Dominik Mikołajczyk: Wojna za naszą wschodnią granicą zmienia optykę bezpieczeństwa w wielu kwestiach. Czy infrastruktura krytyczna w Polsce jest dostatecznie chroniona?

dr Witold Skomra, Szef Wydziału Ochrony Infrastruktury Krytycznej w Rządowym Centrum Bezpieczeństwa: Nie. 

W takim razie mamy poważne powody do obaw.

Zakładając, że obawa służy podejmowaniu działań, to tak.

Co ma Pan na myśli?

Infrastrukturę krytyczną wyodrębniliśmy 10 lat temu. W międzyczasie zmieniły się zagrożenia, kierunki dostaw gazu, ropy, węgla. Elementy składające się na łańcuch dostaw są dziś zupełnie inne niż 10 lat temu. W zasadzie należałoby zacząć wyznaczać infrastrukturę krytyczną od początku, zmieniając kryteria. 

Dlaczego w takim razie tego nie robimy?

Mieliśmy taki plan, ale nowelizacja ustawy o zarządzaniu kryzysowym utknęła w Sejmie i w tej kadencji nie ujrzy już zapewne światła dziennego.  

Wracając do tego, co dzieje się w Ukrainie, jaką lekcję w kontekście ochrony tych najbardziej krytycznych elementów funkcjonowania państwa możemy wyciągnąć dla nas?

Pierwszy wniosek był nam znany jeszcze przed wybuchem wojny w Ukrainie. Powinniśmy zapomnieć o myśleniu wyłącznie o obiektach, a skupić się na czymś, co możemy nazwać łańcuchem dostaw albo usługami. Mówiąc obrazowo, dziś dobrze chronimy studnię, ale nie mamy pewności czy woda dotrze do kranu. Więc jeśli pyta Pan o to, czy IK jest dobrze chroniona, to odpowiadam: studnia tak. Czy mamy gwarancję, że woda popłynie z kranu? Nie. Być może tak się stanie, ale nie mamy na to dowodu, gdyż nie chronimy pozostałych elementów. 

Po wybuchach, jakie miały miejsce przy gazociągach Nord Stream, pojawiły się pytania o bezpieczeństwo Baltic Pipe. Ten gazociąg jest objęty dostateczną ochroną? Możemy spać spokojnie?

Baltic Pipe biegnie przez polskie wody terytorialne, międzynarodowe wody terytorialne, szwedzką, duńską i niemiecką strefę gospodarczą. Więc o którą strefę Pan pyta?

O tę, na którą mamy wpływ jako Polska.

Ale co nam z tego przyjdzie, jeśli nic nie wiemy o tym, jak Baltic Pipe chroniony jest przez Szwedów czy Duńczyków? To nie jest wyłącznie nasz problem. To jest problem międzynarodowy. Wnioski z tego, co stało się z gazociągami Nord Stream, wyciągamy wykorzystując możliwości, jakie dają nam NATO i Unia Europejska. 

W ubiegłym tygodniu Rada Unii Europejskiej obradowała na temat rekomendacji w zakresie podniesienia odporności infrastruktury krytycznej w Europie. Szczegółowe zapisy powstaną na spotkaniu grupy zajmującej się odpornością podmiotów krytycznych. Jeden z punktów tych rekomendacji zakłada zawiązanie ścisłej współpracy z NATO w celu ochrony podmorskiej infrastruktury krytycznej. 

Mam rozumieć, że NATO będzie ochraniać m.in. Baltic Pipe?

Nie skupiajmy się wyłącznie na gazociągach. Jako Europa mamy inną piętę achillesową. Mam na myśli kable na dnie Atlantyku, a więc łącza światłowodowe i usługi cyfrowe. To także nasza infrastruktura krytyczna, bo dzięki nim mamy internet. Ta infrastruktura była penetrowana przez rosyjskie statki "badawcze", które coś tam robiły. Pytanie brzmi: co?

Widzimy dwa obszary, gdzie – mówiąc brutalnie – można nas najłatwiej zaatakować. Jeden to oczywiście źródła energii. Ich dostawy Rosja od dłuższego czasu ogranicza i przerywa dość jawnie, licząc na złagodzenie postawy Europy wobec konfliktu w Ukrainie. Drugi obszar, którego obawiamy się najbardziej, to zakłócenie usług cyfrowych – zarówno przez ataki hakerskie, jak i sabotaże podobne do tego, jaki miał miejsce w niemieckich kolejach. 

Skoro wiemy, że studnie, czyli obiekty, są chronione, dlaczego nie jesteśmy w stanie zagwarantować i ochronić procesu dostarczenia wody do kranu? Dlaczego nie chronimy ciągłości usług?

Gdybym miał się tłumaczyć, to dzieje się tak dlatego, że nasze rozwiązania bazują na dyrektywie o europejskiej infrastrukturze krytycznej, gdzie taki sam mechanizm, skupiający ochronę na obiektach, jest zapisany. 

Gdybym miał to wyjaśniać jako naukowiec, to wynika to z tego, że przechodzimy do trzeciej fazy organizacji. Kiedyś było tak, że każdy podmiot był wyodrębniony, znaliśmy jego granice. Wystarczyło postawić płot, zalać fosę wodą i już mieliśmy pewność, że jest chroniony. Potem przeszliśmy do ery systemów. Okazało się, że ochrona poszczególnych obiektów to za mało i trzeba to regulować sektorami. Świetnym przykładem jest sektor bankowy, gdzie wprowadzamy jednolite dla wszystkich działających podmiotów zasady. Skupiamy się na wspólnych standardach, mając też z tyłu głowy, że ten kto zaniży poziom ochrony, będzie najtańszy na rynku i "wytnie" konkurencję. 

Dzisiaj przechodzimy do czegoś, co nazywamy systemami złożonymi (ang.system of systems). W 1963 roku ukuto takie pojęcie, jak "globalna wioska". Wtedy twórca miał na myśli sytuację, w której wszyscy czytamy tę samą gazetę. Czynnikiem spajającym był dostęp do tej samej informacji. Takie zjawisko, żeby każdy czytał tę samą gazetę nie wystąpiło, ale i tak staliśmy się globalną wioską. Tylko nie ze względu na dostęp do informacji, tylko na technologie cyfrowe. 

Które jednak dostęp do tej informacji umożliwiają.

Nie tylko. Musimy zdać sobie sprawę z tego, że wszystkie firmy korzystają dziś z tych samych narzędzi, są ze sobą powiązane. Nagle się okazało, że producent nawozów sztucznych może zakłócić proces produkcji mięsa, gdy na pierwszy rzut oka jedno z drugim nie ma nic wspólnego. 

Dlaczego w takim razie nie jesteśmy w stanie zabezpieczyć skutecznie tych procesów? Nie chciałbym wysuwać podejrzeń, że w tej kwestii zdajemy się na szczęście albo ślepy los.

By tak nie było, przygotowaliśmy właśnie nowelizację ustawy o zarządzaniu kryzysowym i po to zmieniliśmy zasady wyłaniania i uznawania czegoś za infrastrukturę krytyczną. Prace zakończyliśmy w 2018 roku, więc mamy pełną świadomość tego, że obecny stan jest niewystarczający. 

Mówił Pan o tym, że dobrze chronimy studnie, a więc obiekty IK. Wyobraźmy sobie taką sytuację. Elektrownia w Bełchatowie zostaje zaatakowana przy użyciu dronów. W kraju dochodzi do częściowego blackoutu. Jesteśmy w stanie obronić się przed takim zdarzeniem? Mam na myśli zagrożenia związane z dronami.

Skuteczna instalacja, eliminująca typowe drony występujące w powszechnej sprzedaży, nad infrastrukturą cywilną jest w kraju tylko jedna. Inne podmioty wolą monitorować i tak jak, np. w przypadku lotnisk, w wypadku zagrożenia usuwać samoloty z przestrzeni. Dlaczego? Bo jeśli dokonamy ingerencji w lot zbliżającego się drona, to kto da pewność, że przy okazji nie wpłyniemy np. na lecący nieopodal samolot. 

Czyli IK w Polsce nie ma dziś takiej ochrony ze względu na małą precyzję systemów?

Też, ale czasami ta ochrona byłaby nieadekwatna do poziomu zagrożenia. Podkreśliłem, że ta jedyna działająca instalacja przeciwdronowa daje sobie radę ze wszystkimi dronami popularnie sprzedawanymi. Wątpię, czy da sobie radę z dowolnym dronem w militarnym wydaniu, który jest izolowany od wpływów zewnętrznych, w momencie ataku nie posługuje się GPS-em i wyłącza kanał łączności z operatorem. Pytanie brzmi: czego się boimy?

Ataku z powietrza.

Jeżeli boimy się dronów wojskowych, to jedyne co nam pozostaje, to radar i działko szybkostrzelne – i taka instalacja też w Polsce istnieje. Jednak pamiętajmy, by – dokonując zniszczenia drona – zmieścić się w rozsądnych granicach finansowych, seria musiałaby trwać nie dłużej niż pół sekundy. Jeśli trwałoby to ok. 30 sek., dochodzimy już do kwot zbliżających się do 100 tys. złotych. Wyraźnie widać, że tego typu narzędzia trzeba stosować w miejscach, w których zagrożenie jest naprawdę bardzo poważne, mając cały czas z tyłu głowy, że to i tak nigdy nie zabezpiecza obiektu w 100 proc.

Mimo tego, Pana zdaniem, takie instalacje powinny pojawić się w niektórych obiektach IK w Polsce?

Tak, ale jak zaczęliśmy to analizować, pojawił się pewien problem. Co zrobić bowiem z obiektem nad którym przebiega np. korytarz powietrzny do lotniska? 

Dochodzimy do pewnych działań wymierzonych przeciwko konkretnemu, kinetycznemu czynnikowi, ale podkreślam, że cały czas mamy nierozpoznane zagrożenia wynikające ze współzależności. Czyli producent czegoś musi utrzymywać ciągłość działania, tylko dlatego, że jeśli ją przerwie, to operatorowi IK zabraknie czegoś, co jest mu niezbędne. Dzisiaj świat jest bardzo powiązany, a efekty domina zaczynają przeważać nad prostymi zagrożeniami. 

W jednym z wywiadów powiedział Pan, że usługą kluczową w USA, tą na pierwszym miejscu, jest zdolność do przeprowadzenia demokratycznych wyborów. Gdyby taką usługę, segment miał Pan wskazać w Polsce, to co by to było?

Państwowa Komisja Wyborcza. Chodzi o systemy informatyczne PKW, brak możliwości fizycznej ingerencji w obiektach, w których trwa przeliczanie głosów. Ale to jest tylko przykład IK rozumianej z punktu widzenia państwa jako całości. 

Mylimy często kilka poziomów. Dla mnie, jako obywatela, najważniejsza jest woda, energia, żywność. To jest krytyczne z punktu widzenia pojedynczego człowieka. Ja i pan potrzebujemy już innych usług, takich jak np. komunikacja, transport, edukacja, ratownictwo, środowisko (przypadek Odry), czyste powietrze (przypadek smogu) itd. To są dobra wspólne. 

Na wymienionej przez Pana liście nie wszystkie elementy należą jednak do infrastruktury krytycznej w rozumieniu obowiązujących przepisów.

W tych segmentach nikt nie poszukiwał nawet usług, które mają krytyczne znaczenie. Dopiero na najwyższym poziomie mówimy o tym, co jest krytyczne dla państwa. Podstawową usługą, z punktu widzenia państwa, jest ochrona i obrona granic. Ochrona terytorium jest usługą krytyczną zarówno dla obywatela jak i państwa. Druga taka usługa to obywatele. Musimy wiedzieć kto jest obywatelem RP. Mam na myśli system PESEL, nadawanie obywatelstwa, dokumenty uwierzytelniające. Bez tego nie będę mógł np. podróżować, a przecież chciałbym z tego korzystać. 

Dopilnowanie tego, o czym Pan mówi, zadbanie o prawidłową ochronę IK, to zadanie państwa. Dziś w jego imieniu robi to RCB. Czy Centrum posiada możliwości karania lub sprawdzania na ile operatorzy wypełniają obowiązki w zakresie utrzymania standardów bezpieczeństwa?

Narodowy Program Ochrony Infrastruktury Krytycznej zakładał, że najpierw musimy wyedukować operatorów. W NPOIK – z 2013 roku – wpisano wprost, że przez pierwszych 6 lat będziemy skupiać się na edukacji, czyli mniej więcej od 2019 roku powinniśmy wdrożyć mechanizmy innego egzekwowania ochrony IK. 

Mówi Pan „powinniśmy", więc – jak rozumiem – nie zrobiliśmy tego.

Nie zrobiliśmy. Ale już wyjaśniam dlaczego. Równocześnie rozpoczęły się prace nad dyrektywą, która ma kluczowe znaczenie. Mam na myśli dokument pod nazwą Critical Entities Resilience, czyli o odporności podmiotów krytycznych. Ta dyrektywa powinna być przez Parlament Europejski przegłosowana w tym roku. Prace nad tym dokumentem zawsze były prowadzone szybko, potem bardzo szybko, a teraz jeszcze przyspieszyły. Niech zobrazuje to choćby termin, jaki otrzymaliśmy na zgłoszenie uwag. Standardowo były to 3-4 tygodnie, a obecnie mieliśmy na to 4 dni. Ta dyrektywa kompletnie zmienia podejście do form, zakresu ochrony usług kluczowych. Czyli pierwszy krok, to opracowanie usług kluczowych w danym państwie. 

Już nie obiektów?

Dokładnie. 

Wspomniał Pan o NPOIK i jego roli. Mówiąc o tym, jak wyglądać będzie ochrona IK nie sposób nie wspomnieć o projekcie ustawy o ochronie ludności oraz o stanie klęski żywiołowej, który przygotowało MSWiA. Projekt ten zakłada m.in. rezygnację z Narodowego Programu Ochrony Infrastruktury Krytycznej. Jakie Pana zdaniem będzie to miało skutki?

Wspomniana przeze mnie dyrektywa CER nakazuje opracowanie strategicznego dokumentu zawierającego polityki i zasady utrzymania usług kluczowych. 

Czyli rezygnujemy z NPOIK, ale i tak w niedalekiej przyszłości coś na jego kształt będziemy musieli stworzyć?

Zdecydowanie tak. W dyrektywie CER jest jeszcze jeden kruczek. Nakłada ona bowiem na państwa członkowskie obowiązek powołania "właściwej władzy", która ma dopilnowywać, by dyrektywa została wdrożona. To dopilnowanie polega już nie tylko na akceptacji planów, które zgodnie z dyrektywą nazywa się planami odpornościowymi (czyli nasze plany ochrony IK jak najbardziej pasują), ale zlecanie i prowadzenie audytów oraz karanie w przypadku naruszenia przepisów. 

Przygotowując się do wdrażania dyrektywy CER zapytaliśmy też wszystkich ministrów czy widzą potrzebę powołania tej właściwej "władzy" jako odrębnej w swoim sektorze. 

Jaką odpowiedź otrzymaliście?

Nie wszystkie spłynęły, ale z tych ministrów, którzy odpisali, żaden nie zadeklarował, że taką "władzę" będzie tworzył. Minister rolnictwa wskazał, że na potrzeby jego usług działa kilku innych szefów resortów i on nie ma możliwości koordynowania ich działań. Musi to zrobić ktoś z poziomu ponadresortowego.

Wracając do samej dyrektywy, jeśli dobrze rozumiem, do sytemu ochrony IK wprowadzi ona sankcję za nieprzestrzeganie przyjętych zasad?

Tak właśnie jest.

Ustawa o ochronie ludności, przygotowana w MSWiA, jest obecnie na etapie konsultacji. Do jej zapisów zgłoszono szereg uwag. Zaprojektowane rozwiązania – także te dotyczące IK – porządkują Pana zdaniem system czy wprowadzają w nim raczej chaos?

Te zmiany nie nadążają za rzeczywistością. Świat nam się skomplikował, powiązał każdego z każdym. Musimy zmienić sposób zarządzania bezpieczeństwem i nie możemy dziś twierdzić, że wybudowanie fosy jest dobrą metodą podnoszącą bezpieczeństwo. Jeżeli nie rozpoznamy współzależności pomiędzy sektorami, nie rozpoznamy zjawisk domina, to nie będziemy w mogli w ogóle mówić o jakimkolwiek bezpieczeństwie. 

W całym projekcie brakuje pewnej idei, do której zmierzamy. Wybiórczo są wrzucane pewne hasła. Ciągłość działania to naprawdę bardzo nowoczesny sposób zarządzania w biznesie. Ale dotyczy tylko zarządzania skutkami awarii. Gdzie jest zarządzanie przyczynami i zarządzanie bezpieczeństwem? Mam rozdwojenie jaźni pomiędzy bardzo nowoczesnym podejściem zastosowanym w projekcie dyrektywy odporności podmiotów krytycznych, a projektem, o którym pan mówi.

W takim razie projekt przygotowany przez MSWiA – w kwestii IK – stoi w sprzeczności z oczekiwaniami, jakie w stosunku do państw członkowskich Unia Europejska wyraża za pośrednictwem projektu dyrektywy CER?

Te projekty są sprzeczne. Co więcej, w myśl dyrektywy, nowe RCB – bo Centrum dziś nie ma uprawnień by nakładać kary – musi mieć większe uprawnienia niż ma dzisiaj. 

Zresztą to nie jedyna sprzeczność. W myśl obowiązującej Strategii Bezpieczeństwa Narodowego RP RCB ma być wzmacniane, a nie likwidowane. Sam się zastanawiam w jaki sposób będzie zapewniona spójność prawa po przyjęciu tej ustawy. Prezydent będzie zmieniał strategię pod ustawę? Sądziłem, że strategia jest dokumentem nadrzędnym.

Projekt ustawy o ochronie ludności zakłada jednak likwidację RCB, a nie zwiększenie uprawnień.

Co oznacza, że nowe RCB, o którym mówię, najdalej w ciągu najbliższych dwóch lat trzeba będzie powołać. Chyba, że wyjdziemy z Unii Europejskiej. 

Jeśli jednak nie zostanie powołane nowe RCB, możemy wziąć pod uwagę inny model, testowany obecnie na przykładzie ustawy o Krajowym Systemie Cyberbezpieczeństwa. O wiele mniejsze kompetencje, bowiem dotyczące jedynie sfery cyber, dostał każdy z ministrów. W efekcie dziś sytuację mamy następującą. Minister klimatu wydał bardzo precyzyjne wytyczne dotyczące sfery cyber, a minister zdrowia mimo upoważnienia ustawowego takich wytycznych, póki co, nie wydał. A więc w jednym sektorze operatorzy wiedzą jak mają się chronić, w drugim czekają na brakujące dokumenty. Czy będzie zachowana spójność między wydawanymi dokumentami? Zobaczymy. 

W takim podejściu pobrzmiewa jednak to, na co w administracji narzeka się od lat. Resortowość. Rozdrabniając kompetencje, rozmywamy też odpowiedzialność.

Wrócę do stanowiska ministra rolnictwa, który wskazywał, że by on mógł "funkcjonować", niezbędne są usługi realizowane przez kilku innych ministrów. To jednak trzeba razem skoordynować, a on sam – jak twierdzi – nie ma tytułu do występowania do ministra właściwego do spraw klimatu czy cyfryzacji, by na jego potrzeby realizowali jakieś działania. 

Wiec teoretycznie taki model jest możliwy, ale kiedy badaliśmy te współzależności, to wychodzi na to, że tylko dla sektora bankowego jest sens utrzymywania odrębnej "władzy". To wynika jednak z faktu, że sektor ten ma swoja odrębną regulację – rozporządzenie DORA. Mimo tego, nawet KNF będzie musiał mieć wskazaną osobę przy premierze, która będzie odpowiadała, za kontakt "z całym światem".

Dziękuję za rozmowę.

Dr Witold Skomra - specjalista w zakresie bezpieczeństwa narodowego, zarządzania kryzysowego, oceny ryzyka i ochrony infrastruktury krytycznej. Pełni obowiązki Szefa Wydziału Ochrony Infrastruktury Krytycznej w Rządowym Centrum Bezpieczeństwa. Były komendant główny Państwowej Straży Pożarnej.