Działać trzeba wspólnie

Z Robertem Koślą, zastępcą dyrektora Departamentu Bezpieczeństwa Teleinformatycznego (DBTI) Agencji Bezpieczeństwa Wewnętrznego, rozmawiają Przemysław Gamdzyk i Sławomir Kosieliński.

Z Robertem Koślą, zastępcą dyrektora Departamentu Bezpieczeństwa Teleinformatycznego (DBTI) Agencji Bezpieczeństwa Wewnętrznego, rozmawiają Przemysław Gamdzyk i Sławomir Kosieliński.

Działać trzeba wspólnie

<b>Robert Kośla</b>, zastępca dyrektora Departamentu Bezpieczeństwa Teleinformatycznego (DBTI) Agencji Bezpieczeństwa Wewnętrznego

Czy można precyzyjnie wskazać, co się składa na infrastrukturę krytyczną?

Nie ma jednej uznanej definicji. Musimy ją dopiero wypracować. Mówi się o zasobach żywotnych, krytycznych czy kluczowych. Drogowskazem może być wyjście od strony funkcji, tj. bezpieczeństwo infrastruktury krytycznej ma gwarantować prawidłowe działanie sektorów administracji, finansów, energetyki, paliwowego, transportowego, opieki medycznej i ratownictwa, telekomunikacyjnego, służb odpowiedzialnych za bezpieczeństwo. Pamiętajmy przy tym, że infrastruktura kluczowa dla Polski jest w coraz większym stopniu zależna od sprawnego funkcjonowania systemów teleinformatycznych.

Do tej pory uwaga skupiała się raczej na zagrożeniach cyberatakami. Pomijano inne aspekty zarządzania infrastrukturą o znaczeniu krytycznym.

Po 11 września ub.r. w wielu krajach wzrosła świadomość, że trzeba myśleć o stworzeniu mechanizmów pozwalających na zachowanie podstawowych funkcji instytucji państwowych w sytuacjach kryzysowych. Tutaj prekursorem jest na pewno NATO ze swoimi rozwiązaniami, które są wzorem do naśladowania także dla nas.

Kto zatem w Polsce powinien zajmować się koordynacją działań wokół ochrony infrastruktury krytycznej państwa?

Zapewne MSWiA. Natomiast w obszarze bezpieczeństwa infrastruktury teleleinformatycznej powinien to być Departament Bezpieczeństwa Teleinformatycznego ABW. Na przykład w Niemczech zajmuje się tym Federalny Urząd Bezpieczeństwa Teleinformatycznego.

Czy ideałem jest sytuacja, w której infrastrukturą krytyczną zarządzałby jeden podmiot?

Utrzymaniem infrastruktury krytycznej, także tej teleinformatycznej, nie może zajmować się jeden podmiot czy operator, choćby był w Polsce największy. Nie chodzi o to, kto ma być najważniejszy, bo cały system musi zakładać partnerską współpracę wszystkich zainteresowanych podmiotów. Ta współpraca jest zresztą konieczna. Elementy infrastruktury krytycznej znajdują się przecież w gestii wielu różnych podmiotów.

Oczywiście, wszystko będzie działać do momentu, gdy nie zabraknie dostaw energii, i tu wchodzimy już w obszar infrastruktury krytycznej nie tylko teleinformatycznej. Tak na marginesie, to jak wiadomo branża energetyczna jest prywatyzowana, podobny los czeka zapewne spółki zajmujące się dostawą innych mediów. Musimy wypracować takie mechanizmy, by obsługiwane przez nie sieci gwarantowały poziom bezpieczeństwa istotny dla funkcjonowania państwa i jego instytucji.

Pokutuje pogląd, że instytucje państwowe powinny dysponować własną siecią transmisji danych, chociażby na potrzeby wykorzystania w sytuacjach kryzysowych. Ma to być gwarancja bezpieczeństwa.

Oczywiście, powinna istnieć rządowa infostrada łącząca wszystkie urzędy i instytucje przynajmniej do szczebla wojewódzkiego. Ale bynajmniej nie oznacza to, że musi to być osobna sieć fizyczna. Błędem jest wchodzenie instytucji państwowych w sferę działalności i infrastruktury operatorów. A już zupełnie bez sensu, żeby każdy urząd budował włas-ną sieć WAN. Chodzi tu zarówno o kompetencje, jak i pieniądze.

Od jakiegoś czasu promuje Pan ideę KSOKITI, czyli Krajowego Systemu Ochrony Krytycznej Infrastruktury Teleinformatycznej. Jest to zdaje się na razie przedsięwzięcie bezinwestycyjne?

Bo na razie nie potrzeba tych inwestycji. Obecnie chodzi o wypracowanie koncepcji i schematu organizacyjnego w skali całego państwa. Do tej pory instytucje i komórki zajmujące się bezpieczeństwem sieci teleinformatycznych działały trochę na zasadzie "pospolitego ruszenia", brakowało jasnych reguł, jak powinny one ze sobą współpracować, jak dzielić się informacjami z innymi, w tym wyspecjalizowanymi służbami specjalnymi, policyjnymi czy wojskowymi.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200