Czy po uszkodzeniu nitek gazociągu Nord Stream możemy się obawiać o bezpieczeństwo Baltic Pipe? Jak jest zabezpieczony ten gazociąg przed atakiem terrorystycznym?
Wniosek o nadanie danemu obiektowi statusu infrastruktury krytycznej może trafić do dyrektora Rządowego Centrum Bezpieczeństwa dopiero po uruchomieniu tej usługi. Z punktu obowiązującego prawa, nie można tego było zrobić wcześniej. Procedura nadawania takiego statusu może potrwać od kilkunastu dni do kilku tygodni. Zatem Baltic Pipe nie jest w tej chwili infrastrukturą krytyczną, nie jest też obiektem podlegającym obowiązkowej ochronie.
Co to oznacza?
Jego operator nie ma obowiązku przygotowania wymaganych przez ustawy o zarządzaniu kryzysowym oraz o ochronie osób i mienia planów ochrony IK oraz planu ochrony fizycznej, który posiada tzw. załącznik antyterrorystyczny. Plan ochrony fizycznej uzgadniany jest z policją, a załącznik AT z właściwą terytorialnie jednostką organizacyjną Agencji Bezpieczeństwa Wewnętrznego. W tym załączniku znajduje się oszacowane ryzyko zagrożenia terrorystycznego, podatność, ale także opracowane są bardzo szczegółowe procedury postępowania na wypadek zdarzenia o charakterze terrorystycznym. To zwiększa odporność obiektu na tego typu sytuacje. Obecna sytuacja formalno-prawna sprawia, że Baltic Pipe nie podlega kontroli i wsparciu w zakresie zapewnienia bezpieczeństwa fizycznego ze strony policji i ABW.
Warto też zwrócić uwagę na to, że nad obszarem Baltic Pipe nie ma strefy zakazanej dla lotów statków bezzałogowych (DRA-P) co pozwala na bezkarne prowadzenie rozpoznania obiektu. Może to jest już procedowane, ale teraz takich zakazów jeszcze nie ma.
Szef MON Mariusz Błaszczak konsultował się w sprawie bezpieczeństwa tej infrastruktury ze swoimi odpowiednikami z Danii i Norwegii, z pominięciem Niemców. Co może z tego wynikać?
Baltic Pipe to jest inwestycja trzech państw, stąd rozmowy z Danią i Norwegią. Ale to nie oznacza, że po uszkodzeniu gazociągu NS nie mamy do czynienia z wymianą informacji wywiadowczych w ramach całego NATO.
Czy Sojusz monitoruje taką infrastrukturę?
Jak najbardziej. NATO działa w trybie operacyjnym 24 godziny na dobę, siedem dni w tygodniu, i tego typu incydenty są traktowane jako sytuacja kryzysowa. W Polsce za obsługę Narodowego Punktu Kontaktowego Sojuszu Północnoatlantyckiego odpowiada RCB. To ta instytucja zapewnia całodobowy dopływ informacji na potrzeby zadań w np. w zakresie uruchomienia środków reagowania kryzysowego NATO.
Załóżmy, że za jakiś czas Rosja decyduje się na naprawę uszkodzonych nitek gazociągu NS, ustawia w tym miejscu platformy naprawcze, które obsadza wojskiem, tworzy też zewnętrzny pierścień ochronny ze swoich okrętów. I w ten sposób kontroluje ruch statków i okrętów na Bałtyku. To jest możliwy cel ich działania?
Tak. Taki scenariusz należy rozpatrywać jak bardzo możliwy. Federacja Rosyjska może w ten sposób uzasadniać swoją aktywność tzw. badawczą, a w rzeczywistości militarną na Morzu Bałtyckim. To może potrwać wiele miesięcy. Przypadek ten pokazuje jak bardzo nieprzypadkowe były miejsca wybuchów. Dlatego niezwykle ważne jest wejście do NATO Finlandii i Szwecji, co zwiększy przewagę potencjału Sojuszu na Bałtyku.
Ile obiektów zaliczanych do infrastruktury krytycznej znajduje się w Polsce. Jakie wyzwania stoją przed operatorami tych obiektów, po wybuchu wojny na Ukrainie?
Obiektów podlegającej obowiązkowej ochronie – jak podaje Komenda Główna Policji mamy 3 124. Nie jest publikowana ewidencja obiektów infrastruktury krytycznej, ale z informacji dostępnych publicznie wynika, że jest ich około 500.
Po zmianie sytuacji geopolitycznej związanej z wojną na Ukrainie, na forum infrastruktury krytycznej wskazano na kilka wyzwań m.in. z zagrożenia hybrydowe, i podniesienie poziomu ochrony antyterrorystycznej. Mówiono np. o aktywnych działaniach służb rosyjskich wobec strategicznych obiektów energetycznych, w tym sabotażowych, których celem mogło być opóźnienie procesu planowania i realizacji inwestycji IK. Podawano przykłady rozpoznania systemu ochrony takich obiektów, ich podatności na zagrożenia oraz luk w systemie bezpieczeństwa oraz przypadków dewastacji takiej infrastruktury.
Dzisiaj najważniejszym wyzwaniem stojącym przed operatorami IK jest zapewnienie ciągłej ochrony fizycznej zgodnej z wymaganiami stopnia alarmowego, budowanie odporności na ataki w cyberprzestrzeni, blokowanie rozpoznania informacyjnego tych obiektów - stąd kontrola tego co udostępniane jest na ich temat np. w mediach społecznościowych oraz bezpieczeństwo osobowego np. przeciwdziałanie zatrudniania się tzw. insiderów, których celem jest pozyskanie wrażliwych informacji i podatności obiektu.
Tymczasem istotne informacje na temat obiektów ważnych dla bezpieczeństwa państwa są dostępne na geoportalu. Czy informacje dotyczące instalacji np. rafinerii, portów, jednostek wojskowych, dowództw nie powinny zostać usunięte z tego portalu?
Absolutnie tak, zwłaszcza w obecnej sytuacji geopolitycznej. Tym bardziej ważne jest, że po nagłośnieniu problemu, wprowadzono pierwsze ograniczenia w dostępie do informacji na temat obiektów MON.
Na jakich fundamentach powinna być wzmacniana odporność infrastruktury krytycznej?
Takim fundament dotychczas było Rządowe Centrum Bezpieczeństwa, ustawa ustawa o zarządzaniu kryzysowym i Narodowy Plan Ochrony Infrastruktury Krytycznej (NPOIK) oraz rekomendacje i standardy RCB w zakresie ochrony. Problemem jest to, że od lat funkcjonuje tzw. podejście bezsankcyjne, słowem RCB nie ma możliwości karania lub prowadzenia audytu na ile operatorzy rzeczywiście realizują obowiązki w zakresie utrzymania standardów bezpieczeństwa.
Czytaj więcej
Eksperci ostrzegają, że uszkodzenie Nord Stream to sygnał z Rosji, że jest gotowa do podobnych ataków.
Jeszcze w tym roku zostanie przyjęta nowa dyrektywa Unii Europejskiej do spraw bezpieczeństwa IK (tzw. Dyrektywa CER), którą Polska w ciągu kilkunastu miesięcy będzie musiała wdrożyć. Musimy tak przygotować system ochrony IK, aby był on komplementarny z systemem europejskim. Np. w przypadku wrogiej aktywności rosyjskiej działać wspólnie, na tych samych rozwiązaniach systemowych i prawnych. Dlatego warto byłoby w ustawie o ochronie ludności i klęsk żywiołowych wyodrębnić tą tematykę, a także stworzyć akt prawny dedykowany wyłącznie ochronie infrastruktury krytycznej. Bezpieczeństwo tej infrastruktury wymaga działania ponad podziałami, a jej ochrona nie była nigdy takim wyzwaniem jak dzisiaj. Warto wdrożyć w formie rozporządzenia tzw. standardy bezpieczeństwa AT dla obiektów IK w zakresie bezpieczeństwa fizycznego, osobowego i teleinformatycznego. Analogicznie należy zrobić z najnowszą inicjatywą RCB, opracowaną przy wsparciu służb i instytucji odpowiedzialnych za bezpieczeństwa państwa, czyli uzgodnionych z operatorami IK standardów bezpieczeństwa dla systemów antydronowych.
Powinna powstać centralna instytucja, która będzie pełniła rolę koordynatora, nadzorcy, testera bezpieczeństwa, a także miała uprawnienia do nakładania kar finansowych z tytułu nie realizowania standardów. Gdy ona nie powstanie infrastruktura krytyczna nie będzie właściwie chroniona.
