Hasło na dziś: Infrastruktura Krytyczna Państwa

Nowe hasło, nowe wyzwania. Może to hasło nie jest takie nowe (bo o infrastrukturze krytycznej mówi się od kilku dobrych lat, więc to żadne novum, ale...) Sejm przyjął niedawno ustawę z dnia 16 marca 2007 r. o zarządzaniu kryzysowym, która obecnie jest w Senacie (do Senatu została przekazana w dniu 19 marca 2007 r., w jutrzejszym porządku obrad, tj. 12 kwietnia, w czasie 31. posiedzenie Senatu, ustawa o zarządzaniu kryzysowym znalazła się w pierwszym punkcie). Jednocześnie i równolegle z procesem legislacyjnym, bo 4 kwietnia, odbyło się międzyresortowe spotkanie poświęcone ochronie infrastruktury krytycznej. Mówiono o opracowaniu Krajowego Planu Ochrony Infrastruktury Krytycznej, a taka potrzeba ma wynikać z ustawy.

Ochrona przez atakami terrorystycznymi, bezpieczeństwo informacji, ochrona tajemnic - to wszystko musi być w rozsądny sposób wplecione w informatyzację państwa. Pierwsze rozmowy związane z tym tematem prowadzone były w roku 2001 pomiędzy CERT Polska i Biurem Bezpieczeństwa Łączności i Informatyki UOP. Rozmowy te dotyczyły reagowania na "incydenty bezpieczeństwa". W lipcu i październiku 2002 roku odbyły się spotkania robocze w MSWiA, które poświęcone były już ochronie infrastruktury krytycznej. W kolejnych spotkaniach brali udział przedstawiciele takich komórek organizacyjnych i instytucji jak CERT Polska, Departament Bezpieczeństwa Teleinformatycznego ABW, KGP, „ABUSE Team” TP S.A... Wedle wypracowanej w MSWiA definicji infrastruktura krytyczna państwa to:

obiekty (budynki i budowle) i urządzenia, służby odpowiedzialne za obsługę tych obiektów i urządzeń,
systemy i sieci teleinformatyczne istotne dla bezpieczeństwa i ekonomicznego dobrobytu państwa oraz jego efektywnego
funkcjonowania obejmując:
– systemy energetyczne, telekomunikacyjne, poczty, teleinformatyczne, finansowe i bankowe, zarządzania zasobami wodnymi, dostaw żywności i wody, opieki zdrowotnej, transportu, usługi w zakresie bezpieczeństwa powszechnego i porządku publicznego oraz zapewnienie prawidłowego funkcjonowania najważniejszych struktur administracji publicznej w sytuacjach nadzwyczajnych zagrożeń (w tym centra zarządzania kryzysowego i stanowiska kierowania) oraz ochrony przemysłu o strategicznym znaczeniu, w tym obronnego...

Wedle projektu ustawy o bezpieczeństwie obywateli i zarządzaniu kryzysowym, który jednak w sierpniu zeszłego roku został odrzucony, infrastrukturę krytyczną definiowano jako:

urządzenia, instalacje i usługi, powiązane ze sobą więzami funkcjonalnymi, kluczowe dla bezpieczeństwa państwa i jego obywateli oraz zapewnienia sprawnego funkcjonowania organów władzy publicznej, a także instytucji i przedsiębiorców;

Natomiast w niedawno przyjętej ustawie z dnia 16 marca 2007 r. o zarządzaniu kryzysowym (por. internetową stronę Sejmu RP na temat procesu legislacyjnego, por. również Sprawozdanie senackiej Komisji Obrony Narodowej o uchwalonej przez Sejm w dniu 16 marca 2007 r. ustawie o zarządzaniu kryzysowym (PDF) - Senat zaproponuje najpewniej kilka poprawek, ale nie w tych obszarach, które tu teraz poruszam) mamy już bardziej rozbudowaną definicję, która w pewien sposób nawiązuje do tej, wypracowanej kiedyś w MSWiA. Zgodnie z tą ustawą, ilekroć mowa w ustawie o...

infrastrukturze krytycznej – należy przez to rozumieć systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. Infrastruktura krytyczna obejmuje systemy:

a) zaopatrzenia w energię i paliwa,
b) łączności i sieci teleinformatycznych,
c) finansowe,
d) zaopatrzenia w żywność i wodę,
e) ochrony zdrowia,
f) transportowe i komunikacyjne,
g) ratownicze,
h) zapewniające ciągłość działania administracji publicznej,
i) produkcji, składowania, przechowywania i stosowania sub­stan­­cji chemicznych i promieniotwórczych, w tym rurociągi substan­cji niebezpiecznych;

ochronie infrastruktury krytycznej – należy przez to rozumieć zespół przedsięwzięć organizacyjnych realizowanych w celu zapewnienia funkcjonowania lub szybkiego odtworzenia infrastruktury krytycznej na wypadek zagrożeń, w tym awarii, ataków oraz innych zdarzeń zakłócających jej prawidłowe funkcjo­nowanie;

A więc chodzi o telekomunikację, systemy energetyczne, systemy bankowe i finansowe, transport, systemy zaopatrywania w wodę, system opieki zdrowotnej, ratownictwo... A nie tylko organizacja państwowa opiekuje się elementami tych systemów. Dlatego też trzeba pamiętać, że jeśli mowa o infrastrukturze krytycznej państwa, to trzeba też mieć w pamięci te jej elementy, które zarządzane są przez prywatne podmioty.

Napisałem wyżej, że już odbyło się pewne posiedzenie międzyresortowe. Więcej o tym spotkaniu przynosi notatka, którą można znaleźć na stronach Ministerstwa Spraw Wewnętrznych i Administracji. Czytamy tam:

W dniu 4 kwietnia br. w Ministerstwie Spraw Wewnętrznych i Administracji odbyło się pierwsze międzyresortowe spotkanie poświęcone ochronie infrastruktury krytycznej, pod przewodnictwem Pana Pawła Solocha, Podsekretarza Stanu w MSWiA, Szefa Obrony Cywilnej Kraju.

Celem spotkania było przedstawienie, przygotowanego w Departamencie Zarządzania Kryzysowego i Spraw Obronnych MSWiA projektu założeń do Krajowego Planu Ochrony Infrastruktury Krytycznej oraz wypracowanie dalszych metod pracy nad przedmiotowym dokumentem. W spotkaniu udział wzięli przedstawiciele Kancelarii Prezesa Rady Ministrów, ministerstw i agencji.

Podczas spotkania przedstawiony został projekt założeń do Krajowego Planu Ochrony Infrastruktury Krytycznej oraz informację o działaniach w zakresie ochrony infrastruktury krytycznej podejmowane na forum Unii Europejskiej. Przedstawiono również koncepcje współpracy pomiędzy administracją publiczną a operatorami infrastruktury krytycznej, reprezentującymi sektor prywatny.

W serwisie informacyjnym Obrony Cywilnej Kraju jest też bardziej wylewny opis spotkania:

Spotkanie rozpoczęło wystąpienie Pana Ministra Pawła Solocha na temat ochrony infrastruktury krytycznej w kontekście prowadzonych prac legislacyjnych nad ustawą o zarządzaniu kryzysowym (ustawa przewiduje m.in. opracowanie Krajowego Planu Ochrony Infrastruktury Krytycznej, jako jednego z zadań ochrony infrastruktury krytycznej realizowanego przez państwo) oraz wobec prac prowadzonych nad infrastrukturą krytyczną w ramach Unii Europejskiej. Minister zaznaczył, że działania podejmowane w Polsce mogą wyprzedzić rozwiązania przygotowywane w UE.

Następnie Pan Mariusz Stus, Naczelnik Wydziału ds. Terroryzmu i Ochrony Infrastruktury Krytycznej zaprezentował strukturę, cele, kluczowe zasady i elementy projektu założeń Krajowego Planu Ochrony Infrastruktury Krytycznej. W dalszej części spotkania Pan Tomasz Szewczyk, Główny Specjalista ww. wydziału przedstawił działania w zakresie ochrony infrastruktury krytycznej podejmowane w Unii Europejskiej (ze szczególnym uwzględnieniem Dyrektywy Rady UE w sprawie rozpoznania i wyznaczenia europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie zwiększenia jej ochrony), jak również koncepcję współpracy pomiędzy administracją publiczną a operatorami infrastruktury krytycznej reprezentującymi sektor prywatny.

Uczestnicy spotkania biorący udział w dyskusji byli szczególnie zainteresowani koncepcjami współpracy w ramach ochrony infrastruktury krytycznej pomiędzy administracją publiczną a sektorem prywatnym, czego przejawem były pytania dotyczące: terminu zwołania forum publiczno-prywatnego, sposobów tworzenia grup roboczych w ramach forum publiczno-prywatnego do wypracowywania konkretnych sektorowych rozwiązań, procedur i definicji. Podkreślono także konieczność odgórnego zainicjowania tego typu działalności i pełnienia przez MSWiA wiodącej roli w tym zakresie.

Pan Minister Paweł Soloch podkreślił, że trwające obecnie prace legislacyjne nad ustawą o zarządzaniu kryzysowym są jednym z elementów tworzenia zintegrowanego systemu ochrony, w który wpisują się także przygotowania Krajowego Planu Ochrony Infrastruktury Krytycznej. Podkreślono, że projekt założeń Krajowego Planu Ochrony Infrastruktury Krytycznej skierowany jest głównie do przedstawicieli operatorów prywatnych, w tym też kontekście należy rozumieć zasadę dobrowolności w zakresie przygotowywania tego planu. Równocześnie zaznaczono, że w ramach forum będą tworzone grupy robocze dla poszczególnych systemów infrastruktury krytycznej.

Nie możemy sobie pozwolić, by sieć transmisji danych nagle przestała funkcjonować, by przestały działać systemy zarządzania kryzysowego, bazy danych funkcjonujące w różnych rządowych agendach, by banki przestały komunikować się między sobą, by nie było energii, by woda przestała płynąć z kranu, a w gniazdkach zabrakło energii elektrycznej...

Proces legislacyjny trwa.