Kręgosłup państwa

Wdrożenie Narodowego Programu Ochrony Infrastruktury Krytycznej oznacza konieczność zbudowania relacji z firmami, które nie mają infrastruktury, ale dostarczają dla niej usługi i technologie teleinformatyczne.

Rada Ministrów przyjęła Narodowy Program Ochrony Infrastruktury Krytycznej w końcu marca. Został on przygotowany przez Rządowe Centrum Bezpieczeństwa jako jedno z zadań ustawy o zarządzaniu kryzysowym. Powinien być aktualizowany nie rzadziej niż co dwa lata, bo wszyscy się wciąż uczymy, jak podchodzić do problematyki bezpieczeństwa, zwiększania odporności na zagrożenia i reagowania.

Już na pierwszy rzut oka widać, że RCB uczy się pilnie i potrafi przygotować niezły dokument w złożonej i trudnej sprawie, za którą musi odpowiadać równocześnie wiele organów administracji rządowej i samorządowej, służb, a głównie przedsiębiorców, dysponujących obiektami kwalifikowanymi jako infrastruktura krytyczna. Sposób narracji stosowany w sprawie infrastruktury krytycznej uległ w ostatnich dwóch lat znaczącej ewolucji. To nie było łatwe, bo od przyjęcia ustawy w 2007 r. zdążył się już trochę zakorzenić w kręgach administracji rządowej kunktatorski pogląd, że bezpieczeństwo systemów krytycznych dla ciągłości działania państwa wymaga zamknięcia ich tajnej listy w sejfie i wmuszeniu sztywnych procedur, pozwalających zachować kontrolę. Dzisiaj już na wstępie mówi się, że zakres programu to ustanowienie ram współpracy sektora administracji z sektorem przedsiębiorstw, chroniących gospodarcze i społeczne fundamenty naszego kraju. RCB dysponuje też doświadczeniem organizacji ćwiczeń. Cele operacyjne programu koncentrują się wokół problematyki świadomości, wiedzy i kompetencji wszystkich interesariuszy, określeniu ról, odpowiedzialności, ryzyka oraz budowie partnerstwa. Zatem jest to praca od podstaw, a program to metodyczna propozycja ram dla szerokiego współdziałania dla wspólnego bezpieczeństwa.

Zaciąg ochotniczy

Autorzy narodowego programu ochrony infrastruktury krytycznej bez zbędnej skromności nazywają przyjęte podejście nowatorskim. Proponują bowiem świadomą współodpowiedzialność i współpracę bez sankcji karnej, inaczej niż zwykle się przyjmuje w sprawie ustawowych powinności wobec państwa. Tej deklarowanej "bezsankcyjności" nie należy może rozumieć dosłownie. Obowiązek utrzymania ciągłości działania wszystkich systemów infrastruktury krytycznej obwarowują różne przepisy sektorowe. Wszak od wiek wieków obowiązuje w prawie zasada wyrażana łacińską sentencją ubi lex, ibi poena (nie ma obowiązku bez kary).

W koncepcji programowej RCL ma jednak chodzić o pobudzenie mechanizmów współdziałania, które bazują na zaufaniu, czyli wzmacnianiu korzyści z relacji nie do końca sformalizowanych. Chodzi przecież o wymianę informacji, której wartość niekiedy trudno ocenić. Potrzebna jest bowiem umiejętność analizowania i przewidywania skutków słabych sygnałów, zanim zmienią się w trendy. Chodzi o osiągnięcie zdolności organizowania złożonych korelacji pomiędzy różnymi czynnikami, mogącymi mieć wpływ na bezpieczeństwo, zapanowanie nad przebiegiem wydarzeń powodujących eskalację zagrożenia.

Autorzy programu uważają, że stosowanie systemu regulacyjnego, narzucającego nawet najsłuszniejsze prawne powinności, powoduje skutek uboczny - niechęć do narzuconych przez państwo zadań, nie kojarzących się wprost z celami biznesowymi. Podkreślanie, że obowiązki, które można wysnuć z ustawy o zarządzaniu kryzysowym, nie będą objęte sankcją, to przesada. Nie jest oczywiste, że źródłem niechęci do podejmowania zadań narzucanych przez państwo jest restrykcyjna litera prawa. Doświadczenie rynków regulowanych wskazuje, że przedsiębiorcy czasem wręcz domagają się od regulatora regulacji, bo wtedy zyskują pewność, że reguła będzie taka sama dla wszystkich, więc konkurent nie znajdzie pretekstu, by ją ominąć. Taka logika kalkulacji ryzyka na rynkach regulowanych w opozycji do swobodnego liberalizmu jest dosyć częsta.

Praktyka teorii

Ominięcie dyskusji o sposobach kwalifikowania kosztów ochrony infrastruktury krytycznej to wyraźny problem tego etapu programu. W tym świetle, dobrowolność, czyli "bezsankcyjność" zastosowania standardów współpracy, mogłaby zostać zinterpretowana opatrznie, bo w podtekście pobrzmiewa niewyartykułowana wiadomość: nie pomożemy wam w rozliczeniu kosztów naszej współpracy. To nie do końca prawda. W programie jest mowa o wykorzystaniu potencjału jednostek sektora nauki oraz badań i rozwoju, a także budżetów, którymi dysponują organy administracji w systemie zarządzania kryzysowego. Ale przedsiębiorcy muszą koszty swojego udziału w tej grze ponieść samodzielnie. Dla tych, którzy zarządzają infrastrukturą krytyczną, to wymuszona konieczność, ale jeżeli mowa o zagrożeniach z cyberprzestrzeni, to centra wiedzy są po stronie firm technologicznych, integrujących systemy lub obsługujących je na zasadzie outsourcingu. Program przewiduje zaproszenie do współpracy firm technologicznych. Dobrze, że już jest świadomość konieczności, ale nie jest jasne, jak to zorganizować, jak pobudzić motywacje. Samo RCB ma budżet nomen omen kryzysowy. Nie starczyło przecież środków, by poddać projekt programu ochrony infrastruktury krytycznej szerszym konsultacjom. Stąd pominięcia i usterki w interpretacjach.

Szczególnie zawartość dwóch załączników metodycznych ujawnia luki w systemie gromadzenia i analizowania informacji. Pierwszy to opis różnych sektorów. Jakościowo jest bardzo nierówny, a część to prezentacja danych rynkowych, a nie charakterystyka potencjału infrastruktury. Nie można się tu zasłaniać tajemnicą. Drugi załącznik zawierający rekomendacje i dobre praktyki jest koncepcyjnie ciekawy, ale również nierówny pod względem jakości. Opis zagadnień bezpieczeństwa teleinformatycznego jest dobrze zrobiony, czego nie można powiedzieć o zawężonym potraktowaniu rekomendacji bezpieczeństwa fizycznego. Pominięto np. rolę łączności radiowej, pierwszorzędną w systemach dowodzenia. Te mankamenty tracą na znaczeniu, jeżeli potraktować dokumenty jako materiał wstępny do dialogu ze wszystkimi interesariuszami bezpieczeństwa i odporności infrastruktury krytycznej. Kolejna wersja będzie wynikiem szerokiej współpracy. Miejmy nadzieję, że państwo znajdzie na to środki.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200