Frag Out! Magazine
Issue link: https://fragout.uberflip.com/i/1514633
już elektrownie, zwłaszcza największe, być mogą. Żeby skomplikować obraz jeszcze bardziej, trzeba wspo- mnieć o trzecim rodzaju obiektów uważanych za szczegól- nie ważne. Na mocy przepisów dotyczących obronności państwa – kiedyś ustawy o powszechnym obowiązku obro- ny a obecnie ustawy o obronie Ojczyzny – istnieje bowiem pojęcie obiektów szczególnie ważnych dla obronności lub bezpieczeństwa państwa. Do tej grupy należą między innymi: • obiekty, w których produkuje się, remontuje i magazy- nuje uzbrojenie, sprzęt wojskowy oraz środki bojowe, • obiekty MON oraz instytucji podległych i nadzorowa- nych przez MON, obiekty służb specjalnych (wojskowych i cywilnych), • mosty, wiadukty i tunele, które znajdują się w ciągu dróg oraz linii kolejowych o znaczeniu obronnym, • obiekty infrastruktury łączności, w tym obiekty ope- ratorów pocztowych i przedsiębiorców telekomunikacyj- nych, przeznaczone do realizacji zadań na rzecz bezpie- czeństwa lub obronności państwa, • kluczowe elementy infrastruktury przesyłowej ropy naftowej, paliw i gazu ziemnego oraz instalacje skroplonego gazu ziemnego, • elektrownie i elektrociepłownie, dyspozycje mocy, stacje elektroenergetyczne o strategicznym znaczeniu dla krajowego systemu elektroenergetycznego. Dodatkowo obiekty ważne dla bezpieczeństwa i obronności dzielą się na dwie kategorie, pierwszą i drugą. Jak nietrudno zauważyć, wiele spośród tych kategorii jest podobna lub pokrywa się z zapisami przepisów doty- czących infrastruktury krytycznej, przy czym podobnie jak w przypadku IK, aby dany obiekt został faktycznie uznany za ważny dla obronności lub bezpieczeństwa państwa, musi zostać wpisany na stosowną listę, prowadzoną tym razem przez ministra obrony narodowej. Do tego dochodzą jeszcze inne kategorie obiektów, przykładowo, jest w polskim pra- wie pojęcie linii kolejowej o znaczeniu państwowym – co nie jest tożsame z linią o znaczeniu obronnym. Wreszcie, bo jeszcze bardziej skomplikować obraz (może dla zmylenia przeciwnika….) w sferze cyberbezpieczeństwa istnieje praw- na kategoria operatorów usług kluczowych, co nie oznacza tylko firm działających tylko w branży informatycznej, ale także przedsiębiorstwa z branży górniczej, farmaceutycznej, transportu lotniczego, energetycznej – i znów, tutaj obowią- zują określone kategorie określające czy dany przewoźnik lotniczy lub kopalnia są zapewniają usługi kluczowe czy też nie. I tym razem te kryteria są ujęte w jawnym rozporządzeniu. Na polskim prawie sprawa się nie kończy. W prawie euro- pejskim pojawiła się bowiem dyrektywa o odporności pod- miotów krytycznych, zwana dyrektywą CER, której zestaw definicji jest nieco odmienny od polskiego prawa: w niej pojęcie infrastruktury krytycznej oznacza infrastrukturę nie- zbędną do świadczenia usług kluczowych, definiowanych jako „decydujące znaczenie dla utrzymania niezbędnych funkcji społecznych, niezbędnej działalności gospodarczej, zdrowia i bezpieczeństwa publicznego lub środowiska", a podmioty świadczące to usługi nazywa się podmiotami krytycznymi. Dyrektywa ta jest ważna, gdyż wprowadza ogólnoeuro- pejskie normy w zakresie identyfikacji usług kluczowych, zarządzania ryzykiem i odporności – aczkolwiek opis jej wpływu jest już tematem na odrębny artykuł. Należy jednak odnotować, że wielość przepisów i nazw obiektów jest więc oczywistym problemem i nie chodzi tu jedynie o kwestie formalne. Z zasady bowiem każdy obiekt, o którym mowa, wymaga jakieś ochrony, a więc sporządze- nia planu ochrony i następnie zastosowania przewidzianych w nim środków – zarówno ochrony fizycznej, jak i technicz- nej, nie wspominając o innych działaniach. Przykładowo, gdy mowa o bezpieczeństwie cyberne- tycznym, to operator odpowiedzialny jest za oszacowanie ryzyka, wdrożenie środków bezpieczeństwa adekwatnych do tego ryzyka oraz wykrywanie i zgłaszanie incydentów. Mówiąc po ludzku: jeśli dane przedsiębiorstwo czy instytu- cja zarządzają systemem uznanym za szczególnie ważny (krytyczny) to po ich stronie leży odpowiedzialność, aby po- sługiwać się sprawnym sprzętem komputerowym, wykorzy- stywać aktualne oprogramowanie i właściwe do zagrożeń środki bezpieczeństwa oraz reagować na próby przełama- nia zabezpieczeń. Równie ważne jest choćby bezpieczeństwo osobowe, a więc minimalizacja ryzyka ze strony osób, które w sposób legalny maja dostęp do obiektu. Takie osoby, czy to zatrud- nione na stałe, czy wykonujące jakieś czasowe prace (na przykład remontowe) lub świadczące jakieś usługi mogą bowiem łatwo zbierać informacje i spróbować dokonać aktu sabotażu w znacznie łatwiejszy sposób niż osoba z ze- wnątrz. Tutaj jednak piłka jest po stronie zarządzającego, od wyznaczenia stref bezpieczeństwa i zasad poruszania się osób obcych (np. kurierów, dostawców) po odpowiedzialne postępowanie wobec personelu – pracownik dobrze opła- cany, zadowolony ze swojego miejsca pracy to pracownik, który nie będzie miał powodów by zacząć skrycie szkodzić www.fragoutmag.com