Bezpieczeństwo takich instalacji należy więc rozpatrywać dwutorowo – zarówno z perspektywy makro, czyli strategicznej, obejmującej krajowy system ochrony infrastruktury krytycznej, jak i mikro, dotyczącej pojedynczych instalacji i obiektów, gdzie codzienna praktyka operacyjna, dobrze przemyślane procedury i odpowiednia technologia decydują o rzeczywistym poziomie ochrony.

‍

Infrastruktura krytyczna w ujęciu państwowym – strategiczna odpowiedzialność

Na poziomie państwowym ochrona obiektów energetycznych opiera się przede wszystkim na systemie identyfikacji i klasyfikacji infrastruktury krytycznej. W Polsce zadanie to realizowane jest w oparciu o Narodowy Program Ochrony Infrastruktury Krytycznej (NPOIK), który stanowi fundament dla wyznaczania obiektów kluczowych dla bezpieczeństwa narodowego. W procesie tym uwzględnia się takie czynniki, jak znaczenie obiektu dla gospodarki i społeczeństwa, powiązanie z innymi sektorami (takimi jak transport, telekomunikacja, zdrowie publiczne), a także potencjalne skutki jego unieruchomienia.

Koncepcja ochrony w ujęciu makro zakłada ścisłą współpracę instytucji rządowych, takich jak Agencja Bezpieczeństwa Wewnętrznego, Rządowe Centrum Bezpieczeństwa, a także służb odpowiedzialnych za obronność i reagowanie kryzysowe. W przypadku infrastruktury energetycznej niezbędna jest też koordynacja z operatorami systemów przesyłowych i dystrybucyjnych, zarówno publicznymi, jak i prywatnymi. Kluczowe jest zapewnienie szybkiego obiegu informacji o zagrożeniach, wdrażanie planów ciągłości działania oraz regularne prowadzenie ćwiczeń scenariuszowych, obejmujących m.in. symulacje blackoutów, ataków fizycznych, cybernetycznych czy hybrydowych.

‍

Bezpieczeństwo na poziomie obiektu – codzienność działań ochronnych

Przechodząc do skali mikro, należy uświadomić sobie, że skuteczna ochrona pojedynczego obiektu energetycznego wymaga wdrożenia szeregu kompleksowych działań, z których każdy element – zarówno techniczny, jak i organizacyjny – odgrywa istotną rolę. Kluczową zasadą jest tu podejście warstwowe, czyli tworzenie wielu linii obrony, które mają na celu spowolnienie, wykrycie i neutralizację potencjalnego zagrożenia, zanim osiągnie ono obszar kluczowy.

Teren obiektu powinien być więc odpowiednio strefowany, tak by dostęp do poszczególnych części był uzależniony od poziomu uprawnień. Strefa ogólnodostępna, gdzie mogą przebywać osoby z zewnątrz (np. administracja), oddzielona musi być od stref ograniczonego dostępu, gdzie znajdują się kluczowe instalacje techniczne, oraz strefy krytycznej – najczęściej obejmującej główną sterownię, centrum zarządzania lub rozdzielnie wysokiego napięcia. Każda z tych stref musi być chroniona fizycznie i elektronicznie, z wykorzystaniem systemów takich jak CCTV, kontrola dostępu, systemy sygnalizacji włamania i napadu czy systemy perymetryczne.

‍

Systemy bezpieczeństwa technicznego – kręgosłup ochrony

Techniczne systemy zabezpieczeń stanowią dziś jeden z filarów bezpieczeństwa infrastruktury krytycznej. To one monitorują obiekt 24 godziny na dobę, analizują dane, wykrywają nieprawidłowości i uruchamiają alarmy, zanim człowiek zorientuje się, że coś jest nie tak. W typowym obiekcie energetycznym znajdziemy rozbudowany system monitoringu wizyjnego, który nie tylko rejestruje obraz, lecz także analizuje go pod kątem nieprawidłowego zachowania – np. obecności osób w niedozwolonych strefach, poruszania się pod prąd, czy pozostawionych przedmiotów. Kamery powinny pracować w trybie dzienno-nocnym, często w paśmie termowizyjnym, i być zintegrowane z systemami alarmowymi.

Kolejnym kluczowym systemem jest kontrola dostępu – zwykle oparta na kartach RFID, ale coraz częściej również na biometrii (odciski palców, rozpoznawanie twarzy). Do tego dochodzą systemy sygnalizacji pożarowej (SSP) i dźwiękowe systemy ostrzegawcze (DSO), a także systemy przeciwdronowe, które – choć wciąż traktowane jako nowość – stają się coraz bardziej niezbędne, zwłaszcza w otwartych instalacjach, takich jak farmy wiatrowe i fotowoltaiczne.

Nie można też zapominać o systemach sterowania przemysłowego – SCADA i PLC – które zarządzają pracą urządzeń energetycznych. Ich ochrona musi opierać się na separacji od internetu publicznego, redundancji, monitoringu logów i stałej współpracy z zespołami odpowiedzialnymi za cyberbezpieczeństwo.

‍

Ludzie w systemie ochrony 

Choć technologia odgrywa dziś ogromną rolę, to człowiek w dalszym ciągu pozostaje ostatnią i często najważniejszą linią obrony. Dobrze zorganizowany dział ochrony to nie tylko osoby siedzące na portierni – to zespół wyszkolony, zdyscyplinowany i w pełni świadomy swojej roli. Pracownicy ochrony muszą znać topografię obiektu, zasady reagowania na alarmy, umieć posługiwać się systemami bezpieczeństwa i brać udział w ćwiczeniach z ewakuacji oraz reagowania na zagrożenia. Ich działania powinny być wspierane przez nowoczesne systemy, ale nie mogą być przez nie zastępowane.

W strukturze zarządzania kluczowe miejsce zajmuje Security Manager – osoba odpowiedzialna za całokształt działań ochronnych. To nie tylko administrator systemów czy przełożony pracowników ochrony, ale przede wszystkim strateg, który analizuje zagrożenia, przygotowuje plany ochrony, dobiera technologie, nadzoruje przetargi, szkoli personel i odpowiada za komunikację z zarządem oraz służbami zewnętrznymi. Security Manager musi znać się zarówno na przepisach prawa, jak i na systemach technicznych, a także posiadać kompetencje miękkie – niezbędne do skutecznego wdrażania polityk bezpieczeństwa.

‍

Audyty bezpieczeństwa – nie tylko formalność, lecz także narzędzie rozwoju

Bezpieczny obiekt to nie ten, który wdrożył najlepsze technologie, ale ten, który potrafi ocenić ich skuteczność i reagować na zmieniające się warunki. Dlatego tak ważne są regularne audyty – zarówno wewnętrzne, jak i zewnętrzne. Powinny one obejmować ocenę techniczną systemów (np. aktualność oprogramowania, stan urządzeń), przegląd dokumentacji i procedur, analizę raportów incydentów oraz wywiady z personelem. Nierzadko audyt potrafi ujawnić luki, które na co dzień są niedostrzegalne, np. nieaktualne uprawnienia dostępu, niespójność w dokumentacji, czy nieadekwatność planów ewakuacyjnych.

Coraz większą popularność zyskują również testy penetracyjne i symulacje ataku (red teaming), pozwalające na sprawdzenie realnej skuteczności systemu ochrony w warunkach zbliżonych do rzeczywistego zagrożenia. Test taki może polegać na próbie fizycznego wejścia na teren obiektu przez osobę podszywającą się pod wykonawcę robót, przejęciu urządzenia mobilnego z dostępem do systemów czy sprawdzeniu odporności personelu na socjotechnikę.

‍

Przykłady incydentu w infrastrukturze energetycznej

Ukraina – atak na sieć energetyczną (2015 i 2016)

W grudniu 2015 roku doszło do jednego z najbardziej znanych ataków cybernetycznych na infrastrukturę energetyczną. Hakerzy, przypisywani grupie APT28 (powiązanej z rosyjskim wywiadem), przejęli zdalnie kontrolę nad systemami SCADA w trzech ukraińskich operatorach dystrybucyjnych. Skutkiem było wyłączenie zasilania dla ponad 200 000 osób. Atak został powtórzony w 2016 roku, z użyciem złośliwego oprogramowania „Industroyer”, zdolnego do bezpośredniego sterowania przełącznikami i wyłącznikami w podstacjach.

Wnioski:

• Krytyczna rola separacji systemów OT i IT;
• Niezbędność fizycznych barier ochronnych dla dostępu do sterowni;
• Potrzeba ciągłego monitoringu systemów SCADA.

‍

Bezpieczeństwo jako proces

Ochrona infrastruktury krytycznej – zwłaszcza energetycznej – nie może być traktowana jako projekt wdrożeniowy zakończony podpisaniem protokołu odbioru. To proces ciągły, wymagający czujności, elastyczności i gotowości do reagowania. Technologia, procedury i ludzie muszą działać w harmonii, a zarządzanie bezpieczeństwem nie może kończyć się na poziomie ochrony fizycznej.

W czasach, gdy zagrożenia są coraz bardziej hybrydowe, często niewidoczne aż do momentu uderzenia, jedynie zintegrowane podejście może zapewnić realną ochronę. W świecie energii, gdzie każda sekunda przestoju kosztuje miliony, a bezpieczeństwo dostaw warunkuje funkcjonowanie całych państw, ochrona obiektów nie jest opcją. Jest fundamentem.

‍