Miesięcznik informatyków i menedżerów IT sektora publicznego

Adam Politowski

Źródła zagrożeń dla infrastruktury krytycznej

Ustawa o Krajowym Systemie Cyberbezpieczeństwa nakłada nowe obowiązki także na podmioty publiczne. Bezpieczeństwo jest jednak wspólnym mianownikiem dla każdego z jedenastu systemów infrastruktury krytycznej.

Rys. B. Brosz
Rys. B. Brosz

W zależności od systemu operatorzy infrastruktury krytycznej (dalej: IK), zarówno w Polsce, jak i na świecie, mają niezwykle zróżnicowany poziom świadomości z zakresu zapewniania bezpieczeństwa. Zabezpieczenia jednych systemów stanowią wzór, a w przypadku innych operatorzy potrzebują wsparcia w procesie ulepszania takiej ochrony. Oczywiście, w każdym z systemów można wskazać prymusów, jednak wyraźna jest konieczność stymulowania wymiany wiedzy między często konkurencyjnymi dla siebie podmiotami.

Z tym wyzwaniem mierzy się m.in. Rządowe Centrum Bezpieczeństwa (dalej: RCB) wspólnie z operatorami IK już od czasu uchwalenia pierwszego Narodowego Programu Ochrony Infrastruktury Krytycznej (dalej: NPOIK). Warto wspomnieć o przygotowaniu dla operatorów nieopublikowanych jeszcze minimalnych standardów zapewnienia bezpieczeństwa fizycznego, osobowego oraz teleinformatycznego, które wraz ze standardami branżowymi ustalają minimalny poziom zabezpieczeń dla wszystkich operatorów, bez wyjątku. Dokumenty te są pewnym wyciągiem dotychczasowych zapisów wynikających z NPOIK, ale nakładają „twardy” wymóg ich stosowania, choć bez sankcyjnego podejścia.

Skąd nadciąga zło

W zależności od systemu różne są źródła zagrożeń dla IK. Inne zagrożenia będą spędzały sen z powiek operatorowi z systemu zaopatrzenia w wodę, a inne operatorowi z systemu ratowniczego. Tutaj w zasadzie od wielu lat nie identyfikuje się zupełnie nowych zagrożeń. Zmienia się jedynie liczba ataków, ich innowacyjność i stosowane w tych atakach narzędzia. Niezmiennie dominują zagrożenia polegające na wtargnięciu statków powietrznych (zarówno autonomicznych, jak i niewielkich załogowych). Częste są też szeroko pojęte zagrożenia teleinformatyczne oraz działanie tzw. insiderów, czyli pracowników danego operatora, którzy z tej czy innej przyczyny chcą zaszkodzić swojemu pracodawcy. Analizując sytuację międzynarodową, a w szczególności działania hybrydowe u naszych wschodnich sąsiadów można stwierdzić, że wszystkie trzy powyższe rodzaje zagrożeń materializują się na niespotykaną wcześniej skalę i stanowią dla nas niezwykle cenną lekcję. Trudno wskazać, które z tych zagadnień powinno traktować się priorytetowo, wszystkie mogą nieść istotne skutki dla zapewnienia ciągłości funkcjonowania jakiejkolwiek infrastruktury, stąd wszystkie w równym stopniu są adresowane w pracach RCB.

Jednym z największych wyzwań dla operatorów IK w Polsce jest sprostanie licznym wymogom planistycznym, które często sprowadzają się niestety tylko i wyłącznie do przygotowania planu dla wypełnienia obowiązku. Mnogość planów, jakie musi przygotować operator (plan obowiązkowej ochrony, plan szczególnej ochrony, dokumentacja cyberbezpieczeństwa, plan zaopatrzenia ludności w wodę pitną w warunkach specjalnych, plan działań przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń, instrukcja przeciwpożarowa, plan ciągłości działania itd.) jest wielokrotnie podnoszona na Forach Ochrony Infrastruktury Krytycznej (regionalnych, systemowych i krajowym). Jakkolwiek trudno odmówić słuszności konieczności przygotowywania tych wszystkich dokumentów, to RCB, wychodząc naprzeciw operatorom, stara się ograniczyć ilość tworzonej dokumentacji, wymagając w Planie Ochrony Infrastruktury Krytycznej (POIK) wskazania, w jaki sposób inne posiadane dokumenty odnoszą się do spełnienia wymogów formalnych w zakresie ochrony IK.

[...]

Autor jest ekspertem w dziedzinie zarządzania bezpieczeństwem informacji, ciągłości działania oraz ochrony infrastruktury krytycznej związanym w przeszłości z Ministerstwem Cyfryzacji oraz Rządowym Centrum Bezpieczeństwa.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej