Ryzyko dla bezpieczeństwa infrastruktury krytycznej było, jest i będzie, a wysiłki człowieka mogą je jedynie zminimalizować. Ważne jest, aby pamiętać, że w dobie cyfryzacji fizyczne zagrożenie to nie jedyne niebezpieczeństwo, jakie trzeba wziąć pod uwagę.

GALERIA  7 ZDJĘĆ


• Zagrożenie bezpieczeństwa infrastruktury krytycznej najczęściej jest spowodowane tzw. czynnikiem ludzkim.


• Wynika zazwyczaj z błędu lub niefrasobliwości pracownika, rzadziej jest efektem celowego działania.


• Także coraz częstsze cyberataki na cel biorą właśnie najsłabsze ogniwo bezpieczeństwa, czyli ludzi.

- Najprostsza definicja infrastruktury krytycznej to systemy niezbędne do funkcjonowania państwa. Jednak ustawa o zarządzaniu kryzysowym uwzględnia nie tylko obiekty fizyczne, ale również usługi kluczowe dla bezpieczeństwa państwa. W dobie cyfryzacji bezpieczeństwo infrastruktury krytycznej uzależnione jest także od systemów informatycznych - mówi Juliusz Brzostek, dyrektor Centrum Cyberbezpieczeństwa NASK.

- O tym, jak istotna jest infrastruktura krytyczna dla funkcjonowania państwa, świadczy choćby to, że w trakcie wojny na Bałkanach to właśnie przez paraliż sieci elektroenergetycznej w Serbii Belgrad został ubezwłasnowolniony - uważa Andrzej Kojro, prezes Enei Operator.

Rafał Miland, wiceprezes PERN, krajowego operatora sieci rurociągów naftowych i paliwowych, przekonuje, że najsłabszym ogniwem bezpieczeństwa infrastruktury krytycznej jest czynnik ludzki. - Pracujemy nad tym, żeby minimalizować ryzyka z tym związane - mówi. - Zagrożenia dla takiej infrastruktury, jaką dysponuje PERN, można podzielić na wywołane czynnikiem ludzkim i czynnikami naturalnymi. W tym pierwszym przypadku musimy być oczywiście przygotowani na możliwość sabotażu, ale codzienność to raczej zwykłe kradzieże paliw za pomocą wwiercenia się w rurociąg produktowy.



Rafał Miland zapewnia, że w ostatnich latach PERN zrobił wiele, żeby zminimalizować liczbę takich zdarzeń. - O ile jeszcze na przełomie wieków mieliśmy do czynienia z kilkunastoma lub nawet kilkudziesięcioma przypadkami rocznie, o tyle w 2018 roku na razie nie odnotowaliśmy ani jednego, a w 2017 roku były takie cztery - wylicza.

Według niego, czynnik ludzki to także działania niecelowe, a wynikające z błędów lub wręcz ludzkiej głupoty. - Tu typowym przykładem jest np. palenie papierosów w pobliżu zbiorników magazynowych na ropę czy paliwa. Nie są to zdarzenia częste i intensywnie z nimi walczymy, ale wciąż się zdarzają - przyznaje.

Z kolei w zakresie czynników naturalnych newralgicznym punktem są np. przejścia rurociągów przez cieki wodne. Nie wszystkie wykonane są dziś w technologii przewiertów, kiedyś rury kładzione były po prostu po dnie rzek. - Nasz plan inwestycyjny przewiduje dostosowanie wszystkich naszych rurociągów do technologii przewiertów, co powinno znacząco ograniczyć ryzyko uszkodzeń - zapewnia wiceszef PERN.

- Wysiłki człowieka mogą jedynie zminimalizować ryzyko zniszczeń infrastruktury wywołane czynnikami naturalnymi, bo ono było, jest i będzie - ocenia z kolei Andrzej Kojro. - Anomaliom pogodowym nie da się zapobiec, a do nich należą wichury.


Według niego nie są to sytuacje bardzo częste, ale nie da się ich uniknąć. W sierpniu 2017 roku nad Polską przeszedł walec burzowy, po którym 250 tys. osób zostało pozbawionych prądu, a uszkodzenia liczono w setkach słupów energetycznych i kilometrach sieci. - W samej Enei straty szacowaliśmy na ok. 80 mln zł. Na szczęście większość urządzeń i sieci ubezpieczamy, dlatego w dużym stopniu zostały one pokryte z polis ubezpieczeniowych.

Szef Enea Operator podkreśla, że dużo bardziej podatna na uszkodzenia jest sieć napowietrzna. - To nie jest rozwiązany problem. Trzeba badać i eliminować słabe punkty, zarówno w sensie technicznym, jak i ludzkim - mówi.

Z tą opinią zgadza się Robert Zasina, prezes Tauron Dystrybucja. - Na polskim rynku 25-30 proc. sieci elektroenergetycznych jest obecnie skablowanych, czyli ukrytych pod ziemią. Aby problemy wywołane czynnikami atmosferycznymi były nieodczuwalne dla klientów, ten wskaźnik powinien wynosić 50-60 proc. - ocenia.


Robert Zasina przypomina, że w Polsce jest 670 tys. km sieci energetycznych, z których niemal trzy czwarte podlegają czynnikom atmosferycznym, nie tylko takim jak wichury. - Na przykład w 2010 roku mieliśmy duży problem z marznącym deszczem i śniegiem, powodującymi oblodzenie i szadź, w wyniku których linie energetyczne po prostu się zrywały, nie wytrzymując ciężaru. Straty również liczone były w dziesiątkach milionów złotych. Od kilku lat towarzyszą nam latem wysokie temperatury, wtedy rośnie zapotrzebowanie na energię, a my musimy niektóre linie wyłączać. Nie tak dawno ze względu na suszę mieliśmy też problem z dostarczaniem wody, niezbędnej do chłodzenia turbin - dodaje.

- Mocno myślimy o okablowaniu sieci, ale to ogromne koszty, dla całego kraju szacowane nawet na 40-50 mld zł, podczas gdy rocznie operatorzy wydają ok. 7 mld zł na inwestycje w modernizacje sieci - zastrzega.

Według szefa Tauron Dystrybucja, branża chciałaby wprowadzenia ogólnokrajowego programu okablowania sieci, który rozłożony byłby na okres około 15 lat. Wnioskuje też o zmiany w przepisach, które ułatwią modernizacje. - Trzeba się liczyć z tym, że wszyscy będziemy się musieli na to złożyć - podkreśla.

- Najdroższa jest energia niedostarczona, dlatego zasadne jest rozmawianie o tym ile jesteśmy w stanie wyłożyć za poczucie bezpieczeństwa - mówi Mariusz Kondraciuk, dyrektor branży Energy Management w firmie Siemens.



Według niego wzrost efektywności infrastruktury zapewnia cyfryzacja, umożliwiająca wprowadzenie nowych usług, ważne jest natomiast, aby przy ich wdrażaniu od początku projektować je nie zapominając o cyberbezpieczeństwie.

- Istotne znaczenie ma tu jakość stosowanych urządzeń i systemów. Dobrze by było, gdyby operatorzy mogli mieć większy wpływ na wybór odpowiedniej jakości rozwiązań w procesach przetargowych, żeby nie o wszystkim zawsze decydowała cena - podkreśla Mariusz Kondraciuk.

Jego zdaniem, z punktu widzenia bezpieczeństwa ważne jest też odpowiednie zagęszczenie infrastruktury. - Powinna być ona tak gęsta, aby niemal wszędzie można było zapewnić drogę obejścia w celu awaryjnego dostarczenia usługi - argumentuje.

Rafał Miland przyznaje, że musimy być przygotowani na cyfrowe ataki, dlatego ważne jest zabezpieczenie przed wzajemnym przenikaniem się sieci przemysłowej (OT - Operations Technology) i sieci korporacyjnej (IT - Information Technology).

- W PERN mamy dużo systemów automatyki, teoretycznie podatnych na atak, dlatego naszym celem jest nie pozwolić dostać się do nich z zewnątrz. Mieliśmy ćwiczenia symulujące cyberataki i największym problemem okazał się czynnik ludzki, wynikający z błędu lub niefrasobliwości. Trzeba np. tłumaczyć pracownikom, że jeśli znajdują nieznany pendrive, to nie mogą wkładać go do firmowego komputera - mówi.

Mariusz Kondraciuk zapewnia, że producenci technologii nie tylko nadążają za rosnącymi zagrożeniami cyfrowymi, ale wręcz je wyprzedzają. - To jest nasza misja. Najlepszy dowód: że system sterujący krajową siecią przesyłową, naszego autorstwa, sprawdza się od ponad 20 lat - opowiada. - Mówi się, że najlepiej uczy się na błędach, ale najlepiej na cudzych.

Jego zdaniem, kluczem jest zapobieganie przez współpracę, do czego niezbędne jest zaufanie i partnerskie traktowanie się nawzajem przez uczestników rynku.

Tego samego zdania jest Juliusz Brzostek. - Istotna jest budowa świadomości, że cyberzagrożenia to już nie film rodem z Hollywood. Ataki coraz częściej następują, przy czym atakowane są najsłabsze ogniwa, czyli ludzie. Dobrze, że ta świadomość rośnie - mówi.



Przypomina, że w maju minął trzyletni okres na dostosowanie krajowych przepisów do postanowień dyrektywy NIS. - Nie jesteśmy jedynym krajem UE, który nie zdążył z ustawą implementującą wytyczne dyrektywy. Projekt ustawy o krajowym systemie cyberbezpieczeństwa jest w Sejmie, pierwsze czytanie zaplanowane jest na początek czerwca - mówi szef Centrum Cyberbezpieczeństwa NSK.

Według niego dyrektywa NIS wskazała dwa istotne elementy: konieczność stworzenia strategii cyberbezpieczeństwa oraz aktu regulującego kwestię odpowiedzialności za reagowanie na zagrożenia. W projekcie ustawy odpowiedzialność rozłożona jest na trzy instytucje, ulokowane w ABW (bezpieczeństwo sieci teleinformatycznych administracji państwowej), MON (obszar militarny) oraz NASK (wszyscy pozostali).

- Bardzo ważna jest wymiana informacji i współpraca, których nie da się zadekretować ustawowo, dlatego budujemy system partnerski, gdzie ważne podmioty edukują się wzajemnie i współpracują w obliczu zagrożeń. Mamy podpisanych 50 tego rodzaju porozumień, 30 podmiotów już aktywnie działa, a rozmawiamy z 80 kolejnymi - wymienia Juliusz Brzostek. Dzięki temu działają zespoły zadaniowe wypracowujące rekomendacje dla konkretnych podsektorów gospodarki.

- To, co nam przeszkadza, to także przepisy w zakresie posadowienia urządzeń w lasach, umożliwiające podwyżki gminnych podatków gruntowych z 1 zł na 200 zł. To często dla nas bariera nie do przeskoczenia - twierdzi prezes Enea Operator.

Robert Zasina potwierdza, że problem nabrzmiał w tym roku, bo wiele gmin oczekuje zapłacenia za przebieg linii energetycznych w lasach, traktując to jak działalność gospodarczą. - Działamy we współpracy z Ministerstwem Energii i Ministerstwem Środowiska, jest światełko w tunelu, że rząd i Parlament zwrócą uwagę, żeby w ten sposób nie przerzucać kosztów na klientów - mówi.

Cytaty pochodzą z sesji „Bezpieczeństwo infrastruktury krytycznej”, która odbyła się w ramach Europejskiego Kongresu Gospodarczego 2018 w Katowicach. Moderatorem debaty był Dariusz Malinowski, publicysta Magazynu Gospodarczego Nowy Przemysł.

« POWRÓT