NIK o bezpieczeństwie obiektów infrastruktury krytycznej (19 Oct 2016)
Najwyższa Izba Kontroli przeprowadziła w latach 2015 i 2016 kontrolę, która miała na celu sprawdzenie prawidłowości zabezpieczenia obiektów infrastruktury krytycznej (IK) istotnych dla funkcjonowania państwa. Izba stwierdziła szereg nieprawidłowości
W wyniku przeprowadzonej kontroli NIK stwierdziła między innymi, że nie obejmowano ochroną fizyczną wszystkich obiektów infrastruktury krytycznej powiązanych ze sobą funkcjonalnie i niezbędnych do zapewnienia bezpieczeństwa funkcjonowania infrastruktury krytycznej, a także część terenów, na których znajdowały się obiekty infrastruktury krytycznej nie była właściwie zabezpieczona przed wejściem osób nieuprawnionych, a w dużej części obszarów brakowało monitoringu wizyjnego.

W ocenie NIK wejścia do niektórych obiektów nie spełniały norm bezpieczeństwa i nie były objęte systemem kontroli dostępu, a bramy wjazdowe nie były wyposażone w zapory zabezpieczające przed wtargnięciem.

Jak wykazuje Izba u większej części skontrolowanych podmiotów odpowiedzialnych za ochronę infrastruktury krytycznej nie wprowadzono rozwiązań na wypadek wystąpienia zdarzeń sabotażu lub wyrządzenia szkód przez pracowników na terenie obiektów infrastruktury krytycznej.

Według NIK we wszystkich skontrolowanych podmiotach nie wyodrębniono kluczowego, ze względu na przestrzeganie zasad bezpieczeństwa infrastruktury krytycznej personelu, a w znaczącej większości podmioty te nie określały też procedur umożliwiających sprawdzenie wybranego oferenta wykonującego usługi dla operatora infrastruktury krytycznej pod kątem jakości wykonywanych usług, czy też zachowania poufności wykonywanych prac.

Ponadto, według NIK, wystąpiły przypadki nierealizowania przez skontrolowane podmioty niektórych rekomendacji audytu sieci informatycznych działających na potrzeby obiektów infrastruktury krytycznej, nieopracowania kompleksowych regulacji wewnętrznych dotyczących bezpieczeństwa przemysłowego systemu teleinformatycznego, czy też niezobowiązywania wykonawców do zachowania poufności uzyskanych informacji, mimo że podczas realizacji zadań mieli dostęp do kluczowych systemów służących do sterowania IK.

Jak zaznacza NIK brak odpowiednich zabezpieczeń m.in. w obszarach ochrony fizycznej czy też osobowej skutkował wystąpieniem niebezpiecznych incydentów na terenach obiektów infrastruktury krytycznej. Jako przykład Izba wymienia jest zaginięcie z terenu jednego z obiektów infrastruktury krytycznej dwóch dużych pojemników zawierających izotop promieniotwórczy Co-60. W przypadku ich zniszczenia i wydostania się na zewnątrz źródła izotopowego stanowiłyby poważne zagrożenie dla życia i zdrowia osób przebywających w ich pobliżu. Przyczyną zaginięcia był brak nadzoru jednego z operatorów nad pracownikami firmy zewnętrznej wykonującej usługi na terenie obiektu IK.
Kolejnym incydentem, na który zwraca uwagę NIK jest uszkodzenie połączenia transgranicznego - kabla prądu stałego 450 kV, łączącego Polskę z jednym z europejskich krajów, strategicznego z punktu widzenia zapewnienia dostaw energii elektrycznej oraz mającego wpływ na bezpieczeństwo energetyczne Państwa.

Izba wskazuje również na brak przygotowania i wdrożenia przez jednego z operatorów IK procedur kontroli transportów z wwożonymi surowcami energetycznymi przed ich wjazdem na teren obiektu IK, co spowodowało skierowanie na przekaźnik taśmowy, wraz z ładunkiem biomasy, niewybuchu pocisku artyleryjskiego.

Jak podaje NIK niewłaściwe zabezpieczenie jednego z obiektów IK przed wtargnięciem osób trzecich (zbyt niskie ogrodzenie, brak monitoringu) było też przyczyną swobodnego przekroczenia ogrodzenia przez osoby nieuprawnione. Brak odpowiednich rozwiązań w zakresie ochrony obiektu pozwalał w tym przypadku na łatwą możliwość zatrucia ujęć wody dla setek tysięcy obywateli.

Zastrzeżenia NIK budziła również niewłaściwa realizacja zadań z zakresu ochrony IK przez skontrolowanych wojewodów oraz jednostki samorządu terytorialnego. Stwierdzono bowiem szereg przypadków niewywiązywania się przez wojewodów z obowiązków przekazywania organom gmin informacji o znajdującej się na ich terenach infrastrukturze krytycznej. W konsekwencji, w trzech objętych kontrolą gminach, w związku z brakiem informacji o lokalizacji na ich terenie obiektów IK, nie podjęto żadnych działań w zakresie ochrony IK, określonych w ustawie o zarządzaniu kryzysowym. Znacząca część skontrolowanych starostów (prezydentów) oraz wójtów (burmistrzów) nie realizowało w ogóle zadań w zakresie ochrony IK wynikających z ustawy o zarządzaniu kryzysowym. Nie gromadzili oni bowiem i nie przetwarzali informacji dotyczących zagrożeń dla IK, nie opracowywali i nie wdrażali procedur na wypadek wystąpienia takich zagrożeń oraz rozwiązań na wypadek zniszczenia lub zakłócenia funkcjonowania IK. Często nie aktualizowano również powiatowych i gminnych planów zarządzania kryzysowego w zakresie dostosowania ich zapisów do wymogów dotyczących ochrony IK określonych w ustawie o zarządzaniu kryzysowym.

NIK zauważa również, że w badanym okresie brak było ścisłej współpracy starostów (prezydentów) i wójtów (burmistrzów) z operatorami IK w zakresie ochrony IK. O zdarzeniach mogących mieć wpływ na bezpieczeństwo IK, starostwa i gminy dowiadywały się głównie ze środków masowego przekazu.

W związku ze stwierdzonymi nieprawidłowościami NIK sformułowała wnioski pokontrolne do skontrolowanych podmiotów odpowiedzialnych za ochronę IK oraz wojewodów i organów jest o usunięcie stwierdzonych uchybień i realizację zadań w zakresie ochrony IK zgodnie z przepisami prawa.

www.cire.pl