Pod koniec czerwca 2023 roku Grupa Zadaniowa NATO-UE ds. odporności infrastruktury krytycznej przedstawiła raport końcowy z przeprowadzonej na początku roku oceny. Przedstawiono w nim aktualne wyzwania w zakresie bezpieczeństwa podmiotów krytycznych i zidentyfikowano cztery najważniejsze sektory o przekrojowym znaczeniu: energetykę, transport, infrastrukturę cyfrową i przestrzeń kosmiczną. W raporcie przedstawiono ukierunkowane zalecenia dotyczące wzmocnienia odporności infrastruktury krytycznej.
Na początku tego roku sekretarz generalny NATO, Jens Stoltenberg oraz szefowa Komisji Europejskiej, Ursula von der Leyen, zadeklarowali utworzenie wspólnej grupy zadaniowej na rzecz wzmacniania odporności infrastruktury krytycznej. Była to odpowiedź na rosnące zagrożenie atakami na tego rodzaju infrastrukturę, w tym serię ataków przeprowadzonych na podmioty krytyczne w 2022 roku. UE i NATO wspólnie uznały, iż w obliczu rosyjskiej agresji wobec Ukrainy konieczne jest podniesienie poziomu ochrony podmiotów świadczących usługi najważniejsze dla funkcjonowania gospodarki unijnej oraz jej poszczególnych państw. Jednym z celów powstałej w marcu grupy było zidentyfikowanie kluczowych zagrożeń dla infrastruktury krytycznej i ich strategicznych słabości oraz zaproponowanie działań łagodzących i zaradczych.
Efektem jej prac jest opublikowany 29 czerwca 2023 roku raport. Zdefiniowano w nim odporność infrastruktury krytycznej jako zdolność do zapobiegania incydentom, ochrony przed nimi, reagowania na nie, stawiania im oporu, a także łagodzenia i absorpcji ich skutków. Incydentami z kolei są zdarzenia, które mogą zakłócić świadczenie podstawowych usług. W raporcie podkreślono, iż zapewnianie i wzmacnianie odporności infrastruktury krytycznej państw członkowskich UE i sojuszników NATO jest przede wszystkim obowiązkiem krajowym. Jednak biorąc pod uwagę transgraniczny charakter podmiotów świadczących usługi najważniejsze niezbędna jest kooperacja na szczeblu regionalnym i międzynarodowym, w tym za pośrednictwem organizacji międzynarodowych.
Krajobraz zagrożeń
W ramach wkładu w prace grupy zadaniowej NATO-UE, komórki obu tych instytucji przeprowadziły równoległą i skoordynowaną ocenę krajobrazu zagrożeń związanych z infrastrukturą krytyczną, zgodnie z ustaloną praktyką współpracy NATO-UE.
Ustalono, iż zakłócenia mogą pochodzić z wielu źródeł, zarówno naturalnych, jak i spowodowanych przez człowieka oraz mieć charakter celowy lub przypadkowy. Wśród tzw. „wrogich aktorów” wymienia się m.in. organizacje terrorystyczne, wrogie rządy państw, czy jednostki działające w celu osiągnięcia korzyści materialnej. Warto jednak pamiętać, iż infrastruktura krytyczna może także ulec zniszczeniu w wyniku np. katastrof naturalnych.
Wiele podmiotów infrastruktury krytycznej jest rozproszonych, a niektóre z nich są łatwo dostępne. Dodatkowo, wiele z nich znajduje się w rękach prywatnych, a ich właściciele muszą kierować się koniecznością zapewnienia między innymi rentowności finansowej. Utrudnia to zastosowanie silnych środków bezpieczeństwa i jednocześnie ułatwia stanie się celem ataków będących elementem działań hybrydowych.
Ze względu na jej najważniejsze znaczenie dla państw, infrastruktura krytyczna może być celem na różne sposoby, m.in. poprzez:
- szpiegostwo i gromadzenie danych wywiadowczych,
- ataki fizyczne,
- wrogie rozpoznanie,
- złośliwe działania hybrydowe i w cyberprzestrzeni,
- konfiskatę.
Dlatego w kontekście rosnącej konkurencji strategicznej UE i NATO wspólnie uznały wagę identyfikowania i łagodzenia strategicznych słabości i zależności, które mogą zostać wykorzystane przez wrogich aktorów. W raporcie zidentyfikowano cztery sektory o przekrojowym znaczeniu, których zakłócenie miałoby największe znaczenie dla państw członkowskich i sojuszniczych. Są to energetyka, transport, infrastruktura cyfrowa i przestrzeń kosmiczna. Stoją one przed szczególnymi wyzwaniami, którym należy sprostać, aby zwiększyć odporność nie tylko poszczególnych państw, ale i społeczności międzynarodowej.
W niniejszym opracowaniu skupiono się na infrastrukturze cyfrowej oraz wzajemnych powiązaniach między czterema kluczowymi sektorami, analizowanymi przez grupę zadaniową NATO-UE.
Infrastruktura cyfrowa
Infrastruktura cyfrowa stanowi fundament komunikacji, a ta z kolei jest podstawą wszelkich działań podejmowanych w społeczeństwie i gospodarce krajowej. W szczególności kluczową wartością komunikacji jest umożliwienie rządom przekazywania obywatelom najważniejszych informacji, zwłaszcza w czasach kryzysu.
Podmiotami krytycznymi, zgodnie z artykułem 6 dyrektywy w sprawie odporności podmiotów krytycznych (CER), są podmioty, które świadczą usługi kluczowe, a incydent w ich ramach miałby istotne skutki zakłócające dla świadczenia takiej usługi. W raporcie podkreślono znaczenie infrastruktury cyfrowej, jako infrastruktury krytycznej, analizując wybrane kwestie.
Po pierwsze, zaznaczono, iż do świadczenia usług informacyjnych i komunikacyjnych wymagana jest szeroka gama infrastruktury, od podziemnych i podmorskich kabli światłowodowych po komórkowe stacje bazowe i satelity. Ponadto istnieją pewne węzły, które mają najważniejsze znaczenie dla kierowania ruchem lub zarządzania siecią, w tym centra danych i punkty wymiany ruchu internetowego, a także niektóre rodzaje infrastruktury, których nie można łatwo wymienić, takie jak kable podmorskie. Biorąc pod uwagę ich długość i trudność w ich monitorowaniu, mogą być postrzegane jako atrakcyjny cel dla przeciwnika. Jednoczesne przerwanie pracy wielu podmorskich kabli komunikacyjnych stanowiłoby poważne zagrożenie dla państw członkowskich i członków Sojuszu, ponieważ ich możliwości naprawy są ograniczone.
Po drugie wskazano na rolę, jaką pełnią sieci 5G dla szerokiej gamy usług w sektorach takich jak energetyka, transport, bankowość, opieka zdrowotna czy przemysłowe systemy sterowania. Uzależnienie wielu krytycznych usług od sieci 5G, a w przyszłości od sieci nowej generacji, spowodowałoby, iż konsekwencje systemowych i powszechnych zakłóceń byłyby szczególnie poważne. Sieci 5G mają większą powierzchnię podatności na ataki, co daje atakującym więcej punktów wejścia, dlatego wymagają silniejszych środków bezpieczeństwa i odporności.
Trzecim elementem, na który zwrócono uwagę w raporcie, jest kwestia dostawców sprzętu i usług sieciowych. W obecnym zmieniającym się środowisku bezpieczeństwa, kluczowa jest ocena zagrożeń strategicznych, zwłaszcza ryzyka ingerencji ze strony określonych państw trzecich, które stwarzają potencjalne zagrożenia dla bezpieczeństwa Sojuszników i Państw Członkowskich. Ponadto infrastruktura cyfrowa opiera się na łańcuchach dostaw obejmujących cały świat, co czyni je podatnymi na zakłócenia zarówno przypadkowe, spowodowane pogodą lub błędem ludzkim, jak i celowe, wywołane z określonych względów politycznych, wojskowych, finansowych lub przestępczych. Zauważono również, iż najważniejsze komponenty pochodzące spoza UE lub NATO mogą także nie spełniać standardów w zakresie bezpieczeństwa lub ochrony danych, co może negatywnie wpływać na bezpieczeństwo sieci sojuszników lub państw członkowskich.
W raporcie podkreślony został także problem polegania przez rządy i siły zbrojne na infrastrukturze cyfrowej będącej własnością przedsiębiorstw sektora prywatnego i przez nie obsługiwanej. W tym obszarze konieczne jest zrozumienie znaczenia zapewnienia bezpieczeństwa i odporności tego rodzaju infrastruktury, a także zdobywania lepszej wiedzy o tym, gdzie dane są przechowywane i przetwarzane.
Wyzwania w ramach infrastruktury cyfrowej:
Wyzwania międzysektorowe
Po przeanalizowaniu czterech kluczowych sektorów, w ramach których zidentyfikowano podmioty krytyczne, w raporcie wskazano również na silne powiązania między sektorami, zarówno o charakterze fizycznym, jak i cyfrowym. Podkreślono, iż skutki zakłóceń w jednym sektorze mogą kaskadowo wpływać również na inne. W związku z tym konieczne jest lepsze zrozumienie powiązań, aby przewidywać potencjalne skutki kaskadowe, określać środki ich łagodzenia oraz ułatwiać skuteczną reakcję środkami cywilnymi i wojskowymi.
Mając na uwadze szybką cyfryzację każdego z czterech analizowanych sektorów, uznano, iż są one niezwykle podatne na złośliwe działania w cyberprzestrzeni. Złośliwi aktorzy wykazują stałą gotowość do prowadzenia aktywności zakłócającej cyberbezpieczeństwo infrastruktury krytycznej, aby osiągnąć swoje cele strategiczne. Aktywność obejmuje między innymi kwestie takie jak prowadzenie szeroko zakrojonego rozpoznania; przeprowadzanie ataków, w tym na łańcuchy dostaw; wykorzystywanie luk w sprzęcie i oprogramowaniu; oraz wykorzystywanie słabej świadomości w zakresie higieny i bezpieczeństwa cybernetycznego zarówno w organizacjach publicznych, jak i prywatnych.
Wyzwaniem jest również kontrola niektórych elementów łańcucha dostaw dla infrastruktury krytycznej przez potencjalnie wrogie rządy. Może to zapewnić im dostęp do wrażliwych danych i informacji lub zostać wykorzystane do zakłócenia czy wstrzymania usług.
Rekomendacje
UE i NATO po raz kolejny potwierdziły raportem, iż dzielą wspólne wartości o ile chodzi o zapobieganie zakłóceniom dla infrastruktury krytycznej. Zapewniły, iż będą przez cały czas współpracować w sposób uzupełniający i wzajemnie wzmacniający się, aby budować odporność i być przygotowanym na radzenie sobie z incydentami z dowolnego źródła i o dowolnym charakterze.
Zarówno NATO, jak i UE, wspierają swoich członków wytycznymi, ułatwiają wymianę najlepszych praktyk, prowadzą ćwiczenia, zapewniają zasoby i oferują uzupełniające narzędzia do budowania odporności. Dlatego też w raporcie znalazł się szereg rekomendacji, które mają na celu budowę współpracy w zakresie lepszej ochrony infrastruktury krytycznej.
Najważniejsze zalecenia zawarte w raporcie:
Podsumowanie
- Analizowany raport przygotowany został przez grupę zadaniową NATO-UE ds. odporności infrastruktury krytycznej i jest wynikiem wspólnej, skoordynowanej oceny przeprowadzonej wiosną 2023 roku.
- W raporcie zidentyfikowano cztery najważniejsze sektory o przekrojowym znaczeniu: energetykę, transport, infrastrukturę cyfrową i przestrzeń kosmiczną.
- W wyniku analizy ustalono, iż zakłócenia dla podmiotów krytycznych mogą pochodzić z wielu źródeł oraz mieć charakter celowy lub przypadkowy.
- Wśród tzw. „wrogich aktorów” wymienia się m.in. organizacje terrorystyczne, wrogie rządy państw, czy jednostki działające w celu osiągnięcia korzyści materialnej.
- W raporcie podkreślono kluczową rolę infrastruktury cyfrowej dla wypełniania wszystkich funkcji społecznych.
- Przeanalizowano szereg różnych kwestii, które mają istotne znaczenie dla utrzymania bezpieczeństwa infrastruktury cyfrowej, takich jak: ograniczenia w możliwości naprawy infrastruktury kluczowej dla świadczenia usług komunikacyjnych, uzależnienie usług od sieci 5G i sieci nowych generacji, bezpieczeństwo łańcucha dostaw sprzętu i usług ICT oraz poleganie rządów i sił zbrojnych na infrastrukturze z sektora prywatnego.
- Dokument kończy się rekomendacjami, których wdrożenie wzmocni współpracę UE i NATO w zakresie ochrony infrastruktury krytycznej.
- UE i NATO zaleciły m.in. zapewnienie mechanizmu szybkiego zaangażowania urzędników wysokiego szczebla obu organizacji w przypadku zidentyfikowania poważnego zagrożenia dla infrastruktury krytycznej oraz wypracowanie metodologii i schematu wspólnych, cyklicznych i skoordynowanych ocen zagrożeń dla infrastruktury krytycznej.