Wyższa Szkoła Bezpieczeństwa i Ochrony
im. Marszałka Józefa Piłsudskiego w Warszawie
BEZPIECZEŃSTWO NARODOWE
DEFINICJE I ISTOTA INFRASTRUKTURY KRYTYCZNEJ
Maciej Świątek,
sem. III drugi stopień, gr A
Nr albumu: 1181
Warszawa 2014
Żadna ze znanych definicji ostatnich lat określająca co składa się na pojęcie infrastruktura krytyczna nie jest ostatecznie sformułowana. Co prawda w pewnym sensie ograniczone zostało pole rozważań, ale nadal pozostawiają one wystarczająco miejsca na dowolną interpretację, jaka infrastruktura pasuje do określonej definicji. Specyficzne sektory gospodarki, które posiadają elementy infrastruktury stanowią raczej lustrację, przykład, lecz nie wyczerpują pełnej listy takich obiektów występujących w różnych sektorach, dziedzinach, branżach itp.1
Zgodnie z obecnie obowiązującą ustawą z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym art. 3 pkt. 2, przez infrastrukturę krytyczną należy rozumieć systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców2.
W Rzeczypospolitej Polskiej infrastruktura krytyczna wchodzi w skład 11 systemów, które mają kluczowe znaczenie dla bezpieczeństwa państwa i jego obywateli oraz służą zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców.
Infrastruktura krytyczna obejmuje następujące systemy:
zaopatrzenia w energię, surowce energetyczne i paliwa,
łączności,
sieci teleinformatycznych,
finansowe,
zaopatrzenia w żywność,
zaopatrzenia w wodę,
ochrony zdrowia,
transportowe,
ratownicze,
zapewniające ciągłość działania administracji publicznej,
produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych (w tym rurociągi substancji niebezpiecznych).3
Krótko mówiąc, infrastruktura krytyczna to rzeczywiste i cybernetyczne systemy (a w tych systemach obiekty, urządzenia bądź instalacje) niezbędne do minimalnego funkcjonowania gospodarki i państwa. Infrastruktura krytyczna pełni kluczową rolę w funkcjonowaniu państwa i życiu jego obywateli. W wyniku zdarzeń spowodowanych siłami natury lub będących konsekwencją działań człowieka, infrastruktura krytyczna może być zniszczona, uszkodzona, a jej działanie może ulec zakłóceniu, przez co zagrożone może być życie i mienie obywateli. Równocześnie tego typu wydarzenia negatywnie wpływają na rozwój gospodarczy państwa. Stąd też ochrona infrastruktury krytycznej jest jednym z priorytetów stojących przed państwem polskim. Istota zadań związanych z infrastrukturą krytyczną sprowadza się nie tylko do zapewnienia jej ochrony przed zagrożeniami, ale również do tego, aby ewentualne uszkodzenia i zakłócenia w jej funkcjonowaniu były możliwie krótkotrwałe, łatwe do usunięcia i nie wywoływały dodatkowych strat dla obywateli i gospodarki.
Przez ochronę infrastruktury krytycznej należy rozumieć wszelkie działania zmierzające do zapewnienia funkcjonalności, ciągłości działań i integralności infrastruktury krytycznej w celu zapobiegania zagrożeniom, ryzykom lub słabym punktom oraz ograniczenia i neutralizacji ich skutków oraz szybkiego odtworzenia tej infrastruktury na wypadek awarii, ataków oraz innych zdarzeń zakłócających jej prawidłowe funkcjonowanie4.
Ochronę obowiązkową obiektów podejmuje też w swojej tematyce ustawa o ochronie osób i mienia. Ustawodawca wskazał listę obiektów, które ustawowo podlegają obowiązkowej ochronie w związku z koniecznością zapewnienia ochrony obiektom ważnym dla obronności, interesu gospodarczego państwa, bezpieczeństwa publicznego i innych ważnych interesów państwa5. Ustawodawca uznał, że obowiązkowej ochronie podlegają:
w zakresie obronności państwa w szczególności:
zakłady produkcji specjalnej oraz zakłady, w których prowadzone są prace naukowo-badawcze lub konstruktorskie w zakresie takiej produkcji,
zakłady produkujące, remontujące i magazynujące uzbrojenie, urządzenia i sprzęt wojskowy,
magazyny rezerw strategicznych, o których mowa w art 15 ustawy z dnia 29 października 2010 r. o rezerwach strategicznych (Dz. U. Nr 229, poz. 1496);
w zakresie ochrony interesu gospodarczego państwa w szczególności:
zakłady mające bezpośredni związek z wydobyciem surowców mineralnych o strategicznym znaczeniu dla państwa,
porty morskie i lotnicze,
banki i przedsiębiorstwa wytwarzające, przechowujące bądź transportujące wartości pieniężne w znacznych ilościach;
w zakresie bezpieczeństwa publicznego w szczególności:
zakłady, obiekty i urządzenia mające istotne znaczenie dla funkcjonowania aglomeracji miejskich, których zniszczenie lub uszkodzenie może stanowić zagrożenie dla życia i zdrowia ludzi oraz środowiska, w szczególności elektrownie i ciepłownie, ujęcia wody, wodociągi i oczyszczalnie ścieków,
zakłady stosujące, produkujące lub magazynujące w znacznych ilościach materiały jądrowe, źródła i odpady promieniotwórcze, materiały toksyczne, odurzające, wybuchowe bądź chemiczne o dużej podatności pożarowej lub wybuchowej,
rurociągi paliwowe, linie energetyczne i telekomunikacyjne, zapory wodne i śluzy oraz inne urządzenia znajdujące się w otwartym terenie, których zniszczenie lub uszkodzenie może stanowić zagrożenie dla życia lub zdrowia ludzi, środowiska albo spowodować poważne straty materialne;
w zakresie ochrony innych ważnych interesów państwa w szczególności:
zakłady o unikalnej produkcji gospodarczej,
obiekty i urządzenia telekomunikacyjne, pocztowe oraz telewizyjne i radiowe,
muzea i inne obiekty, w których zgromadzone są dobra kultury narodowej,
archiwa państwowe.
Ustawa o ochronie osób i mienia nakłada obowiązek ochrony wyszczególnionych obiektów niezależnie od stanu i sytuacji, natomiast ustawa o zarządzaniu kryzysowym określa obiekty infrastruktury krytycznej, których działanie powinno być podtrzymane w działaniu w sytuacjach kryzysowych. Powyższe listy pokrywają się w dużej części.
Wykaz obiektów podlegających obowiązkowej ochronie prowadzi odpowiedni terytorialnie wojewoda, a wykazy takich obiektów przekazują wojewodzie Prezes Narodowego Banku Polskiego, Krajowa Rada Radiofonii i Telewizji, ministrowie i kierownicy urzędów centralnych.
Oddzielną kategorią obiektów są obiekty szczególnie ważne dla bezpieczeństwa i obronności państwa, które także należy zaliczyć do obiektów infrastruktury krytycznej, choć ich przeznaczenie priorytetowe nie zawsze jest ukierunkowane na podtrzymanie ciągłości działania administracji i zapewnienia bezpieczeństwa obywateli, a bardziej ukierunkowane są na zapewnienie działalności sił zbrojnych. Obiektami znajdującymi się w tej kategorii są:
zakłady produkujące, remontujące i magazynujące uzbrojenie i sprzęt wojskowy oraz środki bojowe, a także zakłady, w których są prowadzone prace badawczo-rozwojowe lub konstruktorskie w zakresie produkcji na potrzeby bezpieczeństwa i obronności państwa;
magazyny rezerw państwowych, w tym bazy i składy paliw płynnych, żywności, leków i artykułów sanitarnych;
obiekty jednostek organizacyjnych podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych;
obiekty infrastruktury transportu samochodowego, kolejowego, lotniczego, morskiego i wodnego śródlądowego, drogownictwa, kolejnictwa i łączności oraz ośrodki dokumentacji geodezyjnej i kartograficznej;
zapory wodne i inne urządzenia hydrotechniczne;
obiekty jednostek organizacyjnych Agencji Wywiadu;
obiekty:
Narodowego Banku Polskiego oraz Banku Gospodarstwa Krajowego,
Polskiej Wytwórni Papierów Wartościowych S.A. oraz Mennicy Państwowej S.A.
obiekty, w których produkuje się, stosuje lub magazynuje materiały jądrowe oraz źródła i odpady promieniotwórcze;
obiekty telekomunikacyjne przeznaczone do nadawania programów radia publicznego i telewizji publicznej;
obiekty organów i jednostek organizacyjnych podległych ministrowi właściwemu do spraw administracji publicznej lub przez niego nadzorowanych;
obiekty organów i jednostek organizacyjnych podległych ministrowi właściwemu do spraw wewnętrznych lub przez niego nadzorowanych;
obiekty jednostek organizacyjnych Agencji Bezpieczeństwa Wewnętrznego;
obiekty Policji, Straży Granicznej i Państwowej Straży Pożarnej;
obiekty znajdujące się we właściwości Ministra Sprawiedliwości, Służby Więziennej oraz jednostek organizacyjnych podległych lub nadzorowanych przez Ministra Sprawiedliwości;
zakłady mające bezpośredni związek z wydobywaniem kopalin podstawowych;
obiekty, w których produkuje si ́, stosuje lub magazynuje materiały stwarzające szczególne zagrożenie wybuchowe lub pożarowe;
obiekty, w których prowadzi się działalność, z wykorzystaniem toksycznych związków chemicznych i ich prekursorów, a tak ̋e środków biologicznych, mikrobiologicznych, mikroorganizmów, toksyn i innych substancji wywołujących choroby u ludzi lub zwierząt;
elektrownie i inne obiekty elektroenergetyczne;
inne obiekty będące we właściwości organów administracji rządowej, organów jednostek samorządu terytorialnego, formacji, instytucji państwowych oraz przedsiębiorców i innych jednostek organizacyjnych, których zniszczenie lub uszkodzenie może stanowić zagrożenie dla życia i zdrowia ludzi, dziedzictwa narodowego oraz środowiska w znacznych rozmiarach albo spowodować poważne straty materialne, a także zakłócić funkcjonowanie państwa6.
Jak pisze Romuald Kalinowski monitorowanie zagrożeń zawsze związane było, jest i będzie z potencjalnym zagrożeniem. Podkreślić przy tym należy, że odnosiło się ono do każdego rodzaju zagrożenia. Początkowo jednak dotyczyło zagrożeń okresu wojny, współcześnie także zagrożeń czasu pokoju, w związku z występującymi nadzwyczajnymi zagrożeniami.
Niezależnie od okresu, charakteru i rodzaju zagrożenia oraz rodzaju monitoringu, związane było z koniecznością zapewnienia określonego bezpieczeństwa ludności (przede wszystkim) zamieszkującej lub przebywającej na zagrożonym obszarze.7 Wyznaczenie obiektów infrastruktury krytycznej jest związane z monitorowaniem zagrożeń, wyznaczając infrastrukturę krytyczną należy analizować jakie zagrożenia i jak duży wpływ będą miały na wyznaczone obiekty i urządzenia, a także rozważać możliwości przywrócenia ich do działania.
Jak wskazują przykłady historyczne ochrona infrastruktury krytycznej ma także znaczenie bezpośrednie dla pozostałych komponentów zapewniających bezpieczeństwo. Jak pisze B. H. Liddell Hart w "Strategia. Działania pośrednie": „Tak długo jak rodziny są bezpieczne, ludzie ci będą bronili swego kraju, wierząc, ze dzięki poświęceniu osłaniają oni również swe rodziny. Lecz nawet więzy patriotyzmu, dyscypliny i koleżeństwa rozluźniają się, gdy rodzina zostaje zagrożona(…)”.8 Zawarta myśl odnosiła się do stanowiska żołnierzy konfederacji w Wojnie Secesyjnej. Jak widać z analizy przeprowadzonej przez B. H. Liddell Harta wynika iż opór wojsk Konfederacji załamał się, ponieważ władze stanów południowych nie wystarczająco zabezpieczyły potrzeby swoich obywateli, a na skutek prowadzonej wojny cierpieli oni różnego rodzaju niedostatki co wpływało demoralizująco na walczących żołnierzy. Jeżeli chodzi o ochronę infrastruktury komunikacyjnej jako infrastruktury krytycznej, jej ważność w bezpośrednich działaniach wojennych wykazał gen. Douglas McArthur stosując zasadę uderzania tam gdzie przeciwnik nie posiadał rozbudowanej obrony i wystarczających sił do jej obrony, odcinając źródła i drogi zaopatrzenia9. Siły odcięte od zaopatrzenia nie mogły długo stawiać oporu.
Istotą wyznaczenia katalogu obiektów infrastruktury krytycznej jest zapewnienie funkcjonowania państwa, administracji rządowej i zabezpieczenia podstawowych potrzeb ludności w czasie występującego kryzysu lub wojny. Katalog powyższy zamyka szeroki wachlarz obiektów, które muszą być chronione nie zależnie od zaistniałej sytuacji i w pierwszej kolejności przywracane do stanu użyteczności. Odcięcie ludności, służb porządkowych, sił ratowniczych od niektórych elementów infrastruktury może prowadzić do powstawania chaosu, braku możliwości prowadzenia skoordynowanych działań, a wręcz ich uniemożliwienia.
W dobie rozwoju sieci informatycznych ciężar ochrony infrastruktury krytycznej przenosi się z obiektów typowo budowlanych na sieci informacyjne. Już w latach 1994 (Połączona Komisja Bezpieczeństwa USA), 1996 (Dyrektor CIA) stwierdzili, że największe zagrożenie mogą w najbliższych latach stanowić ataki cybernetyczne10. W USA w sierpniu 1997 Komisja Ochrony Infrastruktury Krytycznej (CCIP) uznała, że połączenie trzech czynników: energii elektrycznej, Łączności i komputerów będzie stanowiło o przetrwaniu uprzemysłowionego świata.
Obecnie notujemy coraz większą ilość ataków cybernetycznych.
Przykładem takiego działania może być atak cybernetyczny na Estonię prowadzony przez kilka tygodni od dnia 17 maja 2007. Premier Estonii wypowiedział się w mediach na ten temat: "Na Estonii testowano model nowej wojny cybernetycznej" - powiedział Ansip w wywiadzie dla niemieckiego dziennika "Tagesspiegel"11.
Według premiera Ansipa adresy niektórych ataków hakerskich wskazywały na udział Federacji Rosyjskiej, nie zostały jednak przedstawione żadne dowody potwierdzające tę tezę. W wyniku ataku zostały zablokowane serwery i strony Zgromadzenia Państwowego, agend rządowych, banków i mediów. Atak został przeprowadzony po sporze pomiędzy Estonią a Federacją Rosyjską o pomnik żołnierzy radzieckich w Talinie12. Sytuacja spowodowała zaniepokojenie w Unii Europejskiej i NATO, a sama Estonia została pozbawiona sieci komunikacji oraz dostępu do banków. W obecnej dobie odcięcie przez kilka tygodni od sieci bankowej oraz informacji może skutkować ogromnymi stratami, a wręcz kryzysem gospodarczym i politycznym.
W Polsce monitorowaniem bezpieczeństwa cyberprzestrzeni zajmuje się CERT (Computer Emergency Response Team) Polska jest zespołem powołanym do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet.
Na poniższym wykresie widać liczbę zgłoszeń naruszenia bezpieczeństwa w sieci Internet w poszczególnych kategoriach w 2011 r.13
Olejny wykres z raportu CERT za 2012 rok obrazuje ilość zgłoszeń wymagających „ręcznej” interwencji w poszczególnych latach14:
Kolejny przykład wojny w cyberprzestrzeni przytacza Przegląd NATO w artykule Nowe zagrożenia: wymiar cybernetyczny. Do zmasowanych ataków na rządowe strony internetowe i serwery w Gruzji doszło podczas konfliktu gruzińsko-rosyjskiego, co nadało określeniu „wojna cybernetyczna” bardziej konkretnego wymiaru. Działania te nie doprowadziły do żadnych fizycznych zniszczeń. Osłabiły one jednak gruziński rząd w krytycznej fazie konfliktu. Wpłynęły również na zdolność komunikowania się z bardzo zszokowaną opinią publiczną w kraju i na świecie15.
W związku z powyższym należy postawić pytanie, czym w dzisiejszej rzeczywistości jest infrastruktura krytyczna? Czy warto wysyłać człowieka z bombą do elektrowni atomowej i założyć, że może nie zostanie wykryty, czy lepiej z dużej odległości poprzez sieć z taniego laptopa przejąć kontrolę nad sterownią elektrowni?
Nie ma potrzeby wysadzać mostu czy centrali telefonicznej, jeżeli można zdalnie zniszczyć najbliższą tamę i spowodować powódź niszczącą i most, i centralę? Warto wrócić do stwierdzenia przytoczonego na początku niniejsze pracy i stwierdzić, że jest to zbiór otwarty, wzbogacany w miarę postępu technologicznego.
Literatura:
Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym z późn. zm., Dz.U.07.89.590.
Rozporządzenie Rady Ministrów z dnia 24 czerwca 2003 r. w sprawie obiektów szczególnie ważnych dla bezpieczeństwa i obronności państwa oraz ich szczególnej ochrony, Dz. U. 2003.116.1090.
Wydawnictwa:
R. Kalinowski, Monitorowanie zagrożeń, Akademia Podlaska, Siedlce 2003, str. 6.
Wójtowicz W., Bezpieczeństwo infrastruktury krytycznej, P.P.H. Zapol Dmochowski, Warszawa 2006, str. 8.
B. H. Liddell Hart, Strategia. Działania pośrednie, Warszawa 1959, rozdział IX.
Theodore Kinni, Donna Kinni, Sztuka zwycięstwa. Istota strategii i przywództwa według generała Douglasa MacArthura, OnePress, 2005.
Strony internetowe:
http://rcb.gov.pl
http://www.nato.int
http://www.wprost.pl
http://www.cert.pl
Wójtowicz W., Bezpieczeństwo infrastruktury krytycznej, P.P.H. Zapol Dmochowski, Warszawa 2006, str. 8.↩
Art. 3, ust. 2, Ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym z późn. zm., Dz.U.07.89.590.↩
Narodowy Program Ochrony Infrastruktury Krytycznej, Załącznik 1, Charakterystyka
systemów infrastruktury krytycznej, RCB, Warszawa, 2013.↩
http://rcb.gov.pl/?page_id=210, dostęp 04.02.2014 r, godź. 15.00.↩
Rozporządzenie Rady Ministrów z dnia 24 czerwca 2003 r. w sprawie obiektów szczególnie ważnych dla bezpieczeństwa i obronności państwa oraz ich szczególnej ochrony, Dz. U. 2003.116.1090.↩
Monitorowanie zagrożeń, R. Kalinowski, Akademia Podlaska, Siedlce 2003, str. 6.↩
B. H. Liddell Hart, Strategia. Działania pośrednie, Warszawa 1959, rozdział IX.↩
Wójtowicz W., Bezpieczeństwo infrastruktury krytycznej, P.P.H. Zapol Dmochowski, Warszawa 2006, str. 9.↩
http://www.wprost.pl/ar/?O=107407, dostęp 05.02.2014 r. godź. 20.10.↩
http://www.wprost.pl/ar/?O=107407, dostęp 05.02.2014 r. godź. 20.10.↩
http://www.cert.pl/, dostęp 05.02.2014, godź. 21.30↩
http://www.cert.pl/, dostęp 05.02.2014, godź. 21.30↩
http://www.nato.int/docu/review/2011/11-september/Cyber-Threads/PL/index.htm, dostęp 05.02.2014 r., godź. 21.40.↩