Ochrona infrastruktury krytycznej a fazy zarządzania kryzysowego
Proces ochrony infrastruktury krytycznej w sposób umożliwiający minimalizację zagrożeń można ująć w czterech fazach zarządzania kryzysowego. Pierwszą z nich jest faza zapobiegania służąca głównie eliminacji możliwości zaistnienia sytuacji kryzysowej i sprowadzająca się głównie do analizy zagrożeń oraz wykonywania działań redukujących prawdopodobieństwo albo ograniczających skutki awarii, ataków oraz innych zdarzeń zakłócających prawidłowe funkcjonowanie infrastruktury krytycznej.
Kolejną fazą jest przygotowanie polegające na opracowaniu planów reagowania kryzysowego oraz planów ochrony infrastruktury krytycznej i zapewnieniu zasobów specjalistycznych, w tym sił i środków reagowania, takich jak np.: stanowisko kierowania, system łączności kryzysowej oraz system alarmowania. Po wystąpieniu realnego zagrożenia lub zdarzenia następuje faza reagowania sprowadzająca się do uruchomienie działań zapobiegających lub minimalizujących możliwość zniszczeń, a po ich wystąpieniu, podjęcia akcji ratowniczej celem dostarczenia pomocy poszkodowanym i ograniczenia wtórnych szkód i strat. Końcową fazą cyklu jest odbudowa realizowana w taki sposób, aby zasoby infrastruktury krytycznej dotknięte katastrofą były po odbudowie mniej wrażliwe na kolejną katastrofę oraz do momentu, aż wszystkie systemy wrócą do stanu poprzedniego.
Poniżej przedstawiono przyjęty w Polsce model administrowania infrastrukturą krytyczną poprzez wskazanie faz zarządzania w odniesieniu do zarządzania kryzysowego i określenie dokumentów wynikających z polskich aktów prawnych, dotyczących problemu ochrony infrastruktury krytycznej.
Na podstawie przedstawionych powyżej faz zarządzania kryzysowego jako elementu ochrony infrastruktury krytycznej oraz analizy ustawy o zarządzaniu kryzysowych i związanych z nią aktów wykonawczych można sformułować następujące wnioski odnośnie podstawowych wymagań w zakresie ochrony infrastruktury krytycznej:
- Jednym z najistotniejszych elementów w procesie zapewnienia ochrony infrastruktury krytycznej są czynności wykonywane w ramach fazy zapobiegania, podczas której realizowana jest m.in. bieżąca identyfikacja niepożądanych zdarzeń, prowadzących do urzeczywistnienia zagrożeń uniemożliwiających lub zakłócających prawidłowe funkcjonowanie infrastruktury.
- Niezwykle ważne jest, aby proces tworzenia mapy ryzyka w ramach fazy zapobiegania oraz definiowania środków ochrony w ramach fazy przygotowania uwzględniał następujące etapy zarządzania ryzykiem:
- Określenie wszelkich aktywów infrastruktury krytycznej wpływających na jej integralność rozumianą jako właściwość polegającą na tym, że realizuje ona swoją zamierzoną funkcję w nienaruszony sposób, wolny od celowej lub przypadkowej nieautoryzowanej manipulacji.
- Identyfikacja zagrożeń zarówno tych wywołanych siłami natury, jak i działaniami człowieka.
- Oszacowanie podatności aktywów infrastruktury krytycznej, czyli słabości, które mogą być wykorzystane przez zidentyfikowane zagrożenia.
- Zidentyfikowanie ryzyk, określanie ich wielkości i wskazanie obszarów infrastruktury krytycznej wymagających zabezpieczeń, rozumianych jako zbiór polityk, procedur i innych mechanizmów pozwalających na zredukowanie zidentyfikowanego ryzyka.
- Wyłącznie ciągły proces zarządzania ryzykiem może zapobiegać lub minimalizować potencjalne straty wynikające z awarii, ataków oraz innych zdarzeń zakłócających prawidłowe funkcjonowanie państwa i jego obywateli.
- W ramach fazy zapobiegania, gdzie powstają m.in. mapy zagrożeń i ryzyka, proces identyfikacji ryzyk powinien polegać na bieżącym szacowaniu prawdopodobieństwa, że zidentyfikowane zagrożenia wykorzystają podatności aktywów lub grupy aktywów, aby spowodować straty lub zniszczenie, a tym samym zakłócenie lub uniemożliwienie funkcjonowania infrastruktury krytycznej.
- W ramach fazy zapobiegania istotne jest stworzeniu warunków, zapewniających ciągłość funkcjonowania administracji publicznej i infrastruktury krytycznej, odwzorowanych w planach ciągłości działania, na podstawie których następować będzie uruchomienie działań w sytuacji zagrożenia lub zakłócenia funkcjonowania infrastruktury krytycznej poprzez wszczęcie odpowiednich procedur, stosownie do występującego zagrożenia.
- W ramach fazy przygotowania, gdzie powstają m.in. plany ochrony infrastruktury krytycznej, niezwykle istotne jest zapewnienie ciągłego procesu identyfikacji, kontrolowania i eliminacji lub minimalizowania prawdopodobieństwa zaistnienia niepewnych zdarzeń, które mogą mieć wpływ na elementy infrastruktury krytycznej.
- Dla sprawnego zrealizowania fazy reagowania istotnym elementem jest zapewnienie odpowiednio przeszkolonego personelu potrafiącego praktycznie korzystać z opracowanych planów ochrony oraz wszelkich procedur i instrukcji.
- Wszczęciu odpowiednich procedur, stosownie do występującego zagrożenia, w tym skierowaniu odpowiednich sił i środków do działań ratowniczych
- Istotnym elementem w fazie reagowania jest również posiadanie i umiejętność korzystania ze środków technicznych, takich jak np. systemy łączności, pozwalające na sprawne koordynowanie i kierowanie działaniami prowadzonymi w związku z sytuacją kryzysową, aż do ustania przyczyn, które spowodowały powstanie zagrożenia.
- W fazie odbudowy infrastruktury krytycznej sprawdzającej się do przywracania stanu sprzed sytuacji kryzysowej niezwykle istotne jest doraźne zapewnienie funkcjonowania urządzeń i obiektów użyteczności publicznej i infrastruktury komunalnej.
- W celu usprawnienia planów ochrony, w tym programów i procedur istotne jest sporządzenie analiz i raportów dotyczących działań podmiotów systemu bezpieczeństwa podczas reagowania i odbudowy.
- Aby uniknąć ponownej sytuacji kryzysowej wywołanej tymi samymi zagrożeniami lub zdarzeniami o podobnym charakterze należy podjąć działania zmierzające do modyfikacji planów ochrony, programów i procedur reagowania, w celu zmniejszenia prawdopodobieństwa ponownego wystąpienia zagrożeń.
- Dla poprawy skuteczności procesu zarządzania kryzysowego oraz ochrony infrastruktury krytycznej zasadne wydaje się przeanalizowanie konieczności wdrożenia rozwiązań pozwalających na bieżącą weryfikację sprawności istniejących systemów zabezpieczeń w systemie ochrony infrastruktury krytycznej.
Artykuł o podobnej treści ukazał się pod tytułem Ochrona infrastruktury krytycznej w Polsce w kontekście zadań organizacji zhierarchizowanych (w:) red. J. Stawnicka, B. Wiśniewski, R. Socha, Zasadnicze problemy zarządzania kryzysowego w organizacjach zhierarchizowanych, Wydział Prezydialny Komendy Wojewódzkiej Policji w Katowicach, ISBN 978-83-93-17-15-1-4, str. 77-101, Katowice 2011.