Dyskusja o Sieci Teleinformatycznej Administracji Publicznej zaczęła się odnosić do znanej od lat kwestii Krytycznej Infrastruktury Teleinformatycznej kraju. Wydawałoby się więc, że kwestie definicji i podstawowych prawd dotyczących tego zagadnienia mamy już za sobą. Tak jednak nie jest.

Czym jest Krytyczna Infrastruktura Teleinformatyczna kraju (KITI)? Niektórzy kojarzą ją w dużej mierze z infrastrukturą, która odpowiada za skuteczną łączność w sytuacjach nadzwyczajnych. Tymczasem KITI musi działać nie tylko w sytuacji nadzwyczajnej, ale również, a raczej przede wszystkim, w czasie normalnego funkcjonowania państwa. Jeśli infrastruktura zaklasyfikowana jako krytyczna przestanie działać w sytuacji normalnej, to może dojść do kryzysu.

Krytyczne definicje

KITI jest częścią ogólniejszego pojęcia, definiowanego jako infrastruktura krytyczna państwa. Jak ją można zdefiniować? Brytyjczycy uznają za nią "te części infrastruktury Wlk. Brytanii, których ciągłość działania jest na tyle ważna dla funkcjonowania państwa, że jej utrata, znaczące przerwy w działaniu lub znaczące obniżenie jakości działania mogłyby spowodować poważne konsekwencje ekonomiczne lub socjalne zagrażające życiu społeczeństwa lub jego pokaźnej części, albo też mogłyby stać się obiektem natychmiastowej interwencji rządu".

Definicja przyjęta w Polsce, przez powołany przez premiera w listopadzie 2004 r. zespół ds. Krytycznej Infrastruktury Teleinformatycznej mówi, że KITI to "systemy i sieci teleinformatyczne, których nieprawidłowe funkcjonowanie lub uszkodzenie - niezależne od przyczyn i zakresu - może spowodować istotne zagrożenie dla życia lub zdrowia ludzi, interesów obronności oraz bezpieczeństwa państwa i obywateli, albo narazić te interesy na co najmniej znaczną szkodę". Niekoniecznie chodzi więc o sytuacje nadzwyczajne, ale także o codzienne sprawne działanie systemów energetycznego, finansowego, wodociągów, transportu, służby zdrowia itd. Dotyczy to również systemu obsługi administracji państwowej. Jak łatwo się domyślić, prawidłowe funkcjonowanie tej infrastruktury zależy dzisiaj od prawidłowego funkcjonowania systemów teleinformatycznych.

Tamy i robaki

W ustalaniu konkretnych elementów KITI nie można zresztą podlegać schematom. Pamiętali o tym np. Holendrzy dołączający do zestawu system sterowania tamami. Również, jakkolwiek brzmiałoby to szokująco, ważnym elementem KITI są zwykłe domowe komputery podłączone do sieci. Najlepszym dowodem na to są wydarzenia ze stycznia 2003 r., kiedy robak internetowy Slammer sparaliżował wiele usług na całym świecie, poczynając od szerokopasmowych łączy dostępowych do Internetu w Korei Południowej, poprzez sieci komórkowe w Finlandii, aż po kilkanaście tysięcy bankomatów w USA.

Ten robak "zadziałał" dzięki masie komputerów domowych użytkowników Internetu w Korei Południowej, gdzie znakomita większość obywateli (ponad 70%) korzysta z dobrodziejstwa szerokopasmowego dostępu do sieci, co pozwoliło na szybkie rozprzestrzenianie się robaka.

Bezpieczne nie znaczy państwowe

W gospodarce rynkowej infrastruktura, od której zależy prawidłowe funkcjonowanie państwa, jest w większości w rękach prywatnych. Przykładem mogą być: sieci komórkowe, sieci dostępowe do Internetu, korporacyjne sieci bankowe. Tak więc tylko współpraca pomiędzy gestorami poszczególnych części infrastruktury (partnerstwo publiczno-prywatne) jest rozwiązaniem mogącym zapewnić bezpieczeństwo takiej infrastruktury na poziomie krajowym.

Można zapomnieć o kontrolowaniu całości infrastruktury krytycznej przez państwo. Taką konieczność czasami się podaje przy wskazywaniu potencjalnego operatora dla Sieci Teleinformatycznej Administracji Publicznej. Jest to właściwie niemożliwe. Obawy, że w sytuacji kryzysowej stracimy panowanie nad siecią administracji, są nie na miejscu, jeśli poważnie traktujemy zapisy Prawa telekomunikacyjnego. Zapisane są tam przecież - w stosunku do operatorów telekomunikacyjnych - "obowiązki na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego", a także to, co ma się dziać w sytuacji nadzwyczajnej.

Zresztą jak już się wreszcie ostatecznie zatwierdzi co w Polsce wchodzi w skład KITI, to z pewnością ustali się również, jakie obowiązki ciążą na jej właścicielach. Nie chodzi o to, aby jak największa część KITI była w rękach państwa, tylko aby właściciele KITI wiedzieli jak ją chronić i co robić w chwili zagrożenia, gdyż skutki skutecznego ataku na tę infrastrukturę nie dotyczą tylko i wyłącznie ich, ale - zgodnie z definicją - samego funkcjonowania państwa.

O KITI w Polsce mówimy od kilku lat. W kwietniu 2002 r. odbyło się seminarium poświęcone wyłącznie temu tematowi, zorganizowane przez NASK i działający w jej ramach zespół CERT Polska. Wnioski po tym seminarium, takie jak konieczność ustalenia definicji i zinwentaryzowania KITI w Polsce, planu działania w celu jej ochrony oraz odpowiedzialności za realizację tego planu, są nadal żywe. Warto do nich powrócić i zrealizować je, aby nie stało się tak, jak przedstawiał to jeden z uczestników wspomnianego seminarium, że owszem zdefiniujemy infrastrukturę krytyczną, tyle że krytyczną - podobnie jak pacjent w stanie krytycznym - bo ledwo funkcjonującą.