Podziel się informacją

Każdy, kto odpowiada za bezpieczeństwo informacji i zarządzanie kryzysowe musi nauczyć się nią dzielić. Inaczej ani jej nie ustrzeże, ani nie zapanuje nad kryzysem.

Każdy, kto odpowiada za bezpieczeństwo informacji i zarządzanie kryzysowe musi nauczyć się nią dzielić. Inaczej ani jej nie ustrzeże, ani nie zapanuje nad kryzysem.

Gdy nad ranem, 8 kwietnia 2008 r. przedstawiono sytuację w mieście i okolicach Piotrowi Krzystkowi, prezydentowi Szczecina, przypomniały mu się natychmiast sceny ze wszystkich oglądanych do tej pory filmów katastroficznych. "Coś, co wydawało się nieprawdopodobne, okazało się prawdą. Uszkodzeniu uległy cztery linie energetyczne dostarczające prąd do miasta" - wspomina. Szczęście w nieszczęściu, że służby miejskie trzy lata temu miały ćwiczenia na okoliczność awarii prądu, że między nimi funkcjonowała łączność radiowa w standardzie Tetra i że media nie siały paniki, tylko "porządnie informowały". Kryzys w mieście udało się opanować do rana następnego dnia, choć w niektórych gminach województwa zachodniopomorskiego dostawy prądu przywrócono dopiero po tygodniu.

Awaria w Szczecinie uświadomiła wszystkim znaczenie, traktowanych dotąd lekceważąco, planów reagowania kryzysowego. Wymusza także głębszą refleksję nad stanem bezpieczeństwa narodowego i metodami sprawnego dzielenia się informacją o znaczeniu strategicznym jak np. to, czy instalacje chłodzące amoniak w Zakładach Chemicznych w Policach mają własne zasilanie. "Nie zmienia to faktu, że na wszelki wypadek skierowaliśmy tam wojskowe agregaty prądotwórcze. To była dla nas infrastruktura krytyczna" - dodaje Piotr Krzystek.

Bezpieczeństwo bez gospodarza

W trakcie naszej konferencji zaprezentowane zostały wyniki badania ankietowego na temat bezpieczeństwa informacji w administracji publicznej w Polsce, które redakcja Computerworld przeprowadziła w marcu i kwietniu. W zdecydowanej większości instytucji, które odpowiedziały na ankietę, stosuje się zabezpieczenia systemów teleinformatycznych. Wielu ankietowanych wydaje się być przekonanych, że stosowane rozwiązania są skuteczne, zaś potencjalne zagrożenia lub zrealizowane ataki nie przyczyniły się do znaczących strat.

Jednak rozumienie zarówno bezpieczeństwa, jak i zagrożeń bywa bardzo zróżnicowane. Badanie potwierdza wyraźnie, że w polskiej administracji nie wypracowano dotąd jednolitego podejścia do kwestii bezpieczeństwa informacji. Przepisy o ochronie tajemnicy państwowej i danych osobowych narzucają wprawdzie pewne specyficzne standardy, ale niekoniecznie pasują one do kompleksowej ochrony przed zagrożeniami, z którymi należy się liczyć na co dzień. Z badania wynika, że ta problematyka w instytucjach administracji publicznej dosyć rzadko znajduje gospodarza w formie wydzielonej jednostki organizacyjnej. Najczęściej bezpieczeństwo teleinformatyczne jest po prostu jednym z technicznych zadań zatrudnionych w tych instytucjach informatyków lub przypisuje się je do zakresu odpowiedzialności osób, które realizują ustawowe wymogi ochrony informacji niejawnej lub ochrony danych osobowych. Rzadkie są przypadki, aby w budżecie badanych instytucji wydzielano środki przeznaczone na bezpieczeństwo. Większość ankietowanych wydaje się wierzyć, że potrafi samodzielnie rozwiązywać problemy związane z bezpieczeństwem. Poza zakupem specjalizowanego oprogramowania lub urządzeń, nie odczuwa potrzeby korzystania z pomocy z zewnątrz.

Partnerami badania były Centrum Innowacji Microsoft w Łodzi i Cisco. Badanie odbywało się pod patronatem Związku Powiatów Polskich. Dokładne wyniki zostaną w najbliższym czasie udostępnione na stronach publicstandard.pl.

Piotr Rutkowski

Bezpieczeństwo na wszystkie sposoby

Postawa szczecinian i tamtejszych służb zarządzania kryzysowego zasługuje na pochwałę. "Wszak w zarządzaniu kryzysowym bardzo ważne są zasoby ludzkie" - mówi Jerzy Miller, wojewoda małopolski. W takich sytuacjach sprawdzają się ludzie, którzy przyzwyczajeni są na co dzień do podejmowania szybkich decyzji, obarczonych dużym ryzykiem. Do tego potrzebny jest, zdaniem wojewody, kontakt z rzeczywistością i odpowiednio przygotowane kadry. Obecnie w wielu sytuacjach pomaga nam wciąż jeszcze umiejętność improwizacji wyniesiona z poprzedniego okresu. "Wiele razy podejmujemy decyzje intuicyjnie. Dlatego nasza administracja jest skuteczna, ale nie dlatego, że jest odpowiednio przygotowana" - uważa Jerzy Miller.

Trzeba zatem myśleć o zupełnie nowym podejściu do zarządzania kryzysowego pamiętając, że każdy system bezpieczeństwa ma ziarnistą, niejednorodną strukturę. Według profesora Jerzego Wolanina ze Szkoły Głównej Służby Pożarniczej, strukturę tę tworzą domeny, określające obszar funkcjonowania podmiotów chronionych. "Obszar indywidualnej aktywności człowieka, mogącej stworzyć zagrożenie lub chronić przed nim, a zależnej tylko od jego swobodnej decyzji, stanowi domenę bezpieczeństwa indywidualnego. Obszar swobodnej aktywności, w ramach danej społeczności lokalnej, mogącej stworzyć zagrożenie lub chronić przed nim, stanowi domenę bezpieczeństwa lokalnego" - tłumaczy. Każda domena ma swoje granice, które są elastyczne. Granice te określają "kompetencje" obywateli i organów. Domeny zaś określają efektywność całego systemu bezpieczeństwa.

W przypadku Tarnowa prezydent miasta musi jednocześnie mieć baczenie na miejską infrastrukturę krytyczną jak np. Tarnowskie Wodociągi - magistrale wodne, ujęcia powierzchniowe, ujęcia infiltracyjne oraz zbiorniki, ale także mieć stały kontakt ze służbami zarządzania kryzysowego w Zakładach Azotowych w Tarnowie-Mościskach. "W mojej analizie bezpieczeństwa muszę też uwzględniać bliskość Hyrodelektrowni Rożnów-Czchów, ok. 40 km od granicy miasta, jak i cztery obiekty jądrowe, z czego najbliżej są położone Bohunice w Czechach, ok. 150 km od granicy miasta" - klaruje Ryszard Ścigała, prezydent miasta Tarnowa. Mając na uwadze możliwość różnego rodzaju działań terrorystycznych i cyberterrorystycznych, gen. bryg. Włodzimierz Nowak, dyrektor Departamentu Informatyki i Telekomunikacji MON dowodzi, że tylko współpraca wszystkich zainteresowanych podmiotów może zapewnić skuteczną obronę infrastruktury krytycznej.

Niestety, wciąż nie ma odpowiedzi na fundamentalne pytanie, kto ma odpowiadać za reagowanie kryzysowe. Wydawać by się mogło, że najbardziej odpowiednią do tego jest straż pożarna. "Jest wszędzie, może działać w różnych warunkach" - uważa wojewoda Miller. W rzeczywistości jej funkcja koordynacyjna jest jednak ograniczona, gdyż straż pożarna nie dysponuje dzisiaj dostępem do wszystkich informacji niezbędnych w zakresie reagowania kryzysowego, nie ma też dostępu do wszystkich potrzebnych baz danych. Za praktyczne aspekty systemu zarządzania kryzysowego, w tym powstanie Rządowego Centrum Bezpieczeństwa, odpowiada Antoni Podolski, podsekretarz stanu w Ministerstwie Spraw Wewnętrznych i Administracji. Z jednej strony musi wypełnić wymogi ustawowe przyjęte przez poprzedni rząd, z drugiej strony zdaje sobie sprawę z ich niedoskonałości. Kłopot w tym, że po awarii w Szczecinie chyba każdy już wie, iż prawo nie zastąpi zdrowego rozsądku i umiejętności podejmowania decyzji, bez oglądania się na przepisy.

<hr>

Podziel się informacją

Piotr Durbajło

Piotr Durbajło, dyrektor Departamentu Infrastruktury Teleinformatycznej MSWiA zarzeka się, że do czerwca tego roku zostanie podjęta decyzja w sprawie sposobu finansowania łączności specjalnej i wyboru technologii. Ale tyle razy w przeszłości już to słyszeliśmy.

<hr>


TOP 200