Jak niespokojny świat i sytuacja geopolityczna w Europie, zwłaszcza wojna w Ukrainie, wpływa na zagrożenia wobec infrastruktury krytycznej w Polsce? W których sektorach są one największe?

Dr hab. inż. Piotra Małka, prof. PK: – Sytuacja geopolityczna, jaka w ostatnich latach ukształtowała się w Europie, zwłaszcza w jej wschodniej części, zaczęła znacząco wpływać na zagrożenia kierowane zarówno przeciwko państwom, jak i ich mieszkańcom. Takie działania wymierzone są głównie w infrastrukturę krytyczną i kluczową. Są tak określane rzeczywiste i cybernetyczne systemy – obiekty, urządzenia bądź instalacje – niezbędne do minimalnego funkcjonowania gospodarki oraz bezpieczeństwa państwa i jego obywateli. Infrastruktura krytyczna i kluczowa służy też zapewnieniu sprawnego funkcjonowania instytucji, administracji publicznej i biznesów. Polska – jako kraj czynnie wspierający Ukrainę – jest wyjątkowo narażona na ataki na tego typu infrastrukturę, zarówno dokonywane przez osoby zwerbowane lub działające na rzecz państw wrogich, jak i ataki spoza terytorium Polski. Szczególnie zagrożone są te obiekty, które oddziaływają na życie i funkcjonowanie mieszkańców – infrastruktura energetyczna, wodociągi i kanalizacja, szpitale i jednostki medyczne, transport, zarówno towarowy jak i osobowy i wiele innych. Ingerencje w dostawy prądu, czystej i bieżącej wody, zagrożenia atakami terrorystycznymi oraz sianie dezinformacji, np. tak prosta plotka jak ta o skażeniu wody, mogą wywoływać ogólny chaos i dezorganizację całego państwa.

Czy jesteśmy na to przygotowani: jako państwo, instytucje, firmy, obywatele? Ma Pan bogate doświadczenie nie tylko badawcze, ale i praktyczne jako specjalista pracujący w przedsiębiorstwie wodociągowym. Czy obecny poziom zabezpieczeń kluczowych systemów np. energetycznych, wodociągowych, transportowych w Polsce odpowiada realnym zagrożeniom ze strony zaawansowanych grup cyberprzestępców?

– To bardzo trudne pytanie, ponieważ ciężko jest określić i ustalić poziom naszego przygotowania. Nie ma miarodajnych badań, które określałyby ten poziom. Oczywiście obowiązuje w Polsce ustawa o infrastrukturze krytycznej z 2007 roku oraz Narodowy Program Ochrony Infrastruktury Krytycznej z 2023 roku, jak również Ustawa o Krajowym Systemie Cyberbezpieczeństwa z 2018 i ta wyczekiwana nowelizacja Ustawy KSC (dostosowanie do wymogów NIS2). Wszystkie te dokumenty nakładają na nasze państwo, instytucje oraz firmy szereg wymogów i obowiązkowych działań przygotowujących naszą infrastrukturę na różnego rodzaju zagrożenia i ataki. Jednakże brak adekwatnych środków finansowych, złe i niekompetentne zarządzanie, jak również brak odpowiednich specjalistów sprawia, że ciągle mamy olbrzymie luki w przygotowaniu państwa do adekwatnej i skutecznej obrony. Jeśli chodzi o nas, obywateli, to wydaje mi się, że z każdym dniem nasza świadomość rośnie i sprawia, że bardziej jesteśmy przygotowani na zagrożenia. Oczywiście nagły i niespodziewany atak może wywołać początkowy chaos. Mam jednak wrażenie, że my Polacy mamy zdolność do szybkiej adaptacji i przystosowania się do trudnych warunków. Ale w sytuacjach zagrożenia to państwo musi w pierwszej kolejności podjąć skuteczne i szybkie działania minimalizujące skutki ataku.

Wyzwania w ochronie infrastruktury krytycznej będą zapewne także w koordynacji działań pomiędzy sektorem publicznym a prywatnym…

– Wyzwania w tym zakresie są olbrzymie – musimy jako Polska budować relacje nie tylko biznesowe, ale przede wszystkim wspólnej odpowiedzialności za nasze bezpieczeństwo. W tym przypadku istotne znaczenie ma centralizacja i polonizacja istotnych dla państwa i społeczeństwa branż, zakwalifikowanych jako infrastruktura krytyczna i kluczowa. Dodatkowo ważne jest wykorzystywanie w procesie bieżącej obsługi, konserwacji, napraw i budowy nowych obiektów polskich firm z polskim kapitałem, zarówno finansowym jak i ludzkim.

Jak najczęściej atakowana jest infrastruktura krytyczna?

– Najczęstszymi metodami ataków na infrastrukturę jest dezinformacja oraz cyberataki, kierowane zazwyczaj bezpośrednio na obszar przemysłowy OT (Operational Technology). Odpowiada on za procesy produkcyjne, transportowe, wytwórcze oraz przesyłowe. Mamy do czynienia praktycznie każdego dnia z informacją o różnego rodzaju atakach, np. pożarach, wyłączeniach prądu itp., zarówno tych uderzających bezpośrednio w infrastrukturę, jak i takich, które są kierowane na nasze systemy informatyczne i sterujące procesami produkcyjnymi. Tak atakuje się systemy energetyczne, łączności czy sieci wodociągowych.

A jakie są szanse i metody na unieszkodliwianie takich prób ataków i skuteczne odpowiadanie na nie, gdy się już zdarzą? Czy to nie jest taka niekończąca się gra w policjantów i złodziei, tylko niestety na poważnie …

– Dokładnie tak jest, to jest ciągła gonitwa za uciekającym „króliczkiem” czy właśnie zabawa w policjantów i złodziei. Choć, tak jak już wspomniałem wcześniej, obowiązują w Unii Europejskiej i w Polsce odpowiednie dyrektywy, ustawy, które regulują i nakazują operatorom infrastruktury krytycznej i kluczowej wprowadzanie odpowiednich i adekwatnych regulacji wewnętrznych oraz planów ciągłości działania, opartych na dobrych praktykach zawartych w NPOIK czy normach takich jak ISO 22301 (ciągłość działania) i ISO 22361 (zarządzanie kryzysowe). Są to dokumenty niejawne i ściśle chronione przez jednostki infrastruktury krytycznej. A co nas może chronić oprócz przetestowanych procedur, technologii i czuwających nad nimi prawdziwych specjalistów? Najlepsza metoda to świadomość i czujność pracowników i obywateli. To tak jak z najlepszym zabezpieczeniem naszego domu przed złodziejem – jest nim dobry sąsiad... A co do postępowania w przypadku ataku, zawsze najważniejszy jest spokój, rozwaga i stosowanie się do procedur i wytycznych. Pomocne jest tutaj ciągłe szkolenie, nieustanny proces doskonalenia poprzez testy ciągłości działania i czujności w zakresie cyberataków.