Infrastruktura krytyczna w wymagających czasach. Głosy ekspertów i specjalistów

security-ops.pl 2 lat temu

Infrastruktura krytyczna (IK) jest fundamentem sprawnie działającego państwa i zadowolonego społeczeństwa. W obecnym czasie zapewnienie odporności IK jest ważniejsze niż kiedykolwiek, bo wraz z rozwojem cywilizacyjnym systemy te są coraz bardziej złożone i coraz bardzo powiązane ze sobą, a więc coraz bardziej podatne na działanie wszelakich zagrożeń dla ich funkcjonowania. Kluczowym czynnikiem jest też aktualna sytuacja geopolityczna i fakt, iż obok wojen konwencjonalnych na poważne zagrożenie wyrosły tzw. działania hybrydowe, a IK jest głównym celem takich działań.

13 października 2022 r. w Olsztynie odbyła się konferencja pt. „Infrastruktura krytyczna w dobie zagrożeń hybrydowych”. Maciej Kluczyński, prezes Polskiego Towarzystwa Bezpieczeństwa Narodowego, otwierając konferencję zaznaczył, iż poszerzanie społecznej świadomości zagrożeń powinno iść w parze z poszerzaniem wiedzy dotyczącej newralgicznych aspektów bezpieczeństwa dla naszego najbliższego otoczenia. Konferencja to wspólne przedsięwzięcie Polskiego Towarzystwa Bezpieczeństwa Narodowego (PTBN) i Wydziału Prawa i Administracji Uniwersytetu Warmińsko-Mazurskiego pod patronatem Szefa Biura Bezpieczeństwa Narodowego, Rządowego Centrum Bezpieczeństwa, Wojewody Warmińsko-Mazurskiego, Marszałka Województwa Warmińsko-Mazurskiego, PKP PLK S.A., Polskiej Izby Systemów Alarmowych (PISA), Krajowej Izby Gospodarczej (KIG). Konferencja była możliwa również dzięki wsparciu PKP S.A., InfoOps Polska, Inseqr. Patronatu medialnego wydarzeniu udzielił ProjektIK.

Panel I – Nowe rozwiązania prawne UE w obszarze ochrony IK (Dyrektywa CER)

Pierwszy panel tematyczny dotyczył IK w zmieniającej się sytuacji prawnej. W latach 2023-2024 w krajach UE nastąpi rewolucja w ochronie IK, z uwagi na konieczność wdrożenia tzw. Dyrektywy CER. Co oznacza m.in. standaryzację ochrony obiektów IK, sankcje karne i finansowe dla operatorów IK za utrzymywanie „iluzji bezpieczeństwa” – mówił Damian Szlachter. Dotychczasowe tzw. bezsankcyjne podejście nie dawało takich możliwości, ale to nie jedyne nowe aspekty sytuacji. Projekt dyrektywy CER odchodzi od dotychczasowego podejścia, które opierało się̨ na ochronie ograniczonej liczby elementów infrastruktury fizycznej na rzecz zwiększenia odporności tych podmiotów krytycznych, które świadczą̨ usługi istotne z perspektywy prawidłowo funkcjonującego rynku wewnętrznego.

Konsekwencją wejścia w życie uregulowań Dyrektywy CER będzie istotne rozszerzenie zakresu przedsiębiorców prywatnych, którzy będę identyfikowani jako podmioty krytyczne. Dyrektywa nie różnicuje obowiązków ze względu na charakter podmiotu. Takie same wymagania będą miały odniesienie zarówno w przypadku podmiotów publicznych czy spółek z udziałem Skarbu Państwa, jak i do przedsiębiorców prywatnych. Wprowadzając zatem nowe, istotne obowiązki dla przedsiębiorców należy uwzględnić konieczność wyposażenia ich w odpowiednie narzędzia prawne, które umożliwią im ich wykonanie – zaznaczyła mec. Urszula Dziwulska.

W obecnej sytuacji Polska potrzebuje sprawnej koordynacji ochrony IK realizowanej centralnie i ponad resortowymi podziałami, co wybrzmiało zwłaszcza podczas części panelu dotyczącej zmian w ochronie IK, które wiążą się z planowanym na 1.01.2023 r. wejściem w życie ustawy o ochronie ludności i stanie klęski żywiołowej, której elementem jest rozdział 11 poświęcony IK. Uwagę zwraca fakt, iż w projekcie ustawy brak odniesień się do zagadnień wzmacniania „odporności państwa”, a więc przede wszystkim odporności IK. w tej chwili najważniejsze jest przygotowanie administracji publicznej, służb, inspekcji, straży oraz sił zbrojnych do reagowania na zagrożenia hybrydowe, także poprzez nadanie im odpowiednich kompetencji oraz zapewnienie sił i środków w przypadku niespodziewanej eskalacji kryzysu. Niebagatelne znaczenie ma edukacja dla bezpieczeństwa, a przede wszystkim edukacja w zakresie tych obszarów, które są charakterystyczne dla zagrożeń hybrydowych: dezinformacji, tzw. fakenewsów, cyberataków. Dotychczas realizowało ją RCB.

Ponadto, projekt ustawy zakłada likwidację dokumentów o charakterze strategicznym, czyli Krajowego Planu Zarządzania Kryzysowego oraz Raportu o zagrożeniach bezpieczeństwa narodowego oraz nie uwzględnia obowiązku cyklicznego prowadzenia oceny ryzyka oraz planowania zarządzania ryzykiem, a to oznacza brak spełnienia zobowiązań wynikających z członkostwa Polski w UE. Potwierdzeniem spełnienia warunków podstawowych jest przekazywanie do KE co trzy lata Streszczenia istotnych elementów krajowej oceny ryzyka oraz Streszczenia istotnych elementów krajowej oceny zdolności zarządzania ryzkiem, które opracowywane są na podstawie Raportu o zagrożeniach bezpieczeństwa narodowego oraz Krajowego Planu Zarządzania Kryzysowego. Zapisy nowej ustawy nie uwzględniają zarówno kontekstu konfliktu hybrydowego, a w szczególności jego specyficznych warunków prowadzenia w okresie pokoju działań poniżej progu wojny, jak również zaleceń kolejnych szczytów NATO, zobowiązań unijnych, ani nie realizują też zasady spójności rozwiązań w zakresie ochrony IK w postaci instytucji koordynującej ochronę i budowanie odporności IK.

Niepokoi fakt, iż rozdział projektu ustawy dotyczący IK nie precyzuje wielu zagadnień, odsyłając do mających powstać rozporządzeń. Infrastruktura Krytyczna jest zbyt ważna, by jej ochronę odkładać do momentu publikacji rozporządzenia. W aktualnej sytuacji geopolitycznej nie możemy tego zagadnienia zostawić w ustawowej próżni. Operatorzy IK potrzebują informacji i wsparcia. Potrzebują standardów postepowania na wypadek sytuacji kryzysowych. Gdzie je znajdą, gdy zabraknie NPOIK i załączników? – pytała retorycznie Karolina Wojtasik. Operatorzy IK powinni mieć dostęp do wiedzy i rozwiązań w zakresie budowania odporności IK. Społeczeństwo już czuje, iż IK jest fundamentem sprawnego działania nowoczesnego państwa. Nie zmarnujmy tego momentu. Ta tematyka potrzebuje szeroko zakrojonej akcji edukacyjnej. Woda w kranie i prąd w gniazdku są tak samo ważne jak szczelność granicy. Infrastruktura krytyczna jest gwarantem sprawnie funkcjonującego społeczeństwa. Nie można podkopywać tych fundamentów. Infrastruktura krytyczna zasługuje na ustawę.

Panel II – Zagrożenia wynikające z wrogiego wykorzystania systemów bezzałogowych wobec IK

Przyszłe konflikty nie stracą hybrydowego charakteru, a przy tym osiąganie celów prowadzonych operacji będzie podszyte udoskonalaniem obecnych i wprowadzaniem innowacyjnych osiągnięć w dziedzinie technologii (systemy autonomiczne). Wiodącą rolę przypisywać się powinno budowaniu świadomości potencjalnych/rzeczywistych zagrożeń.

Wyzwaniem pozostają intencjonalne bezprawne ataki na morzu i w portach wobec obiektów morskiej IK – zaznaczała Daria Olender. W kontekście rozwoju inicjatywy pod banderą „offshore” należałoby zintensyfikować działania ukierunkowane na zapewnienie bezpieczeństwa w obszarze morskim. W ostatnich latach skupiono się na zabezpieczeniu IK w obszarze lądowym, powietrznym.

Często się mówi o wykorzystaniu nowych technologii do monitorowania bezpieczeństwa w rejonie tych środowisk, zwłaszcza w aspekcie budowania systemów antydronowych. Niemniej jednak obszar morski – nomen omen kraju nadmorskiego – pozostaje w tym względzie zaniedbany. W obliczu rozszerzenia NATO o Szwecję i Finlandię, ergo „przekonwertowania” Morza Bałtyckiego na Morze Paktu Północnoatlantyckiego, należy zdawać sobie sprawę, iż ten stosunkowo płytki akwen może stać się areną zintensyfikowanych wrogich działań, w tym sabotażowych m.in. przy wykorzystaniu dronów, systemów autonomicznych.

Z uwagą przyglądamy się wojnie w Ukrainie w kontekście użycia bezzałogowych statków powietrznych. Tematyce dronów i ich wykorzystania do budowy odporności IK poświęcony był kolejny panel.

Jędrzej Łukasiewicz zwrócił uwagę na kilka istotnych faktów: powszechne jest wykorzystanie tanich, cywilnych mikrodronów w działaniach wojennych; upadł mit o rozwiniętej technologii dronowej w Rosji, ponadto sytuacja pokazała duże możliwości produkcji dronów w Iranie.

Zagrożenia wynikające z wrogiego wykorzystania systemów bezzałogowych wobec IK; Dariusz Marczyński (RCB), dr Daria Olender (PTBN), dr Michał Piekarski (UWr/PTBN), dr hab. inż, prof. PW Robert Głębocki (PW),dr Jędrzej Łukasiewicz (PUT/PTBN). Zdjęcia: Materiały organizatora

Do kolejnych wniosków prowadzi analiza użycia Aeroskope na Ukrainie: konieczne jest wyposażenie jednostek wojskowych w polskie drony o niewielkiej masie na potrzeby obserwacji i wskazywania celów. Powszechne użycie dronów w walkach na Ukrainie powinno spowodować powszechne szkolenie z ich obsługi w Wojsku Polskim. Pilotaż drona powinien być tak powszechną umiejętnością jak obsługa broni palnej, jakkolwiek tego typu sprzęt sprawdzi się także w przypadku IK w celu zapewnienia bezpieczeństwa i szybkiej detekcji prób prowadzenia obserwacji, czy innej formy zwiadu. Istnieje także konieczność opracowania technologii antydronowych profilowanych na sprzęt chiński jako ten najbardziej rozpowszechniony.

Stan polskiej Marynarki Wojennej powinien być przyczyną opracowania i powszechnego wdrożenia do służby bezzałogowych platform pływających i latających dla ochrony polskiej, morskiej infrastruktury krytycznej. Podobne refleksje miał także Michał Piekarski, zaznaczając, że: z uwagi na sytuację na Bałtyku musimy rozwijać systemy bezzałogowe do ochrony IK na naszych obszarach morskich. Nikt nas nie zwolni z ochrony naszych wód terytorialnych czy wyłącznej strefy ekonomicznej. Należy dążyć do wykorzystania doświadczeń z Ukrainy w szczególności w zakresie integracji systemów bezzałogowych w pododdziałach wojskowych. Mogą one znacząco wesprzeć już posiadane środki np. ppk Spike czy moździerze.

Skuteczna ochrona IK wymaga standardów, procedur i dobrych praktyk. Opracowane przez Rządowe Centrum Bezpieczeństwa „Standardy bezpieczeństwa dla operatorów infrastruktury krytycznej w zakresie zapobiegania, reagowania i ograniczania skutków zagrożeń stwarzanych przez incydenty z udziałem systemów bezzałogowych” wytycza szlak i jest dokumentem przełomowym, także w skali UE. Dariusz Marczyński podkreślił, iż stosowanie „Standardów” nie oznacza szacowania ryzyka, przed celową lub przypadkową ingerencją ze strony systemów bezzałogowych, jedynie w obszarze bezpieczeństwa fizycznego, ale również w obszarach bezpieczeństwa osobowego, technicznego (w tym technologiczno-procesowego), cybernetycznego oraz w ochronie kluczowych procesów i usług. Tworzenie systemu zapobiegania zagrożeniom od incydentów z wykorzystaniem systemów bezzałogowych (ale również reagowania na te zagrożenia i ograniczania ich skutków), z uwagi na ich różnoraki charakter, wymaga opiniowania eksperckiego. jeżeli w ocenach bezpieczeństwa IK występują nieakceptowalne ryzyka ze strony incydentów z użyciem systemów bezzałogowych, operator IK w uzgodnieniu z koordynatorem systemu IK określa strategię i mechanizmy niezbędne do budowy specjalnego systemu antydronowego.

Panel ekspercki III – Bezpieczeństwo sfery informacyjnej operatorów IK na przykładzie aktywności dezinformacyjnej skierowanej w sektor telekomunikacyjny

Największym wyzwaniem dla operatorów IK dziś, poza utrudnianiem rozpoznania obiektów przed działaniami sabotażowymi, jest budowanie odporności na zaburzenia bezpieczeństwa informacyjnego płynące z mediów społecznościowych. Ten wątek był tematem osobnego panelu poświęconego zagrożeniom niematerialnym, jakkolwiek dotyczącym kluczowych aspektów bezpieczeństwa.

Narodowy Program Ochrony IK identyfikuje 5 kategorii zagrożeń, jednak co istotne dla współczesnych czasów, brakuje w nim wskazania zaburzeń bezpieczeństwa informacyjnego. Analiza wątków COVID-19 oraz 5G przeprowadzona w źródłach otwartych przez analityków PTBN oraz Inseqr w jednoznaczny sposób udowadnia, iż zjawiska zachodzące w przestrzeni publicznej mogą w znaczący sposób zaburzyć funkcjonowanie infrastruktury krytycznej, której sprawne funkcjonowanie jest najważniejsze dla państwa oraz społeczeństwa.

Dlatego też, zasadne jest podjęcie działań, zarówno w obszarze legislacyjnym, technicznym, jak i organizacyjnym, które będą w stanie zapewnić oraz utrzymać bezpieczeństwo informacyjne infrastruktury krytycznej. Już analiza i bieżący monitoring informacji zamieszczanych w przestrzeni informacyjnej pozwoli na identyfikację zagrożeń na wstępnym etapie i podjęcie adekwatnych działań w celu minimalizacji negatywnego oddziaływania na obiekty IK – mówiła Anna Rożej-Adamowicz.

Przeprowadzona analiza wątków COVID-19 oraz 5G przeprowadzona w serwisie Twitter przez analityków PTBN i Inseqr wyraźnie pokazała związek zachodzący pomiędzy rozwojem tej technologii a pandemią COVID-19. Użytkownicy głoszący takie tezy łączyli je z emocjonalną krytyką instytucji publicznych oraz polityków. Znaczącą większość tweedów należy jednak uznać za teorie spiskowe. Dlatego też, nie można lekceważyć obecności dezinformacyjnych treści w sieci. Dobrze przygotowana i przeprowadzona kampania dezinformacyjna może przynieść ogromne straty zarówno w sferze budowania świadomości, jak i przełożyć się w prawdziwe zagrożenia w świecie realnym, istniejącym poza cyberprzestrzenią. W związku z tym istnieje konieczność stałego monitorowania przestrzeni informacyjnej w celu szybciej identyfikacji potencjalnie groźnych zjawisk. Ruchy protestu – zarówno przeciw status quo jak przeciw zmianie – są naturalnym elementem demokratycznego ekosystemu społecznego. Problem zaczyna się, gdy ich radykalizm prowadzi do polaryzacji społeczeństwa, a później do przemocy (choćby werbalnej czy symbolicznej) – zaznaczył Jarosław Tomasiewicz.

Panel ekspercki IV – System transportu kolejowego jako cel aktywności terrorystycznej i sabotażowej w krajach UE/NATO a doświadczenia wynikające z wojny w Ukrainie

Wojna w Ukrainie potwierdziła ogromne znaczenie transportu torowego, kluczowego w kwestii transportu pomocy humanitarnej i militarnej do Ukrainy. W mrocznych zakamarkach Internetu funkcjonują instrukcje dokonywania ataków i sabotażu na kolej.

Upowszechniają je zarówno organizacje skrajnie prawicowe, jak i dżihadyści. Atakom na system kolejowy był poświęcony cały numer wydawanego przez AQAP czasopisma „Inspire”. Ten rodzaj wiedzy jest niebezpieczny i może stać się instrukcją nie tylko dla terrorysty, ale także dla niestabilnej jednostki, inspirowanej przez państwowe lub pozapaństwowe podmioty.

Akty sabotażu mogą nie tylko doprowadzić do strat materialnych, ale także przedstawić RP w niekorzystnym świetle na arenie międzynarodowej, lansując tezę, iż nie jest poważnym partnerem w realizacji zadań w ramach pomocy Ukrainie. Tej problematyce poświęcono ostatni panel. Sieć transportu torowego ze względu na jej rozległość i zróżnicowanie, a także powszechną dostępność stanowi bardzo łatwy obiekt potencjalnych ataków terrorystycznych. Analizując te zagrożenia należy brać pod uwagę nie tylko przypadki ataków, jakie już miały miejsce, ale też możliwości na razie niewykorzystane przez terrorystów (cyberatak, uwolnienie lub zdetonowanie przewożonych koleją niebezpiecznych ładunków) – mówił Jarosław Tomasiewicz. System transportu kolejowego jest szczególnie podatny na działania hybrydowe – w tym dywersyjne. Należy rozważyć stworzenie komponentu ochrony IK w głębi kraju, podobnie jak tworzy się komponent WOT do wsparcia ochrony granicy – przekonywał Michał Piekarski.

Niemożliwe jest powielenie rozwiązań w zakresie budowania systemu bezpieczeństwa z lotnictwa, ale istnieją dobre praktyki, które można wdrażać także w komunikacji kolejowej – mówiła Karolina Wojtasik. Rekomendacje Polskiego Towarzystwa Narodowego w zakresie budowania odporności systemu kolejowego stanowiły podsumowanie panelu.

Idź do oryginalnego materiału