Cel: infrastruktura krytyczna. Jak i dlaczego należy ją chronić oraz jak wygląda to w praktyce?

Czym jest infrastruktura krytyczna? Według ustawy o zarządzaniu kryzysowym to „systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców”.

Infrastruktura krytyczna obejmuje systemy zaopatrzenia w energię, surowce energetyczne i paliwa, łączności, sieci teleinformatyczne, finansowe, zaopatrzenia w żywność i wodę, ochrony zdrowia, transportowe, ratownicze, zapewniające ciągłość działania administracji publicznej, produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych.

Ale to ujęcie "tradycyjne". Definicję klasyczną rozszerza dyrektywa CER (Critical Entities Resilience Directive). Dyrektywa o odporności podmiotów krytycznych to unijny akt prawny, którego celem jest zwiększenie odporności podmiotów pełniących kluczową rolę dla gospodarki i społeczeństwa UE na różnego rodzaju zakłócenia.

Sopot to sygnał ostrzegawczy? Płk Grzegorz Małecki: Zwracajmy uwagę na nietypowe zachowania.

Najświeższy przypadek mamy w Sopocie. Jak opisał dziennik "Rzeczpospolita", w trójmiejskim kurorcie doszło w połowie lipca do bardzo niebezpiecznego zdarzenia. 36-letni obywatel Ukrainy, Ihor H., miał uszkodzić ujęcie wody dla Sopotu.

Tym razem skończyło się na strachu. Jak mówi XYZ.pl były szef Agencji Wywiadu płk Grzegorz Małecki, tego rodzaju zdarzenia będą się powtarzać. I to w dużych ośrodkach miejskich. Oficer uważa, że społeczeństwo jest bardzo oszczędnie informowane przez władze na temat tego rodzaju zdarzeń i nie ma całościowego obrazu.

– Według mnie zdarzenie z Sopotu to zachowanie, które wpisuje się w bardzo klasyczny sposób w działania o charakterze sabotażowo-dywersyjnym, realizowanym przez służby specjalne, rosyjskie w tym przypadku. Wielokrotnie wskazywałem, że ujęcia wody mogą być celem działań tego rodzaju agresywnych w ramach szeroko pojętej wojny hybrydowej – mówi oficer.

Przynajmniej, jak dodaje, do momentu, kiedy jest ona "hybrydowa". Czyli pod progiem otwartego konfliktu na pełną skalę.

W jego ocenie musimy społeczeństwu zwrócić uwagę, pokazać, w jaki sposób mogą uczestniczyć w zapobieganiu tego rodzaju zdarzeniom dywersyjnym. Tu, jak wskazuje, kluczem jest, by reagować na nietypowe zachowania osób, które sprawiają wrażenie „obcych” w danym miejscu. Także w pobliżu różnego rodzaju obiektów infrastruktury krytycznej. Na przykład wspomnianych ujęć wody. Tak właśnie zadziałało w Sopocie.

Tam, jak wskazuje, chodziło o sparaliżowanie dostępu do wody, co z kolei obliczone jest na to, aby wzniecić niepokój, zdestabilizować nastroje społeczne. Ale inaczej może to wyglądać w realiach realnego konfliktu.

Zdaniem płk Małeckiego może wtedy dojść nie tyle tylko do sparaliżowania tego ujęcia czy ograniczenia dostępu do wody ludności, ale za pośrednictwem takiej instalacji może zostać wprowadzona substancja, która może doprowadzić np. do epidemii. Albo do dużo poważniejszych skutków zdrowotnych. Wiadomo zatem, że najbardziej zagrożone są duże skupiska ludzi czy istotne elementy infrastruktury rzutujące na dużą populację społeczeństwa.

Jak mówi oficer, "trzeba się liczyć z tym, że takie zdarzenia się będą powtarzały i z pewnością w większych ośrodkach". Tutaj trzeba brać pod uwagę istotny w tego rodzaju operacjach efekt wizerunkowy, medialny. Czyli kwestię skali. Od działań w mniejszych ośrodkach, potencjalni terroryści mogą bowiem łatwo przejść do większych, bardziej oddziałujących na masową wyobraźnię zdarzeń w dużych miastach.

Jeszcze złodziej czy już sabotażysta? Gdzie jest granica działań na szkodę państwa? Podpowiedź: niekoniecznie w kodeksie karnym

Tu należy jednak zrobić przystanek i zapytać o kwestie szeroko pojmowanej infrastruktury krytycznej. Na przykład o to, jak jesteśmy przygotowani do jej ochrony? W teorii – nieźle. Ale teoria to jedno, a realia i praktyka – drugie. Mówi o tym Jacek Grzechowiak, ekspert w zakresie zarządzania bezpieczeństwem z firmy Risk Response. Z branżą ochrony i bezpieczeństwa biznesu związany jest od ponad dwóch dekad.

Ekspert uważa, że działania takie jak w Sopocie nie są niczym nowym.

– Powiem tak: złodzieje złomu działali, jak świat światem, ale pojęcie złomu jest bardzo umowne. Dla nas złomem jest to, co wyrzucamy, a dla złodzieja złomu – to, co może ukraść i sprzedać. Dlatego dla złodzieja złomem może być nawet pokrętło. To raz. Dwa: my przez ostatnie kilkadziesiąt lat nie zastanawialiśmy się nad sabotażem, traktując go jako relikt przeszłości i koncentrując się na sabotażu komputerowym, który w przeciwieństwie do sabotażu „zwykłego” jest w kodeksie karnym zapisany wprost – mówi Jacek Grzechowiak.

Trzeba się liczyć z tym, że takie zdarzenia się będą powtarzały i z pewnością w większych ośrodkach

Ekspert odnosząc się do zagadnienia ochrony infrastruktury krytycznej (OIK), przypomina, że dzisiaj wiele obiektów, które są istotne z punktu widzenia państwa, nie podlega obowiązkowej ochronie. Mają za to ogrodzenia z liczącej 50 lat drucianej siatki, która za chwilę sama się "położy".

Jeśli dodamy do tego słaby system monitoringu czy małą wartość ochrony fizycznej, łatwo znaleźć co najmniej kilkanaście, jeśli nie kilkadziesiąt miejsc – złodziej lub sabotażysta może się łatwo przedostać na teren (teoretycznie) chroniony.

Jacek Grzechowiak zauważa, że trzeba dziś myśleć po pierwsze o tym, że incydenty, do których dochodzi dziś, będą budowały złodziejsko-sabotażowe know-how. Po drugie: bazę ludzi, których można wykorzystać do tego rodzaju działań, bo wszystkich takich delikwentów ABW nie "wyłapie". Wreszcie po trzecie: takie incydenty mogą być skierowane na obserwację naszych działań w zakresie neutralizacji skutków incydentu, co musi skutkować zmianami w procedurach. Warto też pamiętać, że to nie my decydujemy o tym, co jest infrastrukturą krytyczną.

– Oczywiście słusznie wpisujemy te obiekty na listy, tworzymy plany ochrony, ale pamiętajmy o tym, że jeśli nawet coś jest na tej liście, nie sprawi, że będzie jednocześnie chronione. Dlatego należy postawić pytanie: co czyni złodzieja? Odpowiedź na nie znamy – okazja. A my sami tę okazję często tworzymy – mówi ekspert.

Przypomina także o istnieniu Narodowego Programu Ochrony Infrastruktury Krytycznej (NPOIK). Są w nim zapisane pewne punkty, reguły, opisane jako "dobre praktyki", ale NPOIK jest programem, nie ma mocy prawnej.

Dodaje, że z wprowadzeniem dyrektywy CER jesteśmy już rok "w plecy". I pyta

– Co z obiektami niepodlegającymi obowiązkowej ochronie? Co np. z przepompownią ścieków, w której z pół kilometra widać, że nie ma monitoringu, a ogrodzenie ledwo się trzyma? Dziś mamy do czynienia z przeciwnikiem, który z dużą łatwością werbuje ludzi do działania, a zarazem pozbywa się bez mrugnięcia okiem po wykonaniu zadania, bo to często "jednorazowi sabotażyści" werbowani na Telegramie – podsumowuje Jacek Grzechowiak.

Infrastruktura na celowniku. Ujęcia wody, drony i efekt skali

Jak mówi Mariusz Marszałkowski, dziennikarz portalu Defence24.pl, temat ochrony infrastruktury krytycznej nabrał znaczenia po 2022 r.; po pełnoskalowym ataku Rosji na Ukrainę. Ale ma długą tradycję, o wiele dłuższą, niż te trzy lata.

– Skupiłbym się tu na infrastrukturze morskiej, ponieważ widać było, że Rosja przygotowuje się do ataków na infrastrukturę morską od lat Zimnej Wojny. Dziś ta aktywność rosyjska na morzach, nawet na najbliższym nam Bałtyku rośnie. Na razie mamy do czynienia bardziej ze sprawdzaniem naszej gotowości, sposobów działań niż realnymi atakami. Ale takie mogą się pojawić. Wydaje mi się, że to niestety kwestia czasu – mówi Mariusz Marszałkowski.

Faktycznie, mieliśmy w ciągu ostatnich lat, a nawet miesięcy przykłady działań przeciwko polskiej czy szerzej: unijnej infrastrukturze na Bałtyku. Ostatnim z nich jest sprawa tankowca z rosyjskiej "floty cieni", który w maju "kręcił się" nad polsko-szwedzkim podmorskim kablem energetycznym. Po przepłoszeniu jednostki do działań wyruszył wtedy okręt Marynarki Wojennej ORP Heweliusz.

Drugą kwestią są działania na lądzie, gdzie już mieliśmy do czynienia – co udowodniły służby – z działaniami służb rosyjskich.

– Pamiętajmy, że obiektami infrastruktury krytycznej (IK) mogą być także ujęcia wody, których często nie zauważamy, choć codziennie obok nich przejeżdżamy lub przechodzimy. I tu ważna uwaga: zatrucie np. ujęcia wody uderzy w przede wszystkim w cywilów. Atak na rafinerię, zakład przeróbki ropy, spowoduje pożar, problem z dostawami czy przerobem ropy. Niemniej tu mamy rezerwy i jakoś sobie z tym poradzimy. Ale uderzenie w coś "bliskiego" nam, jak mała podstacja energetyczna czy właśnie ujęcie wody, będzie o wiele bardziej bolesne z punktu widzenia niedużych społeczności – wskazuje dziennikarz portalu Defence24.pl.  

"Wsi spokojna, wsi wesoła". Na poziomie samorządów temat ochrony infrastruktury cichutko płacze w kącie

I tu Marszałkowski nie ma dobrych wiadomości. Jak wskazuje, należy w tym miejscu jasno powiedzieć: nie jesteśmy dostatecznie przygotowani na tego rodzaju działania. Skupiamy się na obiektach strategicznych, ważnych z perspektywy funkcjonowania państwa i gospodarki.

– Niestety wciąż pokutuje często to fałszywe przekonanie "wsi spokojna, wsi wesoła". Do tego dochodzi bagatelizowanie zagrożenia i rutyna. Dziś nie jest problemem znalezienie człowieka, który za niedużą gratyfikację finansową, pójdzie do lokalnego ujęcia wody, zniszczy je lub zatruje – mówi dziennikarz.

Atak na rafinerię, zakład przeróbki ropy spowoduje pożar, problem z dostawami czy przerobem ropy. Niemniej tu mamy rezerwy i jakoś sobie z tym poradzimy. Ale uderzenie w coś "bliskiego" nam, jak mała podstacja energetyczna czy właśnie ujęcie wody, będzie o wiele bardziej bolesne z punktu widzenia niedużych społeczności.

Poza centrami załogi przedsiębiorstw komunalnych nie są właściwie przygotowane do działania i zagrożeń.

Według Mariusza Marszałkowskiego brakuje przede wszystkim świadomości i edukacji kadry zarządzającej. W wielu mniejszych zakładach nie ma osobnych komórek bezpieczeństwa, a zadania te spadają np. na wiceprezesa, który ma 100 innych, "bardziej priorytetowych" wyzwań. Ale np. zakłócenie dostaw energii nawet do małego zakładu, może już spiętrzyć problemy.

– Na Ukrainie to działa ze względu na wojnę, ale u nas nie. U nas naprawdę można to przeprowadzić tak samo. A my, jako państwo przyfrontowe, będziemy celem takich działań i ataków – wskazuje dziennikarz.  

Uważa, że mamy możliwości technologiczne zabezpieczenia obiektów i systemów. Są monitoringi, strefy zabezpieczeń, dopuszczeń. Ale one muszą być sprawne i dobrze funkcjonować. To jest warunek sine qua non, priorytet. Wiele z takich elementów infrastruktury, jak przepompownie, jest systemami w pełni zautomatyzowanymi.

A tam, gdzie mamy ludzi, trzeba ich przeszkolić i uświadomić. Do wielu zakładów, gdzie teoretycznie funkcjonuje "ochrona" naprawdę łatwo się dostać. I tu trzeba zadbać, aby agencje ochrony w rzetelny sposób wykonywały swoje zadania: kontrolować, sprawdzać ich działanie. Czy przez zarządy spółek, czy policję, jeśli trzeba.

Musimy przyzwyczajać ludzi, że choć dziś nie mamy wojny czy kryzysu, to taki kryzys może w każdym momencie przyjść. Dziś o wiele łatwiej dokonać aktu dywersji czy sabotażu, choćby przy pomocy coraz popularniejszych systemów dronowych.

Koszty, koszty, koszty. Bezpieczeństwo ma swoją (wysoką) cenę. Gorycz i smutek w ABW

Doświadczony oficer Agencji Bezpieczeństwa Wewnętrznego przypomina w rozmowie z XYZ, że ochrona infrastruktury krytycznej leży w gestii Rządowego Centrum Bezpieczeństwa. Dużą zmianą w tym zakresie ma być nowelizacja ustawy o zarządzaniu kryzysowym i wprowadzenie wspomnianej unijnej dyrektywy CER.

– Niestety profesjonalizacja ochrony IK to koszty. Dlatego system się broni i odsuwa zmiany w czasie, i to w dobie dywersji i sabotażu. Coś tam może i zmienia się na lepsze, ale tempo zmian nie nadąża za ewolucją zagrożeń. Potrzeba pieniędzy, woli politycznej i prawa. Dobrego prawa – mówi, prosząc o anonimowość nasz rozmówca.

Podobnie jak płk Małecki wspomina o konieczności budowania świadomości zagrożeń w społeczeństwie oraz nauczania kogo powiadamiać i w jaki sposób. I podkreśla temat cyberbezpieczeństwa, w którym dużym problemem jest tania siła robocza ze wschodu. Czyli głównie Ukraińcy i Białorusini, zatrudniani jako informatycy lub automatycy. Ze względu na umiejętności, owszem, ale także konkurencyjni pod względem cenowym.

Jaka jest rzeczywista skala ataków?

– Skali rzeczywistej skali chyba nikt nie jest w stanie określić. Moim zdaniem głównym problemem jest brak porządnego kontrwywiadu. Nie ma już ludzi, którzy znali się na robocie. Została takich garstka. Zanim młodzi się nauczą, minie dużo czasu. A tym starszym, którzy zostali, nie chce się uczyć młodszych, skoro młodzi zarabiają porównywalnie do nich – mówi oficer.

I wylicza długą listę grzechów formacji: brak wykwalifikowanych ludzi, przestarzałe systemy np. na kolei czy powtarzany wciąż "brak środków" na nowe.

– Potrzeba ludzi, bo sam sprzęt sam się nie obsłuży. I to wykwalifikowanych, np. w zakresie cyberbezpieczeństwa. Tam jest jazda bez trzymanki. Tam już trwa wojna i nikt się nie rozmienia na drobne – konkluduje oficer.

Pora więc poruszyć temat sfery cyberbezpieczeństwa i ochrony IK w domenie cyfrowej.

"Cyberbezpieczeństwo? A po co to, a na co to komu?"

O ile na szczeblu centralnym instalacje i systemy zabezpieczone są wielostopniowo, o tyle na poziomie samorządów jest... średnio. Szczególnie pod kątem cyberbezpieczeństwa.

Mówi o tym Daniel Darowicki, ekspert z firmy DigiSec, prowadzącej szkolenia z zakresu cyberbezpieczeństwa. Wskazuje, że na poziomie nie tylko gmin, ale również dużych miast, włodarze i ich otoczenie nie mają świadomości zagrożenia.

"Załatwiają" je – jak mówi Daniel Darowicki – "według własnego wyobrażenia" – szkoleniami prowadzonymi przez Ministerstwo Cyfryzacji. Są darmowe, realizowane we współpracy z NASK (Naukowa i Akademicka Sieć Komputerowa). Przy czym nadmienia, że nie ma takich szkoleń dużo, bo NASK ma swoją wydolność. Ale mało jest także szkoleń opłacanych. Zdecydowanie za mało, by problem uznać za rozwiązany.

Druga sprawa to jakość tych szkoleń, która często jest po prostu niska.

– Kiedy przychodzimy do samorządów, to pierwsze pytania, jakie słyszymy, dotyczą tego, skąd dana jednostki samorządu terytorialnego (JST) ma pozyskać na to środki. A to nie jest moje zadanie. My jesteśmy od szkoleń. A mamy sytuację, gdy w dużym, 200- 300-tysięcznym mieście nie ma w urzędzie miasta nikogo przeszkolonego w zakresie cyberbezpieczeństwa – mówi Daniel Darowicki.

Dodaje, że coś pozytywnego zaczęło się dziać w szpitalach. A te często były obiektami cyberataków. Nie dalej jak w marcu br. obiektem ataku ransomware stał się szpital Ministerstwa Spraw Wewnętrznych i Administracji w Krakowie.

– Jest większa świadomość i gotowość do tego, aby zapłacić za działanie. Na pewno jest lepiej niż w samorządach – wskazuje Daniel Darowicki.

Przypomina, że od 90 do nawet 95 proc. skutecznych ataków cybernetycznych to błąd człowieka. Zakup nowoczesnego sprzętu czy oprogramowania niewiele pomoże, jeżeli świadomość najniższego szczebla jest niemal zerowa i ogranicza się do „nie klikaj w linki”.

Kapitał ma narodowość. Lotnisko w Białymstoku i port w Gdyni to też infrastruktura krytyczna

Warto wspomnieć, że infrastrukturę krytyczną trzeba chronić przez różnymi zagrożeniami, nie tylko kinetycznymi. Na łamach XYZ opisywaliśmy sprawę budowy prywatnego lotniska cargo na Podlasiu. Tam również chcą zainwestować Chińczycy. Może to budzić obawy, czy warta ok. 2 mld dolarów inwestycja nie stanie się tym samym, co wielokrotnie opisywana w naszym serwisie sprawa portu w Gdyni.

Należy w tym przypadku zachować najwyższą ostrożność, by nie powtórzył się casus terminalu w Gdyni. 20 lat temu chińska firma przejęła przy pomocy spółki zarejestrowanej w Luksemburgu 20 hektarów terenu i 550 metrów nabrzeża. Chińczycy są od tamtego czasu obecni w Gdyni i nadal płacą 300 tys. zł rocznej opłaty użytkowania wieczystego. Inni użytkownicy portu płacą rocznie po kilkanaście milionów złotych. Władze państwowe w praktyce nie mają władzy nad terenem.

We wtorek odbędzie się posiedzenie sejmowej Komisji Służb Specjalnych. Obecni będą przedstawiciele Ministerstwa Infrastruktury oraz wojskowego i cywilnego kontrwywiadu. Mają przedstawić komisji informację na temat transportów sprzętu wojskowego na terenie RP, ze szczególnym uwzględnieniem głównego portu przeładunkowego NATO w Gdyni.

Budowa lotniska na Podlasiu to z pewnością szansa dla regionu. Należy jednak pamiętać, że w pobliżu znajduje się niezwykle istotny z punktu widzenia gospodarki kolejowy terminal przeładunkowy w Małaszewiczach, będący bramą Chin do Europy Środkowej i Zachodniej w zakresie Inicjatywy Pasa i Szlaku. Można się zastanowić, czy lotnisko nie będzie "grzybkiem", który zmieni podlaski barszcz w zupę pho.

Zdaniem eksperta

Samorządowa cyber-bieda-bezpieczeństwo

Ataki na infrastrukturę krytyczną oczywiście się zdarzają. Cały czas. Nie zawsze są to ataki kinetyczne, często – coraz częściej – zdarzają się one w domenie cyber. Dlaczego? Z dwóch prostych powodów. Po pierwsze, to nadal jest szara strefa, gdzie łatwiej ukryć atrybucję ataku. Dobrze wykonany atak, taki, w którym napastnik dba o OPSEC (bezpieczeństwo operacyjne – red.), sprawia, że wykrycie ataku jest trudniejsze. To raz. A dwa – taki atak jest często o wiele tańszy, niż "zwykły" sabotaż czy dywersja, bo nie trzeba do niego angażować sił i środków na terenie atakowanego kraju, tylko robi się to zdalnie. Mówiąc wprost, wszystko, co jest podłączone do internetu, można próbować zaatakować. Co to oznacza w praktyce? Nie wszystkie systemy, podłączone do internetu, należą do IK. Ale są podmioty spoza listy IK, w faktyczny sposób wpływają na życie i funkcjonowanie ludzi. Do takich obiektów należą np. jednostki świadczące usługi medyczne. Mamy także problematyczne, niezbędne do funkcjonowania społeczeństwa infrastruktury, takie jak np. hydrofornie, ujęcia wody, oczyszczalnie ścieków, która też są podłączone do internetu, a jest i coraz częściej będą na celowniku. I tu ważna, a także smutna uwaga: poziom ich zabezpieczeń nie jest, niestety, wystarczający. Mamy świetnych ekspertów ds. cyberbezpieczeństwa, ale liczba obiektów i wyzwań sprawia, że fizycznie brakuje ludzi do ochrony. Niestety, ale samorządowcy odpowiedzialni za swoją część infrastruktury, pomimo szkoleń i przekazywania im wiedzy, wciąż nie zdają sobie sprawy, jakim zagrożeniem jest podłączanie pewnych rzeczy do sieci.

Poziom centralny zabezpieczany jest przez CERT-y i CSIRT-y rządowe. Ale cyfryzacja schodzi na niższy poziom, gdzie bezpieczeństwo niestety nie jest priorytetem. I problemem nie są tu pieniądze, ale świadomość zagrożeń. NASK szkolił samorządowców, ale widać było, że dalej nie byli oni zainteresowani dbaniem o swoją "cyberhigienę" – uwierzytelnianie wieloskładnikowe, stosowanie kluczy itp., stosowanie silnych haseł. A przecież ewentualny atak będzie skutkował nie tylko wyciekiem ich danych, ale także próbami ataków na ich instytucje.

Dużą zmianą będzie implementacja dyrektywy NIS-2, bo wraz z nią pojawią się organy nadzoru i kontroli, sprawdzające wprowadzanie wymogów w życie. Ale też, co ważne, pojawią się sankcje za uchybienia i niedopełnianie obowiązków w zakresie ochrony kluczowych systemów, funkcjonalności i infrastruktury. Także sankcje personalne. Świadomość powoli, ale systematycznie rośnie. Bo dojrzewa rynek usług komercyjnych. Pojawiają się regulacje unijne. Ludzie zaczynają coraz lepiej rozumieć, jak ważne i niezbędne do działania są systemy teleinformatyczne  

Dr Kamil Goryń

Wydział Stosunków Międzynarodowych Uniwersytetu w Białymstoku, ekspert. ds. zagrożeń cybernetycznych

Główne wnioski

1. Ochrona infrastruktury krytycznej w Polsce jest słaba, niedoinwestowana i czeka ją potężne zamieszanie z perspektywy wprowadzenia unijnej dyrektywy CER.
2. Obszar cyberbezpieczeństwa w samorządach cierpi na brak kadr oraz świadomości.
3. Takie zdarzenia jak te z Sopotu mogą się częściej powtarzać w przyszłości.