INFRASTRUKTURA KRYTYCZNA

autor: Jacek Szmalenberg - członek OSKZP, przedstawiciel zamawiającego

W celu identyfikacji IK należy określić obszar w jakim taka infrastruktura funkcjonuje. Obszarem takim jest zarządzanie kryzysowe. Ustawa z dnia 26 kwietnia 2007r. o zarządzaniu kryzysowym (dalej: Ustawa) określa, iż zarządzanie kryzysowe to działalność organów administracji publicznej będąca elementem kierowania bezpieczeństwem narodowym, która polega na zapobieganiu sytuacjom kryzysowym, przygotowaniu do przejmowania nad nimi kontroli w drodze zaplanowanych działań, reagowaniu w przypadku wystąpienia sytuacji kryzysowych, usuwaniu ich skutków oraz odtwarzaniu zasobów i IK. Ustawa definiuje również infrastrukturę krytyczną - należy przez to rozumieć systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. IK obejmuje systemy:
a) zaopatrzenia w energię, surowce energetyczne i paliwa;
b) łączności;
c) sieci teleinformatycznych;
d) finansowe;
e) zaopatrzenia w żywność;
f) zaopatrzenia w wodę;
g) ochrony zdrowia;
h) transportowe;
i) ratownicze;
j) zapewniające ciągłość działania administracji publicznej;
k) produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych.
Należy zwrócić uwagę również na występowanie europejskiej infrastruktury krytycznej – należy przez to rozumieć systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia i instalacje kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców, wyznaczone w systemach zaopatrzenia w energię, surowce energetyczne i paliwa i transportowym, w zakresie:
a) energii elektrycznej;
b) ropy naftowej;
c) gazu ziemnego;
d) transportu drogowego, kolejowego, lotniczego, wodnego śródlądowego, żeglugi oceanicznej, żeglugi morskiej bliskiego zasięgu;
e) portów.
Europejska infrastruktura krytyczna zlokalizowana jest na terytorium państw członkowskich Unii Europejskiej, których zakłócenie lub zniszczenie miałoby istotny wpływ na co najmniej dwa państwa członkowskie.

Obecnie w Polsce funkcjonuje ponad tysiąc elementów stanowiących IK. W celu zobrazowania skali obszarów w jakich może potencjalnie występować IK, pomocnym może być poniższe zestawienie:

1. System zaopatrywania w energię, surowce energetyczne i paliwa.
a. Sektor energii elektrycznej - np.: elektrownie zawodowe (cieplne, wodne), elektrociepłownie zawodowe, elektrociepłownie przemysłowe, elektrownie niezależne, elektrownie wiatrowe, stacje elektroenergetyczne, stacje rozdzielcze, stacje transformatorowe, linie elektroenergetyczne).
b. Sektor gazu ziemnego - np.: gazociągi, magazyny gazu, stacje gazowe, tłocznie gazu, węzły gazowe.
c. Sektor ropy naftowej - np.: rurociągi, terminale naftowe, bazy magazynowe, zbiorniki.
2. System łączności - np.: telefonia stacjonarna, telefonia ruchoma, szerokopasmowy internet, radiofonia, telewizja, telewizja kablowa, łączność pocztowa, sieci teleinformatyczne.
3. System finansowy - np.: instytucje finansowe, banki, instytucje ubezpieczeniowe (ZUS, OFE, KRUS, ubezpieczenia na życie), instytucje kapitałowe (GPW, domy maklerskie, biura maklerskie, towarzystwa funduszy inwestycyjnych).
4. System zaopatrywania w żywność (rynek mleka, zbóż, owoców i warzyw, cukru, wołowiny i cielęciny, mięsa wieprzowego, drobiu, alkoholu etylowego).
5. Infrastruktura terenów wiejskich (punkty zaopatrzenia w nawozy sztuczne, lecznice weterynaryjne, giełdy towarowe, drogi, przystanki kolejowe, porty morskie, urzędy pocztowe, szkoły, ośrodki zdrowia, obiekty kultu religijnego)
6. System zaopatrzenia w wodę (sieć kanalizacyjna, oczyszczalnie ścieków, sieć wodociągowa).
7. System ochrony zdrowia (samodzielne zakłady opieki zdrowotnej, ambulatoria, ambulatoria z izbą chorych, instytuty badawcze, szpitale, regionalne centra krwiodawstwa, apteki, punkty apteczne).
8. System transportowy (transport kolejowy - linie kolejowe, stacje kolejowe; transport samochodowy; transport lotniczy; transport rurociągowy; żegluga śródlądowa i morska)
9. System ratowniczy
a. Krajowy system ratowniczo-gaśniczy
b. Państwowe ratownictwo medyczne
c. System powiadamiania ratunkowego
d. Ratownictwo górskie
e. Ratownictwo wodne
f. Krajowy system wykrywania skażeń i alarmowania
10. System zapewniający ciągłość działania administracji publicznej (rządowej i samorządowej).
11. System produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych.
a. Sektor przemysłu chemicznego
b. Obiekty jądrowe i źródła promieniowania jonizującego
c. Rurociągi substancji niebezpiecznych.


Aby dany obiekt, urządzenie lub instalacje zaliczyć do IK, należy wziąć pod uwagę szczególne kryteria, które są zapisane w niejawnym załączniku do Narodowego Programu Ochrony Infrastruktury Krytycznej (dalej: NPOIK).
Wykaz infrastruktury krytycznej
Ustawa określa, iż w zakresie zarządzania kryzysowego funkcjonują:
- Krajowy Plan Zarządzania Kryzysowego;
- wojewódzkie, powiatowe i gminne plany zarządzania kryzysowego.
Powyższe plany zawierają:
- procedury realizacji zadań z zakresu zarządzania kryzysowego, w tym związane z ochroną IK;
- wykaz IK znajdującej się odpowiednio na terenie województwa, powiatu lub gminy, objętej planem zarządzania kryzysowego.

Plany zarządzania kryzysowego podlegają systematycznej aktualizacji.
Właściwi wojewodowie, jeżeli istnieje potrzeba wynikająca z wojewódzkiego planu zarządzania kryzysowego, są upoważnieni do przekazywania niezbędnej informacji o IK na terenie województwa właściwemu organowi administracji publicznej działającemu na tym terenie, z zachowaniem przepisów o ochronie informacji niejawnych.
W celu stworzenia warunków do poprawy bezpieczeństwa IK wydano rozporządzenie Rady Ministrów z dnia 30 kwietnia 2010 r. w sprawie NPOIK, w którym określono, iż NPOIK zawiera szczegółowe kryteria pozwalające wyodrębnić obiekty, instalacje, urządzenia i usługi wchodzące w skład systemów infrastruktury krytycznej, biorąc pod uwagę ich znaczenie dla funkcjonowania państwa i zaspokojenia potrzeb obywateli. NPOIK zawiera m.in.:
- nazwę i lokalizację IK;
- oraz dane operatora IK.
Dyrektor Rządowego Centrum Bezpieczeństwa (dalej: Dyrektor RCB) sporządza m.in. we współpracy z odpowiednimi ministrami odpowiedzialnymi za systemy, jednolity wykaz obiektów, instalacji, urządzeń i usług wchodzących w skład IK z podziałem na systemy. Wykaz ma charakter niejawny, z którego sporządza się wyciągi z wykazu IK, znajdującej się w danym systemie oraz przekazuje je ministrom i kierownikom urzędów centralnych odpowiedzialnym za dany system. Dodatkowo opracowuje się wyciągi z wykazu IK znajdującej się na terenie województw, przekazuje się je właściwym wojewodom oraz informuje się o ujęciu w wykazie obiektów, instalacji lub urządzeń – ich właścicieli, posiadaczy samoistnych i zależnych.
Uczestnicy NPOIK mogą aktualizować wykaz IK. Uczestnikami NPOIK są:
- Dyrektor RCB;
- właściwi ministrowie;
- kierownicy urzędów centralnych odpowiedzialnych za dany system;
- wojewodowie;
- operatorzy IK.
Należy także wskazać operatorów IK. Są to właściciele oraz posiadacze samoistni i zależni obiektów, instalacji lub urządzeń IK.
Właściwi wojewodowie, jeżeli istnieje potrzeba wynikająca z wojewódzkiego planu zarządzania kryzysowego, są upoważnieni do przekazywania niezbędnej informacji o IK na terenie województwa właściwemu organowi administracji publicznej. Właściciele oraz posiadacze samoistni i zależni obiektów, instalacji lub urządzeń IK mają obowiązek ich ochrony, w szczególności przez przygotowanie i wdrażanie – stosownie do przewidywanych zagrożeń – planów ochrony IK oraz przez utrzymywanie własnych systemów rezerwowych zapewniających bezpieczeństwo i podtrzymujących funkcjonowanie tej infrastruktury, do czasu jej pełnego odtworzenia.
Aktualizacje przeprowadza Dyrektor NCB z własnej inicjatywy albo na wniosek właściwego ministra lub kierownika urzędu centralnego odpowiedzialnego za dany system, wojewody lub operatora IK.
Dodatkowo Rozporządzenie Rady Ministrów z dnia 30 kwietnia 2010 r w sprawie planów ochrony infrastruktury krytycznej określa, iż operatorzy IK są zobowiązaniu do opracowania Planu ochrony infrastruktury krytycznej, który powinien zawierać m.in.:
- nazwę i lokalizację IK;
- charakterystykę i podstawowe parametry techniczne IK;
- plan (mapę) z naniesieniem lokalizacji obiektów, instalacji lub systemu.
Plan ochrony IK wskazuje zagrożenia dla IK oraz sposoby przeciwdziałania tym zagrożeniom w celu zapewnienia ciągłości funkcjonowania IK lub jej odtworzenia.
Operatorzy IK są zobowiązani uzgodnić Plan ochrony IK z właściwym terytorialnie:
- wojewodą;
- Komendantem Państwowej Straży Pożarnej;
- Komendantem wojewódzkim Policji;
- Dyrektorem regionalnego zarządu gospodarki wodnej;
- wojewódzkim inspektorem nadzoru budowlanego;
- wojewódzkim lekarzem weterynarii;
- państwowym wojewódzkim inspektorem sanitarnym;
- dyrektorem urzędu morskiego.
Ponadto uzgodnień należy dokonać z ministrem lub kierownikiem urzędu centralnego, we właściwości którego znajduje się system, do którego została zaliczona IK. Plan ochrony IK musi być spójny z NPOIK, który ostatecznie jest zatwierdzany przez Dyrektora RCB.
Dopuszcza się używanie innych planów – równoważnych POIK, który również musi uzyskać akceptacje Dyrektora RCB.

Rekomendacje dotyczące IK
Obecnie duża część infrastruktury krytycznej, która ma kluczowe znaczenie dla bezpieczeństwa państwa, znajduje się w rękach prywatnych. Mając na uwadze właściwa budowę relacji pomiędzy administracją publiczna a sektorem prywatnym w NPOIK zawarto załącznik nr 1, w którym wskazano standardy służące zapewnieniu sprawnego funkcjonowania IK – dobre praktyki i rekomendacje. Wskazany załącznik zawiera m.in. rekomendacje do umów zawieranych z podmiotami zewnętrznymi:
1. Operator IK powinien wdrożyć proces ciągłej oceny ryzyka prawnego wynikającego z umów zawieranych z dostawcami kluczowych usług i produktów.
2. Przy wyborze usługodawcy należy brać pod uwagę jego bieżącą sytuację finansowo-ekonomiczną oraz badać strukturę właścicielską, łącznie z identyfikacją beneficjentów rzeczywistych.
3. Każda relacja z nowym partnerem powinna rozpocząć się od zawarcia umowy o zachowanie poufności. Umowa taka powinna gwarantować realne sankcje w przypadku jej naruszenia.
4. Szczególna uwaga powinna zostać poświęcona relacjom z dostawcami rozwiązań informatycznych lub produktów zawierających oprogramowanie komputerowe, które mogą mieć wpływ na zdolność operacyjną IK.
5. Każda zawierana umowa powinna zostać poddana analizie ryzyka pod kątem tzw. Vendor Lock (dalej: VL), czyli uzależnienia się od jednego dostawcy. VL zwykle związany jest z niekorzystnymi zapisami dotyczącymi własności intelektualnej w zakresie możliwości rozwoju lub korzystania z produktów (najczęściej oprogramowania) w przypadku upadłości dostawcy lub zerwania współpracy przez dostawcę. Rozwiązaniem rekomendowanym dla kluczowych, „szytych na miarę” systemów informatycznych jest przeniesienie autorskich praw majątkowych w zakresie pozwalającym na modyfikację oprogramowania lub zapewnienie długotrwałej licencji umożliwiającej samodzielny rozwój oprogramowania, w tym możliwości powierzenia go osobom trzecim.
6. Docelowa umowa powinna zawierać precyzyjny opis przedmiotu umowy tak, aby zminimalizować ryzyko obszarów, które nie zostały przypisane wyraźnie do jednej ze stron.
7. Umowa powinna zawierać opis oczekiwanego zakresu współpracy usługodawcy w tym osób trzecich działających na jego rzecz, współuczestniczących w świadczeniu usługi z operatorem IK w sytuacji usuwania awarii. Zakres ten powinien obejmować m.in.: udostępnianie określonej infrastruktury, personelu i gotowości tego personelu do działania.
8. Definicje awarii lub błędów używane w umowach powinny uwzględniać zjawiska wynikające z wykrycia nowych podatności oprogramowania.
9. Umowa powinna zawierać zasady usuwania zgłoszonych błędów, w postaci tzw. umowy Service Level Agreement (dalej: SLA) zawierającej wskaźniki dotyczące procedur współpracy, terminowości usuwania zgłoszonych błędów jak i sankcji za ich nieusunięcie.
10. Umowy serwisowe z producentami oprogramowania powinny zawierać dodatkowe SLA dotyczące usuwania wykrytych podatności, których wykorzystanie może powodować ryzyko zakłócenia funkcjonowania IK.
11. W zależności od stwierdzonej istotności wpływu oprogramowania na funkcjonowanie IK, wskazane jest uregulowanie dostępu do kodu źródłowego operatorowi IK lub audytorowi wybranemu przez strony, zarówno w trakcie obowiązywania umowy jak i po jej zakończeniu.
12. Umowa na dostawę lub obsługę serwisową oprogramowania powinna zawierać postanowienia dotyczące procedury zarządzania zmianami w tym oprogramowaniu oraz sposobu ustalania wynagrodzenia usługodawcy z tego tytułu.
13. Umowa musi zawierać mechanizmy sankcyjne, nadające operatorowi IK uprawnienia finansowe (np. potrącenia, kary umowne) lub organizacyjne (np. rozwiązanie umowy) w przypadku naruszenia zobowiązań przez dostawcę.
14. Umowa nie powinna zawierać postanowień całkowicie wyłączających odpowiedzialność dostawcy lub ograniczających jego odpowiedzialność do kwot nieodpowiadających ryzyku związanemu z dostarczeniem produktu lub usługi niespełniających warunków zamówienia.
15. Umowa powinna posiadać sformalizowaną ścieżkę eskalacji w rozwiązywaniu problemów powstałych na gruncie realizacji umowy, w tym procedurę umożliwiającą podjęcie natychmiastowych działań w przypadku zagrożeń dla IK wynikających z ataków na infrastrukturę informatyczną.
16. Umowa powinna zawierać zasady zlecania podwykonawcom poszczególnych czynności wraz z wymogiem stosowania równorzędnych zabezpieczeń, jak wynikających z zawartej umowy głównej.
17. Umowa na dostawę oprogramowania systemów automatyki powinna zawierać zapisy zwiększające bezpieczeństwo przed zagrożeniami teleinformatycznymi, tj.:
a. Zobowiązanie dostawcy do sprawdzenia, czy dostarczane oprogramowanie nie posiada znanych luk bezpieczeństwa i poinformowania zamawiającego o ewentualnych, istniejących lukach.
b. Deklarację, iż architektura dostarczanego oprogramowania umożliwia usunięcie ewentualnych luk bezpieczeństwa, które zostaną wykryte w cyklu życia oprogramowania.
c. Załączony wykaz wszystkich komponentów dostarczanego oprogramowania.
d. Dodatkowo rekomendowane jest, aby do umowy załączone zostały deklaracje producentów oprogramowania co do stosowanych przez nich zasad usuwania wykrytych luk bezpieczeństwa, zasad informowania użytkowników o wykrytych lukach bezpieczeństwa oraz zasad dystrybucji poprawek.
Podsumowanie
Zgodnie z ostatnią nowelizacją pzp przepisy w dziedzinie obronności i bezpieczeństwa mają zastosowanie do IK, o której mowa w Ustawie. Dotyczy to postępowań, dla których kwota wartości zamówień oraz konkursów, od których jest uzależniony obowiązek przekazywania ogłoszeń Urzędowi Publikacji UE, jest równa lub przekracza wyrażoną w złotych równowartość kwoty:
a) 443 000 euro – dla dostaw lub usług;
b) 5 548 000 euro – dla robót budowlanych.
Powyższa analiza pokazuje, iż jest to niezmiernie trudny do wykorzystania w zamówieniach publicznych obszar, który wymaga szerokiej wiedzy oraz ścisłej współpracy pomiędzy administracją publiczną a operatorami IK.

stat4u