Ratuj się, kto może

Czy Polskę będzie stać na budowę systemu ochrony infrastruktury krytycznej? W tak postawionym pytaniu nie chodzi bynajmniej o pieniądze, lecz umiejętność współpracy dla dobra wspólnego.

Czy Polskę będzie stać na budowę systemu ochrony infrastruktury krytycznej? W tak postawionym pytaniu nie chodzi bynajmniej o pieniądze, lecz umiejętność współpracy dla dobra wspólnego.

Konferencja Strategia i kierunki rozwoju infrastruktury krytycznej w Polsce, zorganizowana w minionym tygodniu przez Biuro Bezpieczeństwa Narodowego i Telekomunikację Polską SA, nie przyniosła niestety optymistycznych odpowiedzi.

Znajdujemy się dopiero na początku drogi, nie mamy strategii ochrony infrastruktury krytycznej nawet w obszarze tylko samych sieci teleinformatycznych, nie zostały nawet rozpisane zakresy obowiązków i odpowiedzialności. Dlatego tak istotne są dla nas rozwiązania amerykańskie, na których - z dużą dozą prawdopodobieństwa - będziemy się wzorować.

Wzajemne powiązania

Amerykanie, dla których istotnym impulsem do przyspieszenia prac były wydarzenia z września ub.r., swoją koncepcję oparli na PPP, czyli Partnerstwie Publiczno- -Prywatnym. O ile interes obrony narodowej jest oczywisty w przypadku zapewnienia sprawnego funkcjonowania infrastruktury krytycznej, o tyle pewnego wyjaśnienia wymagają intencje biznesu, który w USA powszechnie włączył się w prace nad stworzeniem rozwiązań gwarantujących nieprzerwane funkcjonowanie infrastruktury krytycznej. Składa się ona z różnych elementów, których gros należy do firm prywatnych. Większość z nich dobrze rozumie, że kluczową kwestią jest współzależność. Nie będzie teleinformatyki bez dostaw prądu, prądu bez kolei, kolei bez prądu albo paliwa, paliwa bez teleinformatyki itd., kontynuując tę wyliczankę - jeszcze innych kluczowych dziedzin. Słowem wszyscy zależą od pozostałych i w dobrze pojętym interesie będą współdziałać ze sobą i agendami rządowymi na zasadach non profit. Rząd nie ma środków ani możliwości, by bronić się przed atakami na infrastrukturę prywatnych operatorów, a sprawne funkcjonowanie państwa zależy właśnie od niej.

Tymczasem w Polsce już samo określenie PPP wywołuje uśmiech, świadczący, że partnerstwo publiczno- -prywatne (pisane oczywiście małymi literami) ma u nas długie tradycje, nie ustępujące krajom Ameryki Środkowej. Realizacja przedsięwzięć na styku państwa i firm prywatnych kończy się nad Wisłą niestety na ogół fatalnie. Kto więc miałby zająć się infrastrukturą krytyczną, która przecież, choć może nie w tym stopniu co w USA, to jednak w znacznym obszarze należy do przedsiębiorstw, spółek i operatorów niezależnych od rządu?

Na opracowanie strategii można wprawdzie ogłosić przetarg, ale kto miałby zająć się jej wdrażaniem: specjalna agenda rządowa, Agencja Bezpieczeństwa Wewnętrznego czy inna jednostka Ministerstwa Spraw Wewnętrznych i Administracji? Żadne z tych rozwiązań nie da podobnie dobrych rezultatów, jak efekty synergii występujące w PPP (pisane wielkimi literami).

Niedoceniany problem

To nie koniec wątpliwości. Czy przedstawiciele polskich podmiotów gospodarczych, w których gestii znajdują się elementy infrastruktury krytycznej, są zdolni do wspólnego działania? Jeśli oceniać to po przebiegu dyskusji w trakcie wspomnianej konferencji (na którą zaproszono m.in. przedstawicieli wszystkich liczących się operatorów telekomunikacyjnych), to chyba jeszcze daleko nam do zrozumienia wagi problemu czy w ogóle większego zainteresowania nim.

Marek Józefiak, prezes Telekomunikacji Polskiej SA, w wystąpieniu określił swoją firmę mianem narodowego integratora telekomunikacyjnego, któremu z natury rzeczy przypada centralna rola w zakresie utrzymania teleinformatycznej infrastruktury krytycznej. To oczywiście nie podoba się innym operatorom, świadomym, jak do tej pory TP SA traktowała inne podmioty działające na rynku telekomunikacyjnym. Jeszcze bardziej nie podoba im się pomysł stworzenia standardów związanych z zapewnieniem funkcjonowania infrastruktury krytycznej. Dzisiaj zezwolenia operatorskie otrzymuje właś-ciwie każdy (jedynie po sprawdzeniu przez służby specjalne). TP SA postuluje, aby ci operatorzy, którzy chcą uzyskać dostęp do jej sieci i infrastruktury, spełniali takie standardy. Nie wiadomo, czy zostaną one wypracowane przez uczestników rynku telekomunikacyjnego, czy też narzucone, co jeszcze bardziej zantagonizuje poszczególne podmioty, grzebiąc ideę wspólnego działania.

Projekt po polsku

Dlatego jedynym konkretnym rozwiązaniem jest obecnie koncepcja KSO- KITI (Krajowego Systemu Ochrony Krytycznej Infrastruktury Teleinformatycznej), która została niedawno opracowana przez Departament Bezpieczeństwa Teleinformatycznego ABW i zespół CERT . Zakłada ona wykorzystanie istniejących komórek zajmujących się bezpieczeństwem teleinformatycznym bez udziału środków budżetowych. Ma być stopniowo rozwijana w schemacie - używając informatycznego słownictwa - bootstrapingu, czyli iteracyjnego przechodzenia na wyższy i bardziej złożony poziom dzięki wykorzystaniu wcześniejszych osiągnięć.

Wadą KSOKITI jest koncentrowanie się na udziale instytucji państwowych, gdy tymczasem dla obywateli w sytuacji kryzysowej najważniejszy jest najbliższy, a więc samorządowy szczebel. Tam liczą się przyziemne sprawy: sprawnie działający telefon czy dostęp do Internetu. Tymczasem, mimo pozornego konsensusu, już od kilku lat nie udało się w Polsce uruchomić zintegrowanego systemu ratownictwa z jednolitym numerem (112). Źle to wróży, jest to bowiem sprawa nieporównanie prostsza niż wdrożenie strategii ochrony infrastruktury krytycznej w skali całego kraju.


TOP 200