaniu się raportu CIA w grudniu 1998 roku o „prowadzeniu
wojny cybernetycznej" jej dyrektor stwierdził, że „nadszedł najwyższy
czas, aby uznać, ze mamy dzisiaj paru wrogów, niekoniecznie militar­
nych, gdyż są to przestępcy i terroryści dysponujący wystarczającymi
zdolnościami do zadania dużych strat w infrastrukturze, którą wszyscy
wykorzystujcmy". W lutym 1999 roku uzupełnił stwierdzeniem, że ter­
roryści są już świadomi, iż prowadzenie wojny informacyjnej może się
odbywać przy „niskich nakładach, z możliwością skutecznego i skryte­
go użycia narzędzi służących im do osiągnięcia zakładanych celów",

Z chwilą, kiedy bezpieczeństwo własnej ojczyzny zaczęło być traktowa­ne z najwyższym priorytetem pojęcie „infrastruktura krytyczna" nabrała znaczenia politycznego. Dobitnym tego przykładem jcsl dyrektywa prezy­denta USA z 1996 roku3, która wyspecyfikowała następujące sektory infrastruktury krytycznej: telekomunikacja, elektryczność, składowanie i transport gazu oraz ropy, bankowość i finanse, systemy dostawy wody, służby ratunkowe i porządkowe oraz obszar funkcjonowania władzy i ad­ministracji państwa posiadający taki aspekt polityczny. Wykorzystując ję­zyk dyrektywy Komisja CCIP opracowała w 1997 roku raport, w którym sformułowała zakres pojęciowy poszczególnych sektorów. I tak np.: Bankowość i finanse: to organizacje handlowe i detaliczne, fundusze inwestycyjne, domy handlowe, giełdy, biura wymiany, systemy rezerw oraz stowarzyszone organizacje operacji finansowych (maklerskie, rządowe), zabezpieczenia wszystkich rodzajów transakcji monetar­nych, włącznie z przechowywaniem dla celów oszczędności, inwesto-

0x08 graphic
1 Dyrektywa Prezydenta Cflnwna nr 13010 z 1S lipca 1996r„ Vol. 61, No 138 10


waniem kapitału, wymianą walutową, udzielaniem kredytów, poży­czek i innych produktów pieniężnych.

Elektryczność: to elektrownie, sieci przesyłowe i dystrybucji do odbior­ców końcowych zapewniając normalne ich funkcjonowanie, włącznie z transportem i składowaniem paliwa niezbędnego dla tego systemu. Służby ratunkowe i porządkowe: to medyczne, policja, straż pożarna, system ratownictwa wraz z personelem gotowym do działania w sytu­acjach nadzwyczajnych. Tego rodzaju służby są typowe dla działań na poziomie lokalnym z rym, że władze stanowe i federalne udzielają im wsparcia, jeśli to niezbędne.

Produkcja, transport i składowanie gazu i ropy naftowej: to urządze­nia produkcji i przechowywania gazu naturalnego, ropy i produktów rafinowanych, paliw ropopochodnych, tankowce, pojazdy i wagony cysterny transportujące te produkty od źródła dostaw do systemów, które są zależne od gazu i ropy.

Łączność i informatyka: to sprzęt informatyczny telekomunikacyjny, oprogramowanie, procesory oraz ludzie, którzy obsługują przetwa­rzanie, zapamiętywanie i transmisję danych, przekształcają informa­cje w zasoby know-how oraz tworzą bazy danych. Transport: to systemy fizycznej dystrybucji ważne dla bezpieczeństwa narodowego, ekonomicznego i dobrobytu ludzi, włącznie z ruchem powietrznym, liniami, statkami powietrznymi i lotniskami, drogami i autostradami, pojazdami i personelem, portami, torami wodnymi i statkami na wodzie, transportem publicznym zarówno autobusowym jak i kolejowym, rurociągi gazowe, naftowe i innych materiałów nie­bezpiecznych, fracht i pasażerowie podróżujący pociągami daleko­bieżnymi oraz służby pocztowe i kurierskie.

System dostawy wody: obejmuje źródła wody, rezerwuary i zbiorniki, akwedukty, urządzenia filtrujące, czyszczące i zabezpieczające, wodo­ciągi, systemy chłodzenia i inne urządzenia dostawcze dla celów do­mowych i przemysłowych, włącznie z przepompowniami, oczyszczal­niami i zbiornikami przeciwpożarowymi.

Istotnym elementem dyrektywy było zidentyfikowanie obszarów kry­tycznych, za których bezpieczeństwo w pełni odpowiadał rząd federal­ny. Wśród nich znalazło się m.in.; bezpieczeństwo wewnętrzne i stoso­wanie prawa, wywiad zagraniczny, sprawy zagraniczne oraz obrona na­rodowa. W tekście dokumentu sprecyzowano konieczność dokonywa­nia bieżącej oceny następujących sektorów infrastruktury narodowej: żywność, woda, rolnictwo, system zdrowia i służby medyczne, energia (elektryczna, nuklearna, gaz i ropa, elektrownie wodne), transport, (po-

11


wietrzny, lądowy, kolejowy, porty, tory wodne), informatyka i teleko­munikacja, bankowość i finanse, energia, chemikalia, przemysł obron­ny, poczta i żegluga oraz narodowe monumenty i symbole.

Powyższe przykłady w dużej części ilustrują jak administracja prezy­dencka postrzegała, co czyni infrastrukturę krytyczną. Po prostu odpo­wiednio modyfikowano pojęcie uznając, iż „pewna infrastruktura naro­dowa jest tak życiowo istotna, że jej niesprawność lub zniszczenie osła­białoby bezpieczeństwo obronne i ekonomiczne państwa", i w tym sen­sie czyniło ją „krytyczną". Bezpośrednie zagrożenie tego typu sektorów i usług z nimi związanych, nie jest jednakowe i dlatego ich relatywna ważność obniża się w miarę wielkości i zakresu potencjalnych uszko­dzeń lub zakłóceń. Pokazuje to poniższa tabela wskazująca na preferen­cje w określaniu infrastruktury krytycznej. Warto zwrócić uwagę na fakt, że niektóre z sektorów (służb) uznawanych za krytyczne, jak np. policja i siły zbrojne nabierają istotnego znaczenia dopiero wtedy, kie­dy zaistnieje faktyczne zagrożenie, czy wystąpi sytuacja kryzysowa. Z te­go samego powodu brak w tym zestawieniu obiektów dużego ryzyka, np. elektrowni atomowych uznawanych za bezpieczne.

Tabela

1. Poziom ważności infrastruktury

Sektory i usługi

1

Elektryczność

2

Zasoby wody

3

Dostawy wody pitnej

4

Zapewnienie bezpieczeństwa publicznego

Dostawy żywności

Ochrona zdrowia

5

Sieci usług telekomunikacyjnych

Usługi łączności komórkowej

Utrzymanie ładu i porządku publicznego

Ruch drogowy

Łączność satelitarna

Łączność radiowa i nawigacja

Ropa naftowa

Administracja wymiaru sprawiedliwości i więziennictwo

Stosowanie prawa

Ruch kolejowy

6

Gaz naturalny

7

Inne sektory i usługi

Zródlo: TNO, dlu potrzeb projektu Guick Scan, Holandia.

12


Wykorzystując takie rozważania zdefiniowano infrastrukturę kry­tyczną jako „życiowo istotne elementy infrastruktury, których niespraw­ności lub zniszczenie miałoby osłabiający efekt na bezpieczeństwo pu­bliczne, ekonomiczne i socjalne". W następstwie ataku z 11 września 2001 roku powołane zostały w USA nowe struktury bezpieczeństwa na­rodowego, ale nadal nie zdefiniowano jednoznacznie tytułowego poję­cia. Natomiast wśród przypisanych im zadań odnoszących się do ochro­ny infrastruktury pojawiły się nowe, np. ochrona obiektów, w których produkuje się, składuje lub neutralizuje materiały nuklearne. Wskaza­no na potrzebę zapewnienia ochrony wysokim przedstawicielom rządo­wym podczas specjalnych wystąpień. Widziano konieczność ochrony krajowego rolnictwa, zasobów żywego inwentarza i zapasów żywności, a także ujęć wody przemysłowej. Wkrótce po tym Kongres uchwalił ustawę „The USA PATR1OT ACT", w której rozważane pojęcie zdefi­niowano jako „systemy i zasoby, niezależnie - materialne lub wirtualne, tak życiowo ważne dla USA, że ich niesprawność lub zniszczenie miało­by osłabiający wpływ na poczucie bezpieczeństwa, narodowe bezpie­czeństwo gospodarcze, publiczną służ zdrowia". Ilustrację zmian za­kresu pojęciowego przedstawiam w szerszym aspekcie na diagramie. Pionowo umieszczone są sektory (komponenty) uważane w miarę upły­wu czasu za krytyczne. Poziomo, od lewej do prawej wpisane są obsza­ry uznawane za krytyczne. Znak „x" spełnia rolę ilustracyjną. Proszę za­uważyć, że przemysł chemiczny na przykład nabrał dopiero wtedy zna­czenia, kiedy stało się oczywiste po 11 września 2001 roku, jakie straty może spowodować użycie trującego składnika chemicznego, co wcale nie umniejsza znaczenia tej gałęzi przemysłu dla gospodarki Stanów Zjednoczonych.

Rys. 1: Zmiana składowych pojęcia infrastruktura krytyczna

Infrastruktura

Kryteria determinujące krytyczność. Ważne dla...

Obrony narodowej

Bezpieczeństwa ekonomicznego

Ochrony zdrowia

publicznego

Wpływ na morale

Sieci telekomunikacyjne / informatyczne

X

X

Energia

X

X

Bankowość / finanse

X

Transport

X

Woda

X

13


Służby ratunkowe

X

Rząd

X

Stużba zdrowia

X

Obrona narodowa

X

Wywiad zagraniczny

X

Stosowanie prawa

X

Sprawy zagraniczne

X

Elektrownia jądrowa wraz z urządzeniami

X

Nagie zdarzenia

X

Żywność / rolnictwo

X

Produkcja przemysłowa

X

Chemikalia

X

Przemysł obronny

X

Poczta / żegluga morska

X

Monumenty narodowe

X

Zródlo; Rapoii dla Kongresu, styczeń 2003 r., Biblioteka Kongresu

Pojęcie krytycznej infrastruktury informacyjnej (CHP)

Wraz z nastaniem „rewolucji informacyjnej i w sprawach wojsko­wych", trwała w latach dziewięćdziesiątych nieustanna transformacja we wszystkich aspektach życia spoleczno-gospodarczego, przynosząc wraz ze zmianami nowe jakościowo wyzwania i ryzyka, Jeśli dodać wnioski z Y2K, to oczywistym stal się dylemat rosnącej zależności no­woczesnych społeczeństw od szerokiego zakresu narodowej i międzyna­rodowej infrastruktury informatycznej, niezwykle współzależnej od sys­temów kontrolnych, oprogramowania komputerowego i dostaw energii. Wrażliwość takiej infrastruktury wywodzi się z całego kompleksu zależ­ności, ponieważ jej większość jest skonstruowana i monitorowana (kon­trolowana) przez podatne na zakłócenia systemy technologii informa­tycznych i łączności. Taka „cyber-infrastruktura", czyli la część global­nej i narodowej infrastruktury informatycznej, która jest niezbędna dla funkcjonowania sektorów (obiektów, urządzeń, instalacji) infrastruktu­ry krytycznej przyjmuje nazwę krytycznej infrastruktury informatycznej. Infrastruktury, której podstawowa technologia jest dostępna niemal po­wszechnie, a zagrożenie związane z nabyciem i wykorzystaniem posia-

14


danych (niekoniecznie legalnie) najnowszych osiągnięć technologicz­nych przebacza granice państw i kontynentów'. Działania wybranych państw przedstawiam w rozdziale drugim, ale warto zauważyć, że infra­struktura informatyczna jest różnie postrzegana, np. jako użyteczne na­rzędzie konkurencyjności w biznesie, jako systemy techniczno-operacyj­ne, jako niechciane udogodnienia dla przestępców, jako strategiczny potencjał obronny, jako problem prywatno-korporacyj ny, wreszcie jako jeden z celów polityki bezpieczeństwa. Dlatego kompetencje do zajęcia się tym zagadnieniem są również różnic rozdzielone, poczynając od określonych agencji rządowych, poprzez dziedzinę prawno-legislacyjną, ochronę środowiska, obronę narodową lub na połączeniach mieszanych kończąc. Fakt, iż pewna część infrastruktury znajduje się w rękach pry­watnych, czy zagranicznych właścicieli jeszcze bardziej utrudnia możli­wość klarownego podziału odpowiedzialności za ochronę. Wydaje się więc, że państwo indywidualnie nic jest w stanie zapewnić ochronę kry­tycznej infrastrukturze informatycznej we własnym zakresie. Raczej niezbędne są nowe rozwiązania i współpraca z różnymi podmiotami w kraju i zagranicą pomijanymi dotychczas w polityce bezpieczeństwa. Stąd też rozważania te prowadzą do dość istotnego pytania: czy krytycz­na infrastruktura - także informatyczna jest aspektem życia codzienne­go - rutynowego działania, czy też raczej wchodzi w zakres polityki bez­pieczeństwa narodowego i międzynarodowcgo7\ Odpowiedź powinna wskazać, kto ma ponosić odpowiedzialność za działania ochronne, wy­znaczenie celów, opracowanie strategii, pozyskanie sił i środków oraz przygotowanie narzędzi niezbędnych do opanowania problemu.

Infrastruktura tak rozumiana jest coraz częściej elementem polityki bezpieczeństwa i ważnym punktem działań ochronnych. W ślad za Sta­nami Zjednoczonymi, które po wydarzeniach z 11 września 2001 roku zwiększyły zakres ochrony infrastruktury krytycznej w kraju podejmując wspólne wysiłki rządu, społeczeństwa, organizacji oraz sektorów uzna­nych za krytyczne, wiele państw, w tym także organizacje międzynaro­dowe podjęły własne działania w tym obszarze.

0x08 graphic
' Technologie systemów umieszczonych w kosmosie dla celów obronnych (broni kosmicz­nych), dolychczas znane głównie- Stanom Zjednoczonym (także Rosji i Chinom) stają się obecnie przedmiotem działalności komercyjnej, co umożliwia innym państwom i organiza­cjom pozyskanie znaczących zdolności uderzeniowych.

1 Infrastruktura krytyczna, zwłaszcza informatyczna, jest dziś widziana jako kluczowa część bezpieczeństwa narodowego wiciu państw i stalą się centralnym punkiem debaty na temat przeciwdziałania terroryzmowi.

15


Zagrożenia działalności opartej o systemy komputerowe

Infrastruktura krytyczna wykorzystująca systemy komputerowe funk­cjonuje w nieustannym zagrożeniu zaistnienia poważnych zakłóceń. Współzależność połączeń takie ryzyko nawet zwiększa, kiedy jeden sys­tem może zakłócić kolejny, działający dotychczas sprawnie. Masowość takich powiązań sieciowych stanowi swego rodzaju ścieżkę między sys­temami, które jeśli nie są odpowiednio chronione, to ich zasoby infor­macyjne mogą być przeglądane, a więc dostępne dla nieuprawnionych użytkowników operujących z odległych miejsc. Oczywiście takie zagro­żenie może mieć miejsce również w przypadku naturalnych katastrof, (trzęsienia ziemi, powodzie, itp.), ale doświadczenia wyniesione ze zmiany czasu Y2K wskazują, że bariery przeciwzakłóceniowe mogą stać się celem ataku osób - grup o złych zamiarach, np. terrorystów lub grup narodowościowych zaangażowanych w prowadzenie wojny informacyj­nej. Rezultaty takich wrogich działań mogą być różne, zależne od skali zagrożenia. Prawdopodobne jest jednak, iż niektóre z istotnych dla da­nego segmentu operacje mogą być zakłócone lub sabotowane, dane niejawne mogą zostać ujawnione lub nawet skopiowane, albo też zaist­nieją takie zmiany, które uniemożliwią normalne funkcjonowanie ta­kiego segmentu. Szczególnie istotnym okazać się może możliwość zor­ganizowania celowego ataku komputerowego przez terrorystów lub wrogie państwo na zasadniczo ważne systemy, takie jak dystrybucja energii, telekomunikacja, służby bankowe i finansowe, zdolności obron­ne państwa, jak również celowe działanie dezorganizujące system po­mocy socjalnej w danym kraju. Zrozumienie tych uwarunkowań związa­nych z funkcjonowaniem infrastruktury krytycznej i określenie sposobu zapobiegania takim zakłóceniom jest, jak się wydaje jednym z głównych wyzwań bezpieczeństwa państwa. Potrzeba wzmocnienia bezpieczeń­stwa operacji komputerowych jest coraz bardziej powszechna zarówno po stronie rządowej jak i po stronie sektora prywatnego.

W celu określenia poziomu bezpieczeństwa chronionych obiektów infrastruktury krytycznej niezbędne staje się poznanie rodzaju ryzyka z tym związanego. Zwłaszcza, że takie rozpoznanie zagrożenia jest pro­cesem ciągłym wobec nieustannego rozwoju technologii komputero­wych, narzędzi i technik posługiwania się nimi oraz ich dostępności dla osób nieuprawnionych (intruzów, hakerów). Kilka przykładów potwier­dzających wrogie wykorzystywanie osiągnięć technicznych. Wspomnieć warto w tym miejscu o zorganizowanej serii ataków w Stanach Zjedno­czonych w lutym 1998 roku na operacyjny system naprowadzania rakiet Solaris. Cechą charakterystyczną tego ataku (Solar Sunrise) była systc-

16


matyczność (trwał cały miesiąc) oraz działanie w sposób świadczący

0 próbie skoordynowanego ataku na wicie elementów infrastruktury in­
formatycznej Departamentu Obrony USA w czasie, kiedy trwały prace
planistyczne nad możliwą operacją militarną w Iraku.

Nieco inny kontekst wynika z raportu Generalnego Biura Audytu z grudnia 1999 roku. Autorzy raportu stwierdzili w tym okresie poważ­ne słabości systemu bezpieczeństwa informatycznego Departamentu Obrony USA wskazujące Ba możliwość modyfikowania, wykradania, nieumiejętnego otwierania, a nawet niszczenia niejawnych danych przez hakerów, w tym również przez wielu pracujących tam użytkowni­ków sieci niedbale traktujących swoje obowiązki. Osłabiło to poważnie zdolności Departamentu w kontrolowaniu fizycznego i elektronicznego dostępu do systemu i danych. System nic funkcjonował tak jak to było założone, gdyż nie blokował pracownikom wykonywanie niedozwolo­nych operacji. Konkluzja raportu wskazywała na to, że wiele funkcji ochronnych systemu, włącznie z superkomputerem, logistyką, finansa­mi, zakupami sprzętu, zarządzaniem personelem, wojskową służbą zdrowia oraz wypłatami wynagrodzeń stało się już przedmiotem ataku łub próby oszustwa. Dodać należy, że zapewne użycie wirusa „Melissa", który w kwietniu 1999 roku skaził oprogramowanie Microsoft Word spowodowało wręcz paniczną obawę o katastrofalny niemal efekt, któ­ry jakoby miai mieć związek ze zmianą daty roku 2000, co najlepiej ilu­struje doniosłość pytania, kto lub, co powoduje zaistnienie ryzyka

1 gdzie może ono zaistnieć. Doświadczenia z wrogiego wykorzystywania
nowinek technicznych wskazywały na potrzebę posiadania kompetent­
nego ośrodka kierowniczego, dysponowania odpowiedniej klasy eks­
pertami zdolnymi do zidentyfikowania ryzyka, ustanowienia współpra­
cy między sektorem publicznym i prywatnym, zastosowania technologii
i posiadania kadry kierowniczej oraz naukowej. Niezależnie od takich
negatywnych doświadczeń ciągle istnieją niebezpieczeństwa podważają­
ce wiarygodność i integralność bazy danych komputerowych służących
istotnym sektorom publicznym i w nieco mniejszym zakresie działa­
niom prywatnym. Poniższy diagram przedstawia najbardziej prawdopo­
dobne.

17


Rysunek 2: Niebezpieczeństwa warunkujące powodzenie operacji kom­puterowych

0x01 graphic

0x08 graphic
Żródio: Narodowy Instylut Slaiidaidów i Technologii, (N1ST).

Diagram opracowano w oparciu o szerszą interpretację wybranych niebezpieczeństw, sytuacji oraz zdarzeń zakwalifikowanych jako praw­dopodobne zagrożenia, w tym m.in.:

• Złośliwi hakerzy: osoby, które poszukują możliwości uzyskania bez­prawnego dostępu do systemu komputera są szczególnie niebez­pieczne, ponieważ trudno ich zidentyfikować, a ich intencje są nie­znane. W ostatnich latach wzrasta obawa, że mogą pracować dla terrorystów lub obcych wrogich państw powodując znaczne szkody w infrastrukturze komputerowej.

■ Złośliwe kody, znane powszechnie jako wirusy, robaki, konie Troja-na i bomby logiczne są często rozprzestrzeniane przy użyciu poczty

18


c-mail, mogą powodować poważne uszkodzenia i zakłócenia trud­ne do skorygowania. Takim przykładem może być wirus Melissa. Błędy lub pominięcia w danych wejściowych są poważnym niebez­pieczeństwem dla tworzenia bazy danych i jej integralności. Takie biedy powstają nie tylko w wyniku zlej woli operatora komputera wprowadzającego tysiące informacji każdego dnia, aic także przez innych użytkowników tworzących i redagujących takie bazy. Niedozwolona modyfikacja oprogramowania jest zwykle dokonywa­na przed zainstalowaniem lub podczas prac obsługowych i konser­wacyjnych. W tej sprawie mogą wypowiedzieć się fachowcy, którzy potwierdzają, że największe ryzyko jest związane z instalowaniem oprogramowania niewiadomego pochodzenia (piracko kopiowane­go), początkowo niezłośliwego, ale sprzyjającego powstawaniu błę­dów, co może doprowadzić do „eksplozji komputera".

Oszuści i złodzieje wykorzystują systemy komputerowe stosując me­tody tradycyjne lub opracowują nowe, szczególnie w odniesieniu do uzyskania dostępu do zasobów materiałowych i finansowych, lufa zestawień danych. Atak konstruowany jest poprzez obezwładnienie systemu za pomocą przesyłania ogromnych ilości niepotrzebnych informacji, albo przez dystrybucję niewinnych maszyn, zwanych „zombi" przydatnych do organizowania kolejnych fal ataków. Co istotne, tego typu narzędzia są szeroko dostępne w Internccie. Sabotaż pracowników może być szczególnie niebezpieczny ze wzglę­du na fakt, że pracownicy (także zatrudnieni czasowo) posiadają szczegółową wiedzę o systemach operacyjnych, ich zabezpiecze­niach i słabych punktach. Taki sabotaż może obejmować niszczenie urządzeń, „podkładanie" bomb logicznych niszczących oprogramo­wanie lub dane, blokowanie systemów lub wykradanie i ukrywanie informacji niejawnych.

Działania szpiegowskie obcych rządów mogą być ukierunkowane nie tylko na informacje niejawne. Pozyskanie informacji jawnych dotyczących planów podróży kierownictwa państwa, obrony cywil­nej i przygotowań obronnych na wypadek nadzwyczajnych zagro­żeń, danych nt. wybranych zakładów produkcyjnych i stosowanych tam technologii, stanu personelu i ich danych osobowych oraz te­czek dochodzeniowych i spraw sądowych może być także interesu­jące i przydatne.

■ Prywatność życia osobistego jest narażona jak nigdy dotąd, gdyż da­ne osób indywidualnych są przetwarzane i gromadzone komputero-

19


wo przez instytucje i agencje rządowe, instytucje finansowo - kre­dytowe, przedsiębiorstwa prywatne, itp. W wiciu przypadkach dane personalne stają się coraz częściej „towarem" na sprzedaż. ■ Szpiegostwo przemysłowe może być realizowane albo przez zakłady poszukujące sposobów na polepszenie swej konkurencyjności lub przez przedstawicieli rządów poszukujących sposobów udzielenia pomocy przemysłowi krajowemu.

Jaka infrastruktura wymaga ochrony?

Po zidentyfikowaniu, co można uważać za infrastrukturę krytyczną ko­nieczna jest strategia działania, która określi, jakie elementy infrastruk­tury są „krytyczne" dla jej funkcjonowania, a jakie dziedziny muszą być chronione, by nie dopuścić do znacznego zachwiania stabilności państwa i obniżenia stanu posiadania społeczeństwa. Nie cały potencjał państwa może być uznany za krytyczny, to oczywiste, choć poszczególne elementy będą traktowane z różnym priorytetem. Wielkość i kompleksowość takiej infrastruktury może być zadaniem zniechęcającym na szczeblu rządowym do jej kategoryzowania i ewidencjonowania. Specjaliści zajmujący się in­frastrukturą uważają, że w jej skład wchodzi określona liczba portów morskich i lotniczych, statków morskich (śródlądowych) i powietrznych, kompleks infrastruktury transportowej, czyli policzalna ilość kilometrów dróg, skrzyżowań, mostów, przepustów, węztów kolejowych, linie przesy­łowe i terminale, przekaźniki (RTV, telefonii komórkowej, meteorolo­giczne, itp.), rezerwuary wodne, oczyszczalnie i akwedukty, elektrownie i fabryki (np. zakłady chemiczne) oraz wiele innych obiektów posiadają­cych określone znaczenie dla oceny ryzyka i określania priorytetów. Jed­nocześnie z drugiej strony dobrze się składa, że taka ewidencja lub staty­styka jest dostępna dla planistów i może być wykorzystana w pracach pla­nistycznych pozwalając na dyskusję ekspertów jak taki potencjał (lądowy, wodny, powietrzny) powinien być postrzegany w kontekście, czy są to, lub nic, elementy krytyczne infrastruktury.

Każdy system teleinformatyczny połączony bezpośrednio, lub po­średnio z Internetem, albo z sieciami publicznymi jest narażony na ry­zyko, bowiem niepewność jest praktycznie nieusuwalnym elementem systemów komputerowych zaprojektowanych głównie do zapisywania, wyszukiwania i wymiany informacji, a mechanizmy ochrony są drugo­rzędnymi elementami dla systemu. Wyrafinowany atak jest niemożliwy do wykrycia przy użyciu rutynowych narzędzi bezpieczeństwa, takich jak zapory ogniowe oraz system wykrywania intruzów. Świadczy o tym

20


wbudowanie protokołów komputera gtęboko, wewnątrz systemu w celu ułatwiania dostępu do wewnętrznych połączeń, ale już raniej do zapo­biegania, co niekiedy jest wykorzystywane przez osoby nieuprawnione jako ułatwienie w planowaniu ataku.

Elektrownie jądrowe wraz z instalacjami zawsze byty ochraniane, choć pogląd, co i jak należy chronić zmieniał się wielokrotnie. W latach sześćdziesiątych skupiono się na zapobieganiu proliferacji broni maso­wego rażenia (BMR), w następnych latach uwagę przywiązywano do potencjalnego szantażu lub ataku ze strony państw posiadających BMR nielegalnie, by po 2001 roku obawiać się sabotażu, łub ataku samobój­czego z wykorzystaniem samolotu6.

Po zliberalizowaniu rynku dostawy gazu pojawiły się nowe wyzwania. Poprzednio konsorcja współpracowały ze sobą, oferowały usługę zinte­growaną i ponosiły odpowiedzialność za dostawę gazu i za infrastruktu­rę przesyłową. Obecnie nastąpi! wyraźny rozdział interesów między ofe­rującymi produkt a właścicielami urządzeń przesyłowych, co zamazuje klarowność podziału zakresu odpowiedzialności. Zauważalne jest zja­wisko przejmowania infrastruktury przesyłowej (urządzeń) na teryto­rium innych państw przez podmioty obce, nie narodowe (firmy pośred­niczące nieznanego pochodzenia).

Transport morski należy do specyficznej infrastruktury, a wiele z jej ele­mentów wymaga ochrony. Statki jako środki transportu stają się niebez­pieczne głównie z powodu przewożenia specjalistycznych towarów, np. tru­jących, szkodliwych, zabronionych embargiem dostaw części zamiennych do urządzeń wybuchowych lub elektrowni, czy materiały rozszczepialne. Do­niosłe znaczenie ma trasa żeglugi morskiej statków, które ze względu na przewożony ładunek oraz położenie, np. tankowce przepływające w pobliżu brzegów lądu, miast, czy w cieśninie stanowią zagrożenie dla innych.

Transport lądowy wykorzystuje często przeróżną infrastrukturę dro­gową, ale wystarczy tylko wspomnieć o kompleksie problemów związa­nych z pokonywaniem wielokilometrowych tuneli przez pojazdy z kon­tenerami, lory kolejowe, pędzące samochody osobowe, lub transport specjalny, by dojść do wniosku o konieczności zapewnienia specjalnych procedur ochronnych.

Na początku 2003 roku byliśmy świadkami dużego kryzysu sanitarne­go związanego z epidemią choroby wirusowej SARS. Kryzys pokazał

0x08 graphic
* Elektrownia atomowa KKL Leibstadt, w Szwajcarii po przeprowadzeniu symulacji prawdo­podobnych skutków takiego ataku przesłoniła reaktor specjalnej konstrukcji kopułą znoszącą uderzenia i eksplozje. Zniszczenie innych instalacji elektrowni nie powodują takich zanie­czyszczeń jak io może mieć miejsce w przypadku uszkodzenia reaktora.

21


w sposób brutalny wiele niedoskonałości dotyczących zarządzania kry­zysowego w wielu częściach świata. Pokazał również, że epidemia, któ­ra przybrała charakter globalny (Hongkong, Pekin, Toronto, Johanes-burg) rozpowszechniając się z prędkością samolotu, może być zahamo­wana wyłącznie dzięki sprawnemu systemowi ochrony istotnych urzą­dzeń, posiadania zasobów medycznych i wyszkolonych załóg ratunko­wych oraz dzięki podjęciu skutecznych kroków przeciwdziałania pro­blemowi mimo oczywistego zaskoczenia władz, ludności i właścicieli elementów infrastruktury, w których przebywali ludzie.

Rozległa przerwa w dostawie energii elektrycznej, która miała miej­sce w północnych stanach Stanów Zjednoczonych i Kanadzie w dniu 14 sierpnia 2003 roku, spowodowała pozbawienie zasilania ponad 50 mi­lionów ludzi. Wyłączone zostało oświetlenie domów i ulic, wagony ko­lei i metra zatrzymały się nagle (także w tunelach podziemnych), urzą­dzenia chłodnicze przestały chłodzić, większość odbiorców została po­zbawiona elektryczności przez około dwa dni. Z wypowiedzi Sekretarza Stanu ds. energii wynikało, że elektrownie wyłączyły dostawy nieoczeki­wanie, po otrzymaniu złych danych do systemu monitorowania, powo­dując lawinowy efekt na liniach przesyłowych. Raport komisji w tej sprawie wskazywał na trzy przyczyny zaistnienia tego zdarzenia:

  1. Niedostateczna wiedza we wczesnym zorientowaniu się (o sytuacji,
    że zaistniał problem) w elektrowni Ohio dostarczającej energię
    oraz operatora systemu przesyłania prądu;

  2. Nieodpowiednie słupy wzdłuż kluczowego odcinka linii, podtrzymujące
    przewody elektryczne umożliwiające przeciążenia na podwieszeniach;

  3. Brak systemu monitorowania w czasie rzeczywistym oraz niezdol­
    ność do lokalizacji i określenia skali wyłączenia, a w dodatku brak
    koordynacji miedzy dostawcą a operatorem sieci.

Tych kilka przykładów ważnej infrastruktury potwierdza, że żadna z nich nie może funkcjonować w całkowitej izolacji od drugiej. Produk­cja energii zależy w poważnej mierze od transportu, transport potrzebu­je energii, natomiast obydwa sektory nie mogą się obejść bez sieci infor­matycznych, których efektywne działanie zależy od energii. Wszędzie powinni być przygotowani specjaliści do radzenia sobie z takimi przy­padkami, w dodatku otoczeni opieką medyczną. Dlatego te wzajemne zależności powodują, że atak na jeden z tych segmentów infrastruktury wpłynie destrukcyjnie na inny, a każdy z tych sektorów wydaje się uprawniony do zapewnienia ochrony. Jednocześnie warto pamiętać, że wiele gałęzi przemysłu wykorzystuje urządzenia, np. choćby akumulato­ry i generatory produkowane przeważnie przez jedną fabrykę, być mo-

22


że zagraniczną, a zapas magazynowy nie pozwala na ich natychmiasto­wą wymianę w dużej ilości, kiedy zaistnieje nagła potrzeba. Wyprodu­kowanie tych urządzeń zajmuje zwykle kilka miesięcy. W poszukiwaniu odpowiedzi na pytanie co warto ochraniać i w jakiej kolejności należy lakże brać pod uwagę geograficzne położenie poszczególnych elemen­tów infrastruktury, gdyż rozlokowanie wiciu obiektów infrastruktury krytycznej na niewielkiej przestrzeni i malej odległości od siebie musi wpłynąć na wybór priorytetu. Nic wolno także lekceważyć przygotowa­nia „krytycznego" personelu, chronionego umiejętnie zarówno przed atakiem fizycznym, jak również wywiadowczym zmierzającym do ujaw­niania ich niejawnej najczęściej wiedzy, bez którego wicie specjalistycnych urządzeń nie będzie w ruchu.

Jedną z ciekawszych propozycji odpowiedzi na pytanie jaka infrastruk­tura wymaga ochrony wydaje się być analizowanie wybranych sektorów państwowych, które zakwalifikowały zarządzane przez nich obiekty infra­struktury jako krytyczne, czyli wybrane i wymagające ochrony. Jednak to zbyt prosta odpowiedź, gdyż administracja każdego kraju zajmująca się np. problemami środowiska naturalnego powinna przy rozważaniu tego dylematu wziąć pod uwagę przykład ataku ziej pogody, która spustoszyła środowisko naturalne człowieka w styczniu 1998 roku w Kanadzie (pro­wincja Guebec); za wcześnie na przytoczenie tragedii „fal Tsunami". Marznący deszcz przechodzący w burzę lodową spowodował katastrofę technologiczną, gdyż szybko dały o sobie znać awarie urządzeń, wadliwe działanie i niewydolność najważniejszej infrastruktury, zidentyfikowanej w Kanadzie jako krytyczna. Była to przede wszystkim telekomunikacja, transport, system bankowy i finanse, dostawy wody pitnej i energii, czyli infrastruktury zapewniającej podstawy funkcjonowania społeczeństwa. Straty poniesione w wyniku tego ataku oszacowano na 3 miliardy dolarów GAD'. Przykład ten potwierdza, jak wiele potencjalnych słabości infra­struktura krytyczna posiada, większość z nich wynika z jej wielkości i wza­jemnych powiązań, tj. współzależności.

Problemy ochrony

Jednym z zasadniczych problemów wydaje się być brak wysiłków na­rodowych zmierzających do zapewnienia bezpieczeństwa przyszłych konfiguracji systemu energetycznego państwa, włącznie z sieciami prze-

0x08 graphic
1 Uznano w Kanadzie za niezbędne, wprowadzenie do szkolnych programów nauczania przedmiotu Geografia i nauki społeczne tematu „Zrozumieć istotne aspekty katastrofy natu­ralnej", jako doświadczenie wyniesione z burzy lodowej.

23


syiowymi elektryczności, innymi zależnymi generatorami mocy i urzą­dzeniami dystrybucji. Problem się pogłębia, jeśli spojrzeć na zagranicz­nych, w domyśle prywatnych właścicieli określonych segmentów (czę­ści) tego sektora. Trudno przypuszczać, aby planowali rozwój w tej dzie­dzinie adekwatnie do wspomnianych konfiguracji określonych w strate­gii energetycznej państwa i to we współpracy międzynarodowej.

Drugi problem, to nic wiadomo jak układające się stosunki między sektorem rolnictwa a służbami specjalnymi, jeśli jakiekolwiek relacje istnieją. Brak kontaktów miedzy tymi działami administracji oznacza, że informacje o możliwości ataku na dostawy żywności mogą omijać agencje za to odpowiedzialne, być może nadal rządowe, jeśli agencja bezpieczeństwa nie uważa za konieczne współpracować w tej sprawie z określonymi strukturami rolniczymi.

Kolejny znany już problem, to system ochrony zdrowia, który nie jest gotowy na udzielenie pierwszej pomocy medycznej w przypadku ataku biologicznego, chemicznego, czy radiologicznego. Szczególną słabością tego systemu jak wiadomo jest niewystarczający poziom finansowania szpitali i klinik rozmieszczonych w różnych regionach kraju, brak pełnej kompatybilności sprzętowej ratownictwa, niestabilny stan prawny oraz zaległości w stosowaniu prawa, brak wyszkolonego personelu, czy wreszcie możliwe braki w dostawach specjalistycznego sprzętu medycz­nego i środków adekwatnych do rodzaju środka i skali użycia. Należy podkreślić, że nie jest to problem jednego tylko państwa.

Rozlokowanie elementów infrastruktury wynikające z zupełnie nie­zależnych przesłanek na etapie jej powstawania generuje zagrożenia, bowiem niektóre ze specyficznych obiektów, jak np. centra komputero­we i kontrolne są szczególnie intratnym celem ataku. Tymczasem tTzy sektory infrastruktury: rurociągi naftowe, transport powietrzny i linie kolejowe korzystające powszechnie z tych urządzeń i programów kom­puterowych użytkują dużą liczbę takich central (łączności, węzły roz­dzielcze, stacje zasilania i wzmocnienia sygnałów) rozmieszczone w du­żych iiościach na terenie całego kraju. Rozproszenie tak ważnego i du­żego segmentu infrastruktury czyni go podatnym na zakłócenia nawet z powodu małych incydentów, a ochrona wszystkich jest niemożliwa.

Biorąc dotychczasowe rozważania pod uwagę można stwierdzić, że problemy z ochroną infrastruktury krytycznej sprowadzają się do pro­stych braków, niedociągnięć i zaniedbań. Typowym jest brak pełnego rozpoznania niebezpieczeństw na poziomie narodowym zwłaszcza, że niektóre z sektorów krytycznych nie są wystarczająco kontrolowane i ochraniane. Równie znanym jest brak współpracy międzynarodowej oraz koordynacji międzyrządowej, co jest szczególnie dotkliwe przy alo-

24


kacji środków finansowych i obawy o racjonalne wykorzystanie wkładu finansowego. Dotyczy to również koordynacji między rządami i sekto­rem prywatnym, szczególnie w odniesieniu do okazywanej niechęci dzielenia się informacjami z przedstawicielami biznesu prywatnego. Za­niedbaniem powszechnym jest niewystarczający poziom uświadomienia społeczeństwu ważności dla stabilnego życia istotnej infrastruktury roz­lokowanej w ich otoczeniu. Wystarczyłoby skorzystać z mediów publicz­nych zwykle będących w posiadaniu państwa, aby stan laki zmienić za­sadniczo. Wynika to jak sadzić należy, z niepokoju towarzyszącego de­cydentom w jednoznacznym nadawaniu odpowiedniej rangi zagrożeniu. Wielu z polityków pozostających u władzy preferuje podejście wyczeku­jące, bez perspektywy, uznając ryzyko za matę, a niebezpieczeństwo za nieprawdopodobne, na rzecz podejmowania zdecydowanych działań po zaistnieniu faktu, kiedy skutki są daleko poważniejsze.

Problemy z ochroną infrastruktury byty tematem międzynarodowego forum bezpieczeństwa w Genewie, które w trakcie warsztatów robo­czych wypracowało następujące propozycje rozwiązań":

0x08 graphic
1 Nowe wyzwania dla instytucji i sektora prywatnego, Centrum Polityki Bezpieczeństwa, Ge­newa 7-8 września 2004 r.

25


Przyspieszenia wymaga przygotowanie przez rząd specjalistów służ­
by zdrowia, przeszkolonych i zdolnych do podjęcia pierwszych dzia­
łań po ataku terrorystycznym z użyciem środka biologicznego lub
chemicznego. Dane o składowanych środkach pomocy winny być
dostępne na poziomie lokalnym, do wykorzystania w przypadkach
nadzwyczajnych zagrożeń. Zrozumiałe jest, że tego typu zadania
wymagają dodatkowego zasilania finansowego;

■ Przeszkolenie specjalistów reagujących w pierwszej kolejności w miej­scach po zaobserwowaniu niezidentyfikowanego środka chemiczne­go powinno leżeć w obszarze zainteresowań przemysłu chemicznego, w tym także nadanie priorytetu szkolenia personelu medycznego go­towego do udzielania pomocy przy skażeniach chemicznych;

Propozycje wskazują na długofalowy proces tworzenia lub doskona­lenia strategii ochrony infrastruktury krytycznej, co winno być prowa­dzone w oparciu o systematyczne planowanie na szczeblu centralnym z zejściem na poziom lokalny, także z udziałem sektora prywatnego.

0x08 graphic
h W połowie 2003 roku w transporcie morskim byto w użyciu około 11 min kontenerów - da­ne Światowej Rady Transportu Morskiego.

26


Strategia fizycznej ochrony infrastruktury krytycznej i zasadnczych zasobów państwa

Rosnąca liczba infrastruktury, która wymaga ochrony wymusza zwiększone zaangażowanie administracji rządowej w tworzenie ustawo­dawstwa dotyczącego ochrony infrastruktury, zobowiązuje administra­cję rządową do kontaktów z każdym sektorem infrastruktury krytycznej oraz do gromadzenia danych w bazie danych na temat wrażliwych, sia-bych punktów, wykorzystywania danych do analiz stanu ochrony, moni­torowania incydentów w każdym z sektorów, w tym również wysyłania sygnałów ostrzegawczych o zagrożeniach. Wykonanie tego jest możliwe tylko w drodze opracowania strategii działania, która powinna co naj­mniej zidentyfikować rzeczywiste zasoby krytyczne, których ochrona jest absolutnie niezbędna. Wytypowanie obiektów podlegających szcze­gólnej ochronie może nastąpić w drodze formalnej akceptacji przez rząd, ponieważ tego typu obiekty wraz z elementami współpracującymi występują w więcej niż jednym sektorze strukturalnym. Typowym przy­kładem obiektu specjalnego, stosowanego w każdym niemal sektorze może być określony system informatyczny.

Przy opracowaniu strategii niezbędne jest, aby jej autorzy brali pod uwagę zasady i kierunki polityki bezpieczeństwa danego państwa. Z nich wynikać powinna konieczność przeciwdziałania potencjalnym zagrożeniom skierowanym przeciwko infrastrukturze. Znane i nowe za­grożenia pojawiające się wraz z postępem technologicznym związane z niesprawnością sprzętu, błędem człowieka obsługującego takie urzą­dzenie, wpływem warunków pogodowych lub innych przyczyn natural­nych, a także bezpośrednimi atakami na urządzenia i „przestrzeń" kom­puterową uzmysłowiły wielu krajom fakt, że ochrona obiektów i urzą­dzeń wspomagających sektory krytyczne w państwie, jest niezwykle waż­na nie tylko dla polityki narodowej, ałc ma także duże znaczenie w wy­miarze ponadnarodowym. Dlatego polityka wobec problematyki ochro­ny infrastruktury krytycznej musi znaleźć się w centrum uwagi koncep­cji bezpieczeństwa narodowego każdego kraju.

Jedną z podstawowych założeń strategii fizycznej ochrony infrastruk­tury jest posiadanie przepisów prawa pozwalających na podjecie sku­tecznych działań. Wynika to z faktu, że w ochronie infrastruktury kry­tycznej uczestniczy wiele podmiotów państwa posługujących się szero­kim spektrum mechanizmów i narzędzi działania, mających w tym róż­ne interesy. Różni ich także pojęcie infrastruktury. Infrastruktura kry­tyczna rozumiana jako systemy występujące zarówno w dziedzinie ma­terialnej jak i teleinformatycznej (komputerowej), a które są życiowo

27


tak istotne, że ich niezdolność do funkcjonowania lub zniszczenie osła­biłoby poważnie bezpieczeństwo narodowe, stabilność ekonomiczną lub bezpieczeństwo publiczne były historycznie rzecz biorąc fizycznie i logicznie systemami rozdzielonymi z małym marginesem współzależ­ności. Jednakże w związku z rozwojem technologii informatycznych oraz potrzebą poprawy efektywności życia społcczno-gospodarczego, infrastruktura tego typu jest narastająco automatyzowana, a funkcje wzajemnie powiązane. Stąd koniecznym jest wydanie aktu prawnego w sprawie obiektów infrastruktury szczególnie ważnych dla bezpieczeń­stwa i obronności państwa, który ujednolici pojęcie i wskaże na obiekty i urządzenia krytyczne. W takim dokumencie powinny być zidentyfiko­wane obiekty o różnej kategorii pod względem ważności. Przeglądając materiały źródłowe można przypuszczać, że do kategorii pierwszej moż­na by zaliczyć zakłady produkujące i remontujące uzbrojenie i sprzęt wojskowy, bazy, magazyny rezerw państwowych (w tym materiałów ją­drowych i odpadów promieniotwórczych) i składy, obiekty wykorzysty­wane przez sektor finansowo-bankowy, wytypowane urządzenia trans­portu drogowego, lotniczego, morskiego i lotniczego, zapory wodne, czy urządzenia służące nadawaniu programów przez media. Kategorię drugą mogłyby tworzyć elektrownie i urządzenia telekomunikacyjne, obiekty wybranych instytucji państwowych, zakłady stosujące materiały stwarzające zagrożenia dla życia lub wywołujące choroby, czy inne obiekty, których zniszczenie lub uszkodzenie stanowiłoby zagrożenie dla życia i zdrowia ludzi, dziedzictwa narodowego oraz środowiska na­turalnego. Do tej kategorii włączone mogą być obiekty pozostające we władaniu zarówno instytucji państwowych jak i przedsiębiorców prywat­nych. Można domyślać się, że taki akt prawny powinien odnieść się rów­nież do sposobu traktowania obiektów wykorzystywanych przez organy władzy publicznej, gdyż atak na nie mógłby zakłócić funkcjonowanie państwa. Wydaje się, że opracowanie założeń strategii ochrony spowo­duje, iż struktury wykonawcze wypełnią swe obowiązki określone w przepisach prawa oraz wytycznych zobowiązując je do zapewnienia bezpieczeństwa zasobom infrastruktury krytycznej, w tym informatycz­nej. W założeniach znajdzie się propozycja podziału ról różnych struk­tur rządowych (federalnych), określając ich kompetencje w kwestiach bezpieczeństwa infrastruktury. Założenia zidentyfikują zapewne naj­bardziej doniosłe problemy stojące przed tymi strukturami, a zadaniom przez nich realizowanym nadadzą rangę pierwszeństwa. Ponadto goto­wa strategia stanowić będzie narzędzie ostrzegania dla wyższych przed­stawicieli administracji o zagrożeniach bezpieczeństwa wybranych sek-

28


turów, zwłaszcza tych, których zasadnicze funkcje są zautomatyzowane. Należy oczekiwać, iż strategia wymieni użyteczne narzędzia bezpieczeń­stwa i ochrony, techniki i uznane zwyczaje zarządzania (powoływanie grup roboczych, zespołów międzyresortowych), wskaże na konieczność posiadania ekspertów z najwyższymi - specyficznymi kwalifikacjami oraz zobowiąże wybrane sektory, w tym zwłaszcza finansowy do regu­larnej oceny bezpiecznego poziomu zasobów finansowych państwa. Równocześnie nazwie cele długookresowe zakreślając horyzont czaso­wy ich osiągnięcia, wskaże na strukturę kontrolną oceniającą wykonaw­stwo zadań z perspektywy rządu. Przy tworzeniu strategii i uchwalaniu podstaw prawnych rząd będzie także pod naciskiem finansowania środ­ków bezpieczeństwa i ochrony infrastruktury zastosowanych na różnych poziomach administracji, w tym samorządowym, nic tylko w sektorach publicznych, ale także infrastruktury pozostającej w rękach prywatnych. Dotyczyć to może także wykorzystywania zgodnie z prawem limitów osobowych i innych zasobów państwa niezbędnych do zapewnienia szczególnej ochrony. Dlatego, aby sprostać temu niezbędne okazać się może zastosowanie priorytetów w celu podziału ograniczonych środków w taki sposób, aby zminimalizować skutki przyszłych ataków (terrory­stycznych) wymierzonych w infrastrukturę narodową. Przy tworzeniu strategii zaleca się zastosowanie technik i modelów komputerowych do opracowania hierarchii ważności i określenia słabych punktów infra­struktury. Uwzględniając założenia strategia wskaże na niezbędność opracowania narodowego planu ochrony infrastruktury krytycznej przed potencjalnym atakiem (np. terrorystycznym), który określi racjo­nalnie wyważone przedsięwzięcia zapewniające bezpieczeństwo infra­strukturze. Zastosowanie rygorystycznego planowania definiującego cele, dokonywanie analiz „koszt - efekt" proponowanych rozwiązań, mierzenie postępów w realizacji celów, adaptowanie sprawdzonych roz­wiązań i inwestowanie w bezpośrednią ochronę fizyczną obiektów i ich zabezpieczenie, w system alarmowania, powiadamiania i obrony jest sprawdzonym działaniem usuwającym problemy, nie tylko związane z ochroną infrastruktury krytycznej.

Powyższe rozważania wskazują, że organem wiodącym w realizacji tak skonstruowanej strategii byłby rząd, który prowadziłby prace kon­cepcyjne, planistyczne, organizacyjne, logistyczne, techniczne, szkole­niowe i kontrolne. Miałby również za zadanie koordynować działania między sektorami, także zajmować się problemami ograniczeń i prze­szkód w realizacji planów na niższym szczeblu udzielając niezbędnej po­mocy. Najistotniejsze w działaniach ochronnych rządu jest jak się wyda-

29


je zdefiniowanie obiektów krytycznych (ich kategoryzacja) oraz utwo­rzenie formacji ochronnych wspólnych dla wszystkich uczestników tego typu działań. Wiązać się to będzie z potrzebą uregulowania zakresu i szczegółowych zasad prowadzenia przygotowań do tzw. militaryzacji w działach administracji rządowej i samorządowej oraz w sektorze pry­watnym. Osobną kwestią pozostaje rozstrzygnięcie, kto powinien opra­cować plany ochrony infrastruktury krytycznej? Można zakładać, że za­dania ogniw ochronnych zostaną sprecyzowane, albo w strategii albo w planie obronnym kraju, dlatego rządowi, a właściwie ministrowi wła­ściwemu do spraw wewnętrznych lub obronności pozostaje rola koordy­nacyjna. Wyrażać się ona może W nadzorowaniu opracowywania, uzgadniania i aktualizowania planów ochronnych infrastruktury kry­tycznej wykonywanych przez jednostki organizacyjne, instytucje, for­macje i biznesmenów, w których właściwości znajdują się obiekty tego typu infrastruktury. Precyzowanie ogólnych wymagań w stosunku do opracowywania planów ochrony obiektów poszczególnych kategorii oraz wskazywanie na podstawy prawne przygotowywania i wykorzysty­wania sił i środków pozostających w gestii innych dysponentów mogło­by wchodzić w zakres działań koordynacyjnych. Niezbędnym może się okazać nazwanie przedsięwzięć obejmujących zapewnienie szczególnej ochrony wytypowanych obiektów infrastruktury w czasie podwyższania gotowości obronnej państwa i w czasie wojny.

Opracowanie planu ochrony obiektów szczególnie ważnych zapew­nić może zrealizowanie powyższych zamiarów. Sporządzenie planu na­dającego priorytet poszczególnym działaniom i określającym, które z przedsięwzięć ochronnych są konieczne, a które powinny być podej­mowane w pierwszej i drugiej kolejności umożliwi rozpoczęcie przed­sięwzięć realizujących strategię ochrony fizycznej. Aby być efektywnym plan powinien zdefiniować cele, ocenić potrzebne siły i środki oraz po­siadać harmonogram realizacji zadań. Taki plan pokieruje aktywnością wielu grup i jednostek włączonych w zapewnienie ochrony obiektów in­frastruktury krytycznej. Stanowić może też podstawę do zapewnienia środków zmniejszających podatność infrastruktury na ataki, wskaże wy­konawców i dzieli odpowiedzialność, wreszcie monitoruje postęp w re­alizacji zaplanowanych przedsięwzięć.

Doświadczenia innych państw wskazują na istnienie problemów związanych z nieprecyzyjnym rozdziałem odpowiedzialności za realiza­cję zadań związanych z organizowaniem ochrony poszczególnych obiek­tów. Jedną z pierwszych przeszkód jest zwykle przekonanie o nadrzęd­ności interesu danej instytucji, a nie problemu w szerszym kontekście

30


bezpieczeństwa kraju. Agencje i instytucje rządowe dążą do samodziel­nego organizowania przeciwdziałania potencjalnym zagrożeniom. By­wa tak zwłaszcza w odniesieniu do sieci komputerowych, kiedy w ra­mach posiadanych możliwości organizują budowę sieci transmisji da­nych oraz wykorzystanie komputerów do tego celu uznając, że tylko one mają prawo narzucać zasady prowadzenia operacji na swoim terenie. Co prawda ponoszą one odpowiedzialność za bezpieczeństwo ich użyt­kowania, ale często zdarza się, że kto inny odpowiada za nadzór nad tworzeniem standardów użytkowania tych urządzeń, a jeszcze inna agencja ma za zadanie kontrolować wykorzystywanie urządzeń. Cha­rakterystycznym przykładem takich zachowań są specyficzne procedury obowiązujące przy pracach niejawnych. Takie działania skupione na za­chowanie swobody wyboru stoją zazwyczaj w sprzeczności z nowymi, niekoniecznie docenianymi centralnie inicjatywami ochrony infrastruk­tury krytycznej.

Ważnym dla realizacji założeń strategicznych jest klarowne rozstrzy­gnięcie ponoszenia odpowiedzialności za zorganizowanie i prowadze­nie działań ochronnych. Sprzyjać temu będzie prawne uregulowanie za­gadnienia łączące problematykę programowania obronnego i military­zacji (obronności państwa) z problematyką bezpieczeństwa wewnętrz­nego i porządku publicznego, w tym także regulujące ochronę osób i mienia. Akt prawny w tej sprawie powinien także wskazywać na zasa­dy ochrony obiektów specjalnych, np. tych użytkowanych przez kierow­nictwo państwa na czas kryzysu i wojny. Projekt takiego dokumentu może być opracowany w ramach prac badawczych fenomenu terrory­zmu prowadzonych obecnie w wielu krajach, gdyż największe zagroże­nie bezpieczeństwa tego typu infrastruktury jest związane z działania­mi terrorystycznymi. Podejście takie zapobiegnie rywalizacji między agencjami rządowymi w działaniach zapobiegawczych i ograniczy znacznie koszt całego przedsięwzięcia. Coraz szersza jest bowiem świa­domość, że dokładna wiedza o zależnościach w obszarze wykorzystywa­nej infrastruktury, czyli o źródłach zagrożenia jest warunkiem wstęp­nym do sformułowania przeciwdziałania i zwalczania zjawiska. Nauko­we i metodyczne podejście do zwalczania terroryzmu może stanowić pozytywny przykład rozwiązania, które może być powielone przy orga­nizowaniu ochrony szczególnie ważnej infrastruktury. Dostarczy zainte­resowanym wyniki analizy danych, pozwoli na wykorzystanie sprawdzo­nych narzędzi badawczych, a co najważniejsze istniejące zdolności do oceny zagrożeń i zidentyfikowania ryzyka zostaną efektywnie wykorzy­stane do skonstruowania planu działania.

31


ROZDZIAŁ 2

Przegląd polityki ochrony infrastruktury

krytycznej w wybranych państwach1"

Przegląd skupia się na podejściu wybranych państw do infrastruktu­ry krytycznej, a dokładnie: (1) definicji infrastruktury krytycznej oraz nazwaniu sektorów zidentyfikowanych jako istotnie ważne i przez to uznawane w danym kraju za krytyczne, (2) wymienia podjęte inicjatywy wyrażające politykę państwa w tym obszarze, (3) nazywa zasadnicze struktury organizacyjne oraz (4) sygnalizuje sposoby ostrzegania o za­grożeniach; zamiast podtytułów będą się powtarzać tylko cyfry. Zrezy­gnowałem z opisywania projektów e-Government - typowych dla poli­tyki UE w lym obszarze.

Austria

Jako kraj nowoczesny, Austria posiada wiele elementów infrastruk­tury zarówno wojskowej jak i cywilnej szczególnie narażonych na zakłó­cenia. Mimo tego nie istnieje jedna, zgodna koncepcja definiująca in­frastrukturę krytyczną. Jednak bazując na opracowaniu Gartncr Heinz / Holi Otmar, Bezpieczeństwo ogólne (Wiedeń, 2001) oraz Podręcznik rządu federalnego w sprawach bezpieczeństwa można przyjąć, że nastę­pujące sektory są uważane za krytyczne (1):

0x08 graphic
ln Korzystałem z opracowania „Ochrona krytycznej infrastruktury informatycznej - C11P", wy­dawnictwa szwajcarskiego Federalnego Instytutu Technologii, Zurych, 2002 rok

32


  1. Doktryna bezpieczeństwa i obrony 2001 określa, że strategicznym
    celem polityki bezpieczeństwa jest „obrona ludności kraju oraz funda­
    mentalnych wartości przed wszystkimi zagrożeniami". Uwzględniła no­
    we zagrożenia, do których powinny być dostosowane programy obrony
    i polityki bezpieczeństwa. Doktryna jednoznacznie wskazuje, że dla
    państwa małego, jakim jest Austria pełny i nieskrępowany dostęp do
    istotnych obszarów krytycznych, w tym do informacji jest ważnym ele­
    mentem swobody działania. Opracowanie dziedzinowych strategii dzia­
    łania powinno zapewnić niezbędną współpracę w tych obszarach.
    W 2000 roku rząd Austrii zdecydował wprowadzić w życie program ba­
    zujący na standardzie e-Government stwarzający możliwość komuniko­
    wania się między mieszkańcami a administracją publiczną oraz umożli­
    wiający łączność wewnętrzną między poszczególnymi branżami tej ad­
    ministracji. Za implementację programu odpowiedzialny został Mini­
    ster Służb Publicznych i Sportu, a wszystkie aspekty bezpieczeństwa po­
    wierzono wyspecjalizowanej grupie ekspertów (IKT Board), która za­
    stosowała niezbędne zabezpieczenia techniczne oraz wypracowała od­
    powiednie procedury postępowania. Na stronic internetowej biura
    kanclerza dostępne są aktualne informacje dotyczące polityki bezpie­
    czeństwa; dostępne są także oficjalne raporty. W ślad za projektem
    podpisu elektronicznego na początku 2003 roku rozpoczęto wprowa­
    dzać w życie pilotażowy projekt „Karta mieszkańca'', tj. karty z chipem
    zawierającą zakodowane dane personalne obywatela.

  2. Problematyką infrastruktury krytycznej zajmuje się głównie rząd,
    a zwłaszcza Minister Spraw Wewnętrznych, Minister Obrony, Minister
    Służb Publicznych i Sportu oraz Kanclerz Federalny. Wynika z tego, że
    odpowiedzialność za ten problem spoczywa na kilku reprezentantach
    sektora publicznego. Ogólnie rzecz biorąc większość z ministerstw dys­
    ponuje swoim własnym zasobem środków obrony przed atakiem ze­
    wnętrznym i nieuprawnionym dostępem do zastrzeżonych danych. Jed­
    nocześnie istnieją specjalne komórki do spraw nowych technologii in­
    formatycznych pod jednym wspólnym specjalistycznym nadzorem Sze­
    fa Biura Informacyjnego. Ministerialne koncepcje bazują na przygoto­
    waniu organizacyjnym i proceduralnym mechanizmów ochraniających

33


sieci wewnętrzne oraz na posiadaniu technicznych środków ochrony da­nych niejawnych.

W Ministerstwie Spraw Wewnętrznych problemem ochrony infra­struktury, głównie bezpieczeństwa danych i przestępstw cybernetycz­nych, zajmują się wyspecjalizowane oddziały. W 1999 roku powołane zostało Centrum Zwalczania Przestępstw Internetowych, znane jako „Cybercop". Z kolei Ministerstwo Obrony odpowiedzialnością za pro­wadzenie wojny informacyjnej obciążyło departament kontroli współ­pracujący z dwiema wojskowymi służbami wywiadu. Natomiast zgodnie z austriacką konstytucją siły zbrojne są odpowiedzialne nie tylko za obronę narodową, utrzymanie porządku i bezpieczeństwa wewnętrzne­go, ale także za ochronę konstytucyjnych instytucji zapewniając im swo­bodę funkcjonowania oraz za ochronę infrastruktury krytycznej. Przed­sięwzięcia ochronne są wielokrotnie ćwiczone z udziałem instytucji cy­wilnych.

W urzędzie kanclerskim ulokowana została Komisja Ochrony Da­nych (DSK), posiadająca uprawnienia kontrolne dotyczące obróbki da­nych pub licz no-prywatnych. Mieszkańcy maja prawo składać zażalenia do tej komisji w przypadku pogwałcenia przysługujących fan praw do ochrony danych osobowych.

(4) Austria posiada system wczesnego ostrzegania o katastrofach nu­klearnych i naturalnych bazując w tym obszarze na umowach społecz-no-cywilnych. Jednakże brak jest pełnego i skoordynowanego systemu w odniesieniu do ataku na sektory krytyczne. Natomiast posiada w sys­temie wczesnego ostrzegania organizację bezpieczeństwa (CIRCA), której głównym zadaniem jest ostrzeganie użytkowników o wirusach i innych zagrożeniach, głównie internetowych.

Szwajcaria11

Podatność technologii teleinformatycznych, tak powszechnie wyko­rzystywanych przez sektor publiczny i prywatny jest problemem zauwa­żonym i dyskutowanym w szwajcarskiej polityce bezpieczeństwa do te­go stopnia, że obowiązkiem federalnym jest zapewnienie funkcjonowa­nia szwajcarskiego „społeczeństwa informacyjnego". (1) W Koncepcji Obrony Cywilnej z 17.09.2001 r. zapisano, że żywotnymi zasobami są „wszystkie elementy niezbędne do życia ludzi, w szczególności dostawy

0x08 graphic
" Korzystałem w wydawnictwa Swiss Army 2000 - Armcd forces and dvii prolection in Swil-zcrland, 199'J rok, także 7 zapisów Koncepcji Obrony Cywilnej z 17.09.2001 roku, Raport Ra­dy Federacji dla Zgromadzenia Federalnego.

34


żywności, energii i surowców odpowiednio do potrzeb, funkcjonowanie gospodarki, niezakłócony dostęp do międzynarodowych rynków, naro­dowa i trans graniczna infrastruktura oraz środowisko naturalne nieza-nieczyszczonc tak długo jak to możliwe". Koncepcja potwierdza rów­nież, że bezpieczeństwo infrastruktury informatycznej i telekomunika­cji ma strategiczne znaczenie dla Szwajcarii, dlatego Rada Federacji jest zobowiązana do podjęcia niezbędnych środków zapewniających jej bezpieczne funkcjonowanie nie zdejmując tego obowiązku z każdego cztonka „społeczeństwa informatycznego". Ponieważ autorzy badający tą problematykę nie posługują się jedną definicją infrastruktury krytycznej przyjąć należy, że biorą pod uwagę następujące sektory krytyczne:

  1. Pojawienie się nowych zagrożeń, takich jak klęski i katastrofy ży­
    wiołowe oraz sytuacje nadzwyczajne, które stanowią obecnie najwięk­
    sze wyzwanie dla systemu obrony cywilnej legiy u podstaw decyzji Rady
    Federacji o dostosowaniu posiadanych instrumentów do przeciwdziała­
    nia takim zagrożeniom. Opracowana została wspomniana koncepcja,
    w której system obrony cywilnej (z niewielkimi modyfikacjami) jest od­
    powiedzialny za ochronę społeczeństwa i jego życiowych zasobów za­
    pewniając zarządzanie, ochronę, ratownictwo i pomoc, w tym za
    zmniejszenie możliwych strat i zniszczeń. Federalne Biuro do spraw
    obrony cywilnej (FOCP) koordynuje działalność pięciu oddzielnie dzia­
    łających pionów gotowych do codziennego reagowania: policji, straży
    pożarnej, służby zdrowia, służb technicznych oraz służb ochrony i za­
    bezpieczenia (P&S).

  2. Dla naszych rozważań istotny jest zakres zadań służb technicz­
    nych, które mają chronić infrastrukturę techniczną, szczególnie dosta­
    wy wody, gazu i energii, usuwanie zanieczyszczeń, transport i telekomu­
    nikację. Z kolei służby P&S ochraniają ludność i dobra kulturalne.

35


Wraz z utworzeniem w 2003 roku biura FOCP wszystkie sprawy obrony cywilnej, dotychczas rozproszone po federalnym departamencie obrony i sportu są w tym biurze zgrupowane. Biuro identyfikuje kry­tyczne części infrastruktury narodowej, wprowadza wyższe stany alar­mowe, systematycznie monitoruje i dokonuje oceny zagrożeń, identyfi­kuje je i (4) w ramach .systemu wczesnego ostrzegania inicjuje jako pierwszy ściągnięcie określonych przedstawicieli upoważnionych do podjęcia decyzji niezbędnej do wspólnego działania. Koordynuje roz­wojem niejawnej łączności alarmowej Polycom przeznaczonej dla struk­tur ratowniczych i obronnych. W ramach biura działa też Narodowe Centrum Operacyjne (NEOC), wysoce wyspecjalizowane na wypadek nadzwyczajnych zagrożeń. Zakres działalności centrum obejmuje stałe pomiary radioaktywności (awarie elektrowni, transport materiałów nu­klearnych, atak z użyciem BMR), utrzymywanie bazy danych o substan­cjach oraz materiałach niebezpiecznych dla otoczenia, jak również śle­dzenie pęknięć i przecieków w tamach i zaporach zbiorników wody w kontekście zagrożenia uderzeniem rakietowym na tego typu obiekty.

Podsumowanie

Ćwiczenie zarządzania strategicznego z 1997 roku skutkowało za­adoptowaniem Strategii społeczeństwa informacyjnego Szwajcarii. Od tej chwili minister obrony i sportu odgrywa ważną role w obszarze ochrony infrastruktury krytycznej, która głównie jest rozumiana jako mająca funkcje polityczno-militarne oraz państwowe. Brak jest obecnie rzeczywistej integracji sektora prywatnego, a współpraca jest ograniczo­na do dziedzin widzianych jako niezbędne dla funkcjonowania obrony cywilnej. Brak jest TÓwnicż centralnego organu (organizacji) kontrolne­go i koordynacyjnego. Najważniejsza organizacją jest Departament obrony, cywilnej obrony i sportu, oczekujący przede wszystkim na pro­gramy ochrony infrastruktury krytycznej. Z końcem 2003 roku utworzo­no centralne biuro analiz i bezpieczeństwa informacji (MELANI) z za­daniem gromadzenia informacji dotyczących zagrożeń infrastruktury informatycznej. Biuro stanowi obecnie kluczowy element systemu wczesnego ostrzegania. Jest forum integrującym sektor prywatny.

Szwecja

Szwedzki system obrony totalnej obejmuje zarówno obronę militar­ną jak i cywilną, a jednym ze strategicznych zadań systemu jest udziele­nie wsparcia społeczeństwu w momentach zaistnienia poważnych sytu­acji nadzwyczajnych czasu pokoju. Sytuacje takie określane są jako

36


różnego typu sytuacje ekstremalne, które mogą zostać zapoezątkowa­ne przez wypadek, naturalną katastrofę lub akt sabotażu obejmując wiele obszarów życia publicznego". Właśnie obrona cywilna odpowiada za posiadanie zdolności do zapobiegania i opanowania takich sytuacji. Obrona cywilna obejmująca caie społeczeństwo, ale szczególnie służby i sektory takie jak: ochrona zdrowia, służby ratownicze, dostawy elek­tryczności i wody, które muszą funkcjonować w czasie kryzysu lub woj­ny wykorzystuje w czasie pokoju zasoby i potencjał przygotowany na wypadek wojny. (1) Wymogi efektywnego zarządzania i monitorowania gotowości społeczeństwa zobowiązały wybrane ministerstwa do pono­szenia odpowiedzialności za sześć następujących sektorów'1-, które speł­niają kryteria definicji infrastruktury krytycznej:

■ Bezpieczeństwo ekonomiczne

  1. Planowanie i tworzenie zasobów oraz zdolności zwalczania za­
    grożeń w tych sześciu obszarach na wypadek zagrożeń czasu pokoju nie­
    zbędnych dla funkcjonowania takiej infrastruktury jest istotnym ele­
    mentem polityki państwa. Przygotowania są prowadzone w oparciu
    o zasoby społeczne i system administracyjny czasu pokoju, które w ra­
    mach ćwiczeń przygotowywane są do sprostania tym ekstremalnym wy­
    zwaniom. Planowanie przygotowań musi sprostać także zagrożeniom
    powodowanym atakiem terroru. Według zgodnej opinii rządu i parla­
    mentu (Riksdag) w celu sprostania nadzwyczajnym zagrożeniom nie­
    zbędne są odpowiednie przygotowania do sprostania wyzwań spowodo­
    wanych przez atak terrorystyczny, przerwy w dostawie elektryczności,
    zakłócenia w telekomunikacji i radio i telewizji, braku dostaw wody,
    masowy napływ azylantów, powódź i przerwanie tam oraz zapór wod­
    nych, wybuch epidemii i chorób zakaźnych, skażenia radioaktywne, wy­
    padki z chemikaliami oraz konieczność usuwania skażeń na morzu.

  2. Dla opanowania sytuacji nadzwyczajnych zagrożeń i ograniczenia
    negatywnych skutków po ich zaistnieniu konieczne jest zazwyczaj sko-

0x08 graphic
11 Ważność łych sektorów potwierdzona zostata pr;ez nowo wydany akt prawny z dnia 12 li­stopada 2004 roku Rescue Sewices Act.

37


ordynowanie działań różnych struktur (ministerstw, agencji, centrów, komórek, itp). Rola taka przypadła w udziale Agencji Zarządzania w sy­tuacjach nadzwyczajnych zagrożeń SEMA'!, która koordynuje badania naukowe, wspiera struktury niższego szczebla zaangażowane w prace za­rządzania kryzysowego organizując współpracę sektora publicznego i prywatnego. Jednakże większość z ministerstw jest odpowiedzialnych za aspekt obrony cywilnej w odniesieniu do swojego zakresu kompeten­cyjnego dbając o dokonywanie analiz ryzyka i zdolności wykonania za­dań, określania potrzeb i braków. Minister Obrony sprawuje funkcję ko­ordynacyjną w państwie i jest również odpowiedzialny za ograniczenie skutków skażenia radioaktywnego, powodzi i pęknięć tam wodnych, jak również zdarzeń z udziałem chemikaliów oraz za rozładowanie w por­tach morskich materiałów niebezpiecznych. Struktura zarządzania na wypadek kryzysu spowodowanego zakłóceniem funkcji wymienionej in­frastruktury opiera się zasadniczo na przekazaniu zwiększonej odpowie­dzialności radom miast (gmin), co jest traktowane jako typowe upraw­nienie w warunkach szwedzkich. Służby bezpieczeństwa należące do po­licji odpowiedzialne są za ochronę obiektów specjalnych, działania kontrwywiadowcze, anty terroryzm i ochronę konstytucji. Z kolei Depar­tament Śledczy zajmuje się śledztwami międzynarodowymi.

Podsumowanie W ramach obrony totalnej ochrona infrastruktury krytycznej włączona została do kompleksu obrony narodowej. Ochrona infrastruktury krytycznej jest postrzegana jako kombinacja zapewnienia bezpieczeństwa informacji, ochrony infrastruktury krytycznej, defen-sywnych operacji informatycznych oraz prowadzenia wojny informacyj­nej. Sektor prywatny został włączony w strukturę organizacyjną na wyż­szych poziomach z pozostawieniem wiodącej pozycji ministra obrony. Obszar odpowiedzialności został klarownie podzielony, co widać w przypadku Agencji zarządzania w sytuacji nadzwyczajnych zagrożeń (SEMA), w której prace są włączone wszystkie istotne służby sektora publicznego. W sektorze prywatnym brak koordynacji i organu do tego powołanego na wzór istniejącej struktury w sektorze publicznym. Jak się wydaje, w dążeniu do przejrzystości systemu unikane są jakiekolwiek duplikujące działania.

0x08 graphic
1J Agencja SEMA powstała w 2002 roku i przejęła iadariia Agencji Planowania Cywilnego oraz Narodowej Rady ds. Obrony Psychologicznej.

38


Finlandia

Krytyczna infrastruktura informatyczna jest postrzegana jako życio­wo ważna dla interesów narodowych. Znajduje to potwierdzenie w ra­porcie Ministra Obrony Finlandii dla Parlamentu pt. „Fińska polityka bezpieczeństwa i obrony w 2001 roku", gdzie stwierdzono, iż zapewnić należy funkcjonowanie w każdych warunkach zarówno infrastruktury państwowej, jak i tej pozostającej we władaniu biznesu i osób indywidu­alnych. Wszelkie działania zabezpieczające podejmowane są w oparciu o „Ustawę o bezpieczeństwie dostaw"' oraz zezwolenie Narodowej agencji dostaw w sytuacjach nadzwyczajnych, (NESA). (1) Zgodnie z ustawą za krytyczne sektory uznano:

(2) Rezolucja Parlamentu z 2003 roku w sprawie zabezpieczenia funkcji życiowo ważnych dla społeczeństwa oraz strategia opracowana przez Komitet Obrony i bezpieczeństwa uznają za krytyczne następują­ce obszary: dostawy energii i żywności, przemysł i służby zabezpieczają­ce, transport i ruch z tym związany, opieka socjalna i służba zdrowia, promieniowanie, choroby zakaźne i zagrożenia chemikaliami, a także łączność elektroniczna i systemy informatyczne. (3) Wskazuje się na po-Irzebę zwiększenia zdolności policji do zwalczania przestępstw dokona­nych przy zastosowaniu narzędzi elektronicznych (cybererime), ochro­ny systemów informatycznych i połączeń telekomunikacyjnych. Oficjal­nym autorytetem w dziedzinie narodowego bezpieczeństwa informa­tycznego jest „Fińska władza nadzorująca teleinformatykę" (FICORA), która odpowiada m.in. za autoryzację systemów, oprogramowanie, pro­wadzenie dochodzeń w przypadku ataków. Podkreślić należy, że system łączności w Finlandii należy do najlepiej zorganizowanych i funkcjonu-

39


jących w świecie, niezależnie od przeszkód czasu pokojowego i trudno­ści w sytuacji kryzysu lub wojny11. Dzieje się tak, dlatego, że operatorzy zostali zobligowani do zapewnienia łączności w każdej sytuacji, co po­zwala utrzymywać na bieżąco wysoki poziom przygotowań zwłaszcza, że koszty są im zwracane przez agencję NESA. Z kolei w najnowszym ra­porcie nr 6/2004 nt. polityki bezpieczeństwa i obrony znajduje się defi­nicja bezpieczeństwa dostaw, do czego państwo jest zobowiązane: „to niezbędne sfużby i zasadnicze struktury społeczne, techniczne, trans­portu, składowania i dystrybucji, dostawy wody, energii i żywności, opieka socjalna i służba zdrowia oraz produkcja wojskowa i system za­bezpieczenia obrony militarnej". Ponadto zapisano tam, że w przypad­ku ataku na terenie Finlandii prawdopodobnymi celami mogą być nie tylko budynki i obiekty publiczne, ale także środki transportu, w tym terminale portowe i lotniska. (3) W ramach Ministerstwa spraw we­wnętrznych powołane zostanie międzysektorowe ciało (jako struktura rządowa), które będzie centralnym punkiem strategii ochrony istotnych dla życia społecznego funkcji, czyli zdefiniowanej wcześniej infrastruk­tury krytycznej. (4) Komórką wczesnego ostrzegania jest silna grupa CERT-FI, która otrzymuje sygnały od operatorów o incydentach i za­grożeniach, a następnie zapewnia informacje i udziela pomocy zarów­no organizacji publicznych jak i osób indywidualnych.

Podsumowanie

Ochrona infrastruktury krytycznej jest częścią ogólnego systemu obrony totalnej z zastosowaniem podejścia całościowego CIP. Poszcze­gólni ministrowie ponoszą odpowiedzialność za bezpieczeństwo tech­nologii informatycznych w ramach swojego zakresu kompetencyjnego. CIP/EM jednoznacznie odpowiada za obronę cywilną i obronę narodo­wą. Z kolei agencja NESA odpowiada za zorganizowanie fizycznej ochrony narodowej infrastruktury krytycznej. Odpowiedzialność za bezpieczeństwo łączności i reagowanie na zakłócenia komputerów przynależy od roku 20(10 organowi usytuowanemu centralnie.

Holandia

Środowiska biznesowe oraz rząd holenderski byty od pewnego czasu świadome narastających zależności wewnętrznych działalności bizneso­wej oraz ich negatywnych konsekwencji w przypadku poważnych zakló-

0x08 graphic
11 Osoby wchodzące w skład kierownictwa państwa po.stugują się specjalnie zaprojektowany­mi telefonami działającymi w systemie Terrestial Trunded Radio (TETRA).

40


ceń procesu inwestycyjnego. W odpowiedzi na wyzwania, które pojawi-ty się w efekcie Y2K oraz 11 września 2001 r. rząd ogłosił plan działania, którego jednym z celów było „opracowanie w Ministerstwie Spraw We­wnętrznych pakietu powiązanych wzajemnie środków do ochrony infra­struktury państwowej i biznesowej oraz gospodarczej, włącznie z techno­logiami informatycznymi". Międzyresortowy zespól opracował taki pa­kiet, który składał się z określonych produktów i usług krytycznych pod­danych dogłębnej analizie przez ekspertów reprezentujących wszystkie zainteresowane instytucje. Pozwoliło to na wytypowanie sektorów kry­tycznych, wraz z produktami i usługami, które najczęściej narażone są na negatywne konsekwencje w przypadku zakłóceń lub zniszczeniaIS.

(1) Interesujące wydaje się pytanie, co jest krytyczne? Najczęściej prezentowaną odpowiedzią jest opinia Organizacji Stosowanych Badań Naukowych (TNO): jest to sektor lub produkt, albo służba rzeczywiście ważna dla społeczeństwa lub po prostu „ważna". Wynika z tego, że Ho­lendrzy dążą do wykorzystywania definicji praktycznej (roboczej), pozo­stawiając politykom rozwiązywanie problemu. Niezwykle interesująco zidentyfikowane zostały sektory krytyczne przez TNO, które przedsta­wiam jako odpowiadające powyższej definicji:

■ Zarządzanie i zachowanie wód powierzchniowych: zarządzanie ja­kością wody, zapewnienie dostępu i nadzór nad jakością wody pitnej.

0x08 graphic
■' Przedstawiciel TNO prezentował wstępna koncepcję w Warszawie, w liniach 6-7 listopada 21102 r.; niestety autor nic posiada danych, na jakim forum.

41


Lista powyższa zawiera 11 sektorów rozwiniętych w 31 produktów lub stużb/usiug, które uważa się za krytyczne, gdyż:

nia mogłoby wywołać niekorzystny efekt w dłuższej perspektywie {przedłużająca się blokada lub niszczący efekt produkcji wymykają­cej sie spod kontroli);

- składają się na incydenty osłabiające niezastąpione mechanizmy
koniroli, które gwarantują normalne warunki lub opanowują sytu­
acje kryzysowe (np. policja, straż pożarna, siły zbrojne).

  1. Plan działania pod nazwą „Action Plan 10" był główną inicjatywą
    polityczną rządu, która przyczyniła się do powstania i realizacji projek­
    tu ochrony infrastruktury krytycznej (Minister spraw wewnętrznych
    Królestwa składał raporty o jego realizacji; ostatni w kwietniu 2(1004r.).

  2. Wśród struktur zajmujących się CIP należy wymienić dwie podsta­
    wowe. Pierwsza to Narodowe Centrum Koordynacji (NCC), wchodząc
    w skład Ministerstwa spraw wewnętrznych odgrywa centralną rolę w po­
    noszeniu odpowiedzialności za zarządzanie kryzysowe, nadzorowanie po­
    rządku publicznego oraz środków bezpieczeństwa na szczeblu państwa.
    W przypadku kryzysu wymagającego zaangażowania kilku ministerstw za­
    pewnia siły i środki dla ich funkcjonowania oraz dostarcza informacje
    i propozycje oficjalnym przedstawicielom państwa. Zabezpiecza także po­
    moc na szczeblu niższym (wojewódzkim) w przypadku poważniejszych
    trudności. Drugą strukturą jest Organizacja stosowanych badań nauko­
    wych, którego częścią jest TNO-FEL. TNO jest organizacją „know-how"
    wychodzącą naprzeciw potrzebom badawczym organów rządu, przedsię­
    biorstw i organizacji publicznych. TNO-FEL, to laboratorium fizyczne
    i elektroniczne zajmujące się „łańcuchem informacyjnym", od zbierania,
    przez przekazywanie i przetwarzanie dla potrzeb bezpiecznego użytkowa­
    nia. Laboratorium włączone zostało w proces realizacji projektu CIP, pu­
    blikując kilka istotnych raportów, w tym m.in. „In Bits and Pieces (B1T-
    BREUK), oraz „Cooperation for a safe use of Internet: an e-Deltaplan
    (KWINT). Bierze także udzia! w projekcie studyjnym ACIP, na temat
    ochrony infrastruktury w Unii Europejskiej.

Podsumowanie

Inicjatywa ochrony infrastruktury krytycznej pochodzi z ministerstwa obrony. Rola państwa w odniesieniu do ochrony infrastruktury krytycz-

42


nej polega na opracowaniu strategii, dostosowaniu przepisów prawa do nowych zagrożeń i promowaniu nowych rozwiązań. Funkcje taktyczne i operacyjne są widziane albo jako funkcje podzielone między sektory publiczny i prywatny, albo wyłącznie przynależne części prywatnej. W warunkach holenderskich sektor prywatny odgrywa szczególnie waż­ną rolę nie mając nad sobą centralnie usytuowanej organizacji koordy­nującej i kontrolującej narodowe środki infrastruktury krytycznej. Funkcje takie wykonywane są przez organizację prywatną Holenderska platforma handlu i elektroniki (ECP.NL). Powoduje to pewne proble­my związane z brakiem koordynacji w aspekcie bezpieczeństwa. Zasa­dą powszechnie uznawaną w Holandii jest ponoszenie odpowiedzialno­ści przez użytkowników we własnym zakresie za dostęp i użytkowanie każdego z sektorów infrastruktury krytycznej. Dokument polityki rządu VIR 1994 określi! ramy bezpieczeństwa technologii informatycznych obowiązujące w sektorze publicznym. Nie wyeliminowano jak dotych­czas struktur dublujących się.

Norwegia

W polityce bezpieczeństwa i obrony rządu norweskiego funkcjonuje koncepcja obrony totalnej obejmująca obronę militarną i cywilne pla­nowanie w sytuacji nadzwyczajnych zagrożeń. Podstawową przesłanką planowania cywilnego jest zasada, że instytucje odpowiedzialne za funkcje publiczne w normalnym czasie, są również odpowiedzialne w swoim obszarze za przygotowania na sytuacje kryzysowe — w razie niebezpieczeństwa. Oznacza to, iż wiele organizacji państwowych i pry­watnych jest włączonych w proces planowania i przygotowań. W ciągu kilku ostatnich lat rząd norweski skupił swoją uwagę na niektórych ele­mentach infrastruktury, w tym zwłaszcza na telekomunikacji, dostawie energii elektrycznej oraz transporcie, traktując te dziedziny jako infra­struktura krytyczna. Jednocześnie rząd uznał, że zasadniczym celem ochrony jest (1) „ustanowienie takiego poziomu solidności w infra­strukturze krytycznej (I&C), aby uniknąć niemożności zabezpieczenia wykonywania ważnych funkcji społecznych"16. W momencie kryzysu lub wojny solidność infrastruktury musi zabezpieczyć funkcje życiowe spo­łeczeństwa. Uwaga rządu dotyczyła zarówno wyzwań ochrony fizycznej jak i ochrony Internetu, w kontekście współzależności między nimi. W tej sytuacji następujące sektory postrzega się jako krytyczne:

0x08 graphic
" Cytal ł wypowiedzi naczelnego inżyniera Ministerstwa Handlu i Pramyslu, Pana Kjell Olav Nystuen.

43


Szybki rozwój technologiczny, uwolnienie cen i wolny rynek wymusza­ją większy dostęp do informacji, co w sposób naturalny wymaga pozyska­nia wybitnych fachowców lub zlecania takich usług zagranicą. (2) W celu dostosowania się do pojawiających się wyzwań powołane zostały dwie rzą­dowe komisje oraz opracowano jeden projekt przekrojowy17. Jednocześnie prowadzone były w latach od 1994 do 2001 badania ochrony społeczeń­stwa w szerokim kontekście pojawiających się zagrożeń, wskazując na nie­dopatrzenia w zachowaniu środków ostrożności przy ochronie ważnej in­frastruktury, jak choćby przy dystrybucji energii, czy uchybienia obowiązu­jących procedur teleinformatycznych. Wyniki badań wykorzystano przy opracowaniu w 201)3 roku strategii działania państwa, która zmierza do tworzenia partnerstwa publiczno prywatnego, promowania wymiany in­formacji, ustanowienia struktur wczesnego ostrzegania, ukierunkowania badań i nauki, harmonizacji prawa oraz włączenia użytkowników prywat­nych w ponoszenie odpowiedzialności za ochronę życiowo ważnej infra­struktury, zwłaszcza telekomunikacji i elektryczności. (3) Jak wspomnia­łem wcześniej w Norwegii odpowiedzialność ministerstw, agencji, czy niż­szych poziomów administracji przenosi się z czasu pokoju na czas kryzysu i wojny, co również odnosi się do ochrony CIP. Praktycznym krokiem do­stosowującym strategię działania do wyników badań i nowych wyzwań te­leinformatycznych byto powołanie Centrum Bezpieczeństwa Informacji (SIS), niezależnie od pozostawienia całości koordynacji planowania cywil­nego w rękach Ministerstwa Sprawiedliwości i podległemu Zarządowi Obrony Cywilnej i planowania w sytuacji nadzwyczajnej (DSB)IB. SIS to

0x08 graphic
11 Pierwsza komisja zajmowała się technolog i ara i komputerowymi i aspektami stabości społe­czeństwa, a diuga analizowała perspektywy poprawy stanu wrażliwości społeczeństwa. " Podaję ?a Inlernational CEP handbook, Szwecja, 2000 r,

44


przykład organizacji publiczno-prywatnej zajmującej się bezpieczeń­stwem technologii informatycznych i łączności.

Podsumowanie

Studium „Technologia komputerowa i słabość społeczeństwa" pod­kreśliło potrzebę „krzyżowego' podejścia do ochrony infrastruktury krytycznej w ramach koncepcji obrony totalnej. Jednocześnie zaleca się podejście łączne, czyli połączenie obrony cywilnej i ochrony infrastruk­tury funkcjonującej w oparciu o technologie informatyczne. Istnieją plany powołania Centrum Bezpieczeństwa Informacji. Motorem wszystkich działań modelu norweskiego jest Zarząd obrony cywilnej i planowania w sytuacji nadzwyczajnych zagrożeń (DCDEP).

Niemcy1'

Wskazuje się na postępujące uzależnienie rządu, gospodarki i osób indywidualnych od wiarygodnych i bezpiecznych technologii informa­tycznych i łączności. W tym kontekście postrzega się ochronę infra­struktury krytycznej jako powinności rządu i sektora prywatnego, ska­zanych na współpracę. (1) Sektory lub systemy krytyczne to takie, któ­re są kluczowe dla ustroju państwa albo administracji. Niszcząc je lub uszkadzając powoduje się braki, a nawet dramatyczne konsekwencje dla dużych części populacji mieszkańców. Krótko mówiąc, infrastruktu­ra krytyczna to taka, która umożliwia funkcjonowanie razem sektora publicznego i prywatnego bez większych przeszkód w następujących ob­szarach:

(2) W rozważaniach nad strategią ochrony infrastruktury przykłada się duże znaczenie do technologii informatycznych, jednakże niezbęd­na jest pełna strategia, wykraczająca poza aspekty techniczne uwzględ-

0x08 graphic
10 Korzystałem z opracowania Federalnego Biura Be7pieczeńs!wa lnfoimalycznego (BSI),

przedstawionego na konferencji w Zurychu v* 2003 roku.

45


niająca podejmowanie środków zaradczych na wszystkich poziomach, na etapie wczesnego wykrywania i szybkiej reakcji zarówno w ceiu oce­ny zniszczeń, jak i zidentyfikowania sprawcy takiego zdarzenia, ograni­czania efektów zakłóceń utrudniających prace rządu i spoleczeńsiwa oraz gotowości systemu zastępczego do włączenia, zanim nie zostanie usprawniony ten zasadniczy.

Za początek współpracy międzyresortowej uznaje się inicjatywę Mi­nistra Spraw Wewnętrznych z 1997 roku regularnego monitorowania i meldowania o problemie ochrony infrastruktury na szczeblu ministe­rialnym. W rezultacie to ministerstwo, z racji swej odpowiedzialności za bezpieczeństwo wewnętrzne w Niemczech jest bezpośrednio zaangażo­wane w tę problematykę, koordynując ochronę fizyczną (ludzi, udziela­nie pomocy), zapobieganie zagrożeniom (w kontekście stosowania pra­wa) oraz w kompleks zależności technologii informatycznych. Na przy-kiad Oddział IT 3 (Systemów bezpieczeństwa informatycznego) podle­gły naczelnemu urzędnikowi ds. informacji jest odpowiedzialny za sprawy technologii informatycznych w aspekcie ochrony informacji krytycznych.

(3) Federalne Biuro Bezpieczeństwa Informatycznego (BSI) odgry­wa decydującą rolę w obszarze bezpieczeństwa komputerowego, (cy-berspace), dlatego realizuje m.in. zadania związane z bezpieczeństwem internetowym (analizy, koncepcje, porady), kierowaniem CCRT, klu­czową infrastrukturą publiczną oraz infrastruktura krytyczną. Fizyczne bezpieczeństwo leży w zakresie odpowiedzialności Federalnego Biura ds. obrony cywilnej i reagowania na katastrofy (BBK). Federalne Biuro policji kryminalnej (BKA) odpowiada m.in. za wyjaśnienia przestępstw fizycznego niszczenia obiektów infrastruktury krytycznej. Ponieważ około 90% infrastruktury krytycznej w Niemczech znajduje się w rę­kach prywatnych Federalne Ministerstwo Gospodarki i Pracy (BMWA) tworzy zasady dostaw energii oraz zapewnia dostęp do infrastruktury i usług telekomunikacyjnych. Zaangażowane ministerstwa, także niewy-micnione (np. sprawiedliwości, obrony) wykonują określone zadania pod nadzorem Urzędu Kanclerza. W odniesieniu do ochrony krytycznej infrastruktury informatycznej istnieje również partnerstwo publiczno prywatne, np. Partnerstwo biznesowe bezpiecznego Internetu, czy wspólna grupa robocza ochrony infrastruktury krytycznej (AKSIS) zaj­mująca się analizami powiązań wzajemnych sektorów krytycznych i ich zależności od technologii, mechanizmów zapobiegania i reagowania oraz kierowania. (4) W ostrzeganiu o zagrożeniach czołową rolę odgry­wa wyspecjalizowana grupa reagowania na zakłócenia komputerowe CERT-Bund działająca w strukturze BSI w skład, której wchodzą przedstawiciele administracji federalnej oraz pięciu firm zainteresowa-

46


nych wymianą informacji o niskim poziomie bezpieczeństwa, zagroże­niach i incydentach.

Podsumowanie

Międzyresortowa grupa robocza ochrony infrastruktury krytycznej została powołana w Niemczech w stanowiąc efekt amerykańskiego ra­portu Komisji Prezydenta nt. ochrony infrastruktury krytycznej (PCCIP) z 1997 roku opracowanego pod auspicjami Federalnego Mini­stra spraw Wewnętrznych (BMI). To od tego momentu ochrona infra­struktury krytycznej nabrała odpowiedniego znaczenia. Różne kampa­nie, jak np. Bezpieczeństwo w Internccic oraz powołanie komisji Bun­destagu zmierzały do podniesienia świadomości znaczenia ochrony tej infrastruktury. Federalne Biuro Bezpieczeństwa Informacji posiada kompetencje koordynacyjne, jak również dysponuje odpowiednimi technologiami i rozwiązaniami w obszarze bezpieczeństwa. Strategia porównywalna do narodowego planu działania jest w trakcie opracowy­wania. Zauważalne są pierwsze próby nawiązania współpracy z sekto­rem prywatnym oraz pierwsze niezależne inicjatywy po stronie tego sek­tora. Są nimi zwłaszcza, inicjatywa D 21, Partnerstwo biznesowe bez­piecznego Internetu oraz grupa AKSIS. Grupa CERT-Bund odgrywa coraz znaczniejszą rolę w ochronie infrastruktury krytycznej, gdyż dys­ponuje środkami zapobiegawczymi na wrażliwość technologii informa­tycznych oraz zdolnościami natychmiastowego reagowania na ataki. Niemiecki system ochrony infrastruktury jest dość skomplikowany, choć po 11 września prace usprawniające system zostały przyspieszone. Prace studyjne prowadzone przez BSI w 2002 roku potwierdzają anali­tyczne podejście, zorientowane na problem infrastruktury. Kilka uni­wersytetów prowadzi prace badawcze w obszarze bezpieczeństwa tech­nologii informatycznych. Ponadto przemysł, agencje federalne i osoby prywatne mają możliwość otrzymać aktualne informacje o ochronie in­frastruktury krytycznej na stronic internetowej BSI.

Anglia

Infrastruktura krytyczna odnosi się głównie do podstawowych sieci komputerowych - zarządzanych przez rząd lub sektor prywatny - za­bezpieczających codzienne życie, czyli usługi, które traktujemy za rzec2 naturalną, ale bez których trudno się obejść.

(1) Pojęcie narodowej infrastruktury krytycznej (CNI) odnosi się do „te części infrastruktury, rządu i przemysłu, których ciągłość jest tak ważna dla życia obywateli i Anglii jako całości państwa, że utrata lub

47


poważne wslrzymanie jakiejkolwiek części CNI, także pogorszenie ja­kości usług zagrażałoby życiu, stabilności gospodarczej lub powodowa­łoby inne poważne skutki socjalne dla społeczności, lub jakiejkolwiek jej znaczącej części, lub wymagałoby pilnej reakcji rządu". Takie ujęcie problemu wskazuje, że systemy posługujące się technologiami informa­tycznymi traktowane są jako CNI. Tak więc za CNI uznawane są nastę­pujące sektory krytyczne;

Uważa się, że uszkodzenie jednego sektora może poważnie zagrozić sprawności drugiego. Zależność wielu z tych sektorów od Inlernetu oznacza, że są one podatne na atak elektroniczny (eA).

(3) Minister Spraw Wewnętrznych (Home Secrctary) nadaje impuls działaniom na rzecz ochrony narodowej infrastruktury krytycznej. Or­ganizacją rządową, która odgrywa czołową rolę w ochronie infrastruk­tury krytycznej jest Narodowe Centrum Koordynacji Bezpieczeństwa Infrastruktury, (N1SCC), które istnieje, aby chronić CNI i jest odpowie­dzialne za minimalizowanie ryzyka ataku elektronicznego wymierzone­go w narodową infrastrukturę krytyczną. Publikuje szereg użytecznych informacji pomocnych każdemu zainteresowanemu utrzymaniem inte­gralności systemów informatycznych; znane są zwłaszcza „Alerts" i „Briefings". Odpowiada za cztery główne kierunki:

- reagowanie: ostrzeganie o nowych zagrożeniach, doradzanie

0 zmniejszeniu niedogodności, udzielanie pomocy infrastrukturze
narodowej, prowadzenie dochodzeń po ataku i powrót do normy;

- rozwój i nauka: projektowanie najbardziej zaawansowanych technik

1 metod.

48


NISCC jest centrum międzyresortowym wykorzystując doświadcze­nia innych agencji rządowych, zwłaszcza Rady Ministrów, Laborato­rium Obrony, Nauki i Technologii (DSTL), Departamentu Handlu i Przemyślu, Ministerstwa Obrony i Spraw Wewnętrznych, Służb spe­cjalnych. Z centrum współpracuje Rada doradcza wiarygodności infor­macji (1AAC), grupujący szefów korporacji, czołowych działaczy gospo­darczych i politycznych, przedstawicieli prawa i nauki zajmujących się wspólnie wyzwaniami ochrony infrastruktury informatycznej. Każdemu z czionków komitetu zapewniana jest specjalistyczna pomoc w przypad­ku ataku elektronicznego, której kluczowym elementem jest Rządowa grupa reagowania (UNIRAS). Dysponuje ona ekspertami przejmujący­mi techniczne kierowanie elektronicznymi elementami zaatakowanej sieci. Kolejna struktura to US-CERT (powstała w 2003 r.) to przykład partnerstwa publiczno-prywatnego ukierunkowaną na poprawę przygo­towań i reagowania na atak cybernetyczny. Inne, takie jak Stowarzysze­nie dostawców usług internetowych (ISPA), czy forum IT-ISAC lub FS-ISAC służą wymianie doświadczeń, w tym nawet wykorzystywania do­świadczeń od osób włamujących się lub nieuprawnionych. (4) Punkty reporterskie, doradztwa i ostrzegania (WARP) są częścią strategii wy­miany informacji NISCC. Grupują ludzi zainteresowanych wczesnym ostrzeganiem i wymianą informacji na temat unikania ryzyka utraty da­nych w ich systemach.

Podsumowanie

Do końca lat dziewięćdziesiątych ochrona infrastruktury krytycznej nie zaprzątała uwagi decydentom w Anglii. W ostatnich latach zadania i kompetencje odnoszące się do ochrony narodowej infrastruktury kry­tycznej przekazane zostały istniejącym organizacjom. Najważniejszym organem po stronie państwa jest Narodowe centrum koordynacji bez­pieczeństwa infrastruktury (NISCC), gdzie zbierają się przedstawiciele instytucji ponoszących część odpowiedzialności w swoim zakresie za ochronę CNI, np. policji, ministerstw, M15, głównie w celu wymiany in­formacji. Po stronie pub licz no-prywatnej Komitet doradczy wiarygod­ności informacji (IAAC), uznawany za modelowe rozwiązanie zapew­niające dialog i współpracę między rządem, sektorem prywatnym i mieszkańcami. Podobnie postrzegany jest the Directors Information Insurance Network mający za cel wyczulenie szefów firm na bezpie­czeństwo infrastruktury. Nic istnieje w Anglii ogólna koncepcja strate­giczna dotycząca CNI. Wraz z utworzeniem Rządowego panelu łączni­kowego sektor prywatny włączony został do struktury narodowej, za­pewniając niezbędną przejrzystość w zarządzaniu.

49


Podsumowanie ogólne przeglądu

W celu podsumowania rozdziału przedstawiam poniżej zestawienie tabelaryczne sektorów i obszarów (usług) krytycznych.

Zidentyfikowane sektory i obszary (ushigi) krytyczne

Państwo / Sektor

AT

CH

FIN

NO

HOL.

SE

UK

GER

USA

UcAa

Systemy kontroli ruchu powietrznego

٧

1

Bankowość i finanse

٧

٧

٧

٧

٧

٧

٧

8

Rząd / stużby

٧

٧

٧

٧

٧

6

Obrona cywilna

٧

1

Telekomunikacja

٧

٧

٧

٧

٧

٧

٧

8

Tamy wodne

٧

1

Szkolnictwo wyższe

٧

1

Energia / Elektryczność

٧

٧

٧

٧

٧

٧

٧

٧

٧

9

Służby ratownictwa

٧

٧

٧

٧

٧

٧

6

Żywność / rolnictwo

٧

٧

٧

٧

4

Materiały niebezpieczne

٧

٧

2

Służba zdrowia

٧

٧

٧

٧

٧

٧

٧

٧

8

Przemysł obronny / zakłady produkcyjne

٧

٧

٧

3

Media

٧

٧

٧

٧

٧

5

Ubezpieczenia

٧

1

Sprawiedliwość/ stosowanie prawa

٧

٧

2

Obrona militarna / siły zbrojne / instalacje wojskowe

٧

٧

2

Pamiątki narodowe

٧

1

Elektrowniejądrowe

٧

1

Dostawa gazu i ropy

٧

1

Policja

٧

٧

٧

٧

4

Poczta

٧

٧

2

Administracja publiczna

٧

٧

٧

٧

٧

٧

6

50


Państwo / Sektor

AT

CH

FIN

NO

HOL

SE

UK

GER

USA

Liczba

Bezpieczeństwo i porządek publiczny

٧

٧

2

Gospodarka odpadami

٧

٧

2

Bezpieczeństwo socjalne/opieka

٧

٧

٧

3

Transport / logistyka / dystrybucja

٧

٧

٧

٧

٧

٧

٧

٧

8

Usługi komunalne

٧

٧

2

Dostawa wody

٧

٧

٧

٧

٧

٧

٧

7

Z tabeli wynika, jakie kraje zidentyfikowały odpowiednie sektory krytyczne. Warto pamiętać jednak, że niektóre z państw, np. Holandia, Anglia, czy USA precyzyjnie określiły te sektory wraz z obszarami usług, podczas gdy w Szwecji, czy Austrii trudno o listę takich sektorów. Ponadto nazwa danego sektora niekoniecznie oznacza to samo w innym kraju, dlatego trudno o takie bezpośrednie porównania. Nie czyniąc zbytniej nadinterpTCtacji można się pokusić o wyszczególnienie najczę­ściej wymienianych sektorów krytycznych, które uznawane są za kluczo­we dla funkcjonowania nowoczesnych społeczeństw, a których zniszcze­nie lub zakłócenie uważa się za najbardziej druzgocące w skutkach:

Poniżej kilka spostrzeżeń wynikających z przeglądu ochrony infra­struktury krytycznej w wybranych państwach wraz z tabelą przeglądo­wą danych CIP.

1. Rządy krajów przedstawionych w rozdziale aktywnie podchodzą do ochrony infrastruktury krytycznej. CIIP jest zwykle postrzegana jako wchodząca w skład CIP, co zamazuje klarowność podziału między ty­mi rodzajami infrastruktury. W użyciu stosuje się koncepcje tożsame dla obu znaczeń ze względu na brak takiego rozróżnienia. Mimo nie­ustannego poszukiwania definicji pojęcia „infrastruktura krytyczna"

51


zauważalne jest dążenie administracji rządowej do zidentyfikowania „co jest krytycznie ważne" dla bezpieczeństwa państwa i życiowych funkcji człowieka, jakie centrum monitoruje zjawisko, kto koordynu­je i utrzymuje bazę danych, jaka jest strategia działania i plan prze­ciwdziałania oraz jakie niezależne ciato uczestniczy w tworzeniu pudstaw prawnych. Niektóre przykłady dowodzą, ze w polityce tych państw zauważalne jest zaadoptowanie rekomendacji niektórych or­ganizacji międzynarodowych (Unii Europejskiej, państw G8), wzoro­wanie się na konkretnych rozwiązaniach innych państw, zwłaszcza Stanów Zjednoczonych, czy tworzenia własnych strategii uwzględ­niających ochronę wytypowanej infrastruktury krytycznej. Rozszerza się również współpraca między sektorem publicznym i prywatnym przez tworzenie struktur umożliwiających współpracę rządu, prze­mysłu i przedstawicieli biznesu. Dzieje się tak, mimo istnienia nie­chęci do wymiany informacji, konieczności ponoszenia nakładów fi­nansowych oraz braku niezbędnych rozwiązań prawnych.

  1. Im bardziej odczuwana jest świadomość braku możliwości zapewnie­
    nia pełnego bezpieczeństwa sieci informatycznych, które są zasadni­
    czym elementem krytycznej infrastruktury informatycznej (technolo­
    gie teleinformatyczne), tym bardziej należy skupić się na solidności
    i odporności nowych propozycji ochronnych na ataki. Powinny one
    być przedmiotem współpracy międzynarodowej na poziomie decy­
    zyjnym, a na niższych poziomach powinien toczyć się dialog i konsul­
    tacje z udziałem mieszkańców. Aby to osiągnąć istnieć musi organ
    wiodący ponoszący pełnię odpowiedzialności za ochronę infrastruk­
    tury, wskazane też powinny być agencje współpracujące z przedsta­
    wicielami poszczególnych gałęzi przemysłu, w tym z reprezentantami
    prywatnego biznesu. Sprzyjać to będzie ustaleniu w czyjej dyspozycji
    pozostają elementy infrastruktury, wymianie informacji o słabych
    punktach i potrzebach oraz uzgodnieniu wielkości wkładu finanso­
    wego z przeznaczeniem na inwestycje i przedsięwzięcia ochronne.

  2. Sektor gazowy, który jak dotychczas nie szczędzi sobie kłopotów
    związanych z liberalizacją rynku energetycznego będzie musiał spro­
    stać rosnącej zależności od źródeł zagranicznych (poza Europą Za­
    chodnią). W poszukiwaniu większej efektywności nastąpi zdecentra­
    lizowanie odpowiedzialności za dostawy i przesyłanie gazu, co z ko­
    lei wymusi zapewne podjęcie działań zwiększających bezpieczeństwo
    instalacji i urządzeń.

  3. Bezpieczeństwo transportu skupia się na zredukowaniu słabości
    w obszarze lotnictwa cywilnego, portów lotniczych, ruchu powietrz-

52


nego, transportu lądowego, w tym morskiego, który wymaga jeszcze wiciu wysiłków. Zwrócenie uwagi zwłaszcza na biedy ludzkie, które w 80% są przyczyną wypadków w transporcie powinno służyć popra­wie stanu ochrony tego typu infrastruktury.

  1. W odniesieniu do bezpieczeństwa energii nuklearnej istnieje zagro­
    żenie atakiem terrorystycznym z wykorzystaniem „brudnej bomby",
    aktów sabotażu w elektrowni i w układach sterowania reaktorem nu­
    klearnym, a także atakowanie pojazdów przewożących materiały ra­
    dioaktywne. Ib właśnie wrażliwość sieci informatycznych może być
    wykorzystywana do uszkodzenia stacji zasilania urządzeń elektrowni.

  2. Niezależnie od postępu, w wielu aspektach ochrony infrastruktury
    krytycznej w dalszym ciągu zauważalna jest niechęć do współpracy
    z sektorem prywatnym, którego pozbawia się w ten sposób widzenia
    własnego interesu - korzyści z zapewnienia ochrony infrastrukturze.
    Występuje także potrzeba porozumienia się sektora publicznego
    z prywatnym zapewniającego kontynuowanie produkcji dóbr mate­
    rialnych dla ludności, determinującego które z potencjalnych przed­
    sięwzięć winny być objęte priorytetem, i jak powinno się je finanso­
    wać; przypuszcza się, że w tym aspekcie UE odegra rolę doprowa­
    dzenia do konsensusu na poziomie współpracy międzynarodowej.

  3. Analizując politykę wybranych państw można zauważyć traktowanie
    obrony cywilnej na równi z tradycyjną obroną militarną w ramach
    systemu obronnego państwa, co świadczy o dążeniu do podniesienia
    rangi obrony cywilnej, przez włączenie kierownictwa państwa w pra­
    ce planistyczne i praktyczne ćwiczenia z ochrony infrastruktury kry­
    tycznej. Wydaje się to uzasadnione zwłaszcza, gdy weźmie się pod
    uwagę fakt, że zapewnienie społeczeństwu „zero-ryzyka" jest nie­
    możliwe, a w kulturze zachowań ludzi i kadry kierowniczej oczekuje
    się wzmożenia czujności. Jeśli dodać, że celem działań zapobiegaw­
    czych jest poprawienie solidności systemu ochrony infrastruktury
    krytycznej oraz zwiększenie jego odporności na ataki i nieuniknione
    przecież zakłócenia, to warto wymienić doświadczenia z państwami
    stosującymi takie podejście.

53


Tabela przeglądowa danych o CIP

Kr!)

Strategia flarodon

Srukluiy organiŁicfir.c

Współpraca z icfcluicm

Prz<^T7y<tn*f

Znaczenie ochrimy CIP

UK

CIIP

Nie islnieje

- NISCC na szcze­blu krajowym - IAAC szczebel publiczno-prywat -nym

Sektor prywat­ny zintegrowa­ny od 2001 r.

Modelowa

Średnie

AT

CIP/ CIIF

Doktryna bezpieczeń-slwa i obro­ny

W każdym mini­sterstwie depar­tament technolo­gii informatycz­nych - departament kontroli w MOD

Współpraca rozwija się

Niezbyt przejrzysty

Średnic

FIN

CIP/ CIIP

Obrona totalna

Odpowiedzial­ność w minister­stwach

Średnic

HOL

CIIP

- obowiązuje dokument VIR 1994 r. - będzie opracowana

Brak instytucji centralnej koor­dynacji i kontroli

- Sektor prywat­ny jest w cen­trum uwagi - Występują problemy koor­dynacji

Zapewniona

Duże

GER

CIP/ CIIP

Opracowana w 2003

- BSI odgrywa ro­lę czołową - Największa od­powiedzialność pozostaje w rę­kach BMI

- Różne formy współpracy - Inicjatywy sekiora pry­watnego

Niezbyt przejrzysty

- Średnie -Zde­cydowa­ny postęp w 2003 r.

NO

CIP/ CIIP

Obrona totalna

Kluczowym orga­nem jest DCDEP

Średnic

SE

CIP/ CIIF

Obrona totalna

Wyróżniająca się rola Ministra Obrony

- Sektor pry­watny włączo­ny - Brak organu koordv nacji

Zapewniona

Duże

CH

CIP/ CIIP

Koncepcja obrony

- Czołowa rola Ministra Obrony - Brak organu kontroli i koordy­nacji

Praktycznie, integracja nie­dokończona

Duże

CIP - ochrona infrastruktury krytycznej - podejście iączne CIIP - ochrona krytycznej infrastruktury informatycznej

Źródłu: Stefan Ritter, Joachim Wcbcr, BSI.


ROZDZIAŁ 3

Organizacje regionalne i międzynarodowe

Zagrożenia infrastruktury krytycznej oraz krytycznej infrastruktury in­formatycznej występują ponad granicami geograficznymi, dlatego podob­ne sektory krytyczne w różnych krajach odczuwają relatywnie podobną podatność na zakłócenia i podlegają podobnym zależnościom. Szczegól­nie jest to widoczne w odniesieniu do infrastruktury zasilanej energią, której działanie wspierają systemy teleinformatyczne. Takie powiązania sprzyjają nawiązywaniu współpracy międzynarodowej, tworzeniu part­nerstwa miedzy rządami, właścicielami tejże infrastruktury oraz operato­rami sieci. Wiele organizacji angażuje się w ten obszar współpracy i po­dejmuje kroki podnoszące świadomość zagrożeń, ułatwiające partner­stwo oraz uczestniczy w stanowieniu wspólnych zasad i praktyk działania. Ponieważ większość wysiłków skupia się na poziomie koncepcyjnym, nie­które z tych dokonań przedstawiam w dużym skrócie30.

Międzynarodowa Organizacja Obrony Cywilnej (ICDO)

Jest wyspecjalizowaną agencją ONZ, która skupia przedstawicieli na­rodowych struktur obrony cywilnej państw - członków organizacji. Stano­wi platformę porozumiewania się, wymiany informacji i rozwijania współ­pracy. Jednym z głównych obszarów aktywności jest standaryzacja naro­dowych struktur obrony cywilnej i procedur zarządzania w sytuacjach nadzwyczajnych. W tym obszarze ICDO skupia się na opracowaniu pro­gramów szkolenia, które są podstawą szkolenia personelu obrony cywil­nej w regionalnych centrach (Egipt, Pakistan, Panama, Rosja) oraz szko­lenia personelu kierowniczego w centrum w Szwajcarii. Ponadto zapew­nia audyt i konsultacje oraz pomoc przy opracowaniu strategii narodo­wych. Posiada też centrum dokumentacji dostępne dla zainteresowanych. Znaczącym osiągnięciem organizacji jest sfinalizowanie w 2001 roku Ra­mowej Konwencji o Obronie Cywilnej oraz opracowanie publikacji prze­znaczonych dla managerów służb obrony cywilnej, m.in. podręcznika za­rządzania w sytuacji katastrof. Zadaniem stałym jest ukierunkowanie na włączenie sektora prywatnego w prace organizacji.

0x08 graphic
™ Zagadnienie przeanalizowane i w pełni opracowane przez Centrum Siudiów Bezpieczeń­stwa, ETH Zurych, Volume 2, 2004

55


Jednym z zasadniczych osiągnięć Europejskiej Komisji Gospodar­czej, (ECE) agencji ONZ jest opracowanie konwencji o zagrożeniach bezpieczeństwa, gdzie opisana została natura zagrożeń oraz jedno­znacznie zapisano potrzebę współpracy przy rozstrzyganiu spraw doty­czących infrastruktury między organizacjami rządowymi, pozarządowy­mi i prywatnymi. Konwencja stanowi podstawę uregulowań prawnych i standardów w sprawie infrastruktury oraz stymuluje prace nad kon­wencjami dziedzinowymi, w tym transportu materiałów niebezpiecz­nych i wypadków przygranicznych, powstałych po obu stronach. Wspól­nie z Organizacją Bezpieczeństwa i Współpracy w Europie aktywnie działa na rzecz sfinalizowania projektu systemu wczesnego ostrzegania. W swojej działalności przykłada dużą uwagę do włączenia w swoje pra­ce przedstawicieli społeczeństwa, także biznesu.

Organizacja Paktu Północnoatlantyckiego (NATO)

Posiada w swej strukturze dwa specjalistyczne oddziały zajmujące się ochroną infrastruktury krytycznej we współpracy międzynarodowej: Oddział planowania cywilnego w sytuacjach nadzwyczajnych (CEP) na szczeblu planowania operacyjnego grupujący kilka grup i komitetów (np. PBOS, PBIST, CPC), oraz Komitet w sprawie wyzwań nowocze­snych społeczeństw (CCMS) na poziomie dyplomacji publicznej wraz z panelem naukowo-badawczym SST.

1) Planowanie cywilne

„Wytyczne Ministerialne na lata 2003-2004" wskazały na potrzebę podjęcia wspólnej pracy ze względu na fakt, iż ochrona infrastruktu­ry krytycznej wykracza poza kompetencje poszczególnych komitetów i grup planowania NATO. Po wrześniu 2001 roku powołano grupy ad hoc w celu opracowania raportu o Klanie gotowości państw NATO krajów partnerskich (raport przyjęty rok później) oraz opracowania koncepcji ochrony infrastruktury krytycznej określającej wspólne po­dejście i posiadającej uzgodnioną definicję. Z dokumentu wynika kil­ka konkluzji, z których najistotniejsze to;

- żaden kiaj nie jest w stanie poradzić sobie z takim kompleksem
spraw angażujących tak wiele uczestników w jego rozwiązanie

zwłaszcza, że konsekwencje dotykają innych państw;

- niezbędna jest współpraca międzynarodowa służąca wymianie in­
formacji i koncepcji, podnoszenia gotowości i świadomości zagro­
żeń oraz udzielania pomocy w formie podobnej do utworzonego

56


w maju 1998 r. Euroatlantyckiego Centrum Koordynacji Reagowa­nia (EADRCC) w przypadku katastrof;

2) Dyplomacja publiczna

Sekcja wyzwań i zagrożeń poszukuje możliwości zwiększania wymia­ny informacji i zainteresowania problemem. Komitet CCMS pod-niósi jako pierwszy sprawę ochrony infrastruktury krytycznej wraz z ogłoszeniem projektu pt. „Wrażliwość społeczeństwa wewnętrznie połączonego", w którym brali udziat eksperci z 14 krajów. Zorgani­zowany został okrągły stół (w marcu 2003 r.) z udziafem przedstawi­cieli 34 krajów, UE i Organizacji żywności i rolnictwa. Efektem tych obrad jest przekonanie, ze współpraca międzynarodowa w usuwaniu tych słabych punktów jest niewystarczająca. Kluczową sprawą jest upowszechnianie wiedzy i szkolenia wśród dysponentów infrastruk­tury, i w tym aspekcie CCSM podzieli się doświadczeniami wspoma­gając budować sieć ekspertów. Ponadto CCSM podjęło się pilotować dwa projekty analizujące nowe - nietradycyjne zagrożenia dla bez­pieczeństwa: „Bezpieczeństwo przesmyków wodnych, portów i przy­ległych rejonów zamieszkania" z udziałem PBOS i PBIST, oraz dni-gi projekt „Bezpieczeństwo systemu dostaw żywności" z udziałem FAO. Z kolei panel SST zorganizowaf kilka spotkań roboczych, na których rozważano tematykę odnoszącą się do ochrony infrastruktu­ry krytycznej, w tym m.in. „Wojna cybernetyczna - wojna sieciowa", „Bezpieczeństwo energetyczne i zależności regionu Bałtyku", czy też „Nowe zagrożenia stabilności i bezpieczeństwa energetycznego" i "Biznes a bezpieczeństwo".

3) Kryteria współpracy

Po 11 września 2001 r. NATO uznało, że wojskowi i cywile nie mają już monopolu na mądrość w sprawach bezpieczeństwa, które nałeży traktować globalnie. Jednocześnie NATO przekształca się stopniowo

57


z organizacji polityczno-militarnej w organizację bezpieczeństwa międzynarodowego gotową do wspólnego działania na rzecz zapew­nienia szeroko rozumianego bezpieczeństwa, w tym lepszej ochrony infrastruktury krytycznej przed zamierzonym atakiem, np. terrory­stycznym. Ponadto NATO posiada unikalne siły i środki do dyspozy­cji spoicczności międzynarodowej, w tym zwłaszcza doświadczenie we współpracy międzynarodowej (włącznie ze współpracą militarną i wymianą informacji wywiadowczych), organizowania symulacji i du­żych, wielonarodowych ćwiczeń oraz jest najważniejszym ogniwem spinającym relacje od Północnej Ameryki, przez Europę do Azji. Stąd też można zasugerować pewne kryteria dotyczące polepszenia współpracy w obszarze ochrony infrastruktury krytycznej:

Organizacja Współpracy Gospodarczej i Rozwoju (OECD)

Jako wyspecjalizowana w problemach ekonomicznych skupia swą działalność na skutkach ekonomiczno-gospodarczych katastrof natural­nych, klęsk żywiołowych i celowych ataków powodujących zniszczenia


angażując się coraz bardziej w sprawy ochrony infrastruktury. Zwykle w takich przypadkach organizacja bada skutki dla sektora ubezpiecze­niowego, udziela pomocy w odbudowie telekomunikacji w krajach do­tkniętych katastrofą oraz zajmuje się bezpieczeństwem żeglugi mor­skiej. Po wydarzeniach 11/09/2001 organizacja postanowiła skuteczniej zwalczać cyber-terroryzm oraz działania hakerów przyjmując na 1037 sesji (lipiec 2002) „Wytyczne bezpieczeństwa systemów i sieci informa­tycznych", które mimo iż nie są wiążące dla wszystkich krajów uwzględ­niały konsensus między rządami, przedstawicielami przemysłu techno­logii informatycznych, społeczności biznesu jako użytkowników tych produktów. OECD forum pod nazwą Globalne forum systemów infor­matycznych i bezpieczeństwa sieci zwołane pod koniec 2003 roku było poświęcone bezpieczeństwu systemów sieciowych - ogólnie CIIP oraz stosowaniu powyższych wytycznych. Wspomnieć warto o inicjatywie zbadania zależności między infrastrukturą a poziomem życia mieszkań­ców. Powstało ciekawe opracowanie analizujące wyniki badań w 33 kra­jach dotyczące roli infrastruktury w sprzyjaniu wzrostu ekonomicznego i obniżaniu poziomu biedy, przedstawione w raporcie z grudnia 2003 roku. W sprawach dotyczących kilku sektorów jednocześnie organizacja poświęca uwagę systemowemu podejściu do nowo powstających niebez­pieczeństw, skutków ekonomicznych terroryzmu oraz wypadków z che­mikaliami i ich skutków dla środowiska. W tym ostatnim przypadku społeczność biznesowa jest w pełni włączona w działalność organizacji.

Rada Europy (EC)

Skupia swą działalność w tym obszarze na tworzeniu mechanizmów zapobiegania zagrożeniom. Efektem takich działań było utworzenie Centrum Euro-Śródziemnomorskiego, stanowiącego forum wymiany rezultatów konkurencyjnych analiz na temat resocjalizacji oraz odbudo­wy po konfliktach. W 1987 roku sformułowała dokument Niepełne Otwarte Porozumienie o ważnych niebezpieczeństwach zachęcające do współpracy w dziedzinie zarządzania ryzykiem - niezobowiązujące państw członków do przestrzegania, otwarte również dla państw spoza rady. Rada podejmuje próby krzewienia zachowań w obliczu niebezpie­czeństw związanych z katastrofami przez promowanie kierunków stu­diów akademickich, włącznie z uzyskiwaniem tytułów naukowych w ta­kich dziedzinach jak medycyna wypadków, sejsmologia, aspekty prawne i socjalne, itp. W edukacji obywatelskiej promuje również pogłąd oswa­jania się z ryzykiem, zalecając ujmowanie tych zagadnień w programach szkolnych. Ponadto promuje także stosowanie nowych technologii

59


w procesach podejmowania decyzji. Zauważalny jest brak koordynacji międzyministerialncj w Radzie.

Kraje grupy G8

Zdecydowały się zajmować bezpośrednio ochroną infrastruktury krytycznej po szczycie w Vancouver w maju 2002 roku z udziałem mini­strów sprawiedliwości i spraw wewnętrznych, którzy rok później zaak­ceptowali jedenaście kierunkowych zasad zachęcających państwa człon­kowskie do tworzenia strategii ochrony ich infrastruktury krytycznej w wymiarze narodowym i międzynarodowym. Zgodnie ze swoją rolą ka­talizatora przemian kraje G8 zachęcają do wprowadzania tych zasad w życie w państwach, gdzie infrastruktura jest siabiej rozwinięta i mniej wzajemnie uzależniona. Między innymi dla tych krajów, ale nie tylko cenne wydaje się zrozumienie sposobu traktowania problemu. Kraje G8 uznały, że infrastruktura telekomunikacyjna i informatyczna tworzą część zasadniczej infrastruktury krylycznej. W celu ochrony infrastruk­tury kiytycznej państwo powinno szczególną uwagę zwrócić na jej sku­teczną ochronę i zabezpieczenie przed ewentualnymi zniszczeniami. Skuteczna ochrona infrastruktury krytycznej - według G8 polega na: identyfikacji zagrożeń skierowanych przeciwko niej; eliminowaniu sła­bości mogących przyczynić się do jej uszkodzenia lub zniszczenia; sku­tecznym odtworzeniu po ewentualnym ataku w możliwie krótkim cza­sie; identyfikacji źródła szkody, lub źródła ataku, mając na uwadze ana­lizy ekspertów i wyniki dochodzenia służb policyjnych. Ponadto sku­teczna ochrona infrastruktury kiytycznej wymaga sprawnego systemu łączności, koordynacji i kooperacji narodowej oraz międzynarodowej pomiędzy wszystkimi odbiorcami przemysłowymi, uniwersytetami, sek­torem prywatnym, strukturami administracyjnymi, a także policją i służ­bami ochrony. Wysiłki te muszą uwzględniać działania w zakresie ochrony informacji niejawnych, a tworzone regulacje prawne powinny umożliwiać zabezpieczenie przed atakami na sieci informatyczne. Wła­śnie ze względu na powyższe cele kraje GS postanowiły wdrożyć nastę­pujące zasady:

  1. Państwa będą musiały tworzyć sieć alarmowania i sieć pogotowia bę­
    dące w stanie stawić czoła istniejącym zagrożeniom, sieci skonstru­
    owane na kształt niezawodnego systemu informacji i telekomunika­
    cji.

  2. Państwa będą musiały uwrażliwić odbiorców na specyfikę infrastruk­
    tury telekomunikacyjnej i informatycznej oraz brać pod uwagę jej
    doniosłość dla funkcjonowania państwa.

60


  1. Państwa będą musiały uważnie śledzić struktury infrastruktury i wła­
    ściwie identyfikować relacje zachodzące miedzy nimi, aby wzmocnić
    ich ochronę.

  2. Państwa będą musiały promować partnerstwo pomiędzy odbiorcami,
    którzy mogą posiadać charakter publiczny lub prywatny, atak aby in­
    spirować wymianę informacji pomiędzy nimi, dotyczących infra­
    struktury krytycznej, z uwzględnieniem działań zapobiegawczych.

5) Państwa będą musiaiy organizować i utrzymywać sieć łączności kry­
zysowej oraz ją testować, aby zagwarantować jej właściwe funkcjono­
wanie, bezpieczeństwo oraz stabilność w sytuacji kryzysowej.

  1. Państwa będą musiały upewnić się czy reguły dostępu do informacji
    w sposób wystarczający zabezpieczają system i nic przynoszą szkody
    dla ochrony infrastruktury krytycznej.

  2. Państwa będą musiały określić rodzaj ataku skierowanego przeciwko
    infrastrukturze krytycznej i według uznania przekazywać określone
    dane za granicę.

  3. Państwa będą zobowiązane do zapewnienia skutecznego procesu
    szkolenia i procesu prowadzenia ćwiczeń i treningów w celu uspraw­
    nienia zdolności skutecznej odpowiedzi na atak oraz testowania swo­
    ich planów niesienia pomocy w przypadku ataków skierowanych
    przeciwko infrastrukturze krytycznej. Powinny jednocześnie zachę­
    cać operatorów do działania w tym samym kierunku.

  4. Państwa będą musiały się upewnić, czy ich regulacje prawne z zakre­
    su prawa karnego i administracyjnego dotyczące przestępczości cy­
    bernetycznej są zgodne z Konwencją Rady Europy z 23 listopada
    2001 r. oraz czy ich wykształcony personel (policja, służby informa­
    cyjne, służby ochrony) zapewniają efektywne prowadzenie działań
    operacyjnych w zakresie przeciwdziałania tej przestępczości oraz
    skutecznego ścigania, jak również czy zapewniają skuteczną koordy­
    nację prowadzenia czynności dochodzeniowo - śledczych przy współ­
    udziale innych państw.

  1. Państwa będą zobowiązane do aktywniejszego zaangażowania się
    do współpracy międzynarodowej w celu zapewnienia bezpieczeństwa
    infrastruktury krytycznej, z uwzględnieniem narodowych regulacji
    prawnych, rozwoju i koordynacji systemów alarmowania i pogoto­
    wia, wymiany i analizy informacji - stosownie do skali zaistniałych in­
    cydentów i zagrożeń oraz koordynację czynności dochodzeniowo -
    śledczych dotyczących tej infrastruktury.

  2. Państwa będą musiaiy promować prace naukowo-badawcze i roz­
    wojowe w tym zakresie, prowadzone również przy współpracy mię-

61


dzynarodowcj, a także zachęcać do powszechnego certyfikowania urządzeń, zgodnie z międzynarodowymi normami bezpieczeństwa aplikacji certyfikatów bezpieczeństwa.

Unia Europejska

Jest wiodącą instytucją we wprowadzaniu w powszechne użytkowa­nie technologii komputerowych, zwłaszcza dostępu do Internetu. W ra­mach strategii modernizowania ekonomii europejskiej uruchomiony zosta! w 1999 roku program cEurope - Społeczeństwo informatyczne dla wszystkich. Jest on wyrazem doceniania korzyści ekonomicznych i socjalnych jakie są związane z wdrażaniem technologii informatycz­nych oraz komunikowania się. Komisja Europejska zajęła się opracowa­niem planu dziaiania zapewniającym każdemu w Europie odniesienie korzyści z rozwoju technologicznego podkreślając w ten sposób istotne znaczenie infrastruktury CIP / CIIE Plan ten nadal nowy impuls reali­zacji takich projektów jak e-Govcrnment„ e-Learning, e-Business oraz e-Health. Realizując plan działania eEuropc 2002 powołano specjalne ciało Forum UE w sprawach przestępstw cybernetycznych, którego ce­lem jest podnoszenie świadomości o zagrożeniach, promowanie najlep­szych rozwiązań prawnych, identyfikowanie narzędzi i procedur zapo­biegających przestępstwom oraz tworzenia wczesnego ostrzegania i re­agowania na zagrożenia bezpieczeństwa systemów komputerowych. Świadczy to o dążeniu do wprowadzania w życie zasad ustalonych w Unii Europejskiej w sposób skoordynowany i uregulowany. Pragma­tyczne podejście Komisji było dotychczas także widoczne w przypad­kach różnych kryzysów (Czernobyl, 9/11), ale ostatnio poświęciła wiele wysiłków na rzecz ograniczenia skali ryzyka po zliberalizowaniu lynków energii, rozwijając w tym celu kontakty miedzy rządami i sektorem pry­watnym. Aktywność Komisji widziana jest także przy rozważaniu pro­blemu zaopatrywania w energię krajów sąsiadujących - zależnych od źródeł obcych.

62


ROZDZIAŁ 4

Wybrane aspekty infrastruktury krytycznej w Polsce

Niektóre działy administracji publicznej, w tym województwa

Znacznie częściej niż dotychczas pojawia się pytanie o zasadność i możliwość zapewnienia ochrony infrastruktury krytycznej w naszym kraju. Wynika to przede wszystkim z narastającej świadomości istnienia ryzyka związanego zarówno z atakiem terrorystycznym (np. akty terro­rystyczne w pociągach i na obiekty kolejowe w Madrycie), jak i donio­słymi konsekwencjami zabirrzeń w funkcjonowaniu ważnych sektorów dla życia rozwiniętych społeczeństw europejskich (np. przerwa w dosta­wie energii elektrycznej we Włoszech). Stąd wzrastająca liczba semina­riów i konferencji międzynarodowych, głównie w Stanach Zjednoczo­nych i Anglii, ale także w Szwajcarii i we Francji poświęconych temu te­matowi. Inne kraje, zwłaszcza skandynawskie traktują ten problem rów­nie poważnie i angażują się coraz bardziej uczestnicząc aktywnie w tych przedsięwzięciach.

W opracowywanych dotychczas dokumentach strategicznych zagad­nienie infrastruktury rozpatrywano głównie pod kątem jej wpływu na planowane działania obronne. Szerszy kontekst, zwłaszcza społeczny nie brano pod uwagę. Dopiero Strategia Bezpieczeństwa Narodowego RP z 22 lipca 2003 roku, (SBN) odnosi się wielokrotnie do problemu bezpieczeństwa obywateli, obiektów oraz służb istotnych dla sprawnego funkcjonowania państwa. Stwierdza wręcz, że „państwo dbać będzie o stworzenie należytych warunków do sprawnego funkcjonowania klu­czowych elementów infrastruktury gospodarczo-finansowej państwa". Identyfikuje zagrożenia, wśród których zapewnienie bezpieczeństwa energetycznego kraju staje się poważnym wyzwaniem obligującym pań­stwo do dbania o bezpieczeństwo regionów wydobycia i tras tranzytu su­rowców strategicznych. Strategia wskazuje na zapobieganie degradacji środowiska naturalnego, przeciwdziałanie katastrofom ekologicznym, zapobieganiu awariom elektrowni atomowych i zakładów chemicznych, katastrofom transportowym z niebezpiecznymi materiałami i zanie­czyszczeniom atmosfery i wody. Natomiast w rozdziale czwartym zaty­tułowanym „Gospodarcze podstawy bezpieczeństwa państwa", można doszukać się próby zidentyfikowania infrastruktury krytycznej w Polsce, Wymienione są tu elementy i systemy infrastruktury, które należy uznać

63


za krytyczne, w lym m.in.: budżet i finanse publiczne, technologie zapew­niające bezpieczeństwo państwa i rozwój przemysłu obronnego, infra­struktura obronna w tym asortymenty uzbrojenia, sprzętu i wyposażenia

To zrozumiale, że poszczególna infrastruktura krytyczna pozostaje w zakresie odpowiedzialności różnych organów administracji publicz­nej. I jak wskazuje poniższy przegląd jest to ta sama, lub podobna infra­struktura, która często występuje w różnych resortach, np. systemy in­formatyczne występują niemal w każdej komórce organizacyjnej pań­stwowej i prywatnej. Znacząca część obiektów zakwalifikowanych do kluczowej infrastruktury znajduje się w dyspozycji kilku ministerstw, w tym zwłaszcza w obszarze odpowiedzialności Ministerstwa Infra­struktury, którego zasadniczym działem funkcjonowania jest transport, a zwłaszcza drogowy, kolejowy, morski i śródlądowy oraz budownictwo.

W Ministerstwie Skarbu Państwa do infrastruktury krytycznej należy zaliczyć zaopatrywanie w energię i paliwa, obiekty telekomunikacji, urządzenia gromadzenia i przekazywania informacji, usługi bankowe i finanse, zaopatrywanie w wodę, żywność oraz opiekę zdrowotną, urzą­dzenia transportowe, komunikacyjne i ratownicze oraz zapewniające funkcjonowanie organów władzy publicznej.

Minister właściwy dla gospodarki, pracy i rozwoju regionalnego rów­nież może wskazać na infrastrukturę krytyczną państwa pozostającą w jego kompetencji. Będzie to w szczególności sektor paliwowy posia­dający bazy paliwowe, rurociągi, rafinerie naftowe, przemysł energe­tyczny, chemii ciężkiej i farmaceutyczny, bazy danych systemów infor­matycznych oraz technologie i materiały z branży chemii ciężkiej. Rów­nież obiekty infrastruktury gospodarczej z jej elementami krytycznymi jak: elektroenergetyczne sieci przesyłowe i dystrybucyjne, stacje roz-dzielczo-redukcyjne oraz elektrownie i obiekty przemysłowego poten­cjału obronnego w szczególności o dużym zagrożeniu wybuchem.

64


Dla ministra właściwego dla rolnictwa i rozwoju wsi najistotniejsze znaczenie będzie miaio zapewnienie bezpieczeństwa żywnościowego, które zgodnie z tekstem deklaracji Szczytu Rzymskiego z 1996 r. ozna­cza sytuacje w których wszystkie gospodarstwa domowe mają dostęp materialny i ekonomiczny do żywności potrzebnej dla osób i nie są za­grożone ryzykiem utraty dostępu. Dlatego bezpieczeństwo żywności bę­dzie zależało od zapewnienia ochrony uTz;jdzeń produkcji i obrotu żyw­nością oraz środków żywienia zwierząt gospodarskich, ale takie od ochrony artykułów rolno-spożywczych i środków spożywczych.

Z kolei niektóre obiekty hydrotechniczne administrowane przez mi­nistra właściwego dla gospodarki wodnej podlegają z mocy prawa obo­wiązkowej ochronie, m.in.: zbiorniki wodne, bazy postojowe barek, por­ty śródlądowe, Śluzy, węzły, stopnic i zapory wodne. Stanowią one przy­kład typowej infrastruktuiy krytycznej. Ponadto z analizy możliwych za­grożeń dla działu administracji środowisko wynika, że przeciwdziałanie nadzwyczajnym zagrożeniom w przypadku awarii jądrowych21 wymusza zapewnienie ochrony radiologicznej kraju, ochrony mienia i ochrony przeciwpożarowej w lasach i parkach. Dziaf gospodarka wodna chronić powinien także wody śródlądowe wraz z drogami wodnymi, wody po­wierzchniowe i podziemne wraz z infrastrukturą techniczną obejmującą budowle i urządzenia wodne, zapewnić ochronę przeciwpowodziową, W tym utrzymanie urządzeń wodnych zabezpieczających przed powodzią.

Zauważyć należy, że przeważająca część obiektów infrastruktury jest rozlokowana na terenach administrowanych przez województwa. Wy­starczy tylko wspomnieć o województwie mazowieckim, gdzie najbar­dziej zagrożonym obiektem wydaje się być Metro Warszawskie i jedyny eksploatowany w Polsce obiekt jądrowy, czyli reaktor „Maria" w Insty­tucie Energii Atomowej Świerk. Inne obiekty, takie jak obiekty admini­stracji rządowej i samorządowej, instytucje państwowe, obiekty religij­ne, banki, szpitale, hotele, dworce kolejowe, porty lotnicze i lotniska, stadiony, mosty i tunele mogą również być uznane za infrastrukturę kry­tyczną wymagającą ochrony.

Ten pobieżny przegląd infrastruktury krytycznej pozwala na sformu­łowanie następującej ogólnej definicji takiego pojęcia: „urządzenia, in­stalacje i usługi, powiązane ze sobą więzami funkcjonalnymi, kluczowe dla bezpieczeństwa państwa i jego obywateli oraz zapewnienia spraw­nego funkcjonowania organów władzy i administracji publicznej, a tak­że instytucji i przedsiębiorców stanowią infrastrukturę krytyczną".

0x08 graphic
;' Elektrownie jądrowe w promieniu 250 km od granic RP znajdują się na Słowacji, w Cze­chach, Ukrainie oraz w Szwecji; ich iąc/.na moc wynosi około 14 tys MW.

65


Wybrane dokumenty prawne odnoszące się do problematyki

Do już wyszczególnionych elementów infrastruktury krytycznej w Polsce warto dodać te wymienione w rozporządzeniu RM z 20 sierp­nia 2004 w sprawie „Wykaz przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym". Rozporządzenie potwierdza, że określone systemy, elementy i obiekty infrastruktury wraz z instytucjami w których dyspozycji pozostają znajdują się w gestii rządu, który je wyszczególnia i kategoryzuje. Wykaz obejmuje 107 pozycji infrastruktury, w tym m.in. zakłady energetyczne, koncerny naftowe, nafto bazy, TV i radio, górnic­two naftowe i gazownictwo, wytwórnię papierów wartościowych, przed­siębiorstwa eksploatacji rurociągów naftowych, budownictwo wodne, hydro technika, RUCH S.A., itp.

Identyfikowaniu obiektów, jako krytycznie ważnych dla funkcjono­wania państwa służyć może rozważenie, czy są lo obiekty szczególnie ważne dla bezpieczeństwa państwa. Obiekty zidentyfikowane jako szczególnie ważne dla bezpieczeństwa państwa pogrupowane zostały w kategorie, co skutkuje najczęściej ich przeznaczeniem do militaryza­cji. Z rozporządzenia wynika, że do kategorii pierwszej zaliczone zosta­ły obiekty o dużym znaczeniu dla zabezpieczenia warunków funkcjono­wania systemów energetycznych. Dlatego są to m.in.; zbiorniki wodne, zwykle z zaporami stopnia wodnego i często elektrowniami, podziemne magazyny gazu, bazy paliw, mosty, zakiady wodociągowe (stacje uzdat­niania i ujęcia wody), oczyszczalnie ścieków, itp. Kategorię drugą stano­wią m.in.: ministerstwa, zakłady energetyczne, dyspozycje mocy w za­kładach, stacje i zakiady energetyczne, zakłady farmaceutyczne, cen­tralna i regionalne rozgłośnie radiowe, TV, radio, rozgłośnie regional­ne, radiowe centra nadawcze z ich funkcją informacyjną niezbędną do zabezpieczenia funkcjonowania systemu obronności państwa, zakłady chemiczne i azotowe, obiekty elektroenergetyczne (stacje energetycz­ne), przedsiębiorstwa PGNiG i EuRoPol GAZ, kopalnie ropy naftowej i gazu ziemnego, tłocznie gazu, węzły przesyłowe i regionalne dyspozy­cje gazu, stacje rozdzieiczo-pomiarowe, mieszalnie gazu, Rurociąg Naf­towy Przyjaźń wraz z stacjami pomp, kopalnia soli i węgla, zakłady che­miczne siarki, Polski Koncern Naftowy ORLEN oraz LOTOS, przed­siębiorstwo poszukiwań i eksploatacji złóż ropy i gazu, zakład gospo­darki cysternami, rurociągi naftowe i nafto bazy zaopatrujące SZ i go­spodarkę narodową w paliwa płynne, zakłady gazownicze i przesyłu ga­zu, budowle hydrotechniczne wraz z przedsiębiorstwam-i budownictwa hydrotechnicznego i budownictwa wodnego oraz zakia­dy farmaceutyczne.

66


Rozważając elementy polskiej infrastruktury krytycznej należy brać pod uwagę okoliczności i skutki możliwych zagrożeń dla ich funkcjono­wania. Jednym z ważniejszych wyzwań bezpieczeństwa we współcze­snym świecie, także w Polsce staje się zapewnienie zasobów odpowied­niej ilości i jakości wody oraz ochrona zasobów przed zanieczyszcze­niem. Zaburzenia klimatyczne powodujące katastrofy dolegliwe w swych skutkach materialnych, ale także niosące śmierć okazują się być wyzwaniem dla ochrony przeciwpowodziowej, osłony hydrologicz­nej i służb meteorologicznych. W takich przypadkach zapewnienie bez­pieczeństwa budowli hydrotechnicznych oraz utrzymanie śródlądowych dróg wodnych staje pod znakiem zapytania. Możliwe jest bowiem fi­zyczne zniszczenie infrastruktury, zakłóceniu ulegnie funkcjonowanie instalacji i urządzeń gospodarki wodnej wywołane brakiem dostaw energii, zanieczyszczeniem i skażeniem zasobów wody powierzchniowej i podziemnej. Podobne sytuacje mogą wystąpić w przypadku celowego ataku na systemy informatyczne sterujące urządzeniami. Wystąpienie niedostatku zasobów wody zarówno z przyczyn kaprysu natury jak i działalności człowieka (nadmierna eksploatacja, obniżenie jakości wo­dy) skutkować będzie powstaniem konfliktów wewnętrznych. Tymcza­sem przypadkowy wyciek z autocysterny powoduje skażenie i zanie­czyszczenie cieków wodnych.

Drugim wyzwaniem dla bezpieczeństwa państwa i obywateli jest wy­korzystywanie infrastruktury w produkcji przemysłowej dla potrzeb go­spodarki narodowej. Zakłady o tzw. zwiększonym ryzyku używają tok­syczne środki przemysłowe w procesach produkcji, są to głównie nie­bezpieczne dla ludzi i środowiska naturalnego związki chemiczne chlor­ku i amoniaku, ale także kwasy, cyjanek, siarkowodór, fluorowodory, substancje wybuchowe jak propan/ butan. Większość z tych produktów, często przechowywanych w zapasie, może być przyczyną wybuchów i stanowić źródło pożarów. Osobnym zagadnieniem jest pozostający po­za monitoringiem służb państwowych transport takich produktów mię­dzy producentem a odbiorca (rafinerie - stacje paliw), w tym tranzyt zu­żytego paliwa (także radioaktywnego) przez terytorium Polski. Aktual­nie najbardziej dokuczliwym wyzwaniem w odbiorze społecznym jest przeciwdziałanie aktom terroru w cywilnych portach lotniczych. Naj­ważniejszym zadaniem dla zarządzającego portem lotniczym jest usta­nowienie odpowiednich procedur w zakresie bezpieczeństwa funkcjo­nowania infrastruktury znajdującej się na lotniskach. Program ochrony lotniska przed aktami bezprawnej ingerencji przewiduje tworzenie wy­posażenia ochrony technicznej obiektów. Dokument ten stanowi bazę

67


dla służb odpowiedzialnych za bezpieczeństwo do stworzenia m.in. sys­temu telewizji dozorowej, czy zastosowania urządzeń i przegród antyw-lamaniowych,

Podsumowanie

1. Polska wykazuje umiarkowane zainteresowanie problemem infra­
struktury krytycznej o czym świadczyć może brak jakiejkolwiek mię-
dzyresoTtowej debaty mimo, iż SBN stwierdza, że „działania na rzecz
utrzymania właściwego stanu polskiej infrastruktury są jednym z wa­
runków zapewnienia odpowiedniego potencjału obronnego i bezpie­
czeństwa kraju, zarówno wewnętrznego, jak i zewnętrznego". Brak
takiej debaty, nie wspominając o publicznej pozostawia bez rozpa­
trzenia takie zagadnienia jak:

Ponadto obserwuje się sporadyczny i formalny udział zupełnie przy­padkowych przedstawicieli administracji rządowej w przedsięwzięciach dotyczących ochrony infrastruktury realizowanych na forum międzyna­rodowym.

2. Dla potrzeb SZ niezbędne jest utrzymanie określonych obiektów ma­
jących ważne - krytyczne znaczenie dla powodzenia planowanych
operacji. Szczególnie istotne będą te obiekty, które zapewniają kon­
tyngentom wojskowym możliwość swobody poruszania się na teatrze

68


działań. Do takich należy zaliczyć budowle wodne wraz ze środkami technicznymi w rejonach przewidywanych przepraw promowych i mostowych. Ich przydatność będzie oceniana według stopnia utrzy­mania śródlądowych szlaków żeglownych w gotowości eksploatacyj­nej na ustalonych odcinkach, nagromadzenia środków technicznych oraz zorganizowania osłony technicznej dróg wodnych, utrzymywa­nia służb państwowych (hydrologiczno- meieorologicznej i hydrolo­gicznej) do wykonania zadań na rzecz SZ. W związku z istnieniem powyższych uwarunkowań oraz możliwymi zagrożeniami dla waż­nych obiektów użyteczności publicznej, urzędów państwowych, przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym, niezbędne jest przygotowanie planów i procedur ochrony kluczowej - krytycznej infrastruktury państwa.

Uwagi końcowe

Społeczeństwa borykają się obecnie z różnorodnymi i rosnącymi cią­gle zagrożeniami i ryzykami. Jest to problem szczególnie istotny dla państw rozwiniętych, posiadających porównywalnie korzystniejszy bi­lans rozwoju cywilizacyjnego osiągniętego w ostatnich kilkudziesięciu latach, ale także dla krajów reszty świata, mimo ich słabszego statusu ekonomicznego i dość znacznego uzależnienia od tych pierwszych. Po­nadto państwa upadłe, zorganizowana przestępczość, broń masowego rażenia oraz terroryzm reprezentują osobno i w połączeniu znaczne za­grożenie dla efektywności struktur bezpieczeństwa międzynarodowego. W świecie bez granic „terroryści mogą zamieszkiwać w większości spo­łeczeństw i mogą pochodzić z każdej narodowości, rasy, czy religii". Sy­tuację można zmienić tylko wtedy, kiedy możliwa będzie współpraca, podejście całościowe do powyższych zagrożeń, zwłaszcza długotermino­we pozwalające na wyrugowanie przyczyn i korzeni terroryzmu.

Efekt milenijny - Y2K"' okazał się pouczającym przykładem niepeł­nej gotowości odpowiednich mechanizmów reagowania na wyzwanie, którego istota nie była w pełni rozpoznana i zrozumiała. To sprzyjało narastaniu katastroficznych przewidywań, zwłaszcza w miarę rosnącego poziomu świadomości istnienia współzależności poszczególnych sekto­rów krytycznych, możliwości lawinowego narastania niewydolności ele­mentów infrastruktury technicznej i telekomunikacyjnej, braku struktur

0x08 graphic
" Skról Y2K jest powszechnie używany w literaturze specjalistycznej (w języku angielskim), wobec braku polskiego odpowiednika używam lego samego skrótu.

69


zarządzania kryzysowego zdolnych do opanowania zupełnie nowego za­grożenia. W tym miejscu warto przytoczyć wysiłki Austrii, która utworzy­ła specjalną grupę roboczą w urzędzie kanclerskim z zadaniem wyczula­nia kadry kierowniczej na potencjalne problemy powodowane przez Y2K. Grupa monitorowała także stan przygotowań infrastruktury, przede wszystkim krytycznej w obszarach energii, transportu i bankowo­ści. Ustanowiony został ,,Punkt informacyjny 2000", który przez trzy lata zbierał dane o zakłóceniach w użytkowaniu infrastruktury znajdującej się w ministerstwach, landach i innych instytucjach. Przykład ten świadczy jak dużą siie sprawczy niosą ze sobą problemy infrastruktury krytycznej, takiej jak produkcja energii elektrycznej i jej dystrybucja, linie przesyło­we gazu i ropociągi, sieć transportu powietrznego oraz linie telekomuni­kacyjne, czyli infrastruktura, której słabość polega na podatności na za­kłócenia, zwłaszcza takie, które są efektem planowego działania terrory­stów, przestępców, czy wrogiej zagranicy. Wystarczy przytoczyć po­wszechnie znany słaby punkt takich obiektów związany z trudnością zor­ganizowania i zapewnienia stałej formy ochrony zasadniczym urządze­niom telekomunikacyjnym i produkcji energii, tzn. dwóch sektorów infra­struktury krytycznej, bez których życie większości społeczeństw powoli dezorganizuje się i pozostaje w chaosie. Choćby dlatego, że takie służby jak pomoc medyczna lub służby ratownicze będą wystarczająco zdezorga­nizowane z powodu braku dostaw prądu i łączności, a ich skuteczność sta­nic się znikoma. A to oznacza, iż bezpieczeństwo publiczne, utrzymanie sprawności służb państwowych oraz zapewnienie nieprzerwanego kiero­wania państwem wymaga udziału ogółu społeczeństwa w zapewnieniu ochrony infrastrukturze krytycznej. Doświadczenia tamtej chwili potwier­dziły złożoność kwestii infrastruktury wymagającą nowego podejścia na­ukowo - badawczego oraz wzięcia pod rozwagę w badaniach otoczenia, czyli potraktowanie tego problemu w sposób kompleksowy. Możliwymi kierunkami projektów badawczych stanowiących konsekwencje efektu Y2K, które uwzględniałyby szerszy kontekst infrastruktury krytycznej mogłoby być zbadanie uwarunkowań związanych z polityką społeczną, prawną, ekonomiczną i międzynarodową oraz dokonanie oceny jak ogra­niczenia ekonomiczne wpływają na eliminowanie (powstawanie) zagro­żeń takiej infrastruktury i zarządzanie skutkami zakłóceń3. Niezbędne jest zrozumienie takich uwarunkowań oraz racjonalna polityka

0x08 graphic
23 Korporacja RAND badając .skutki Y2K przyjęła dla swoich rozważań, że: seklor energii (produkcja elektryczności, składowanie ropy i gazu orai ich dystrybucja), infrastruktura tele­komunikacyjna, siużby społeczne, lotnictwo wraz z infrastrukturą oraz bankowość i służby fi-nanSOwe mogły być najbardziej podalnc na zakióceniS.

70


uwzględniająca istniejącą trwale niepewność spowodowaną brakiem możliwości całkowitego wyeliminowania podobnych zagrożeń.

Pojawiają się coraz to inne w swym charakterze zagrożenia dla infra­struktury krytycznej, jak np. naturalne katastrofy, błędy człowieka, czy też złośliwe ingerencje hakerów, także bezwzględne ataki terrorystycz­ne. Jednakże warto pamiętać, że w dzisiejszych czasach wszyscy jeste­śmy najbardziej zależni od dostaw energii elektrycznej. Tymczasem no­we projekty energetyczne powodują, iż systematycznie wydłużają się ra­miona dostaw surowców energetycznych, których wydobycie i dystrybu­cja pozostaje w rękach zagranicy. Świadczą o tym wielokilometrowe li­nie przesyłowe zaopatrujące często kraje sąsiednie (i nic tylko), stano­wiąc poważny problem dla ich zabezpieczenia przed uszkodzeniami. Sprzyja to tworzeniu publicznego odczucia nieuchronności kryzysu i podważa wiarygodność działań zapobiegawczych.

Infrastruktura krytyczna, taka jak telekomunikacja, czy dostawa energii umożliwia stabilne funkcjonowanie i rozwój państw. W przypad­ku zaistnienia jakichkolwiek zakłóceń powodujących, że jakiś istotny element infrastruktury „padnie", odbije się to na sprawności innych uzależnionych sektorów. Możliwe, iż skutki będą odczuwalne poza gra­nicami kraju. Dlatego ochrona infrastruktury nabiera cech problemu ponadnarodowego (globalnego) nie zwalniajcie innych państw z obo­wiązku ciągłego śledzenia problemu. Problemu nie zdefiniowanego do końca wobec tak różnych definicji infrastruktury krytycznej jak różne są koncepcje jej ochrony w poszczególnych krajach Europy. Choć z drugiej strony możliwe jest zidentyfikowanie w omawianych krajach pewnych wspólnych elementów strukturalnych, podobieństwa dotychczas podję­tych inicjatyw, tożsamych niekiedy funkcji struktur organizacyjnych od­powiedzialnych za ochronę infrastruktury, z utrzymującym się na dzień dzisiejszy nieporównywalnym poziomem takiej ochrony.

W wielu krajach brak jest znaczącego zainteresowania problemem oraz brak sygnałów rozsądnego zaalarmowania administracji, organiza­cji gospodarczych i biznesowych oraz przedstawicieli mieszkańców do-niostym znaczeniem skutków braku ochrony infrastruktury krytycznej. Jednym ze znamiennych faktów takiego stanu jest podjęcie (dopiero te­raz) przygotowań w nowych krajach NATO do realizacji zadań państwa - gospodarza, które determinują program rozwoju infrastruktury obronnej państwa. Symptomatyczne jest również dążenie do adaptacji modelu amerykańskiego do warunków państwa europejskiego. Tymcza­sem nie da się zastosować w pełni modelu innego kraju bez dokonania istotnych modyfikacji, eo więcej nie wszystkie omawiane kraje muszą

71


podejmować przedsięwzięcia poprawiające ochronę infrastruktury. Zwłaszcza, że niemożliwe jest zapewnienie ochrony wszystkim elemen­tom (obiektom) infrastruktury krytycznej w 100%.

Rosnące znaczenie posiadania wiarygodnej informacji oraz dostęp­ność środków elektronicznych niezbędnych dla ich przetworzenia spra­wiło, że systemy informatyczne stają się zasobami krytycznymi coraz mniej wartościowymi w tym sensie, że ciągle są i pewnie pozostaną nie­zwykle wrażliwe na uszkodzenia i zakłócenia, stając się w ten sposób najbardziej atrakcyjnymi celami ataków. Kluczową sprawą staje się py­tanie, jak zarządzać sic-ciowymi systemami informatycznymi w warun­kach ekonomiczno - gospodarczych zorientowanych na obsługę nowo­czesnych społeczeństw informatycznych. Podczas, gdy możliwości tech­nologii informatycznych i telekomunikacyjnych są znane i szeroko wy­korzystywane, to skutki powiązań wewnętrznych między sektorami in­frastruktury krytycznej, głównie w obszarze infrastruktury informacyj­nej nic są jak dotychczas brane pod uwagę. Rosnąca obawa o pojawie­nie się nowych, nieznanych zagrożeń w dziedzinie wymiany informacji zachęci być może naukowców, sektor prywatny i publiczny do bliższego poznania krytycznej infrastruktury informatycznej w celu efektywniej­szego zarządzania i skuteczniejszej ochrony zasobów cyfrowych, tak ważnych dla bezpieczeństwa nowoczesnych krajów.

Podejścia do rozważania problemów infrastruktury krytycznej przed­stawione we wstępie mają swych zwolenników i przeciwników. Podej­ście CIIP cechuje maksymalna specjalizacja, zwiększony udział sektora prywatnego biznesu, ale w zakresie podziału funkcji i kompetencji ist­nieje dwuznaczność, co wiąże się z postrzeganiem CIIP jako czysto pro­blemu technicznego. Podejście CIP gwarantuje klarowny podział zakre­su odpowiedzialności i kompetencji kierowania oraz niewielką liczbę osób sektora publicznego zajmujących się problemem, co zapewnia bezpośredni przepływ informacji i szybkie podejmowanie decyzji. Jed­nocześnie powoduje to zwiększone obciążenie organizacji zmuszonej zajmować się zarówno obroną cywilną jak i ochroną technologii infor­matycznych, co nierzadko przekłada się na zwiększenie wydatków woj­skowych (koordynująca rola ministra obrony) i opór środowiska bizne­sowego przed wiączaniem się w takie struktury. Należy także zauważyć, że oba podejścia wykazują próby zintegrowania części państwowej z prywatną w jeden narodowy model organizacyjny, jednakże współpra­ca między nimi niemal nie istnieje na poziomie strategicznego zarzą­dzania, lub ma charakter incydentalny.

Wydaje się, iż przyczyną takiego stanu są wahania, czy potrzebna jest narodowa - obowiązująca wszystkich strategia ochrony infrastruktury

72


krytycznej. Jest błędem zakładać, że sytuacja bezpieczeństwa w obsza­rze infrastruktury krytycznej jest podobna (taka sama) we wszystkich krajach, i że jest wystarczająca jedna globalna strategia, która ponadto ochronę narodowej infrastruktury krytycznej zawęża tylko do sektora publicznego. Tymczasem współpraca z przedstawicielami prywatnego biznesu, także międzynarodowego jest twórczym imperatywem.

Niezależnie od powyższego opracowania wydaje się, iż w kontekście zapewnienia ochrony infrastrukturze krytycznej interesujące może być podjęcie dyskusji wokół następujących zagadnień:

torze publicznym (państwowym) i prywatnym planują rządy i orga­nizacje międzyrządowe;

jakie nowe regulacje są podejmowane, aby osiągnąć założony wyż­
szy, bardziej skuteczny poziom gwarancji bezpieczeństwa ważnych
dziedzin życia publicznego bez stworzenia nieuzasadnionych ogra­
niczeń, czy zwiększenia kosztów funkcjonowania gospodarki pań­
stwowej, w tym zwłaszcza sektora prywatnego;

■i WAI73


ROZWINIĘCIE SKRÓTÓW

Skrót

Nazwa angielska

Nazwa polska21

AKSTS

Proteclion of Infraslructures Working Group

Robocza grupa ochrony infrastruktury krytycznej

BMI

Federal Ministry of the Interior

Ministerstwo Spraw Wewnętrznych

BSI

Federal Office for Information Security

Federalne Biuro Bezpieczeństwa

CCIP

Commission on Critical Infrastructurc Pro i c et i on

Komisja Ochrony Infrastruktury Krytycznej

CCMS

Committec on the Challenges of Modern Society

Komitet w sprawie wyzwań nowoczesnych społeczeństw

CE

Council of Europę

Rada Europejska

CEP

Civii Emergency Planning

Planowanie Obrony Cywilnej w sytuacji Nadzwyczajnych Zagrożeń

CERT

Computer Emergency Response Team

Grupa reagowania na zakłócenia komputerowe

CIIP

Critical informalion infra infrastructure protection

Ochrona krytycznej struktury informacyjnej

CIP

Critical infrastructure protection

Ochrona infrastruktury krytycznej

CIRCA

Computer Incident Response Coordination Austria

Koordynacja i reagowanie na incydenty komputerowe w Austrii

CNI

Critical National Infrastructure

Narodowa infrastruktura krytyczna

CPC

Conflict Prevention Center

Centrum Zapobiegania Konfliktom

DCDEP

Directorate for Civil Defense and Emergency Planning

Zarząd obrony cywilnej i planowania w sytuacjach nadzwyczajnych

0x08 graphic
"Tłumaczenia oficjalne oraz. itukjra

74


DSK

Commission on Dala Protection

Komisja ochrony danych

DSTL

Defense Science and Technology Laboratory

Laboratorium obrony, nauki i technologii

eA

Electronic attack

Atak elektroniczny (internet owy)

EADRCC

Euro-Atlanlic Disaster Response Coordination Center

Euratlanlyckie Centrum Koordynacji Reagowania w przypadku katastrof

ECE

Economic Commission for Europę

Europejska Komisja Gospodarcza (przy ONZ)

ECP.nl

Platform Electronic Commercc in the Netherlands

Platforma handlu elektroniką w Holandii

FAO

Food Agriculture Organization

Organizacja do spraw Wyżywienia i Rolnictwa

FICORA

Finnish Communications Regulatory Authority

Fińska władza nadzorująca teleinformatykę

FIRST

Forum on Ineident Response Security Team

Forum bezpieczeństwa w sprawach incydentów

FOCP

Federal Office for Civ ii Protection

Federalne biuro obrony cywilnej

FS-ISAC

Financial Scrvices Information Sharing and Analysis Center

Centrum analiz i wymiany informacji o służbach finansowych

IAAC

Information Assurance Advisory Council

Rada wiarygodności

informacji

ISPA

Internet Serviccs Providers Associalion

Stowarzyszenie dostawców ushig i n te r n et o wy c h

IT

Information Technology

Technologie informatyczne

IT-ISAC

Information Technology Information Sharing and Analysis Centeri

Centrum analiz i wymiany informacji o technologii informatycznych

MBLANI

The Reporting and Analysis Center for Information Assurance

Centralne biuro analiz i bezpieczeństwa informacji

NCC

The National Coordination Center

Narodowe centrum koordynacji

75


NEOC

National Emergency Operation Center

Narodowe centrum operacyjne

NESA

National Emergency Supply Agency

Narodowa agencja dostaw w sytuacjach nadzwyczajnych

NIPC

National Infrastructure Protcction Center

Centrum Ochrony Infrastruktury Narodowej

N1SCC

National Infrastructure Security Coordination Center

Narodowe Centrum Koordynacji Bezpieczeństwa Infrastruktury

NIST

National Institute of Standards Technology

Narodowy Instytut and Standardów i Technologii

OECD

Organization for Economic Cooperation and Developmeril

Organizacja Współpracy Gospodarczej i Rozwoju

PBIST

Planning Board for Inland Surface Transport

Rada Planowania Śródlądowego Transportu Nawodnego

PBOS

Planning Board for Ocean Shipping

Rada Planowania Przewozów Oceanicznych

SCADA

Supcrvisory control and data acquisition system

System nadzoru, kontroli oraz danych o zakupach

SEMA

Emergency Management Agency

Agencja zarządzania w sytuacjach nadzwyczajnych zagrożeń

SIS

Center for Information Sccurity

Centrum bezpieczeństwa informacji

SST

Security related Science and Technology panel

Panel bezpieczeństwa nauki i technologii

TBTRA

Terrestrial Trundled Radio

Cyfrowy telefon dla VIPów

TNO

The Netherlands' Organization for Applied Science Research

Organizacja Stosowanych Badań Naukowych

UNIRAS

UK Governmcnt Computer Emergency Rcsponse Team

Rządowa grupa reagowania na zakłócenia komputerowe

WARP

Warning, Advice, and Reporting Points

Punkty informacyjne, doradztwa i ostrzegania

76



Wyszukiwarka

Podobne podstrony:
Abstrakt, bezpieczeństwo, Infrastruktura krytyczna
Abstrakt, bezpieczeństwo, Infrastruktura krytyczna
Infrastruktura krytyczna
Organizacja Ochrony Infrastrukury Krytycznej
Infrastruktura krytyczna
ELEMENTY INFRASTRUKTURY KRYTYCZNEJ PAŃSTWA
Rozporzadzenie w sprawie planow ochrony infrastruktury krytycznej
Rozporządzenie w sprawie planów ochrony infrastruktury krytycznej
cyberataki na infrastrukturę krytyczną
13 ochrona infrastruktury krytycznej konspekt, AON, SEMESTR II, Zarządzanie kryzysowe
Infrastruktury Krytyczne, Energetyka Politechnika Krakowska Wydział Mechaniczny I stopień, Gospodark
Infrastruktura krytyczna, AON, SEMESTR II, Zarządzanie kryzysowe
Observation Collection Form – identyfikacja infrastruktury krytycznej
Infrastruktura krytyczna
INFRASTRUKTURA KRYTYCZNA XXI WIEKU EUROPEJSKI PROGRAM INFRASTRUKTURY KRYTYCZNEJ
ELEMENTY INFRASTRUKTURY KRYTYCZNEJ PAŃSTWA
Infrastruktura krytyczna
Narodowy program Ochrony Infrastruktury krytycznej
21 Radziejewski Ryszard Infrastruktura krytyczna

więcej podobnych podstron