Ewolucja doktryny obronnej państwa na przyk³adzie
Transkrypt
Ewolucja doktryny obronnej państwa na przyk³adzie
AKADEMIA OBRONY NARODOWEJ CENTRUM SYMULACJI I KOMPUTEROWYCH GIER WOJENNYCH PRACA STUDYJNA OCHRONA INFRASTRUKTURY KRYTYCZNEJ PAŃSTWA sieci i usługi łączności elektronicznej Opracował Kierownik Pracy Piotr Rutkowski płk.dr inż. Marek Kinasiewicz WARSZAWA 2004 1. Infrastruktura krytyczna – zakres pojęciowy i identyfikacja zagrożeń _____________ 3 2. Rola sektora prywatnego w ochronie infrastruktury ___________________________ 8 3. Ewolucja doktryny obronnej państwa na przykładzie amerykańskim______________ 9 3.1. Bezpieczeństwo Narodowe _________________________________________________ 9 3.2. Departament Obrony ____________________________________________________ 13 3.3. Ustawa o produkcji obronnej _____________________________________________ 15 3.4. Kontrola Eksportu ______________________________________________________ 17 3.5. Przebudowa amerykańskiego rynku telekomunikacyjnego _____________________ 18 3.6. NCS – Narodowy System Łączności ________________________________________ 23 3.7. Rozporządzenie wykonawcze Prezydenta 13010 ______________________________ 24 3.8. Dyrektywa 63 (PDD 63) __________________________________________________ 27 3.9. Mobilizacja sił w związku z „problemem roku 2000” __________________________ 33 3.10. Doświadczenie 11 września 2001 roku _____________________________________ 33 3.11. DHS – Departament Bezpieczeństwa Krajowego ____________________________ 37 3.12. Narodowa Strategia Zabezpieczenia Cyberprzestrzeni _______________________ 48 3.13. Narodowa Strategia Fizycznej Ochrony Infrastruktury Krytycznej i Kluczowych Zasobów __________________________________________________________________ 54 4. Specyfika podejścia europejskiego ________________________________________ 56 5. Problematyka infrastruktury krytycznej w Polsce ____________________________ 63 5.1. Ustawa o powszechnym obowiązku obrony __________________________________ 63 5.2. Ustawa o organizowaniu zadań na rzecz obronności państwa realizowanymi przez przedsiębiorców ____________________________________________________________ 66 5.3. Strategia bezpieczeństwa narodowego ______________________________________ 67 5.4. Sektor telekomunikacji - prawo telekomunikacyjne ___________________________ 69 5.5. Projekt ustawy o bezpieczeństwie obywatelskim i zarządzniu kryzysowym________ 71 6. Podsumowanie – prawdopodobny wpływ zmian technologicznych i rynkowych ____ 74 8. Skróty użyte w tekście __________________________________________________ 76 9. Bibliografia __________________________________________________________ 78 2 Informacja staje się najważniejszym zasobem gospodarki i całego społeczeństwa. Informację od innych strategicznych zasobów różni jednak to, że można ją kopiować bez ponoszenia kosztów, może być niszczona bez pozostawiania śladów, a jej wartość zmienia się w czasie i w zależności od kontekstu Ueli Maurer – 2000 Dzisiaj nie wystarczy strategia militarna, która jest powiązana z planami bitew i działaniami sił zbrojnych… „Wielka strategia” (w odróżnieniu od węższej militarnej) koncentruje się na zdolności państwa do koordynowania i kierowania narodowymi zasobami. Sir Basil H. Liddel Hart, 1954 1. Infrastruktura krytyczna – zakres pojęciowy i identyfikacja zagrożeń W skład infrastruktury krytycznej wchodzą sektory gospodarki, instytucje, sieci dystrybucyjne, systemy, które zapewniają ciągłość przepływu towarów i usług istotnych dla obronności kraju, bezpieczeństwa gospodarczego, zdrowia, i bezpieczeństwa obywateli. Infrastrukturę należy uważać za „krytyczną”, kiedy jej nieprawidłowe działanie, ograniczenie pojemności lub zniszczenie mogłoby mieć wpływ na osłabienie kraju lub regionu. 3 Potrzeba ochrony zasobów gospodarki przed różnorodnymi zagrożeniami wydaje się dosyć oczywista, ale wyzwanie to nabrało zupełnie nowego wymiaru, kiedy powszechne zastosowanie systemów teleinformatycznych wytworzyło, nieistniejący przedtem, bardzo złożony system współzależności, których znaczenie wciąż trudno jest oszacować. „W rezultacie, zidentyfikowanie tego, co jest krytyczne staje się zarówno trudniejsze, jak i bardziej istotne. Epoka informacji, wprowadziła nas w ekscytującą nową erę technologii, ale przynosi nam także wiele nowych problemów w dziedzinie bezpieczeństwa” [Bennett, 2002:s.1]. W niesprzyjających okolicznościach złożoność systemów powoduje, że zagrożenia mogą pociągać za sobą efekt kaskadowy o zaskakującym zasięgu. Jeżeli awarie lub zniszczenia zostały sprowokowane rozmyślnym atakiem, a szczególnie zorganizowanym działaniem o charakterze terrorystycznym, z czym należy się w coraz większym stopniu liczyć, efekty mogą być katastrofalne. Ewentualne działania terrorystów, są potencjalnie najgroźniejszym rodzajem zagrożeń, ponieważ terrorystom z zasady zależy na uderzeniu w najsłabszy i trudny do przewidzenia punkt, wywołaniu jak najbardziej spektakularnych skutków i eskalacji kryzysu. Wskazówką w identyfikowaniu potencjalnych celów może być tylko to, że „jeden z trwałych aksjomatów terroryzmu sprowadza się do tego, że zadaniem terroryzmu jest zdobywanie rozgłosu i zwracanie uwagi na terrorystów i ich sprawę. Jest to więc działalność jakby specjalnie stworzona na potrzeby środków masowej informacji w końcu XX wieku.” [Hoffman, 1999, s. 147]. Z takiego punktu widzenia media, szczególnie elektroniczne, w tym Internet stają się bronią terrorystów. Sytuacja się komplikuje, kiedy terroryści idą na prawdziwą wojnę, kiedy rzeczywiście planują destabilizować wszelkimi dostępnymi sobie metodami gospodarkę wrogiego kraju i zabić jak najwięcej ludzi, czego symptomy można zaobserwować w działaniach Al.-Kaidy, szczególnie w związku z atakiem 11 września 2001 roku. Media, nadal pozostają dla terrorystów ważnym elementem wojny informacyjnej, ale są traktowane czysto instrumentalnie. Wykorzystuje się to, że to samym mediom zależy na nagłośnieniu sensacyjnej sprawy. Podobnie jak w przypadku tajnych operacji wojskowych, Al. Kaidę, stać na to by tygodniami unikać oficjalnego potwierdzenia autorstwa ataków. W końcu grudnia 2001 roku Osama 4 Bin Laden, w jednej ze swych słynnych wypowiedzi telewizyjnych mówi, że „to bardzo ważne, by z użyciem wszelkich możliwych środków koncentrować się na uderzeniach w gospodarkę USA,…spójrzcie na filary amerykańskiej gospodarki. Trzeba uderzyć w kluczowe filary wroga…” [przekaz NBC, tłumaczenie z ang.] Przygotowanie infrastruktury krytycznej na ewentualność ataków terrorystycznych jest również dobrym punktem wyjścia do klasyfikacji i określenia środków zaradczych wobec innych, nieco łatwiejszych do zalgorytmizowania zagrożeń, nie wyłączając klęsk żywiołowych i przypadkowych katastrof. W podejściu, które można by dzisiaj już uznać jako klasyczne, do infrastruktury krytycznej zalicza się następujące sektory: Sieci łączności elektronicznej (telekomunikacja i teleinformatyka); Energetykę (wytwarzanie energii, sieci transmisyjne i dystrybucyjne) Magazynowanie przesyłanie i dystrybucja ropy naftowej, gazu, paliw płynnych; Bankowość i finanse Transport Zaopatrzenie w wodę Służby ratunkowe i naprawcze1 Zabezpieczenie infrastruktury krytycznej wymaga wypracowania zasad i procedur, które zapewnią ciągłość świadczenia usług, niezawodność i stałą gotowość skutecznego reagowania, pozwalającą nabrać przekonania, że będzie ona mniej podatna na potencjalne zagrożenia. Oznacza to, że istnieje zdolność do ograniczania skutków ewentualnych zagrożeń, a także odtwarzania normalnego stanu działania systemu. Można wyróżnić dwie zasadnicze kategorie zagrożeń infrastruktury krytycznej: Fizyczne ataki na obiekty, które są składnikami tej infrastruktury; Ataki z cyberprzestrzeni ukierunkowanymi na informację, łączność, systemy zarządzania infrastrukturą. Do tej pory dominują ataki fizyczne, przy użyciu broni konwencjonalnej, którą stosunkowo łatwo zdobyć i której użycie daje natychmiastowe widoczne efekty. Ochrona fizyczna wymaga stosowania znanych środków technicznych i 1 Emergency services 5 organizacyjnych i jest odpowiedzialnością posiadaczy obiektów. Wystarczy rozważać przeglądy procedur, użycie nowocześniejszych środków technicznych i szukać kompromisu pomiędzy kosztami, a zmniejszaniem uciążliwości dla użytkowników, rozszerzać uniwersalność użytych środków ochrony wobec ewentualności użycia broni masowego rażenia. Inaczej jest z atakami z cyberprzestrzeni. Z jednej strony bezpieczeństwo jest standardową odpowiedzialnością posiadaczy systemów teleinformatycznych. Trzeba się jednak teraz liczyć z zagrożeniem w większej skali, kumulacją skutków ewentualnych uszkodzeń, mających skutki daleko poza administrowaną siecią, w innych obszarach infrastruktury, destabilizacją sytuacji na dużych obszarach. W odróżnieniu od ochrony fizycznej obietów, gdzie mobilizacja policji, wojska i straży pożarnej może wspomagać działania prewencyjne, ratownicze i naprawcze w przypadku zagrożeń z cyberprzestrzeni, zanim pojawią się widoczne fizyczne skutki zniszczeń, państwowe służby antykryzysowe nie są w stanie reagować na zagrożenia w prywatnych systemach informatycznych telekomunikacyjnych. W większości krajów definicja infrastruktury krytycznej i metody jej ochrony są przedmiotem debaty. W zależności od lokalnych doświadczeń i wyjściowej perspektywy przyjmuje się własne metody analizy ryzyka, szacowania ważności poszczególnych priorytetów, określania podatności na zagrożenia i środków zaradczych potrzebnych do zapewnienia infrastruktury krytycznej. W dalszym ciągu jest jednak również wiele krajów, gdzie nie wypracowano jeszcze jasnej koncepcji ochrony infrastruktury krytycznej. Następstwa ataku terrorystycznego 11 września 2001 roku i późniejszych zagrożeń bakteriologicznych dodały nowego impulsu do tych dyskusji. Amerykanie doszli do wniosku, że koncepcję infrastruktury krytycznej należy ekstrapolować na inne sektory i w obecnie prezentowanej strategii lista sektorów jest skonstruowana nieco inaczej dla strategii ochrony fizycznej infrastruktury krytycznej oraz inaczej dla strategii ochrony cyberprzestrzeni. Sektory te są również inaczej uszeregowane. Trzeba jednak podkreślić, że koordynację obu strategii powierzono jednemu Departamentowi Bezpieczeństwa Krajowego. 6 Fizyczna ochrona infrastruktury krytycznej i kluczowych aktywów Sektory Infrastruktury krytycznej Ochrona cyberprzestrzeni Rolnictwo i żywność Bankowość i finanse Woda Ubezpieczenia Zdrowie Publiczne Chemia Służby ratunkowe Ropa i gaz Przemysł zbrojeniowy i usługi i Energetyka zaopatrzenie sił zbrojnych Policja, służby specjalne, Telekomunikacja prokuratura2 Energetyka Szkolnictwo wyższe Transport Transport Bankowość i finanse Telekomunikacja i teleinformatyka Chemikalia i materiały Woda niebezpieczne Poczta i spedycja [Bush-2,2003: s.xiii] Kluczowe aktywa Narodowe pomniki i muzea Elektrownie atomowe Tamy Budynki rządowe Kluczowe aktywa komercyjne [Bush-3, 2003: s. xii] 2 law enforcement 7 2. Rola sektora prywatnego w ochronie infrastruktury Zdecydowanie najważniejszym, kluczowym problemem w tworzeniu i wdrożeniu strategii ochrony infrastruktury krytycznej jest wypracowanie mechanizmów współpracy pomiędzy służbami rządowymi, a sektorem prywatnym. To sektor prywatny jest właścicielem większości obiektów infrastruktury krytycznej, całkowicie kontrolując ich stan, rozwój, inwestycje, w tym związane z bezpieczeństwem. To sektor prywatny jest na pierwszej linii ataku, ale nie ma dostępu o niejawnych informacji zbieranych przez służby rządowe, szczególnie ze źródeł operacyjnych. Rząd natomiast tworzy strategiczne plany obrony, opierając się o własną wiedzę analityczną i nadaje im odpowiednią prawną klauzulę informacji niejawnej, ale gromadząc dane nie ma pełni wiedzy ani o możliwościach, ani o słabościach infrastruktury krytycznej posiadanej przez sektor prywatny. Ta wiedza jest przez właścicieli infrastruktury bardzo pilnie strzeżona, jako jeden z najbardziej wrażliwych czynników oceny zdolności do wygrania własnej pozycji na konkurencyjnym rynku. Sektor prywatny buduje swoją filozofię działania o walkę na rynku konkurencyjnym. Jeżeli w doktrynie obronnej państwa pojawia się teza, że ewentualność ataków na infrastrukturę krytyczną, szczególnie w związku z zagrożeniem terrorystycznym jest bardzo prawdopodobna, to nie należy pogłębiać konfliktu aksjologicznego, kto ma wziąć na siebie odpowiedzialność za bezpieczeństwo powszechne. Trzeba spróbować znaleźć płaszczyznę wymiany informacji i wspólnie postarać się o lepszą świadomość uwarunkowań i współzależności. Poprawa niezawodności i bezpieczeństwa, w epoce gospodarki elektronicznej powinna wzmacniać pozycję posiadaczy infrastruktury krytycznej. 8 3. Ewolucja doktryny obronnej państwa na przykładzie amerykańskim Świadomość obrony własnego terytorium była dla amerykanów ograniczona. Pomimo krótkiego epizodu gorączki obrony atomowej po kryzysie Zatoki Świń, wielu amerykanów pozostawało pod wpływem mitu, że kontynent amerykański nie był obszarem obcej inwazji od 1812 roku. Obecnie mit nie jest już uzasadniony, ponieważ inwazja za pośrednictwem cyberprzestrzeni jest zjawiskiem codziennym [Montgomery, 2002: s.21]. 3.1. Bezpieczeństwo Narodowe Potrzeba redefiniowania pojęcia bezpieczeństwa narodowego, wymuszana od niedawna przez globalizację oraz powszechną dostępność sieci i usług łączności elektronicznej, nie jest dla amerykanów nowym zjawiskiem. Poważne zmiany w podejściu do bezpieczeństwa narodowego wynikały na przykład z następstw Wojny Wietnamskiej, a także zakończenia ery „zimnej wojny” [Oslund, 2002: s.89]. Można uznać [s.90 ibid.], że najwcześniejsza amerykańska koncepcja formułowana jako bezpieczeństwo narodowe należy do Edwarda Lippmana, który w 1942 pisał: „naród jest bezpieczny w granicach, w których nie jest zagrożony w swoich uświęconych podstawowych wartościach, jeżeli pragnie uniknąć wojny lub jeżeli zajdzie konieczność prowadzenia wojny, jest w stanie tę wojnę doprowadzić do zwycięstwa [s.51ibid.]”. Podczas zimnej wojny, która początkowo sprowadzała się do zintensyfikowania zbrojeń, zwiększenia potencjału militarnego i agresywnej polityki międzynarodowej, stopniowo pojawiły się mechanizmy uwzględniające międzynarodowe interesy gospodarcze. Do późnych lat osiemdziesiątych, zanim nastąpiła korozja radzieckiej potęgi, w obszar pojęcia bezpieczeństwa narodowego zaczęto wpisywać wiele innych dziedzin: dostęp do surowców, ochronę środowiska, demografię, prawa człowieka, handel narkotykami, choroby epidemiczne, przestępczość zorganizowaną. W 1994 roku Wspólna Komisja ds. Bezpieczeństwa, powołana przez sekretarza obrony i dyrektora CIA, przygotowała raport, w którym stwierdziła, że „jeżeli zamiast atakować nasze wojskowe systemy i bazy danych, wróg uderzy w naszą 9 niechronioną infrastrukturę cywilną, rezultaty gospodarcze i inne byłyby katastrofalne” [JSC, 1994]. W następstwie wniosków raportu JSC Prezydent wydał w tym samym roku dyrektywę PDD 29 i powołał Radę ds. Polityki Bezpieczeństwa3, w której uczestniczyli zastępcy sekretarzy obrony, stanu, handlu, energetyki, sprawiedliwości, Dyrektor CIA, Zastępca przewodniczącego Połączonego Kolegium Szefów Sztabu, a przewodniczył Asystent Prezydenta ds. Bezpieczeństwa Narodowego [PDD 29, 1994], Znaczącą rolę w rozwoju ogólnej koncepcji obrony infrastruktury krytycznej odegrał Departament Obrony4, finansujący prace nad problematyką wojny informacyjnej. W 1995 roku powstał między innymi finansowany przez Departament Obrony raport na temat strategicznej wojny informacyjnej w RAND Corporation [Molander, 1996]. Raport podsumował scenariusz ćwiczeń realizowanych pod hasłem „The Day After” od stycznia do czerwca 1995 roku. Założeniem scenariusza ćwiczeń było poważne zakłócenie działania infrastruktury informacyjnej Stanów Zjednoczonych, jako pola nowych potencjalnych konfliktów, przyszłej wojny, w czasie której „narody wykorzystywałby cyberprzestrzeń, w celu wpływania na strategiczne operacje wojskowe [Molander 1996: s 1]. W raporcie tym sformułowano potrzebę zidentyfikowania i zdefiniowania „minimalnej istotnej infrastruktury informacyjnej5”, co otworzyło pole do badań nad problematyką informacyjnej infrastruktury krytycznej. W raporcie pominięto jednak „problem wyważenia celów wojskowych i politycznych, co powinno być uważane za bardzo istotne w strategicznej wojnie informacyjnej” [Rattray 2004, s.361]. Stopniowo, mniej więcej od połowy lat dziewięćdziesiątych zaczęto poważnie brać pod uwagę ryzyko ataków na infrastrukturę informacyjną, konieczność ochrony tej infrastruktury, a także systemowej przebudowy metodyki analiz kontrwywiadowczych, które objęły w szerszym niż przedtem stopniu problematykę polityki, uwarunkowań społecznych, gospodarczych mających wpływ na intencje i motywacje potencjalnych atakujących. [Arquilla, 1996: s.96]. Security Policy Board Department of Defense 5 minimum essential information infrastructure 3 4 10 Definiowanie amerykańskiego bezpieczeństwa narodowego wspomaga powoływanie komisji skupiających autorytety wyłonione zarówno przez rządząca, jak i opozycyjną partię6. Komisja ds. Interesów Narodowych7 w lipcu 1996 roku przygotowała obszerny dokument, w którym zwraca uwagę na międzynarodowe uwarunkowania gospodarcze amerykańskiego bezpieczeństwa i katastrofalne następstwa działań mogących wpływać na międzynarodowy handel, rynki finansowe, dostawy energii, w tym zależność tych dziedzin od Internetu i sieci komputerowych oraz podatność na zagrożenie cyberterroryzmem [Commission,1996: s.50]. Ochronę infrastruktury krytycznej umieszczono na takim samym poziomie „żywotnych interesów8” jak zapobieganie, odstraszanie i redukcja w dziedzinie broni atomowych, chemicznych i biologicznych, mogących zagrozić Stanom Zjednoczonym, ochronę granic lądowych i morskich przed pojawieniem się sił wrogich Stanom Zjednoczonym, zapobieganie umacnianiu się nastrojów antyamerykańskich w Europie i Azji, czy utrzymanie sojuszników Stanów Zjednoczonych [Oslund 2002, s.92]. W dokumencie wydanym pod tą samą nazwą w 2000 roku znaczenie infrastruktury informacyjnej dla kwestii bezpieczeństwa systemu finansowego, energetycznego, transportowego, obronnego i telekomunikacyjnego zostało wzmocnione – „ pojawiające się zagrożenia wymagają, by bezpieczeństwo komputerów i sieci było potraktowane jako wyzwanie bezpieczeństwa narodowego, a nie tylko jako jedno z zagadnień polityki telekomunikacyjnej. Stany Zjednoczone są tak uzależnione od tych systemów, a problem podatności na zagrożenia tak powszechnie występujący, że poprawa odporności amerykańskiej infrastruktury informacyjnej należy do najbardziej żywotnych zagadnień narodowych” [Commission 2000: s.49]. Dalej odnosząc się do problemów z wdrażaniem prezydenckiej dyrektywy PDD 63, zauważono, że bardzo istotnym problemem, którego rozwiązaniu trzeba nadać najwyższy priorytet, jest poprawa wymiany informacji o zagrożeniach z sektorem prywatnym kontrolującym większość infrastruktury krytycznej. Bi-partisan comission Commission on National Interests 8 vital interests 6 7 11 W połowie 1998 roku na wniosek Sekretarza Obrony powstała inna komisja – Komisja Bezpieczeństwa Narodowego/ Wiek 219, zwana komisją HartaRudmana od nazwisk dwóch przewodniczących reprezentujących obie partie. W krótkim (11 stronicowym) raporcie wydanym w roku 1999 zwrócono lakonicznie uwagę, że „szybki postęp w dziedzinie technologii informacyjnych i biotechnologii tworzy nowe obszary podatności dla bezpieczeństwa Stanów Zjednoczonych” [Hart-Rudman, 1999, s.4]. W rok później w następnym krótkim (17 stron) raporcie (faza II) zaproponowano cztery, a raczej trzy poziomy klasyfikacji priorytetów zagadnień istotnych dla bezpieczeństwa narodowego – „Interesy od których zależy przetrwanie10 - bez zachowania których, jak należy sądzić, Ameryka przestałaby istnieć, krytyczne interesy – od których krok do interesów od których zależy przetrwanie, znaczące interesy11, na tyle ważne by wpływać na światowe otoczenie w którym Stany Zjednoczone muszą działać, Są jeszcze oczywiście inne narodowe interesy, które wydają się mniej ważne od wymienionych trzech kategorii” [Hart-Rudman 2000: s.7] W raporcie ochronę infrastruktury krytycznej zakwalifikowano do drugiej kategorii – interesów krytycznych”. W lutym 2001 roku powstał obszerny raport tej samej Komisji Bezpieczeństwa Narodowego, który zauważa „gwałtowny wzrost uzależnienia Stanów Zjednoczonych od infrastruktury krytycznej w ciągu ostatnie dekady ” [HartRudman 2001: s.18], a także potrzebę poszerzania zdolności i obszaru analityki wywiadu od zagrożenia związane z ochroną infrastruktury krytycznej [s.23] Raport zaleca też poszerzenie koncepcji ochrony infrastruktury krytycznej na sieci satelitarne, w związku z jej znaczeniem dla wielu kluczowych amerykańskich systemów informacyjnych [s.81] W wydanym w kwietniu 2001 uzupełnieniu do raportu Komisji ds. Bezpieczeństwa Narodowego, gdzie rozwinięto opis wymagań Narodowego Bezpieczeństwa Krajowego12, które należy rozumieć jako „ochronę życia, zdrowia i własności obywateli amerykańskich. Określono również, że skuteczne Bezpieczeństwo Krajowe, musi zapewnić integralność narodowej infrastruktury Commisssion on National Security/ 21 Century survival intersets 11 significant interests 12 National Homeland Security 9 10 12 krytycznej, w tym sieci łączności, transportu i systemu finansowego, oraz najistotniejszych usług publicznych, jak usług wytwarzania energii, urządzeń sanitarnych, ochrony zdrowia.” [Hart-Rudman 04.2001: s.5]. W kilka miesięcy po znamiennych w skutki wydarzeniach 11 września i ukształtowaniu się koncepcji stworzenia nowego Sekretariatu Bezpieczeństwa Krajowego, Biały Dom opublikował dokument pod nazwą Narodowa Strategia Bezpieczeństwa Krajowego13. Znalazła się tam nowa definicja Bezpieczeństwa Krajowego – „ wspólne narodowe wysiłki dla obrony przed atakami terrorystycznymi w Stanach Zjednoczonych, zmniejszające podatność Ameryki na terroryzm i minimalizujące szkody i pozwalające wychodzić z kryzysu po atakach, które miały miejsce” [OHS, 2002: s.2]. 3.2. Departament Obrony Znaczenie koordynacji działań związanych z ochroną systemów informacyjnych oraz analizowania informacji z jak największej liczby źródeł nie było zbyt dobrze rozumiane prawie do końca II wojny światowej. Do roku 1945 amerykańskie siły zbrojne były zorganizowane w ramach dwóch odrębnych ministerstw – Departamentu Wojny14 i Departamentu Marynarki15, w których działały dwie niezależne struktury wywiadowcze bez żadnych formalnych procedur współpracy, w tym wymiany informacji [Bush 2002: 7]. W obliczu wizji zimnej wojny z obozem sowieckim Prezydent Harry Truman w grudniu 1945 roku zwrócił się do Kongresu z wnioskiem o połączenie Departamentu Wojny i Departamentu Marynarki w jeden Departament Obrony. Cel ten został osiągnięty w roku 1947. Nowe ministerstwo, miało być z założenia kierowane przez cywilnego sekretarza. Utworzono również Centralną Agencję Wywiadowczą dla koordynacji i analizy zagranicznych informacji wywiadowczych i Narodową Radę Bezpieczeństwa16, która miała się stać ośrodkiem koordynacji polityki bezpieczeństwa. Formalne zmiany nie pozwoliły jednak uniknąć, ciągnących się latami problemów w koordynacji działań wojsk lądowych, marynarki i sił powietrznych [DeCorla-Souza 2002: 19]. National Strategy for Homeland Security War Department 15 Navy Department 16 National Security Council 13 14 13 W latach dziewięćdziesiątych w Departamencie Obrony zaczęto rozwijać koncepcje określane jako wojna informacyjna, rozumiana zarówno jako wykorzystanie podczas działań wojennych przewagi informacyjnej, nowoczesnych środków gromadzenia, przesyłania i przetwarzania informacji, jak i przyczynę ewentualnych zagrożeń, związanych z atakiem na amerykańską infrastrukturę informacyjną. Pojęcie wojny informacyjnej, zostało formalnie zdefiniowane dla celów planowania w Departamencie Obrony w 1992 roku w tajnej dyrektywie TS3600.1 [Rattray, 2004:s.340]. Celem wojny informacyjnej miało być przede „wszystkim oddzielenie nieprzyjacielskiej struktury dowodzenia od sił bojowych” [MOP 30, 1993]. Początkowo koncentrowano się jednak raczej na metodach ataków na systemy informacyjne przeciwnika, niż obronie własnej infrastruktury [Rattray, 2004: s.341]. W 1995 i w 1996 roku Departament Obrony sfinansował szereg projektów studialnych, w których zaprezentowano spostrzeżenia stwierdzenia o dużej liczbie potencjalnych celów, wielu słabych punktach i konieczności podjęcia działań ukierunkowanych na szerszą ochronę infrastruktury informacyjnej, w tym kontrolowaną przez komercyjnych operatorów telekomunikacyjnych. Połączony Sztab17, w którego kompetencjach znajduje się opracowanie doktryny wojskowej w lutym 1996 roku określił doktrynę w zakresie dowodzenia i kierowania w dokumencie Joint Publication 3-13.1. W dokumencie tym nadal kojarzono wojnę informacyjną przede wszystkim z zagranicznymi operacjami wojskowymi, ale znalazło się tam spostrzeżenie o potrzebie „integrowania się cywilnych i wojskowych sieci i technologii informacyjnych” [za Rattray 2004, s. 353] i dalej, że wojna informacyjna „wspiera narodową strategię wojskową, lecz wymaga również wsparcia, koordynacji i uczestnictwa ze strony innych agencji rządu USA, a także sektora prywatnego”. Po raz pierwszy w doktrynie wojskowej powiązano „wojnę informacyjną ze strategicznymi implikacjami, dotyczącymi narodowej strategii informacyjnej” [Ratttray 2004, s.353] i wskazano na konieczność znalezienia rozwiązań regulacyjnych wobec infrastruktury cywilnej, znajdującej się poza nadzorem Departamentu Obrony, ale mogącej mieć dla kwestii obronności potencjalnie istotne znaczenie. 17 Joint Staff 14 Podejście prezentowane dokumencie 3-13.1 zostało rozwinięte jeszcze w tym samym roku w kolejnej prezentacji strategii Połączonych Sztabów wydanej pod tytułem „Wojna informacyjna – strategia dla pokoju – decydujący aspekt wojny”, [Joint Staff, 1996: s.4], gdzie wskazano między innymi jasno, że „musimy wykazać dostawcom usług (telekomunikacyjnych) konieczność zespołowego współdziałania przy opracowywaniu niezbędnych rozwiązań – nie tylko po to, by wspierać Departament Obrony i chronić bezpieczeństwo narodowe, ale również w celu ochrony ich własnego interesu”. Te deklaracje nie były jednak zbyt aktywnie rozwijane. Przygotowania strategiczne skoncentrowały się zdecydowanie mocniej na udoskonaleniu działań ofensywnych W 1997 roku Połączony Sztab przeprowadził ćwiczenie pod kryptonimem Eligibile Receiver. Zespół atakujący wykonując symulowane ataki osiągnął zdolność do istotnych celów w Departamencie Obrony, a także operatorów telekomunikacyjnych i dostawców energii elektrycznej ograniczając zdolności bojowe kilku baz wojskowych. Od 1997 w poszczególnych dowództwach zaczęto tworzyć wyspecjalizowane struktury odpowiedzialne za aktywną ochronę przed atakami na systemy łączności i systemy informacyjne, między innymi przy Dowództwie Europejskim, Dowództwie Rejonu Pacyfiku i Dowództwie Transportu, obejmując również ochronę infrastruktury informacyjnej sił sprzymierzonych, również w misjach pokojowych. Niezależnie programy ochrony infrastruktury informacyjnej wdrożono w poszczególnych rodzajach wojsk. . 3.3. Ustawa o produkcji obronnej Fundamentalne znaczenie dla związania polityki bezpieczeństwa narodowego z gospodarką miało przyjęcie w roku 1950 ustawy o produkcji obronnej - DPA18. Regulację tę oparto na koncepcji forsowanej przez administrację prezydenta Trumana, by pewne szczególne zasady działania gospodarki wypracowane podczas II wojny światowej i zaraz po niej zachować na stałe. Zasady te pozwały kierować wyroby i usługi przemysłowe tam gdzie były najbardziej potrzebne również w warunkach pokoju. W praktyce uruchomiono mechanizm „promocji obrony narodowej” [DPA 1950, sec.101], w którym producent A, który realizował zamówienie na łożyska dla firmy 18 Defense Production Act 1950 15 B, musiał zmienić kolejność wysyłki, jeżeli okazywało się, że łożyska są potrzebne rządowi19 lub firmie C, która realizowała zamówienie bezpośrednio dla rządu [Zeichner 2002: 76]. Podczas debaty, która wywiązała się w 1950 roku w Kongresie starano się rozstrzygnąć następujące dylematy: Czy gospodarka i stabilność przemysłowa mają związek z siłą Stanów Zjednoczonych i jeżeli tak to jak może to wpływać na bezpieczeństwo narodowe? Jakie nadzwyczajne środki Kongres może delegować dla Prezydenta w czasie pokoju? Czy istotnie są potrzebne specjalne zasady prawne, jeżeli nie ma wojny, znaczącego konfliktu militarnego, deklaracji Prezydenta o nadzwyczajnym zagrożeniu? Czy Kongres może zaufać Prezydentowi, by posługiwał się tego rodzaju narzędziami prawnymi? Czy Kongres może wziąć na siebie tego rodzaju odpowiedzialność? Na wynik tej debaty – przyjęcie ustawy, wpłynęła świeża pamięć powszechnego wysiłku, związanego z mobilizacją całej gospodarki po ataku na Pearl Harbor i rosnąca świadomość początku zimnej wojny [Zieicher 2002: 76]. DPA wprowadziła do praktyki regulacyjnej prezydenckie rozporządzenia wykonawcze20 i dyrektywy decyzyjne21, które określiły sposób wprowadzania programów polityki bezpieczeństwa i polityki obronnej w gospodarce na następne lata. Powstała również po raz pierwszy potrzeba definiowania zasobów infrastruktury krytycznej. Na przełomie roku 1999 i 2000, kiedy podejmowano szeroko zakrojone działania, mające ochronić amerykańskie systemy informacyjne w związku z problemem roku 2000 zastanawiano się, czy właściwe jest stosowanie ustawy o produkcji wojennej do ochrony infrastruktury krytycznej. Istotnie główną przesłanką wprowadzenia tamtej ustawy była potrzeba ochrony bezpieczeństwa narodowego, obrony narodowej, zdrowia i życia obywateli. W przypadku infrastruktury krytycznej pojawia się silny kontekst gospodarczy, a nawet potrzeba ochrony w amerykańskim podejściu określenie rząd oznacza również wszystkie służby podległe administracji rządowej, włącznie z siłami zbrojnymi (ale potocznie „pracować dla rządu (working for the Government) należy rozumieć „pracować dla którejś z tajnych służb”. 20 Executive Orders 21 Decision direcives 19 16 interesów konsumenta [Zeichner, 2002: s. 83], jednak ostatecznie, jak się wydaje przeważył pogląd, że nie powinno być problemu z rozszerzającą interpretacją ustawyy. 3.4. Kontrola Eksportu Rozszerzenie obszaru zagadnień objętych interesami bezpieczeństwa narodowego poza kwestie militarne doprowadziło do wprowadzenie systemu kontroli międzynarodowego obrotu wieloma wyrobami i technologiami uznanymi za strategiczne [Export Administration Act 1979] ukierunkowanej głownie na kraje znajdujące się w obszarze wpływów Związku Radzieckiego i Chin. Oprócz zastosowań typowo militarnych w obszarze technologii objętych embargiem znalazły się w zasadzie wszystkie nowocześniejsze urządzenia oferowane na rynku cywilnym, między innymi służące do przetwarzania i przesyłania informacji, szybsze komputery, urządzenia telekomunikacyjne, elektroniczne, urządzenia szyfrujące, służące do podsłuchu, urządzenia pomiarowe, podzespoły, elementy, urządzenia służące do produkcji, technologie, know-how. Embargo objęło również publikację wymagań technicznych dla technologii objętych zakazem eksportu. Kryteria, według których formułowano zakazy były często niepublikowane lub opatrzone klauzulą tajności. W związku z tym duża część wniosków o wydanie zezwolenia eksportowego była załatwiana odmownie. Międzynarodową politykę w zakresie kontroli eksportu prowadzono z inicjatywy amerykańskiej od czasów zimnej wojny ramach Międzynarodowego Komitetu Koordynacyjnego dla Wielostronnej Kontroli Eksportu (CoCom22), w którym uczestniczyło 17 krajów. Z polskich praktycznych doświadczeń wynika, że ograniczenia te liberalizowano, aż do końca działania CoCom w 1994 prawie wyłącznie wtedy, kiedy okazywało się, że kraje objęte embargiem dysponują już technologiami z listy Cocom. Trudno to sobie dzisiaj wyobrazić, ale zakaz eksportu obejmował takie urządzenia jak np. telefaksy. Również decyzja o uwolnienie Internetu została na amerykańskiej administracji praktycznie wymuszona metodą faktów dokonanych, do czego przyczyniły się między innymi prywatne kontakty naukowe polskich fizyków, którzy zestawiali pierwsze linie komunikacyjne z amerykańską siecią Internetu przy pomocy przywożonych prywatnie urządzeń. 22 Cocom – Coordinating Committee for Multilateral Export Controls 17 Pomimo formalnego uznania przemian demokratycznych w Polsce po 1989 roku możliwość zakupu wielu nowoczesnych technologii telekomunikacyjnych była bardzo utrudniona, prawie do czasu wstąpienia Polski do NATO oraz wprowadzenia przez Polskę zasad kontroli eksportu w ramach tzw. porozumienia Waasenaar, które zastąpiło Cocom. W lutym 2004 Prezydent George Bush zaproponował ponowny przegląd przepisów, mających przeciwdziałać proliferacji broni masowego rażenia i technologii podwójnego zastosowania, tym razem biorąc pod uwagę przede wszystkim wzrost zagrożeń o charakterze terrorystycznym. 3.5. Przebudowa amerykańskiego rynku telekomunikacyjnego W roku 1984, kiedy uprawomocniło się orzeczenie sędziego Herolda H. Greena o podziale, AT&T Bell System działała w Stanach zjednoczonych praktycznie w warunkach monopolu, zarówno w obszarze sieci i usług telekomunikacyjnych, jak i produkcji urządzeń instalowanych w tych sieciach. Tylko w słabo zaludnionych regionach wiejskich, programowo zaniedbywanych przez AT&T usługi telekomunikacyjne świadczyło wiele małych niezależnych spółek i spółdzielni telefonicznych, działające często na zasadzie „bez zysku23”. Wcześniej, w roku 1956 AT&T zostało również w wyniku postępowania antytrustowego zmuszone do oddzielenia się od Western Electric. Do czasu wprowadzenia szerszej konkurencji kwestie współpracy AT&T z użytkownikami z administracji rządowej, zapewnienie bezpieczeństwa i utrzymanie zdolności obronnej, a także działania w sytuacjach zagrożeń miały w dużej części charakter niesformalizowany, ale poza opisanym w następnym rozdziale, nie jest znane zbyt wiele przykładów problemów, które sprawiały tego rodzaju „niepisane” zasady współpracy. Przez lata niezbyt precyzyjnie były również uregulowane kwestie zakładania podsłuchów, identyfikacji przestępców i terrorystów, korzystających z publicznie dostępnych środków łączności, co w pośredni sposób również wpływa na bezpieczeństwo infrastruktury krytycznej. Prezydent miał jednak prawo żądać priorytetu łączności dla potrzeb sił zbrojnych i uprawnienie do użycia wojska do ochrony sieci telekomunikacyjnych w sytuacjach kryzysowych. To uprawnienie do „żądania priorytetu” przełożyło się na ustalenie procedur odtwarzania łączności dla potrzeb zarządzania kryzysem. 23 non profit organization 18 Ustawa Prawo Telekomunikacyjne z 1934 roku wprowadziła obowiązek informowania powołanej tą ustawą Federalnej Komisji Łączności (FCC24) o zmianach, mogących wpłynąć na warunki świadczenia usług. Do połowy lat pięćdziesiątych FCC powołana do reprezentowania interesu publicznego w sektorze telekomunikacji, sprawowała nadzór na rynkiem raczej o charakterze monitorującym, niż regulacyjnym. Szerokim obszarem właściwości FCC jest również gospodarka zasobami widma częstotliwości użytkowanych przez wszystkie cywilne służby radiokomunikacyjne oraz problematyka kompatybilności elektromagnetycznej. Ogólne zagadnienia federalnej polityki telekomunikacyjnej pozostają od 1934 roku w kompetencjach Sekretarza Handlu. Operatorzy sieci telekomunikacyjnych są również niezależnie poddani nadzorowi regulacyjnemu władz stanowych, gdzie z reguły sprawami sieci telekomunikacyjnych, cen i taryf zajmują się stanowe komisje do spraw komunalnych usług publicznych25, obejmujących wszystkie rodzaje infrastruktury sieciowej, telekomunikację, sieci energetyczne, gazowe, wodociągi, kanalizację itp. Dopiero od 1959 roku FCC wydawała zezwolenia na eksploatację wydzielonych linii radiowych typu punkt-punkt dla wewnętrznych potrzeb korporacyjnych niektórych firm. Do połowy lat siedemdziesiątych FCC prowadziło szereg postępowań w sprawie wniosków o zmianę zasad funkcjonowania rynku. W 1968 roku pod naciskiem producentów, wprowadzono konkurencję na rynku urządzeń końcowych, chociaż AT&T udawało się przez kilka lat skutecznie opóźniać wykonanie tej decyzji, starając się uprawdopodobnić tezę o groźbie utraty integralności sieci, a nawet poważnych uszkodzeń central i urządzeń transmisyjnych, z powodu instalacji „niezbyt dobrze skontrolowanych” urządzeń. W 1971 roku pojawili się pierwsi dostawcy wydzielonych łączy dla potrzeb biznesu. W roku 1980 wydano decyzję o udostępnianiu przez AT&T powierzchni na centralach, w celu instalacji urządzeń, należących do klientów korporacyjnych zestawiających dla swoich potrzeb łącza transmisyjne. Pojawiły się też na poziomie stanowym nowe regulacje, dotyczące współużytkowania obiektów z operatorami lokalnymi i międzymiastowymi. 24 25 Federal Communications Commission public utilities 19 W 1974 roku Departament Sprawiedliwości wniósł pozew antytrustowy przeciwko AT&T Bell Systems, proponując radykalny podział na 22 firmy o ściśle rozgraniczonych kompetencjach. W 1982 roku sędzia okręgowy Harold Green wydał kompromisowe orzeczenie, które ograniczyło liczbę firm mających powstać w wyniku podziału do 7 regionalnych26 i AT&T – operatora sieci międzymiastowej, międzynarodowej i producenta urządzeń telekomunikacyjnych. Wszystkich nowych operatorów obowiązywał zakaz świadczenia niektórych usług przypisanych innym typom operatorów. Chciano między innymi w ten sposób ujednolicić warunki działania firm istniejących, z tymi które dopiero rozpoczynały działalność na mniejszą skalę. Chcąc osiągnąć przejrzystość rozliczeń i taryf, które były podstawą nowych regulacji Wprowadzanie konkurencji operatorów niezależnych od firm powstałych w wyniku podziału AT&T postępowało stopniowo. Początkowo wydawano licencje dla operatorów, świadczących usługi w lokalnych relacjach międzymiastowych, później licencje dla Sprint i MCI na ogólnokrajową łączność międzymiastową, a później międzynarodową, licencje satelitarne, komórkowe itd. Otwartą konkurencję również w usługach lokalnych wprowadzono nowelizacją prawa telekomunikacyjnego w 1996 roku. Za liberalizacją, otwarciem rynku na konkurencję stały silne przesłanki ekonomiczne i społeczne. Oczekiwano wszystkich efektów, jakie niesie ze sobą rynek konkurencyjny – spadku cen, podniesienia jakości, pojawiania się nowocześniejszych rozwiązań technicznych. Korzyści pojawiały się szybko, a efekty konkurencji zaskakiwały wszystkich przyzwyczajonych do tradycyjnych, jak się okazało całkowicie nieuprawnionych tłumaczeń monopolisty, że tylko utrzymanie szczególnej ochrony zapewni stabilność inwestycji i ciągłość świadczenia usług. Nowym graczom rynkowym sprzyjały coraz tańsze technologie cyfrowe. Administracja Billa Clintona, pod patronatem Wiceprezydenta Allana Gore’a przyjęła rozwój rynku technologii informacyjnych jako jeden z kluczowych priorytetów kadencji prezydenckiej. W 1995 roku z inicjatywy amerykańskiej spotkanie międzynarodowego forum gospodarczego grupy G-7 po raz pierwszy poświęcono jednej dziedzinie – technologiom informacyjnym. Zaczęto mówić o 26 tzw. Baby Bells 20 rewolucji informacyjnej, globalnej infrastrukturze informacyjnej i nowym społeczeństwie informacyjnym. W otwarciu rynku na nowe technologie informacyjne i konkurencję widziano wiele atrakcyjnych możliwości: Katalizator rozwoju gospodarczego Usprawnienie obrotu gospodarczego Usprawnienie systemu finansowego Usprawnienie działania administracji Podnoszenie jakości życia społeczeństwa Tworzenie nowych miejsc pracy Dostęp do oświaty, nauki, ochrony zdrowia, kultury Poprawę bezpieczeństwa Kwestie ochrony infrastruktury krytycznej, działania w sytuacjach kryzysowych pozostawały mniej więcej do końca lat dziewięćdziesiątych nieco z boku intensywnego ruchu przemian w sektorze telekomunikacji. Bardzo obszerna nowelizacja prawa telekomunikacyjnego z roku 1996 nie wnosiła na przykład w sprawach ochrony infrastruktury krytycznej nic nowego. Nie można jednak powiedzieć, że znaczenie operatorów telekomunikacyjnych dla kwestii bezpieczeństwa narodowego nie było brane pod uwagę. Od stosunkowo niedawna zagraniczne firmy telekomunikacyjne zostały dopuszczone do udziału w amerykańskim rynku sieci i usług telekomunikacyjnych. Stało się to, dopiero w związku z otwartą krytyką na forum WTO27 i pod wpływem nacisków ze strony Unii Europejskiej, gdzie operatorzy amerykańscy już od dawna nie spotykają się z podobnymi restrykcjami. Przygotowanie operatorów telekomunikacyjnych do działań w sytuacjach klęsk żywiołowych znalazło się częściowo pod nadzorem Federalnej Agencji Zarządzania w Sytuacjach Zagrożeń (FEMA28). Koncentracja na kwestiach klęsk żywiołowych sprawia, że FEMA odgrywa niewielką rolę w sprawach zwalczania zagrożeń na sieci teleinformatyczne, chociaż ma przygotowane zalecenia i procedury postępowania w przypadku skutków z cyberprzestrzeni, jednej z możliwych przyczyn zakłóceń w funkcjonowaniu infrastruktury krytycznej. Na uwagę jednak zasługuje to, że jednym z ważniejszych sposobów działania FEMA, mającym znaczenie dla upowszechniania wiedzy o ochronie infrastruktury 27 28 Word Trade Organization Federal Emergency Mangement Agency 21 krytycznej jest udostępnianie z pomocą Internetu i faksu dostępu do wielu instrukcji, poradników postępowania w przypadku zagrożeń, katastrof, klęsk żywiołowych. W rezultacie konkurencyjnej walki o rynek wielu nowych operatorów zaniedbywało kwestie bezpieczeństwa, które pozostawały nadal głównie troską AT&T i niektórych innych „wtajemniczonych” uczestniczących w zapewnieniu szczególnych potrzeb łączności bezpośrednio dla rządu w ramach Narodowego Systemu Łączności. Z drugiej strony wzrost konkurencji zmobilizował operatorów sieci do przykładania coraz większej uwagi do kwestii niezawodności systemów łączności, odporności na uszkodzenia i działanie w sytuacjach nietypowych, na przykład w warunkach obciążania ruchem, co jest również typowe w sytuacjach kryzysowych. Konkurencja umotywowała operatorów do unowocześniania sieci, wprowadzania rozwiązań redundantnych, dróg obejściowych, cyfryzacji, SDH, usług sieci inteligentnej. Wprowadzenie konkurencji w usługach międzymiastowych i przydzielenie każdemu operatorowi międzymiastowemu prefiksu zmusiło szybko tracącemu rynek AT&T do uruchomienia, nieistniejących przedtem zasobów organizacyjnych „szybkiego reagowania” w celu ochrony sieci przed przypadkowymi fizycznymi uszkodzeniami. System oparto na założeniu, że jeżeli abonent wybierając prefiks międzymiastowy nie zdoła się za pierwszym razem połączyć, to najdalej po drugiej próbie spróbuje prefiksu innego operatora. Na początku lat dziewięćdziesiątych AT&T zakupiło kilkanaście samolotów i helikopterów, by z powietrza prowadzić monitoring sieci w celu wykrywania robót ziemnych prowadzonych w terenie przez firmy budowlane i wprowadzono specjalne procedury powiadamiania wykonawców tych robót wprost z samolotu. W warunkach konkurencji zdolność do szybkiego podjęcia prac naprawczych i odtworzenia zdolności do przekazywania ruchu telekomunikacyjnego w przypadku katastrof lub klęsk żywiołowych ma swój aspekt rynkowy. Pozwala budować wobec klientów wizerunek wiarygodności i stabilności i pozwala zminimalizować ryzyko przejęcia chwilowo utraconego rynku przez konkurentów. 22 3.6. NCS29 – Narodowy System Łączności Historia NCS sięga kryzysu kubańskiego w 1962 r, kiedy jednym z problemów z uniknięciem konfliktu zbrojnego stały się trudności komunikacyjne na linii Stany Zjednoczone, Związek Radziecki i kwatera główna NATO. Po zażegnaniu kryzysu Prezydent John F. Kennedy zarządził dochodzenie w sprawie działania systemów łączności dla potrzeb zarządzania kryzysem. W następstwie tego dochodzenia Narodowa Rada Bezpieczeństwa utworzyła specjalną komisję mieszaną z zadaniem wypracowania zasad, dających gwarancję uniknięcia komunikacyjnych trudności technicznych i organizacyjnych w przypadku zaistnienia sytuacji kryzysowych. Międzyagencyjna komisja mieszana zarekomendowała utworzenie specjalnego jednolitego systemu łączności dla potrzeb Prezydenta, Departamentu Obrony, placówki dyplomatyczne, placówki wywiadu i szefów niektórych instytucji cywilnych. W sierpniu 1963 roku Prezydent Kennedy wydał memorandum na temat utworzenia NCS z zadaniem utworzenia systemu łączy telekomunikacyjnych, poprawy ich jakości i rozszerzenia zasięgu dla potrzeb wszystkich właściwych agencji rządowych, a także rekomendacji o charakterze instytucjonalnym. We wrześniu 1982 roku Prezydent Rondla Regan popisał Rozporządzenie 12382, powołujące Prezydencki Komitet Doradczy Narodowego Bezpieczeństwa Telekomunikacyjnego NSTAC30, który miał doradzać w sprawach bezpieczeństwa telekomunikacyjnego Prezydentowi i Sekretarzowi Obrony [EO 12382, 1982]. W kwietniu 1984 roku Prezydent Ronald Regan podpisał Rozporządzenie 12472, które rozszerzyło zasięg systemu NCS z liczby sześciu do 23 federalnych agencji i departamentów [EO 12472, 1984]. Odpowiedzialność za kreowanie polityki w zakresie NCS przypisano Narodowej Radzie Bezpieczeństwa, a kwestie związane z określaniem zasobów sieci, a także częstotliwości, mogących mieć znaczenie w sytuacjach kryzysowych, a także formułowania wymagań technicznych przypisano Dyrektorowi Urzędu Nauki i Polityki Technologicznej31. NCS – National Communications Systems President's National Security Telecommunications Advisory Committee 31 Director of the Office of Science and Technology Policy 29 30 23 3.7. Rozporządzenie wykonawcze Prezydenta 1301032 Jednym z najważniejszych priorytetów politycznych początkowego okresu prezydentury Billa Clintona stały się kwestie rozwoju infrastruktury informacyjnej (NII33), nazywanej początkowo trochę niefortunnie programem budowy „informacyjnych autostrad34”. Inicjatywa NII odnosiła się przede wszystkim do gospodarczego i cywilizacyjnego znaczenia powszechnej dostępności nowych technologii informacyjnych, które stopniowo rozwinęły się w programy rozwoju społeczeństwa informacyjnego, wśród dyskutowanych zagadnień musiała się również pojawić kwestia ochrony zasobów, których znaczenie należało uznać za krytyczne. W 1995 roku po atakach bombowych na Word Trade Center i w Oklahoma City Prezydent Clinton wydał dyrektywę w sprawie zwalczania terroryzmu PDD 39, która zawierała wyraźny postulat „oceny podatności agencji rządowych i podstawowej infrastruktury informacyjnej na ataki terrorystyczne”[PDD 39, 1995]. Oceny tej dokonała grupa robocza, której przewodniczyła zastępca Prokuratora Generalnego Jamie Goerlick. W skład grupy wchodził również Zastępca Sekretarza Obrony, Dyrektor FBI, Dyrektor CIA, Zastępca Asystenta Prezydenta ds. Bezpieczeństwa Narodowego. Zdefiniowano podstawowe rodzaje infrastruktury krytycznej i zidentyfikowano różne typy zagrożeń. Niestety „rozwijając mechanizmy organizacyjne obrony krajowej infrastruktury informacyjnej, nie doceniono roli wytwórców rozwiązań technicznych i użytkowników komercyjnych”[Rattray 2004: s.363}. Prace tej grupy roboczej pozwoliły jednak przygotować założenia do pierwszej kompleksowej regulacji na temat infrastruktury krytycznej EO 13010 w roku 1996, definiując sektory infrastruktury krytycznej i powołując Prezydencką Komisję ds. Infrastruktury Krytycznej (PCCIP35). Przewodniczącym PCIP został emerytowany generał lotnictwa Robert. T. Marsh. Komisja gromadziła przedstawicieli agencji rządowych, sektora prywatnego i ekspertów ze środowiska akademickiego. PCCIP podzielono na 5 zespołów: Presidential Executive Order 13010 National Information Infrstructure 34 information highways 35 PCCIP – Presidential Commission on Critical Infrastructure Protection 32 33 24 Informacja i telekomunikacja, obejmujący telekomunikację, komputery, oprogramowanie, Internet, satelity, światłowody; Dystrybucja fizyczna, obejmujący koleje, lotnictwo, żeglugę, rurociągi; Energia, obejmujący energetykę, gaz, ropę naftową, produkcję, dystrybucję i składowanie; Bankowość i finanse, obejmujący transakcje finansowe, rynek akcji i obligacji, rezerwy federalne; Najważniejsze usługi dla ludności – wodę, usługi ratownicze, usługi administracji rządowej i samorządowej Razem z PCIP powołano również Zespół Specjalny ds. Ochrony Infrastruktury IPTF36 w strukturach Departamentu Sprawiedliwości. W 1966 roku GAO37 przedstawił raport na temat bezpieczeństwa informacyjnego, który we wstępie zauważa, że Departament Obrony korzysta w coraz większym stopniu z komercyjnych sieci łączności, ale w związku z tym wzrasta ryzyko ataku na wojskową infrastrukturę informacyjną - „potencjalna możliwość katastrofalnych zniszczeń jest bardzo duża. Zorganizowani grupy innych narodowości, w tym terroryści mogą użyć techniki „wojny informacyjnej” dla zakłócenia działań militarnych, uszkadzając systemy dowodzenia i kierowania, publiczne sieci komutowane oraz inne systemy i sieci, na których bazują sieci wojskowe” [GAO 1996: s.2]. Z kolei w raporcie opublikowanym w październiku 1997 roku przez PCCIP [PCCIP Report, 1997] zwrócono uwagę na niedostateczne zainteresowanie ochroną infrastruktury krytycznej wśród odpowiedzialnych instytucji i podmiotów. Zalecono strategię działania, polegającą na współpracy z prywatnymi podmiotami, potrzebie uświadamiania i kształcenia, opracowania programu badań i rozwoju. Wyodrębniono pięć obszarów, w których potrzebna jest partnerska współpraca pomiędzy rządem, a sektorem prywatnym: Formułowanie polityki; Zapobieganie i łagodzenie skutków; Dzielenie się informacjami i analiza informacji Przeciwdziałanie (reagowanie na incydenty) Przywrócenie poprzedniego stanu. 36 37 Infrastructure Protection Task Force General Accounting Office – odpowiednik polskiego NIK 25 Raport zalecał stworzenie specjalnych struktur w ramach administracji, które miały być odpowiedzialne za ochronę infrastruktury krytycznej: Urząd ds. Zapewnienia Infrastruktury Krajowej38, działający w ramach Narodowej Rady Bezpieczeństwa (NSC) kierowany przez specjalnego asystenta prezydenta. Krajowa Rada ds. Zapewnienia Infrstruktury39, składająca się z nominowanych przez prezydenta urzędnicy federalni i stanowi, lokalni Biuro ds. Pomocy w Zapewnieniu Infrastruktury40, działające w strukturach Departamentu Handlu, stanowiące płaszczyznę porozumienia rządu i sektora prywatnego Federalne agencje zarządzające poszczególnymi sektorami Koordynatorzy poszczególnych sektorów, odpowiedzialni za wymianę informacji Centrum Wymiany Informacji i Analiz41, z zadaniem gromadzenia informacji ze wszystkich dostępnych źródeł, również anonimowych, w tym informacji o incydentach. Zakładano, że będzie to miejsce współpracy sektora rządowego i prywatnego. Proponowano, by organizacyjnie wykorzystać częściowo zasoby głównego CERT (CERT/CC42). W ośrodku miała również działać komórka odpowiedzialna za sprawy łączności na potrzeby rządu federalnego i delegatura komórki FBI, kompetentnej w sprawach przestępstw komputerowych i naruszeń w sprawach infrastruktury krytycznej. Centrum Ostrzegania43, pod zarządem FBI, zachowujące zdolność natychmiastowego reagowania prób ataku na infrastrukturę krytyczną. Wdrażanie niektórych propozycji i polepszanie ochrony infrastruktury krytycznej napotykało na przeszkody prawne. Sektor prywatny oczekiwał zapewnienia, że udostępnione rządowi informacje wrażliwe, nie przedostaną się do wiadomości strony trzeciej [Denning 2002, s.461-462]. Stwierdzono, że istnieją problemy z kwalifikacją prawną wielu przestępstw komputerowych. Wiele z nich wykracza Office of National Infrastructure Assurance National Infrastructure Assurance Council 40 Infrastructure Assurance Support Office 41 Information Sharing and Analysis Center 42 Computer Emergency Response Team Coordination Center 43 Warning Center 38 39 26 poza granice jurysdykcji i powinno być ściganych z upoważnienia sędziego federalnego. Sformułowano potrzebę podjęcia działań na szczeblu międzynarodowym. Zidentyfikowano kilka obszarów badawczych i sformułowano potrzebę zwiększenia budżetu na zwalczanie zagrożeń związanych atakami na infrastrukturę krytyczną. 3.8. Dyrektywa 63 (PDD 6344) Wydana przez Prezydenta Billa Clintona Dyrektywa PDD 63 na temat Infrastruktury Krytycznej z roku 1998 określiła infrastrukturę krytyczną jako „te fizyczne i teleinformatyczne (cybernetyczne) systemy informatyczne, które są istotne dla zapewnienia minimum działania gospodarki i rządu” . Wcześniejszy raport Prezydenckiej Komisji ds. Ochrony Infrastruktury Krytycznej (PCCIP) określił punkt wyjścia dla polityki regulacyjnej: „żaden urząd, organizacja, ani osoba fizyczna w ramach Rządu Federalnego nie odpowiada za całość ochrony infrastruktury lub politykę w tym zakresie. To nie powinno być zaskakujące, ponieważ jest niewielkie zapotrzebowanie na istnienie krajowego punktu widzenia, jeżeli infrastruktura w większości jest zróżnicowana, tworzona według niezależnych koncepcji, rozproszona geograficznie, niekiedy chroniona przez siły zbrojne. Dzisiaj jednak współzależność, współdziałanie infrastruktury i wystawienie na ataki z cyberprzestrzeni oraz inne zagrożenia uzasadniają potrzebę istnienia takiego jednego punktu widzenia. Dla wsparcia tej potrzeby powstaną ramowe zasady na poziomie federalnym, przy współpracy z władzami stanowymi i sektorem prywatnym, by wprowadzić narodową politykę ochrony infrastruktury” [PCCIP Report 1997: s.50]. PDD 63 przewidywała przeprowadzenie oceny podatności na zagrożenia w ciągu 180 dni, a następnie okresowe przeglądy dla każdego sektora gospodarki i sektora rządowego, które mogłyby się stać przedmiotem potencjalnego ataku. Ocena miała również zawierać „minimum istotnej infrastruktury (MEI45) dla każdego sektora”. Strategia działań zakładała następujące cele: Wprowadzenie mechanizmów partnerstwa publiczno-prywatnego dla wzmocnienia bezpieczeństwa technologii informacyjnych; 44 45 Presidential Decision Directive 63 Minimum Essential Infrastructure 27 Podniesienie świadomości ważności bezpieczeństwa teleinformatycznego w sektorze prywatnym i rządowym; Stymulowanie sił rynkowych dla zwiększenia popytu na środki bezpieczeństwa oraz wypracowanie standardów i zasad postępowania; Finansowanie i inspirowanie prac badawczych w obszarze technologii informacyjnych ukierunkowanych na zwiększanie bezpieczeństwa; Współpraca z ośrodkami akademickimi w celu zwiększenia liczby studentów specjalizujących się w dziedzinie bezpieczeństwa teleinformatycznego; Pomoc w organizacji ochrony przed zagrożeniami, łagodzenia skutków i zdolności reagowania na ataki z cyberprzestrzeni, poprzez budowanie systemu wymiany informacji pomiedzy agencjami rządowymi, pomiedzy korporacjami, a także pomiędzy rządem, a biznesem [Report 2001: 3] Dla osiągnięcia celów PDD 63 przewidziano realizację dwóch kierunków działań politycznych: Utworzenie skutecznego systemu współpracy z sektorem prywatnym dla każdego sektora infrastruktury i innych kluczowych dziedzin, w tym administracji podatkowej, ubezpieczeń oraz inwestycji komunalnych, w celu podnoszenia świadomości i inicjowania rozwiązań i działań rynkowych; Poprawa bezpieczeństwa infrastruktury krytycznej systemów rządowych, w tym planów działań, prac badawczych i rozwojowych, zatrudnienie kompetentnego personelu. Działania te powierzono kilku nowym instytucjom: Koordynator Krajowy ds. bezpieczeństwa, infrastruktury krytycznej i przeciwdziałania terroryzmowi Koordynator Krajowy działał w strukturze Narodowej Rady Bezpieczeństwa (NCS46) Białego Domu, był sprawozdawcą zagadnień związanych z bezpieczeństwem teleinformatycznym i naruszeń w związku z wykonaniem dyrektywy PDD 63. 46 NCS – National Security Council 28 CIAO47 - Urząd ds. Zabezpieczenia Infrastruktury Krytycznej CIAO było międzyagencyjnym biurem, działającym w strukturach Departamentu Stanu wspomagając działania koordynacyjne rządu federalnego. Do kompetencji CIAO należały trzy główne zadania: Koordynacja przygotowania projektu Narodowego Planu Ochrony Bezpieczeństwa Informacyjnego. Wersja 1.0 tego planu została opublikowana w styczniu 2000 roku [National Plan, 2000]; Wspomaganie agencji federalnych w działaniach analitycznych, określających zależności i współzależności infrastruktury krytycznej; Koordynacja krajowych osiągnięć, edukacji i wysiłków zmierzających do wzrostu świadomości, dotyczącej problematyki bezpieczeństwa informacji i infrastruktury krytycznej. CIAO miało być katalizatorem utworzenia Partnerstwa dla Bezpieczeństwa Infrastruktury Krytycznej (PCIS48) przez przedstawicieli sektora prywatnego. NIPC49 – Centrum Ochrony Infrastruktury Krytycznej NIPC było międzyagencyjnym biurem działającym w strukturze Federalnego Biura Śledczego (FBI50). Było ono centrum koordynacyjnym specjalizującym się w sprawach naruszeń bezpieczeństwa teleinformatycznego, ostrzeżeń, wykrywania słabych punktów w systemie bezpieczeństwa infrastruktury krytycznej oraz ścigania przestępstw związanych z bezpieczeństwem teleinformatycznym. Zatrudniało ono personel składający się częściowo z funkcjonariuszy FBI oraz osób delegowanych z innych agencji federalnych. Do centrum delegowały również przedstawicieli właściwe agencje rządowe z Kanady i Wielkiej Brytanii. Niezależnie od czynności dochodzeniowo śledczych, które były właściwością NIPC, prowadziło również działalność doradczą promując rozwiązania bezpieczeństwa. CICG51 - Grupa Koordynacyjna Infrastruktury Krytycznej Każdemu sektorowi infrastruktury krytycznej przypisano właściwą agencję rządową i pracownika agencji - Sektorowego Urzędnika Łącznikowego52, którzy CIAO – Critical Infrastructure Assurance Office PCIS – Partnership for Critical Infrastructure Security 49 NIPC – National Infrastructure Protection Center 50 FBI – Federal Bureau of Investigation 51 CICG – Critical Infrastructure Coordinating Group 47 48 29 poprzez Grupę Koordynacyjną Infrastruktury Krytycznej utrzymywał kontakty z prezydenckim Koordynatorem Krajowym. CICG składało się z wysokich urzędników szczebla politycznego – podsekretarza stanu lub wyżej, również z innych instytucji federalnych. Pracami CICG formalnie kierował Koordynator Krajowy. . CISG53 – Grupa Sterująca Cyber-Incydentów oraz CIWG54 Grupa Robocza Cyber-Incydentów. CISG i CIWG działały w ramach CICG, zajmując się konkretnymi przypadkami naruszeń bezpieczeństwa infrastruktury krytycznej. CISG zajmowało się koordynacją działań naprawczych, a CIWG czynnościami dochodzeniowośledczymi, przy współpracy z FBI, ale z zasady nie naruszając właściwości samego FBI i innych służb policyjnych. Rada CIO55 Rada CIO skupia pełnomocników ds. ochrony informacji z federalnych agencji rządowych. Ich odpowiedzialność obejmuje ochronę informacji niejawnych, ochronę danych osobowych w podległych urzędach, nadzór nad procedurami bezpieczeństwa, a także politykę udostępniania informacji w systemach informatycznych. JTRB56 Wspólna Rada Zasobów telekomunikacyjnych Wspomaga działania urzędu prezydenta poprzez Dyrektora ds. nauki i Technologii w sprawach działania Narodowego Systemu Łączności (NCS) w sprawach szczególnych zagrożeń o niewojennym charakterze. JTRB z udziałem przedstawicieli sektora prywatnego bierze udział w organizacji centrum łączności kryzysowej Krajowego Centrum Łączności (NCC57), będąc „wzorcowym przykładem partnerstwa publicznego-prywatnego” [Report 2001: s.6] Sector Liaison Official CISG – Cyber Incydent Steering Group 54 CIWG – Cyber Incident Working Group 55 CIO Council – Chief Information Officers Council 56 JTRB – Joint Telecommunications Resources Board 57 NCC – National Communications Center 52 53 30 NSTISSC58 – Narodowy Komitet Bezpieczeństwa Systemów Telekomunikacyjnych i Informatycznych NSTISSC został utworzony w 1990 jest forum dyskusyjnym na temat polityki ochrony krajowych systemów bezpieczeństwa teleinformatycznego i skupia przedstawicieli eirlu agencji cywilnych i wojskowych. NIAP59 – Narodowe Partnerstwo Zabezpieczenia Informacyjnego NIAP to rządowa inicjatywa powołana do zaspokojenia potrzeb noramizacyjnych i testowania bezpieczeństwa teleinformatycznego producentów i użytkowników. NIAP współpracował z Narodowym Instytutem Standardów Technologicznych (NIST60) i Narodową Agencją Bezpieczeństwa (NSA61) FedCIRC62 - Federalny Potencjał Reagowania na Incydenty Komputerowe FedCIRC był centralnych rządowym ośrodkiem analitycznym bezpieczeństwa systemów komputerowych cywilnych i rządowych, korzystając z zasobów analitycznych Departament Obrony, służb specjalnych i policyjnych, Wspólnoty Wywiadowczej, ośrodków akademickich i innych specjalizowanych agencji rządowych i cywilnych. ISAC63 – Centra Wymiany Informacji i Analizy Jedną z najważniejszych koncepcji PDD 63 było tworzenie ISAC w ramach poszczególnych sektorów gospodarki w celu wymiany informacji o zagrożeniach, incydentach, podatności, rozwiązaniach i środkach zaradczych. ISAC były zorganizowane według następujących zasad: Dostarczanie informacji miało być dla organizacji gospodarczych dobrowolne Członkostwo organizacji gospodarczych miało być dobrowolne *** Założeniem PDD 63 było określenie specyfiki poszczególnych sektorów i różnic w sposobie podejścia do zachowania infrastruktury krytycznej i środków National Security Telecommunications and Information Systems Security Committee NIAP – National Information Assurance Partnership 60 NIST – National Institute of Standards and Technology 61 NSA – National Security Agency 62 FedCIRC – Federal Computer Incident Response Capability 63 ISAC – Information Sharing and Analysis Center 58 59 31 zaradczych. Jednak w po kilku latach doświadczeń, szczególnie pod rządami administracji nowego Prezydenta oceniono, że wysiłek administracji Clintona poświęcony na realizację założeń PDD 63 nie dał zadawalających rezultatów. Część problemów wiązano z samym PDD 63, gdzie nie zawarto dostatecznie przejrzystych kryteriów do oceny co w istocie jest krytyczne lub przynajmniej procedur dojścia do ocen pozwalających osiągnąć zakładany cel [Bennett, 2002:3]. Jeszcze w 2001 Prezydencka Rada ds. Integralności i Skuteczności przedstawiła raport na temat postępów w realizacji PDD 63 [Report, 2001]. Obszerny raport dokumentował wszystkie czynności i decyzje, które były wynikiem wprowadzania PDD, ale stwierdzał przy tym w wstępnym podsumowaniu [s.6], że: Większość agencji nie zidentyfikowało swoich najistotniejszych zasobów infrastruktury64; Prawie żadana z agencji nie zakończyła oceny podatności swoich zasobów MEI ani planów zaradczych. Oceny te potwierdził raport GAO z kwietnia 2001, stwierdzając ponadto nieskuteczność wysiłków prowadzących do wymiany informacji i doświadczeń, pomiędzy różnymi agencjami i sektorami gospodarki [GAO 2001: s.71]. . Konkluzje te potwierdzały nie bez złośliwej satysfakcji komentarze przedstawicieli administracji prezydenta Busha. Krajowy Koordynator nie był w stanie zapewnić wystarczającego nadzoru nad podległymi sobie agencjami, ani odpowiedniego budżetu na rozwój. Administracja Clintona nie zdołała również przełamać biurokratycznego oporu odpowiedzialnych agencji przed współpracą. Nie można było skłonić agencji do zastosowania proponowanych standardów i inwestowania w potrzebne systemy. Planowanie, wdrażanie i wykonanie wypracowanych założeń ochrony infrastruktury krytycznej komplikowało się, w związku z zastaną pionową strukturą zarządzania bezpieczeństwem, implikującą sposób finansowania w większości agencji. Administracji Clintona udawało się osiągać sukcesy głównie tam, gdzie nie trzeba było liczyć ze skutkami budżetowymi lub tam gdzie realizacja projektu była oczywistą koniecznością [Montgomery, 2002, s.23]. 64 mission-essential infrastructure assets 32 3.9. Mobilizacja sił w związku z „problemem roku 2000” Przygotowanie do uniknięcia katastrofy informatycznej na początku roku 2000, kiedy spodziewano się poważnych zakłóceń w działaniu systemów informatycznych zależnych od oprogramowania, w którego daty systemowe nie zakładały zmiany z roku 1999 na rok 2000, zaangażowało tysiące firm prywatnych. Według wyliczeń Departamentu Handlu przygotowania do granicznej daty roku 2000 mogły pochłonąć w okresie od 1995 do 2000 roku około 100 miliardów dolarów. Duża część doświadczeń, głównie o charakterze instytucjonalnym, może być wykorzystana do prac problematyką infrastruktury krytycznej [Mussington 2002, s.vii]. W rozwiązywaniu problemu roku 2000 okazało się, że wbrew partykularnym różnicom interesów możliwe jest osiągnięcie synergii we współpracy wokół wspólnego celu różnych agencji rządowych, podmiotów gospodarczych, ośrodków badawczych [Chen, 2002: s.65] Ostatnie miesiące 1999 upłynęły w atmosferze sporów prawnych, czy zasadne byłoby zastosowanie ustawy o produkcji obronnej do zupełnie odmiennej sytuacji, niż w czasach zimnej wojny, a także jak stosować inne ustawy o działaniach w stanach nadzwyczajnych, skoro nie uwzględniały wprost tematyki infrastruktury krytycznej [Zeichner 2002: s.76-82]. Pod względem praktycznym działania zmierzające do uniknięcia problemu roku 2000 były poligonem doświadczalnym struktur organizacyjnych wprowadzonych dyrektywą PPD 63. Problem roku 2000 pokazał, w jak istotne znaczenie, nawet na zdolność do przetrwania podmiotu gospodarczego, może mieć ryzyko związane z połączeniem w sieć systemów kontrolujących działanie gospodarki i wspierających działanie różnych rodzajów infrastruktury [Keys 2002: s 41]. 3.10. Doświadczenie 11 września 2001 roku 11 września boleśnie zweryfikował dużą część teoretycznych rozważań na temat infrastruktury krytycznej. Terroryzm zaangażowany w wojnę przeciwko państwu wcale nie musi brać na cel obiektów o strategicznym znaczeniu militarnym. Nie można również zakładać, że to siły zbrojne będą mogły zawsze wziąć na siebie 33 podstawowy ciężar działań związanych ze zwalczaniem przyczyn i skutków kryzysu w wojnie prowadzonej metodami terrorystycznymi. W ataku na wieże World Trade Center użyto cywilnych samolotów, a wybrany cel ataku, niezależnie od tragicznego rozmiaru zniszczeń i szokującej liczby niewinnych ofiar, miał przede wszystkim znaczenie symboliczne. Podjęcie rutynowych działań obronnych przez wojskowe siły powietrzne nie mogłoby zapobiec atakom, bo wiadomość o porwaniu samolotu American Flight lot nr 11 dotarła do Federalnej Agencji Lotnictwa o 8:40, niespełna 6 minut przed uderzeniem w World Trade Center. Rozkaz startu dla pary dyżurnej F-15 z bazy Gwardii Narodowej Otis w Falmouth zbiegł się z uderzeniem w północny wieżowiec o 8:46, a start nastąpił o 8:52, na dziesięć minut przed uderzeniem United Flight lot nr 175 w wieżowiec południowy [NRC, 2003, s.15]. Do wyjścia z kryzysu użyto przede wszystkim służb cywilnych, również cywil, burmistrz Gulliani, zarządzał w Nowym Jorku zwalczaniem kryzysu i akcją naprawczą. Z punktu widzenia terrorystów zakładany cel operacji został osiągnięty i to przy użyciu środków technicznych, będących własnością wroga. Do ataku użyto amerykańskich samolotów, startujących z amerykańskich lotnisk. Terroryści zdobili umiejętność sterowania porwanymi samolotami wykorzystując amerykański system szkolenia pilotów. Wiele wskazuje na to, że najważniejszym celem terrorystów było instrumentalne wykorzystanie sprawności sieci komunikacji amerykańskich mediów elektronicznych. Dzięki amerykańskim środkom komunikacji elektronicznej o atak, dosłownie na żywo mógł oglądać cały świat i każdy dowiedział się, co to jest Al.-Kaida i kim jest Bin Laden. Gdyby Al.-Kaida kierowała się głównie maksymalizacją szkód w infrastrukturze, tak się to przyjęto zakładać w ofensywnych działaniach militarnych, to być może wstrzymano by się o mniej więcej o godzinę, by do zniszczeń i efektu medialnego dodać katastrofalne efekty związane z destabilizacją działania giełdy nowojorskiej i być może światowego rynku finansowego. Ponieważ pierwszy samolot uderzył w północny wieżowiec o godz. 8:46 zarząd NYSE65 miał jeszcze czas, by podjąć decyzję o opóźnieniu otwarcia giełdy, [NYSE 2001]. 65 New York Stock Exchange 34 Zaatakowany rejon Manhattanu jest przy tym wszystkim bardzo istotnym węzłem komunikacyjnym. Chronologia zniszczeń systemów telekomunikacyjnych przedstawia się następująco: 8:46 – 10:00 System łączności WTC zostaje zablokowany Niektóre urządzenia zostały zniszczone lub zablokowane przeciążeniowo Przeciążeniowe zablokowanie internetowych serwisów informacyjnych NBC, CNN, MSNBC 10:00 – 11:00 Walą się oba wieżowce Ze względu na skomasowanie nadajników radiowych na wieżowcach WTC, w rejonie przestaje działać większość systemów radiowych, komórkowych (Sprint, PCS, AT&T Wireless, Arizon) oraz dyspozytorskich policji, straży ogniowej, służb medycznych i innych, a także nadajników i przekaźników radiowych i telewizyjnych Przestaje działać kilkanaście internetowych centrów wymiany danych (PoP66) obsługiwanych przez WorldCom, AT&T Local Services, Verizon Przestają działać niektóre linie wydzielone transmisji danych lub DNS zarządzane z serwerów w WTC, a obsługujące klientów w Nowym Jorku, Connecticut, Massachusetts, a nawet w niektórych lokalizacjach w Europie (np.Włochy, Niemcy, Rumunia), a także w Południowej Afryce. 11:00 – 17:00 Następują wyłączenia kolejnych systemów telekomunikacyjnych, w związku z wyczerpywaniem się systemów zasilania 17:20 – 17:40 Runął budynek nr 7 WTC Zniszczona podstacja elektryczna dla rejonu Zniszczona główna lokalna centrala telefoniczna Verizon [NRC, 2003, s.14-19] [materiały archiwalne Verizon, AT&T] 66 Point of Presence 35 Fizyczne zniszczenia sieci telekomunikacyjnych: Centrala Verizon obsługująca 3,5 mln łączy; Zniszczone zostaje 10 komórkowych stacji bazowych Verizon; Zniszczone urządzenia AT&T dla obsługi ruchu korporacyjnego, lokalnego i międzymiastowego i międzynarodowego; Sieć komórkowa Sprint traci 4 komórki, obsługujące cały rejon Manhattanu; Worldcom traci 200 wysokiej wydajności łączy transmisji danych Zniszczonych 9 z 14 lokalnych nadajników telewizyjnych (wszystkie przekaźniki telewizyjne były umieszczone na wieżowcu północnym, który runął pierwszy), co miało w Nowym Jorku relatywnie większe znaczenie, niż w innych miastach, bo na Manhattanie tylko ok. 50% mieszkań korzystało z telewizji kablowej (średnia krajowa wynosi 70%) [[NRC, 2003, s.39] Część systemów przestała funkcjonować ze względu na przeciążenie ruchem: Większość nowojorskich internetowych serwisów informacyjnych (New York Limes, CNN, NBC News) zostało całkowicie zablokowanych pomiędzy 9:00, a 10:00 W rejonie Nowego Jorku zanotowano 400% wzrost ruchu telefonicznego wobec średniej dziennej. Około godziny 11:00 główny lokalny operator telefoniczny Verizon zanotował wzrost wywołań (żądanie nawiązania połączenia telefonicznego) ok. 1300% [NRC, 2003: s. 38] Sieć AT&T obsłużyła 431 mln połączeń, kiedy zwykle obsługuje w szczycie ruchu ok. 300 mln połączeń [mat. Archiwalne AT&T] Sieć Verizon obsłużyła ponad 340 mln połączeń, kiedy zwykle w szczycie ruchu obsługuje srednio ok.105 mln połączeń. AOL Instant Messenger przesłał 1,2 miliarda wiadomości, czyli 100 razy więcej niż zwykle Sieć komórkowa Cingular Wireless zanotowała wzrost ruchu 400%. Wywołania sieci komórkowych, tych które w rejonie Nowego Jorku działały były blokowane w 75% ze względu na przeciążenie [NRC, 2003:s.38] Dla oceny metodyki wychodzenia z trudnej do przewidzenia sytuacji kryzysowej na Manhattanie 11 września i w dniach następnych, z punktu widzenia strategii 36 ochrony infrastruktury krytycznej, należałoby zwrócić uwagę na trzy ważne czynniki, które pozwoliły uniknąć pogłębiania lub eskalacji kryzysu: Natychmiastowe, prawie automatyczne uruchomienie procedur kryzysowych. Decyzje, zostały podjęte dzięki sprawnym systemom informacyjnym, np: o Decyzja o wstrzymaniu otwarcia Giełdy NYSE; o 8:52 zatrzymanie pociągów metra jadących w kierunku stacji WTC; o 9:12 ostatni ratunkowy pociąg metra opuszcza stację WTC; o 9:21 zamknięcie mostów i tuneli w Nowym Jorku; o 11.02 otwarcie mostów dla ruchu z Manhattanu; Zaangażowanie wszystkich prywatnych operatorów w odtworzenie systemów łączności, o ezzwłoczne zapewnienie łączności dla zarządzania kryzysem, m.in: 5000 aparatów komórkowych wozów łączności satelitarnej, o udostępnienie 4000 darmowych automatów telefonicznych na Manhattanie; o Zorganizowanie zapasowych centrów łączności, Zrównoważenie destrukcyjnego efektu psychologicznego, przez medialną propagandę bohaterstwa ratowników i solidarności. 3.11. DHS – Departament Bezpieczeństwa Krajowego67 3.11.1 Biuro Bezpieczeństwa Krajowego68 Wkrótce po ataku na WTC Prezydent Bush przedstawił koncepcję powołania nowego ministerstwa – Departamentu Bezpieczeństwa Krajowego, którego misję sformułował w październiku 2001, jako „opracowanie i koordynacja wdrażania całościowej narodowej strategii ochrony Stanów Zjednoczonych przed zagrożeniami lub atakami terrorystycznymi” [EO 13228, 08.10.2001]. Prace przygotowujące powołanie DHS, i długoterminowej strategii Prezydent Bush powierzył Tomowi Ridge, Asystentowi Prezydenta ds. Bezpieczeństwa Krajowego. Tom Ridge, stał się tym samym Dyrektorem Biura Bezpieczeństwa Krajowego, zorganizowanego w strukturze Białego Domu. 67 68 Departament of Homeland Security Office of Homeland Security 37 Prezydent powołał również rozporządzeniem EO 13228 kierowaną Radę Bezpieczeństwa Krajowego, dla której Biuro Bezpieczeństwa Krajowego było organem wykonawczym. Radą kieruje Prezydent lub pod jego nieobecność Wiceprezydent. W jej skład wchodzą Sekretarze wszystkich agencji federalnych. W prezydenckim dokumencie roboczym zaprezentowanym w końcu 2001 roku, znalazło się jasne stwierdzenie, że „Stany Zjednoczone nigdy nie dysponowały narodowym planem własnego zabezpieczenia przed zagrożeniami terrorystycznymi”[Bush, 2002: s.6]. Wymieniono następujące obszary działań, wydzielonych jako ogólne pozycje budżetowe: Wsparcie sił „pierwszego reagowania” (straż pożarna, wolontariusze, policja lokalna, ratownicze służby medyczne); Ochronę przed zagrożeniem bioterroryzmem; Ochrona granic; Technologie 21 wieku ukierunkowane na obronność kraju; Bezpieczeństwo teleinformatyczne. Ochrona Infrastruktury Informacyjnej: o Narodowe Centrum Ochrony Infrastruktury (NIPC) – działające nadal w strukturach FBI; o Sieć wywiadowcza ostrzegania o zagrożeniach (CWIN69); o Priorytet dla radiodostępu70 - program, który pozwoli zachować; zdolność do utrzymania ciągłości łączności radiowej w sytuacjach kryzysowych; o Symulacyjne i Analityczne Centrum Narodowej Infrastruktury71 - w Departamencie Energii, dla lepszego rozumienia współzależności infrastruktury krytycznej, Internetu i gospodarki; o Studium wykonalności na temat projektu „GovNet” – sieć rządowa o zwiększonej odporności na atak z zewnątrz; o AES72 - wdrażanie standardów kryptograficznych w administracji; o Uczelniany „Cyberkorpus”, promujący kursy o tematyce bezpieczeństwa; Cyberspace Warning Intelligence Network Priority Wireless Access 71 National Infrastructure Simulation and Analysis Centem 72 Advanced Encryption Standard 69 70 38 Inne obszary związane z bezpieczeństwem kraju: o Bezpieczeństwo transportu; o Federalne służby bezpieczeństwa; o Korpusy Obywatelskie73; milicja obywatelska; medyczne służby rezerwowe; system informacji o zagrożeniach terrorystycznych TIPS74; społeczne grupy reagowania w sytuacjach szczególnych zagrożeń (CERT75); Program obserwacji sąsiedzkiej76; Przewodnik Gotowości Obywatelskiej77; o Departament Obrony i Wspólnota Wywiadowcza; o Ochrona Infrastruktury Krytycznej. W czerwcu 2002 roku Prezydent zaprezentował raport podsumowujący stan prac nad przygotowaniem do powołania DHS [Bush, 2002], w którym przede wszystkim promowano tezę o konieczności ścisłej koordynacji działań, w zakresie bezpieczeństwa krajowego rozproszonych w ponad 100 różnych podmiotach administracji rządowej różnego szczebla, poprzez podporządkowanie ich jednej wyspecjalizowanej agencji. Zaplanowano, by we właściwościach DHS znalazły się kwestie: Bezpieczeństwa granic i transportu; Przygotowania i reagowania w sytuacjach szczególnych zagrożeń; Przeciwdziałania zagrożeniom chemicznym, biologicznym radiologicznym i jądrowym. Analizy informacji, ze wszelkich źródeł wywiadowczych, operacyjnych i analitycznych wszystkich innych agencji oraz ochrony amerykańskiej infrastruktury krytycznej. Citizen Corps Terrorist Information and Prevention System 75 Community Emergency Response Team 76 Neighborhood Watch Programs 77 Citizens’ Prepardness Guidebook 73 74 39 Określono również kilka kluczowych zagadnień, wymagających dalszych prac: Koordynacja współdziałania sektora rządowego/samorządowego i sektora prywatnego; Włączenie w strukturę DHS Tajnej Słuzby78; Zachowanie kompetencji Białego Domu, Biura Bezpieczeństwa Krajowego oraz Rady Bezpieczeństwa Krajowego w sprawach koordynacji i upraszczania procesów wymagających współpracy międzyagencyjnej; Zadania, które znajdą się w kompetencjach DHS, pomimo, że wykraczają poza ściśle pojmowaną ochronę kraju przed terroryzmem. Dotyczy to na przykład działań, w których środki podejmowane do zarządzania kryzysem są podobne lub analogiczne, jak na przykład klęski żywiołowe (działanie poprzez FEMA) 3.11.2 Narodowa Strategia Bezpieczeństwa Krajowego W lipcu 2002 roku Biuro ds. Bezpieczeństwa Krajowego w imieniu Prezydenta opublikowało dokument – Narodowa Strategia Bezpieczeństwa Krajowego [OHS 2002], która miała odpowiedzieć na cztery podstawowe pytania: Co to jest Bezpieczeństwo Krajowe i z realizacją jakiej misji jest związane? Jakich starania należy podejmować i jakie są najważniejsze cele bezpieczeństwa krajowego? Na czym polegają działania podejmowane aktualnie przez odpowiedzialny dział administracji federalnej i czym się ma on zajmować w przyszłości? Co powinny robić instytucje samorządowe, sektor prywatny i obywatele by chronić kraj? W dokumencie tym nieco inaczej uporządkowano obszary działań w celu zapewnienia bezpieczeństwa krajowego: Wywiad i ostrzeganie, Bezpieczeństwo granic, Przeciwdziałanie terroryzmowi79 na poziomie lokalnym, Ochrona infrastruktury krytycznej i kluczowych zasobów, Obrona przed zagrożeniami katastroficznymi, Gotowość i reagowanie w sytuacjach zagrożeń. 78 79 Secret Service counterterrorism 40 W miejscu, gdzie w dokumencie Strategia Bezpieczeństwa Krajowego omawia się kwestię infrastruktury krytycznej, znalazło się stwierdzenie, że do amerykańskiej infrastruktury krytycznej należy zaliczyć wiele różnych sektorów, systemów, zasobów i funkcji istotnych z punktu widzenia bezpieczeństwa narodowego, możliwości zarządzania państwem, zdrowia i bezpieczeństwa publicznego, gospodarki i morale społeczeństwa. W niesprzyjających okolicznościach zaatakowanie jednego lub kilku fragmentów infrastruktury krytycznej może spowodować uszkodzenie całego systemu i mieć skutki dla całego kraju. Potraktowane jako priorytetowe, działania mające chronić infrastrukturę krytyczną przed zagrożeniami o charterze terrorystycznymi, powinny również zmniejszyć podatność na zagrożenia o innym charakterze, jak klęski żywiołowe, zorganizowana przestępczość, hackerzy komputerowi [OHS 2002, s.30] W strategii określono 8 obszarów działań: Działanie 1. Zjednoczenie amerykańskich wysiłków w dziedzinie ochrony infrastruktury w DHS. Sprowadza się to między innymi do konsolidacji wyspecjalizowanych jednostek organizacyjnych z różnych urzędów, przede wszystkim: Urząd ds. Zapewnienia Infrastruktury Krytycznej CIAO, działające w Departamencie Handlu Centrum Ochrony Infrastruktury Narodowej – NIPC, z wyłączeniem spraw związanych z przestępczością komputerową, działające w strukturze FBI DHS miało powiększać zdolność działania w oparciu o dorobek lub przejęcie niektórych jednostek organizacyjnych Federalnego Centrum Reagowania na Incydenty Komputerowe FedCIRC, Dział Bezpieczeństwa Komputerowego Narodowego Instytutu Standardów i Technologii oraz NCS (Narodowego Systemu Telekomunikacyjnego). DHS ma także ujednolicić odpowiedzialność za bezpieczeństwo teleinformatyczne i fizyczne infrastruktury we wszystkich dziedzinach. 41 Organizacja Rządu Federalnego w obszarze ochrony infrastruktury krytycznej i kluczowych zasobów Prezydent Sekretarz ds. Bezpieczeństwa Krajowego Koordynacja i integracja sektorów federalnego, stanowych, lokalnych i prywatnych Całościowy plan ochrony narodowej infrastruktury krytycznej Określenie mapy zagrożeń i podatności, ogłaszanie ostrzeżeń Sektor Agencja nadzorująca Rolnictwo Departament Rolnictwa80 Żywność: Mięso i drób Departament Rolnictwa Pozostałe produkty żywnościowe Departament Zdrowia i i Usług dla Ludności81 Woda Agencja Ochrony Środowiska82 Zdrowie Publiczne Departament Zdrowia i i Usług dla Ludności Służby ratunkowe83 Departament Bezpieczeństwa Krajowego Rząd Ciągłość działania rządu Departament Bezpieczeństwa Krajowego Ciągłość działań Wszystkie departamenty i agencje Przemysł obronny Departament Obrony Informatyka i Telekomunikacja Departament Bezpieczeństwa Krajowego Energia Departament Bezpieczeństwa Krajowego Transport Departament Bezpieczeństwa Krajowego Bankowość i Finanse Departament Skarbu Przemysł chemiczny i materiałów Agencja Ochrony Środowiska niebezpiecznych Poczta i spedycja Departament Bezpieczeństwa Krajowego Narodowe pomniki i pamiątki Departament spraw wewnętrznych84 [OHS, 2002: s.32] Department of Agriculture Department of Health & Human Services 82 Environmental Protection Agency 83 Emergency services 84 Department of the Interior 80 81 42 Działanie 2. Budowa i utrzymanie kompletnego i dokładnego oszacowania amerykańskiej infrastruktury krytycznej i kluczowych zasobów Zdolność oszacowania infrastruktury krytycznej, oceny podatności i gotowości to obszar, który był niezagospodarowany w administracji federalnej. Ocena zagrożeń należy do zadań o charakterze ciągłym i wiąże się z uprawnieniem do ogłaszania stanów ostrzegawczych i działaniach w zespołach kryzysowych. Realizacja tego zadania ma znaczenie nie tylko dla bieżących działań. Powinno to również pomóc w wypracowaniu długofalowej polityki w sprawie lokowania zasobów i wysiłków, pozwalając na przykład odpowiedzieć, czy w danym przypadku ważniejsze jest inwestowanie w mocniejszą, fizyczną infrastrukturę i urządzenia, czy utrzymać rezerwy organizacyjne i sprzętowe dla celów interwencyjnych, w przypadkach okresowego wzrostu zagrożeń [OHS 2002; s.33]. Działanie 3. Umożliwić skuteczne partnerstwo z władzami stanowymi, lokalnymi i sektorem prywatnym Szczególnie istotne jest wypracowanie zasad współpracy z sektorem prywatnym, który kontroluje około 85 % amerykańskiej infrastruktury. W większości przypadków, to firmy prywatne, a nie instytucje rządowe dysponują wiedzę o środkach ochrony kontrolowanej przez siebie infrastruktury. Instytucje rządowe wszystkich szczebli muszą umożliwiać, a nie powstrzymywać sektor prywatny przed braniem odpowiedzialności za stosowanie zabezpieczeń. Jedną z najważniejszych koncepcji utworzenia DHS jest to, by instytucje władz stanowych i lokalnych oraz sektor prywatny miały z rządem federalnym jeden punkt kontaktowy w sprawie bezpieczeństwa i ochrony, co ma ułatwiać przygotowanie planowania strategicznego. Działanie 4. Opracowanie narodowego planu ochrony infrastruktury krytycznej Plan opiera się o założenia budżetowe i jest przygotowywany w cyklu rocznym. Ma on określać metodologię identyfikacji i określania priorytetów zasobów krytycznych, systemów, funkcji, a także definiować podział odpowiedzialności, pomiędzy agencje federalne, władze stanowe, lokalne i sektor prywatny. Plan określa standardy i wskaźniki dla infrastruktury krytycznej oraz środki pomiaru stanu wykonania zadań. Budżet przeznaczony na ochronę infrastruktury krytycznej musi racjonalnie równoważyć koszty i korzyści, wynikające z poprawy bezpieczeństwa. 43 DHS dysponuje programem grantów, na wdrażanie planu ochrony infrastruktury krytycznej na poziomie stanowym i lokalnym. Istnieje również możliwość tworzenia zachęt dla sektora prywatnego, by wprowadzał środki bezpieczeństwa oraz inwestował w bezpieczne technologie według założeń DHS. Niektóre wymuszone zasady zachowania bezpieczeństwa, mogą się stawać przedmiotem regulacji prawnych inicjowanych na podstawie doświadczeń DHS. Działanie 5. Zabezpieczyć cyberprzestrzeń Powszechne bezpieczeństwo teleinformatyczne należy do ważnych priorytetów strategii rządu federalnego. Gromadzeniu doświadczeń ma służyć działanie prezydenckiej Narodowej Strategii Zabezpieczenia Cyberprzestrzeni, powstającej na zasadzie partnerstwa publiczno-prywatnego, przy wsparciu prezydenckiej Rady Ochrony Infrastruktury Krytycznej. Strategia ta ma wspomagać wybory podejmowane w kwestiach bezpieczeństwa w na wszystkich poziomach: użytkowników domowych, małych, średnich i dużych przedsiębiorstw, zagadnienia o zasięgu lokalnym, stanowym, krajowym, globalnym. Działanie 6. Zabezpieczenie narzędzi służących analityce i modelowaniu dla wypracowania skutecznych środków ochrony Zadanie będzie realizowane przy wykorzystaniu zasobów wywiadowczoanalitycznych. Niektóre z opracowanych narzędzi analitycznych będą udostępniane władzom stanowym, lokalnym oraz sektorowi prywatnemu. Realizację tego zadania ma wspomagać organizacyjnie wchłonięcie przez DHS Narodowego Centrum Symulacji i Analiz, znajdującego się przedtem w strukturach departamentu Energii. Działanie 7. Ochrona amerykańskiej infrastruktury krytycznej i kluczowych zasobów przed zagrożeniami wewnętrznymi Zadanie, częściowo o charakterze kontrwywiadowczym jest ukierunkowane na potencjalne zagrożenia ze strony osób, zatrudnionych przy utrzymaniu infrastruktury krytycznej, które z różnych przyczyn mogą sabotować jej bezpieczeństwo lub z premedytacją prowokować zagrożenia. Sekretarz DHS wspólnie z Prokuratorem Generalnym organizują panel, z udziałem właściwych agencji, szczebla federalnego, stanowego i lokalnego oraz konsultacje z sektorem prywatnym na temat metod zapewnienia bezpieczeństwa osobowego w infrastrukturze krytycznej, sposobów określania prawnej 44 odpowiedzialności za powierzone zasoby infrastruktury, a także odpowiedzialności karnej za naruszenia. DHS opracuje również zalecenia dotyczące tworzenia stref bezpieczeństwa i kontroli dostępu. Działanie 8. Partnerstwo ze wspólnotą międzynarodową dla ochrony amerykańskiej infrastruktury o zasięgu ponadnardowym Partnerstwo oznacza przegląd stosowanych i wypracowanie nowych zasad współpracy transgranicznej w dziadzninie ochrony infrastruktury krytycznej z Meksykiem i Kanadą 3.11.3 Departament Bezpieczeństwa Krajowego – rozpoczęcie działalności Prezydent George Bush podpisał ustawę o bezpieczeństwie krajowym 25 listopada 2002 roku. Departament Bezpieczeństwa Krajowego rozpoczął działalność w styczniu 2003 roku, konsolidując w jednym centralnym urzędzie działania prowadzone przedtem przez 22 agencje. Jest to najpoważniejsza reforma amerykańskiej administracji od 50 lat [DHS Strategic Plan, 2004: s.53]. Przedtem żadna z agencji federalnych nie określała bezpieczeństwa krajowego jako swojego pierwszoplanowego celu. Najważniejsze zadanie nowej agencji to „obrona obywateli amerykańskich i amerykańskiego stylu życia przed terroryzmem” [DHS Strategic Plan, 2004: s.2 okł.]. Ogólne cele strategiczne DHS są bezpośrednio odpowiadają trzem celom Narodowej Strategii: 1. Zapobiegać przed atakami terrorystycznymi w Stanach Zjednoczonych; 2. Zredukować podatność Ameryki na terroryzm; 3. Zminimalizować zniszczenia i zapewnić wychodzenie z kryzysu po atakach, które miały miejsce. Cele strategii, związane bezpośrednio z infrastrukturą krytyczną to: Cel strategii 1. Świadomość – identyfikowanie i zrozumienie zagrożeń, oszacowanie podatności, określenie potencjalnych skutków, okresowe rozpowszechnianie informacji. działanie 1.1 – Gromadzenie i łączenie informacji z różnych źródeł, analizowanie i koordynacja dostępu do informacji związanymi z terrorystami i innymi zagrożeniami. 45 działanie 1.2 – Identyfikacja i oszacowanie podatności w infrastrukturze krytycznej i kluczowych zasobach. działanie 1.3 – Opracowywanie okresowych, aktualizowanych, wartościowanych biuletynów informacyjnych w oparciu o analizy wywiadowcze i oszacowania podatności. działanie 1.4 – Zapewnienie szybkiego i dokładnego rozpowszechniania odpowiednich informacji wywiadowczych wśród organizacji współpracujących, w tym udostępnianie informacji publicznej. Cel strategii 2. Zapobieganie … działanie 2.3 – Zaopatrzenie właściwych podmiotów i użytkowników w technologie i środki do wykrywania i zapobiegania atakom terrorystycznym, działalności terrorystycznej i innym nielegalnym działaniom. Działanie 2.4. – Zapewnienie by krajowa i międzynarodowa polityka, działania właściwych służb specjalnych i policji w dziedzinie przygotowania i ochrony przed terroryzmem były koordynowane. …. Cel strategii 3. Ochrona … Działanie 3.2. – Zmniejszenie podatności infrastruktury na działanie terroryzmu …. Działanie 3.5 – Zapewnienie ciągłości działania rządu i jego najistotniejszych funkcji w przypadku kryzysu lub katastrofy … Działanie 3.7 – Wzmacnianie powszechnej gotowości i zdolności do łagodzenia skutków zaistnienia aktów terroryzmu, klęsk żywiołowych i innych szczególnych zagrożeń. …. Strategiczny plan DHS oprócz zdefiniowania szczegółowych, bieżących celów formułuje także najważniejsze wyzwania [s.52,53]: 46 Wykrywanie i przeciwdziałanie działalności terrorystycznej zależy od wypracowania metod, które pozwolą uniknąć zaskoczenia, które jest głównym atutem terrorystów. Wymaga to udoskonalenia i ukierunkowania działań wywiadowczych oraz wprowadzenia mechanizmów wczesnego ostrzegania o zagrożeniach. Zmniejszenie zagrożeń stwarzanych przez terrorystów, wymaga, by organizacje terrorystyczne nie mogły uzyskać broni chemicznej, biologicznej, radiologicznej lub atomowej. Międzynarodowe organizacje, o charakterze terrorystycznym nie powinny mieć możliwości działania na terytorium Stanów Zjednoczonych, dzięki współdziałaniu administracji federalnej, stanowej i lokalnej. Organizacje o charakterze terrorystycznym nie powinny mieć również możliwości pogłębiania wiedzy na temat sposobów ataku. Wspólny narodowy wysiłek dla bezpieczeństwa kraju, to wyzwanie, które oznacza organizację i koordynację instytucji federalnych, stanowych i lokalnych, działających na podstawie ponad 87’000 systemów prawnych, niekiedy niezależnych, a także sektora prywatnego oraz partnerów międzynarodowych. Wykorzystanie doświadczeń i wiedzy, a także określanie powinności instytucji i organizacji federalnych, stanowych, lokalnych, środowiskowych, a także międzynarodowych wymaga zagwarantowania odpowiednich funduszy. Konieczne jest przy tym zapewnienie wymiany doświadczeń, wzajemne wspieranie się tymi doświadczeniami, unikanie dublowania wysiłków. Skuteczność regulacji prawnych. W ukształtowanych historycznie amerykańskich systemach prawnych na poziomie federalnym, stanowym i lokalnym dużo miejsca zajmują kwestie bezpieczeństwa, wolności. W związku z ewolucją podejścia do bezpieczeństwa krajowego wzrasta zapotrzebowanie na prawo, pozwalające wyważyć wolność i prawa jednostki z bezpieczeństwem narodu i obywateli. Postęp w nauce i technologii, powinien być kluczem do obrony kraju. Potrzebne jest inwestowanie w rozwój tych dziedzin nauki i nowoczesnych technologii, które mogą wspomagać zwalczanie terroryzmu oraz wykrywanie zagrożeń. Współpraca międzynarodowa, jest konieczna w zwalczaniu terroryzmu. Stany Zjednoczone będą dążyć do zinstytucjonalizowania współpracy międzynarodowej 47 w dziedzinie zwalczania terroryzmu i wykorzystania właściwych organizacji międzynarodowych. 3.12. Narodowa Strategia Zabezpieczenia Cyberprzestrzeni Narodowa Strategia Zabezpiecznenia Cyberprzestrzeni, której ostateczna wersja została opublikowana w lutym 3003 roku została zapowiedziana w Narodowej Strategii Bezpieczeństwa Krajowego w lipcu 2002 [OHS, 2002; s.34]. Opublikowano ją po półrocznych konsultacjach wersji wstępnej. Równolegle wydano drugą uzupełniającą strategię zabezpieczenia fizycznego infrastruktury krytycznej [Bush-2, 2003]. Ramy prawne dla wprowadzenia strategii dało rozporządzenie Prezydenta nr 13231 z października 2001 roku upoważniające do wprowadzenia programu ciągłej ochrony systemów informacyjnych infrastruktury krytycznej, włącznie z systemami służb ratunkowych [EO 13231, 2001] Dokument jest skierowany do wszystkich, którzy muszą lub powinni być zainteresowani bezpieczeństwem korzystania z publicznie dostępnych sieci komputerowych i Internetu, opierając się na założeniu, że bezpieczeństwo jest strategicznym wyzwaniem w równym stopniu dla władz federalnych, stanowych, lokalnych, sektora prywatnego, jak i zwykłych obywateli, użytkowników. „Gospodarka i bezpieczeństwo narodowe (Stanów Zjednoczonych) stały się całkowicie zależne od technologii informacyjnych i infrastruktury informacyjnej. Sieć sieci bezpośrednio wspiera działanie wszystkich sektorów gospodarki – energetyki (energia elektryczna, ropa i gaz), transportu (kolejowego, lotniczego, żeglugi), finansów i bankowości, teleinformatyki i telekomunikacji, ochrony zdrowia, służb ratunkowych, przesyłu wody, chemikaliów, przemysłu obronnego, żywności, rolnictwa, poczty i spedycji. Sieci kontrolują również działanie fizycznych obiektów, takich jak podstacje transformatorowe, pociągi, gazociągi, pompy, zbiorniki chemiczne i radary” [Bush-1, 02,2003: s.6] Trzy ogólne cele strategii odpowiadają celom ogólnych strategii bezpieczeństwa krajowego i potwierdzonych jako kierunkowe wskazania DHS. W przypadku strategii zabezpieczenia cyberprzestrzeni są sformułowane następująco: Zapobiegać przed cyber-atakami na amerykańską cyberprzestrzeń; Zredukować narodową podatność na cyber-ataki; 48 Zminimalizować zniszczenia i zapewnić wychodzenie z kryzysu po atakach, które miały miejsce. Upowszechnienie wysiłków, zmierzających do poprawy bezpieczeństwa korzystania z cyberprzestrzeni opiera się na założeniu, że „rząd federalny nie jest w stanie samodzielnie obronić amerykańskiej cyberprzestrzeni. Zgodnie z tradycją amerykańskiego federalizmu i ograniczonych wymagań rządu, to organizacje pozarządowe biorą na siebie przywództwo w tego rodzaju wysiłkach. Każdy Amerykanin, mogący przyczynić się do zabezpieczenia części cyberprzestrzeni będzie zachęcany, by to robić” [Bush-1, 02,2003: s.xiii]. Zakłada się, że sektor prywatny jest dobrze wyposażony w nowoczesne urządzenia, które w ewolucyjny sposób dostosowuje do pojawiających się zagrożeń z cyberprzestrzeni. Istnieją jednak specyficzne okoliczności, które powodują, że konieczne jest uwzględnienie punktu widzenia lub wymagań rządu, federalnego, stanowego lub lokalnego. Kluczowym składnikiem strategii zabezpieczenia cyberprzestrzeni jest zaangażowanie partnerstwa publicznoprywatnego. Partnerstwo publiczno-prywatne może użytecznie konfrontować problemy koordynacji działań, ułatwiać wymianę informacji i współpracę, szkolenia, ulepszanie technologii, znajdowanie środków zaradczych na podatności na zagrożenia, działania naprawcze. Władze federalne rezerwują sobie prawo działania w sprawach związanych z kwalifikacją prawną ataków, ochroną sieci i systemów określanych jako krytyczne dla bezpieczeństwa narodowego, odnotowywaniem ataków i ostrzeganiem, ochroną przed atakami zorganizowanymi, tworzącymi zagrożenie gospodarcze w dużej skali. Działania rządu federalnego służą również inspirowaniu i wspieraniu prac naukowo-badawczych, które pozwolą systemom infrastruktury krytycznej, będącej własnością prywatną lepiej zabezpieczać infrastrukturę narodową Rola władz federalnych ujawnia się z zasady wtedy, kiedy konieczne jest rozstrzygnięcie kwestii kosztów, w tym zaangażowania budżetu federalnego. 49 Narodowa Strategia Zabezpieczenia Cyberprzestrzeni określa pięć priorytetów: I. System reagowania na naruszenie bezpieczeństwa cyberprzestrzeni narodowej85, II. Narodowy program redukowania zagrożeń i podatności bezpieczeństwa cyberprzestrzeni, III. Narodowy Program uświadamiania i szkolenia bezpieczeństwa cyberprzestrzeni, IV. Zabezpieczenie rządowej cyberprzestrzeni V. Bezpieczeństwo narodowe i międzynarodowa współpraca w dziedzinie bezpieczeństwa cyberprzestrzeni Rola i odpowiedzialność w Zabezpieczeniu Cyberprzestrzeni Priorytet I Priorytet II Priorytet III system reagowania na Narodowy program Narodowy Program naruszenie redukowania zagrożeń uświadamiania i Priorytet IV Priorytet V Bezpieczeństwo narodowe i Zabezpieczenie międzynarodowa współpraca w bezpieczeństwa i podatności szkolenia rządowej cyberprzestrzeni bezpieczeństwa bezpieczeństwa cyberprzestrzeni narodowej cyberprzestrzeni cyberprzestrzeni dziedzinie bezpieczeństwa cyberprzestrzeni Poziom Użytkownicy 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 domowi/mały biznes Duże przedsiębiorstwa Sektory infrastruktury krytycznej Sprawy państwowe i miejsca wrażliwe Globalny 2 [Bush-1, 02,2003:s.9] 85 national cyberspace security response system 50 Priorytet I – System reagowania na naruszenie bezpieczeństwa cyberprzestrzeni narodowej System reagowania na naruszenie bezpieczeństwa cyberprzestrzeni narodowej, koordynowany przez Departament Bezpieczeństwa Krajowego, jest strukturalnie oparty o zasadę partnerstwa publiczno-prywatnego. Służy on analizowaniu i ostrzeganiu, zarządzaniu incydentami o znaczeniu ogólnokrajowym, wspiera ciągłość działania infrastruktury systemów rządowych oraz sektora prywatnego, by zapewnić poprawę bezpieczeństwa cyberprzestrzeni dąży do wzrostu wymiany informacji wewnątrz organizacji oraz pomiędzy różnymi podmiotami. System reagowania na naruszenie bezpieczeństwa cyberprzestrzeni narodowej analiza ostrzeganie Zarządzanie incydentami reagowanie odtwarzanie składniki Centrum Analiz DHS Centrum Struktura zarządzania Narodowe operacyjne incydentami DHS awaryjne plany reagowania86 incydentów DHS • grupa strategiczna • grupa taktyczna • szacowanie podatności • Cyber alarmy i sieci informacyjne • ISAC • Koordynacja federalna • Plany federalne • Koordynacja prywatna, • Prywatne plany stanowa, lokalna koordynacyjne [Bush-1, 02,2003: s.21] Umożliwienie tworzenia analiz o znaczeniu taktycznym i strategicznym na temat ataków w cyberprzestrzeni i szacowania podatności; Zachęty dla sektora prywatnego, by wykorzystywał swoje zdolności i zasoby do wymiany prognoz na temat właściwego sposobu korzystania z cyberprzestrzeni; 86 national response contingency plans 51 Rozbudowa sieci informacyjnych ostrzegania o cyber-alarmach przy wykorzystaniu DHS, jako koordynatora w zarządzaniu kryzysem; Poprawa krajowego systemu zarządzania incydentami; Koordynacja procesu dobrowolnego uczestniczenia w rozwoju publicznoprywatnych planów awaryjnych; Ćwiczenia planów zachowania ciągłości bezpieczeństwa teleinformatycznego dla systemów federalnych; Poprawa i udoskonalanie publiczno-prywatnych zasad wymiany informacji na temat ataków, zagrożeń i podatności. Priorytet II - Narodowy program redukowania zagrożeń i podatności bezpieczeństwa cyberprzestrzeni, Realizacja zadania przewiduje następujące działania: Poprawa zdolności służb specjalnych i policji w zapobieganiu i ściganiu przestępstw związanych z atakami w cyberprzestrzeni Wdrożenie procesu oszacowania podatności systemów o znaczeniu narodowym dla lepszego rozumienia potencjalnych konsekwencji zagrożeń i podatności; Zabezpieczenie mechanizmu działania Internetu, poprzez udoskonalanie protokołów i systemu kierowania ruchem; Poparcie dla użytkowania zaufanych systemów kontroli cyfrowej, zarządzania kontrolnego i systemów przechowywania danych; Zredukowanie podatności uzależnionych od oprogramowania; Zrozumienie współzależności infrastruktury i poprawa bezpieczeństwa fizycznego systemów teleinformatycznych i telekomunikacyjnych; Nadawanie priorytetu pracom badawczym i rozwojowym w dziedzinie bezpieczeństwa teleinformatycznego; Ocena i zabezpieczenie systemów wykorzystywanych dla celów służb ratunkowych i w sytuacjach szczególnych zagrożeń. Priorytet III - Narodowy Program uświadamiania i szkolenia bezpieczeństwa cyberprzestrzeni, Realizacja zadania przewiduje następujące działania: 52 Promocja jednolitego narodowego programu uświadamiania potrzeby zabezpieczenia własnego środowiska cyberprzestrzeni, ukierunkowana na wszystkich amerykanów, podmioty gospodarcze, środowisko pracowników najemnych, i ogół ludności; Rozwijanie programów edukacyjnych i szkoleniowych; Poprawa jakości dotąd stosowanych programów szkolenia w zakresie bezpieczeństwa teleinformatycznego dla urzędników federalnych; Promocja wsparcia sektora prywatnego dla dobrze skoordynowanych, szeroko dostępnych programów certyfikacji bezpieczeństwa teleinformatycznego. Priorytet IV - Zabezpieczenie cyberprzestrzeni rządowej Zabezpieczenie systemów rządowych sprowadza się przede wszystkim do likwidacji zaniedbań i uszczelnienia licznych słabości. Realizacja tej części strategii oznacza między innymi podjęcie następujących działań: A/R 4-1 Agencje federalne kontynuują wprowadzanie zautomatyzowanych systemów oceny bezpieczeństwa i wykrywania ataków. Rząd federalny będzie oceniał na ile potrzebne są tego typu działania w poszczególnych jednostkach organizacyjnych, ale również promował używanie tego typu narzędzi. A/R 4-2 Wprowadzenie powszechnej zasady uwierzytelniania przy uzyskiwaniu dostępu do publicznie dostępnych informatycznych systemów rządowych (e-government). Dążenie od wypracowania uniwersalnych narzędzi kontroli dostępu i uwierzytelniania. A/R 4-3 Instalowanie systemów stałego sprawdzania nieautoryzowanego dostępu do sieci rządowych, włącznie z oceną ewentualnego poszerzenia stosowania mocniejszych narzędzi kryptograficznych. Priorytet V - Bezpieczeństwo narodowe i międzynarodowa współpraca w dziedzinie bezpieczeństwa cyberprzestrzeni Oprócz ogólnych działań i deklaracji warto tu wymienić intencję wspierania innych krajów w przystępowaniu do europejskiej konwencji na temat cyberprzestępczości (działanie A/R 5-10). Realizacja tej części strategii oznacza między innymi podjęcie następujących działań: 53 A/R 5-1 Wzmocnienie zdolności kontrwywiadowczych FBI A/R 5-3 Negocjacje z Kanadą i Meksykiem w sprawie stworzenia „bezpiecznej cyber-strefy Ameryki Północnej zamiarem rozszerzania tej inicjatywy na kolejne dziedziny infrastruktury krytycznej, która bywa współużytkowana w rejonach przygranicznych: sieci transportowe, telekomunikacyjne, energetyczne, bankowe i finansowe, ratunkowe, żywnościowe, ochrony zdrowia i wodne. 3.13. Narodowa Strategia Fizycznej Ochrony Infrastruktury Krytycznej i Kluczowych Zasobów Zaprezentowana w lutym 2003 roku [Bush-3, 2003] równolegle do strategii zabezpieczenia cyberprzestrzeni, prezydencka strategia fizycznej ochrony infrastruktury krytycznej jest kolejnym dokumentem programowym dla Departamentu Bezpieczeństwa Krajowego, jest rozwinięciem poprzednio prezentowanych strategii i odnosi się do wszystkich rodzajów infrastruktury, które mogą być obiektem ataków: bezpośrednich, które niszczą elementy infrastruktury lub uniemożliwiają korzystanie z nich; efekty niebezpośrednie, w przypadku których poprzez reakcję na atak; pojawia się kaskadowy efekt destabilizacji, przerw lub finansowych problemów w funkcjonowaniu rządu, społeczeństwa, gospodarki; wykorzystanie niektórych elementów infrastruktury niezgodnie z ich przeznaczeniem lub intencją właściciela, by unieruchomić lub zniszczyć inny obiekt. Najistotniejsze obszary działań wiążą się z identyfikacją współzależności i priorytetów. Podobnie jak we wcześniej prezentowanych dokumentach podstawowym wyzwaniem jest znalezienie płaszczyzn współpracy rządu federalnego, władz stanowych i lokalnych z sektorem prywatnym, który jest właścicielem większości infrastruktury krytycznej i kontroluje jej działanie. Wymienione wprost priorytety to: planowanie i przydział odpowiedzialności za zasoby infrastruktury krytycznej; wymiana informacji i wskazówek oraz system powiadamiania; 54 budowanie odpowiedzialnych, świadomych zasobów ludzkich i wykorzystanie istniejącego kapitału wiedzy i ludzi; badania naukowe i rozwojowe; Analityka, modelowanie i wykorzystanie narzędzi symulacyjnych; Rynek usług i sieci telekomunikacyjnych zmienia się bardzo istotnie w związku z rozwojem konkurencji. Ma to wpływ na politykę rozwoju infrastruktury przez operatorów telekomunikacyjnych. Konieczne jest uważne dostosowywanie podejścia do problematyki bezpieczeństwa. W obszarze infrastruktury telekomunikacyjnej przewiduje się następujące główne kierunki działań: Zdefiniowanie progu bezpieczeństwa dla sieci telekomunikacyjnych, by zlikwidować lukę pomiędzy oczekiwaniami wobec bezpieczeństwa i typowymi wymaganiami systemów telekomunikacyjnych, które są obecnie eksploatowane. DHS dąży do porozumienia z przedstawicielami sektora, które musi uwzględniać różnorodność technologii i rodzajów usług; Rozbudowa infrastruktury w celu wykorzystania różnorodnych możliwości komunikowania się dla potrzeb administracji rządowej, by zwiększać niezawodność i bezpieczeństwo. Zrozumienie ryzyka związanego z podatnością infrastruktury telekomunikacyjnej na zagrożenia. DHS, przy współpracy z sektorem prywatnym prowadzi prace studialne, które pozwolą lepiej identyfikować słabe punkty i czynniki ryzyka związane z poszczególnymi technologiami, rodzajami sieci i usług, a także czynnikami fizycznymi. Prace studialne mają w szczególności pomóc wypracować zasady zachowania bezpieczeństwa w środowisku, w którym działa wielu operatorów i dostawców usług. Coraz częściej infrastruktura telekomunikacyjna jest uzależniona od współpracy z dostawcami infrastruktury, usług i urządzeń z innych krajów. DHS podejmuje działania zmierzające do zacienienia współpracy globalne z rządami, przedstawicielami sektora, która zapewni żywotnych interesów w dziedzinie łączności. 55 4. Specyfika podejścia europejskiego W europie problematyka infrastruktury krytycznej pozostaje pod wpływem ogólniejszej debaty na temat bezpieczeństwa. Nawet w przypadku rozważań na temat bezpieczeństwa sieci usług łączności elektronicznej najczęściej dominuje czynnik ludzki – świadomość zagrożeń i umiejętność zarządzania ryzykiem. Jako istotne dla bezpieczeństwa uwydatnia się również czynniki społeczne i polityczne,. Pojęcie bezpieczeństwa informacji w rozumieniu europejskim obejmuje szeroki obszar zagadnień poza czynnikami technicznymi, organizacyjnymi i prawnymi. Bezpieczeństwo dyskutuje się w kontekście prywatności, praw obywatelskich, przestępczości, zasad działania służb zajmujących się ochroną informacji, transakcjami zawieranymi na odległość, handlem międzynarodowym, obronnością. „Europa promuje holistyczne podejście do kwestii ochrony infrastruktury krytycznej. To oznacza, że skuteczność ochrony infrastruktury krytycznej zależy od możliwości współpracy uczestniczących w tym przedsięwzięciu aktorów (publicznych, prywatnych, indywidualnych) oraz wielowymiarowym podejściu do stosowania środków zaradczych(włączając w to aspekty techniczne, społeczne i polityczne” [Dunn, 2004, s.206]. Nieco inne od amerykańskiego podejście większości krajów europejskich, a co za tym idzie również Unii Europejskiej do problematyki ochrony infrastruktury krytycznej, jest w dużej części uwarunkowane historycznie. Pewne znaczenie może mieć na przykład to, że Europę charakteryzuje nieco inne niż amerykańskie doświadczenie w budowaniu doktryn obronnych, wynikające z odmiennej tradycji działania administracji rządowej, a po części również z odmiennego doświadczenia historycznego. Nie na miejscu byłoby na przykład w Europie „panujące przez lata amerykańskie przeświadczenie, że bezpośredni atak na własne terytorium, nie mówiąc już o naruszeniu integralności terytorialnej są mało prawdopodobne. Kiedy Stany Zjednoczone gromadzą obecnie siły, by umocnić obronę swoich najważniejszych zasobów, w Europie rozważa się tym czasem doktryny obronne oparte o elastyczne reagowanie operacyjne, zakładające rozproszenie działań wojennych, zamiast obrony granic i ważnych obiektów „[Clark, 2003, s.3]. 56 Jeszcze ważniejsze dla wyróżnienia specyfiki europejskiego podejścia do zbudowania planu działań ochrony infrastruktury krytycznej, miały mechanizmy rozwoju sektora telekomunikacji. Przynajmniej do końca lat osiemdziesiątych, kiedy w Unii Europejskiej zaczęto wprowadzać zasady konkurencji w usługach telekomunikacyjnych, niemal we wszystkich krajach operatorzy telekomunikacyjni działali na zasadzie naturalnych monopoli. Z reguły były to firmy państwowe, niekiedy, podobnie jak w Polsce, działające jako część administracji, czyli bezpośrednio zarządzane przez odpowiedniki ministerstwa łączności. Utrzymanie naturalnych monopoli w telekomunikacji miało przede wszystkim podłoże gospodarcze, ponieważ przez wiele lat w Europie panował pogląd, że tylko państwo jest w stanie gwarantować powszechny dostęp do usług i stabilny rozwój infrastruktury, dla której zwrot nakładów inwestycyjnych, przy stosowanych wówczas technologiach następował po kilkudziesięciu latach. Tworzenie wspólnego rynku na towary i usługi stało się dla krajów tworzących przyszłą Unię Europejskiej jedną z kluczowych zasad, wyrażonych w Traktacie Rzymskim. Nie było podstaw, by utrzymywać wyłączenie z tej zasady usług i sieci telekomunikacyjnych. Innym ze stosowanych przez wiele lat argumentów za utrzymaniem monopolu była konieczność zapewnienia szczególnych zasobów dla potrzeb obronności, czemu dodatkowo miał sprzyjać bezpośredni nadzór państwa. Ponieważ Unia Europejska bardzo długo unikała ustalenia wspólnej polityki obronnej, to szczególne kwestie obronności i bezpieczeństwa w sektorze telekomunikacji były i w pewnym sensie nadal są wewnętrzną sprawą polityki krajów członkowskich. Podobnie zresztą bywało, a niekiedy nadal jest, z polityką w sprawie dużej części innych zasobów infrastruktury krytycznej – transportem, sieciami dystrybucji wody, gazu, energetyką, gdzie w wielu krajach europejskich udział skarbu państwa lub samorządów lokalnych jest nadal znaczący. Poza wojskową współpracą w ramach NATO ustalenia międzynarodowe w Europie podejmowano w związku z planowaniem użycia zasobów infrastrukturalnych i organizacyjnych operatorów telekomunikacyjnych w sytuacjach szczególnych zagrożeń, ale nie miało to związku z inicjatywami Komisji 57 Europejskiej, ale raczej innych organizacji międzynarodowych, takich jak ONZ, Międzynarodowy Związek Telekomunikacyjny (ITU87). Pojawienie się konkurencji w telekomunikacji to splot kilku okoliczności: Integracja europejska oznacza wypełnianie traktatowej zasady tworzenia wspólnego rynku europejskiego dla usług i towarów; Postęp technologiczny spowodował, że w drugiej połowie lat osiemdziesiątych zaczęto w telekomunikacji powszechnie wprowadzać technologie cyfrowe, nieporównywalnie tańsze w wytworzeniu i eksploatacji od starych rozwiązań analogowych, opartych o konstrukcje elektromechaniczne i wcześniejsze generacje elektroniki; Pojawił się lobbing ze strony przedsiębiorstw o rozległej strukturze terytorialnej, które zaczęły dostrzegać, że niezbędne do ich działalności usługi łączności są oferowane na nierynkowych zasadach; Pojawił się lobbing ze strony grup biznesu, które w demonopolizacji rynku ujrzały obszar potencjalnie korzystnych inwestycji kapitałowych; Upowszechnił się i zadomowił na stałe pogląd, że konkurencja w telekomunikacji uruchomi naturalne mechanizmy rynkowe – zapewni tańsze usługi, większy wybór i lepszą jakość (w tym bezpieczeństwo). Liberalizacja rynku telekomunikacyjnego rozpoczęła się na początku lat dziewięćdziesiątych. Konkurencję wprowadzano stopniowo, zaczynając od sieci transmisji danych, międzynarodowych, satelitarnych, komórkowych, aż do lokalnych sieci dostępnych, których rynek otwarto w Unii Europejskiej od stycznia 1998 roku. Pomimo postępującej liberalizacji kraje członkowskie Unii Europejskiej utrzymały dużą autonomię w kwestii polityki określania szczególnych zobowiązań operatorów telekomunikacyjnych wobec państwa. Kraje członkowskie mają swobodę określania związanych z tym powinności, z tym zastrzeżeniem, że obecnie mówi się, że powinny być proporcjonalne i nie powinny naruszać zasad równowagi rynkowej. Kwestie zobowiązań, ale i szczególnych uprawnień, początkowo kryły się pod eufemistycznym określeniem „istotnych wymagań88” [Vandenbroucke, 1998], których nakładanie stanowiło wyjątek od ogólnej zasady liberalizacji i otwierania 87 88 International Telecommunications Union Essential requirements 58 rynku na swobodną konkurencję, w tym zasady dobrowolnego stosowania norm, wprowadzonej dyrektywami tzw. „nowego podejścia”. Polityka unijna nie narzucała również krajom członkowskim jasnych zaleceń, co do prywatyzacji przedsiębiorstw telekomunikacyjnych. Z drugiej strony było jasne, że jeden z podstawowych warunków otwarcia rynku i rozwoju zrównoważonej konkurencji, to rozdzielenie w rządzie funkcji regulacyjnych od właścicielskich, co nie jest przejrzyste, jeżeli państwo ma znaczące udziały w operatorze, który z natury rzeczy miał na rynku pozycję dominującą. Rozluźnienie więzi właścicielskich w procesie prywatyzacji telekomów przeważnie nie skutkuje ochłodzeniem relacji operatora ze służbami administracji odpowiedzialnymi za zapewnienie łączności kryzysowej, łączności dla potrzeb obronności, łączności rządowej i to nie tylko ze względu na wieloletnie umowy i przygotowanie obiektów o spełniających specjalne wymagania obronne. W sektorowych systemach regulacyjnych dla sektora telekomunikacji większości krajów nie jest zbyt łatwo doszukać się przepisów, które dążą do urynkowienia usług ukierunkowanych na szczególne wymagania bezpieczeństwa i obronności państwa. Z dzisiejszego punktu widzenia, z trudnych do zaakceptowania powodów w prawie unijnym usługi telekomunikacyjne zostały wyłączone z ogólnych przepisów o zamówieniach publicznych. Liczne regulacyjne problemy rozwijającego się nadzwyczaj dynamicznie rynku usług sieci łączności elektronicznej dosyć wyraźnie przysłaniały kwestie bezpieczeństwa, poza bardzo ogólnymi, pochodzącymi jeszcze z tradycji przepisów pocztowych zasadami tajemnicy korespondencji, które użyto w Międzynarodowej Konwencji Telekomunikacyjnej ITU. W prawie telekomunikacyjnym próbowano tylko rozszerzać to pojecie w związku ze specyfiką telekomunikacji. W polskiej ustawie wprowadzono pojęcie „tajemnica telekomunikacyjna”). W pierwszym pakiecie dyrektyw telekomunikacyjnych z 1998 roku znalazła się ponadto specjalizowana dyrektywa na temat ochrony danych osobowych w telekomunikacji 97/66/WE. Impulsem do prac legislacyjnych nad bezpieczeństwem stał się rozwój koncepcji tzw. gospodarki elektronicznej i handlu elektronicznego. Pojawiło się szereg regulacji unijnych, dotyczących bezpieczeństwa handlu elektronicznego, warunkowego dostępu, zawierania transakcji drogą elektroniczną, elektronicznych 59 instrumentów płatniczych, podpisu elektronicznego, elektronicznego urzędu89 itd. Dominuje jednak wyraźnie podejście nastawione na ochronę interesów konsumenta. Inny nurt legislacyjny dotyczy ochrony praw autorskich w sieciach komunikacji elektronicznej. Wprowadzone w życie w lipcu 2002 dyrektywy tzw. nowego pakietu regulacyjnego dążą do harmonizacji przepisów dla wszystkich sieci i usług łączności elektronicznej, starając się również realizować wyzwanie neutralności technologicznej. Zakłada się substytucję różnych rodzajów sieci i usług i większą swobodę prowadzenia działalności gospodarczej. Tworzy to nowe wyzwania związane z bezpieczeństwem. Unia Europejska dąży do stworzenia ram prawnych dla bezpiecznej gospodarki elektronicznej. Odbywa się to równolegle na kilku płaszczyznach: prawa cywilnego, czyli uregulowania wszelkich czynności prawnych, związanych z wykorzystaniem sieci i usług komunikacji elektronicznej, prawa administracyjnego, poprzez wprowadzenie zasad elektronicznego kontaktu urząd – obywatel oraz urząd – urząd do procedur administracyjnych, prawa karnego, by unikać zaskakujących sytuacji, w których czynny noszące ewidentnie znamiona przestępstw nie dawały się zakwalifikować prawnie. Pierwszym ważnym międzynarodowym narzędziem prawnym w obszarze naruszeń bezpieczeństwa w usługach społeczeństwa informacyjnego oraz w usługach i sieciach łączności elektronicznej stała się europejska konwencja w sprawie cyberprzestępczości przyjęta przez Komitet Ministrów Rady Europy i zaprezentowana do podpisu 23 listopada 2001 roku w Budapeszcie [Convension,2001]. Konwencja została podpisana przez prawie 50 krajów, między innymi również przez Stany Zjednoczone i Kanadę, Japonię i Rosję. Konwencję podpisała również Polska, tyle, że dotąd nie została ratyfikowana. Pełnej ratyfikacji dokonało dotąd tylko 6 krajów. Uzgodnienie konwencji było rezultatem niemal pięcioletnich negocjacji pomiędzy ekspertami w dziedzinie prawa kryminalnego. Konwencja ustanawia zasady międzynarodowej współpracy i wspólnego podejścia polityki w dziedzinie 89 e-government 60 zwalczania przestępstw z wykorzystaniem Internetu, sieci komputerowych, naruszających między innymi prawa autorskie. Kwestie bezpieczeństwa są również częścią tzw. Strategii Lizbońskiej [Lizbon, 2000], która określa m.in. rolę rozwoju nowych technologii we wzroście konkurencyjności gospodarki europejskiej. Programowy dokument tej strategii, który dotyczy stosowania technologii informacyjnych eEuropa 2002 , wymienia bezpieczeństwo, jako jeden z najważniejszych priorytetów [eEurope, 2000:s.10]. Problematyka ochrony infrastruktury krytycznej jest również przedmiotem programów badawczych finansowanych z unijnych funduszy strukturalnych. Już w ramach programu Technologie Społeczeństwa Informacyjnego (IST90), będącego częścią 5-tego Programu Ramowego realizowanego w latach 1998-2002. Rozwinięcie strategii rozwoju społeczeństwa informacyjnego przygotowane na spotkanie Rady Europy w Sewilli w czerwcu 2002 wskazało ponownie bezpieczeństwo sieci i informacji, jako jeden z priorytetów nowego planu działań eEurope 2005. Najważniejsze priorytety usług publicznych oferowanych za pośrednictwem sieci łączności elektronicznej to usługi elektronicznego urzędu, elektronicznego nauczania i elektronicznych usług ochrony zdrowia, mają być rozwijane w planach nakreślonych do roku 2010. Techniczną platformę rozwoju usług mają tworzyć: sieci szerokopasmowe i „bezpieczna infrastruktura informacyjna”[eEurope 2005, 2002, s.3]. Strategia eEurope przewidywała utworzenie grupy zadaniowej bezpieczeństwa teleinformatycznego (CSTF91). W wyniku spotkań grupy roboczej powstała koncepcja Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA92), która rozpoczęła działalność 1 stycznia 2004 roku [ENISA,2003]. Agencja, która jest w stadium organizacji ma służyć koordynacji działań i wymianie informacji, pomiędzy krajami członkowskimi, w dziedzinie dosyć szeroko pojętej problematyki bezpieczeństwa sieci i usług łączności elektronicznej. Strategia eEurope przyjęła też złożenia do programu bezpiecznej wymiany wrażliwych danych w ramach administracji rządowych TESTA [Ocakoglu, 2004]. Information Socjety Technologies Cyber security task force 92 European Network and Information Security Agency 90 91 61 W 2002 roku Komisja Europejska opublikowała projekt decyzji decyzji ramowej na temat ataków na sieci komputerowe [COM(2002)173], która odnosi się bezpośrednio do ataków na cywilną infrastrukturę krytyczną, definiując między innymi różne rodzaje ataków. Decyzja ta ma otworzyć pole do ujednolicenia przepisów na temat cyberprzestępczości w Unii Europejskiej. 62 5. Problematyka infrastruktury krytycznej w Polsce W Polsce problematyka infrastruktury krytycznej jest raczej wciąż nieuregulowana lub nienazwana. Większość przepisów, które dotyczą tematyki, mogącej się kojarzyć się z ochroną infrastruktury krytycznej, jest rozproszonych w różnych ogólnych ustawach i przepisach wykonawczych, począwszy od Konstytucji i ustawy o powszechnym obowiązku obrony. Są to jednak z reguły przepisy ukierunkowane na zagrożenia militarne lub związane klęskami żywiołowymi. 5.1. Ustawa o powszechnym obowiązku obrony Na podstawie delegacji art. 4a, ust.1 ustawy o powszechnym obowiązku obrony, Prezydent RP: „ 1) zatwierdza, na wniosek Prezesa Rady Ministrów, strategię bezpieczeństwa narodowego, 2) wydaje, na wniosek Prezesa Rady Ministrów, w drodze postanowienia, Polityczno-Strategiczną Dyrektywę Obronną Rzeczypospolitej Polskiej, oraz inne dokumenty wykonawcze do strategii bezpieczeństwa narodowego, 3) zatwierdza, na wniosek Rady Ministrów plany krajowych ćwiczeń systemu obronnego, oraz kieruje ich przebiegiem, 4) postanawia, na wniosek Prezesa Rady Ministrów, o wprowadzeniu albo zmianie określonego stanu gotowości obronnej państwa, 5) może zwracać się do wszystkich organów władzy publicznej, administracji rządowej i samorządowej, przedsiębiorców i kierowników innych jednostek organizacyjnych oraz organizacji społecznych o informacje mające znaczenie dla bezpieczeństwa i obronności państwa, 6) inicjuje lub patronuje przedsięwzięciom ukierunkowanym na kształtowanie postaw patriotycznych i obronnych w społeczeństwie.” [Sejm, 2.06.2004, art.4a ust.1]. Te uprawnienia Prezydenta dają między innymi możliwość bezpośredniego wpływu na politykę ochrony infrastruktury krytycznej. Rada Ministrów na podstawie delegacji art. 6 opracowuje między innymi: projekt strategii bezpieczeństwa narodowego, planuje i realizuje przygotowania obronne państwa, system kierowania bezpieczeństwem narodowym, określa obiekty 63 szczególnie ważne dla bezpieczeństwa i obronności, przygotowuje i utrzymuje w stałej gotowości jednolity system obserwacji, pomiarów, analiz, prognozowania i powiadamiania, określa zasady wykorzystania infrastruktury technicznej na potrzeby obronne oraz wydaje rozporządzenia, określające zasady realizacji tych zadań. Delegacja dotyczy również rozporządzenia w sprawie warunków, przygotowania i wykorzystania systemów łączności na potrzeby obronne państwa oraz właściwości organów w tych sprawach [art.6 ust.2 pkt 7]. Rozporządzenie to jest na etapie uzgodnień, ale nie zostało dotąd wydane. Art.208, ust.4 pkt 8 wyłącza stosowanie ogólnych przepisów ustawy na temat świadczeń rzeczowych w czasie pokoju wobec tych sieci i urządzeń operatorów telekomunikacyjnych, które są objęte świadczeniami nałożonymi na podstawie prawa telekomunikacyjnego. 5.1.1.Rozporządzenie w sprawie systemu kierowania bezpieczeństwem narodowym W rozporządzeniu Rady Ministrów w sprawie przygotowania systemu kierowania bezpieczeństwem narodowym [Dz.U.2004.98.978: §21] zawarto delegację dla ministra właściwego ds. łączności do przygotowania koncepcji organizacji systemu łączności na potrzeby systemu kierowania, wymagań techniczno-organizacyjnych, połączenia sieci systemu kierowania z sieciami przedsiębiorców telekomunikacyjnych oraz wykonywania i odbioru robót. Należy zakładać, że ta koncepcja powstaje w Ministerstwie Infrastruktury w oparciu o informacje uzyskane od Prezesa Urzędu Regulacji Telekomunikacji, który i tak ma ustawowe upoważnienie do gromadzenia wszelkich informacji od operatorów oraz nadzoruje przygotowanie przez operatorów planów działań w sytuacjach szczególnych zagrożeń. 5.1.2. Rozporządzenie w sprawie obiektów szczególnie obiektów szczególnie ważnych dla bezpieczeństwa i obronności państwa Rozporządzenie z 24 czerwca 2003 roku wymienia rodzaje obiektów, które są poddane specjalnym rygorom „szczególnej ochrony”[Dz.U.2003.116.1090]. Rozporządzenie zawiera wprawdzie uogólniające rozumienie ochrony, w przepisie, który wymienia „inne rodzaje ochrony”[§5 ust.3 pkt 2], ale odnosi się właściwie wyłącznie do ochrony fizycznej i przede wszystkim do zagrożeń o znaczeniu militarnym. 64 Na liście [§2] sklasyfikowano 19 rodzajów obiektów: 1) zakłady produkujące, remontujące i magazynujące uzbrojenie i sprzęt wojskowy oraz środki bojowe, a także zakłady, w których są prowadzone prace badawczo-rozwojowe lub konstruktorskie w zakresie produkcji na potrzeby bezpieczeństwa i obronności państwa; 2) magazyny rezerw państwowych, w tym bazy i składy paliw płynnych, żywności, leków i artykułów sanitarnych; 3) obiekty jednostek organizacyjnych podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych; 4) obiekty infrastruktury transportu samochodowego, kolejowego, lotniczego, morskiego i wodnego śródlądowego, drogownictwa, kolejnictwa i łączności oraz ośrodki dokumentacji geodezyjnej i kartograficznej; 5) zapory wodne i inne urządzenia hydrotechniczne; 6) obiekty jednostek organizacyjnych Agencji Wywiadu; 7) obiekty: a. Narodowego Banku Polskiego oraz Banku Gospodarstwa Krajowego, b. Polskiej Wytwórni Papierów Wartościowych S.A. oraz Mennicy Państwowej S.A.; 8) obiekty, w których produkuje się, stosuje lub magazynuje materiały jądrowe oraz źródła i odpady promieniotwórcze; 9) obiekty telekomunikacyjne przeznaczone do nadawania programów radia publicznego i telewizji publicznej; 10) obiekty organów i jednostek organizacyjnych podległych ministrowi właściwemu do spraw administracji publicznej lub przez niego nadzorowanych; 11) obiekty organów i jednostek organizacyjnych podległych ministrowi właściwemu do spraw wewnętrznych lub przez niego nadzorowanych; 12) obiekty jednostek organizacyjnych Agencji Bezpieczeństwa Wewnętrznego; 13) obiekty Policji, Straży Granicznej i Państwowej Straży Pożarnej; 14) obiekty znajdujące się we właściwości Ministra Sprawiedliwości, Służby Więziennej oraz jednostek organizacyjnych podległych lub nadzorowanych przez Ministra Sprawiedliwości; 15) zakłady mające bezpośredni związek z wydobywaniem kopalin podstawowych; 16) obiekty, w których produkuje się, stosuje lub magazynuje materiały stwarzające szczególne zagrożenie wybuchowe lub pożarowe; 17) obiekty, w których prowadzi się działalność, z wykorzystaniem toksycznych związków chemicznych i ich prekursorów, a także środków biologicznych, mikrobiologicznych, mikroorganizmów, toksyn i innych substancji wywołujących choroby u ludzi lub zwierząt; 18) elektrownie i inne obiekty elektroenergetyczne; 19) inne obiekty będące we właściwości organów administracji rządowej, organów jednostek samorządu terytorialnego, formacji, instytucji państwowych oraz przedsiębiorców i innych jednostek organizacyjnych, których zniszczenie lub uszkodzenie może stanowić zagrożenie dla życia i zdrowia ludzi, dziedzictwa narodowego oraz środowiska w znacznych rozmiarach albo spowodować poważne straty materialne, a także zakłócić funkcjonowanie państwa [Dz.U.2003.116.1090: §2] 65 Jeżeli traktować tę listę, jako wskazówkę do definiowania infrastruktury krytycznej, to niestety nie sposób uniknąć spostrzeżenia, że sieci telekomunikacyjne i teleinformatyczne, ukryte w punkcie 4, inaczej niż w większości krajów, nie stanowią osobnego rodzaju. Wyróżnione są natomiast w punkcie 9 obiekty telekomunikacyjne przeznaczone do nadawania programów radia publicznego i telewizji publicznej. 5.2. Ustawa o organizowaniu zadań na rzecz obronności państwa realizowanymi przez przedsiębiorców Ustawa z dnia 23 sierpnia 2003 o organizowaniu zadań [Dz.U.2001.122.1320] wprowadza pojęcie przedsiębiorstw o szczególnym znaczeniu gospodarczo obronnym. Ustawa dotyczy zadań obronnych związanych z zagrożeniami militarnymi. Wymienione w ustawie kategorie przedsiębiorstw o szczególnym znaczeniu gospodarczo obronnym to: „1) eksploatacja lotnisk i portów morskich, 2) kolportaż, 3) nadawanie programów radiowych i telewizyjnych, 4) produkcja, magazynowanie i transport produktów naftowych, 5) realizacja obrotu specjalnego, 6) transport, 7) usługi pocztowe, 8) usługi telekomunikacyjne, 9) wytwarzanie, dystrybucja i przesyłanie gazu ziemnego, paliw płynnych oraz energii elektrycznej” [Dz.U.2001.122.1320: art.3] Ustawa zawiera delegację dla Rady Ministrów do wydania rozporządzenia w sprawie wykazu tego rodzaju przedsiębiorców [Dz.U.2002.13.122]. Na liście zawierającej 168 przedsiębiorstw. Spośród wielu operatorów telekomunikacyjnych sektora telekomunikacji wymienia się dwa przedsiębiorstwa: Telekomunikację Polską S.A. oraz spółkę telekomunikacyjną PKP S.A. (Telekomunikacja Kolejowa Sp.z o.o.), z tym że nadzór nad TP sprawuje minister właściwy ds. łączności (Minister Infrastruktury), nadzór ministra właściwy ds. transportu (Minister 66 Infrastruktury). Oprócz tego należałoby wspomnieć Telewizję Polską S.A. i Polskie Radio S.A.(nadzór Ministra Gospodarki). Biorąc pod uwagę znaczenie infrastruktury i usług ich brak na liście przedsiębiorstw o szczególnym znaczeniu wydaje się nieporozumieniem. 5.3. Strategia bezpieczeństwa narodowego W zatwierdzonej przez Prezydenta we wrześniu 2003 roku strategii bezpieczeństwa narodowego, sformułowanie „infrastruktura krytyczna” nie zostało użyte. Jest jednak mowa o pojawieniu się nowego rodzaju zagrożeń: „Istota zmian w naszym środowisku bezpieczeństwa polega zatem na przesuwaniu się punktu ciężkości z zagrożeń klasycznych (inwazja zbrojna), których znaczenie się zmniejsza, na zagrożenia nietypowe, których źródłem stają się także trudne do zidentyfikowania podmioty pozapaństwowe. Zagrożenia te mogą dotyczyć bezpieczeństwa naszych obywateli, obiektów oraz służb istotnych dla sprawnego funkcjonowania państwa. Wymagają one z naszej strony szczególnej uwagi” [BBN, 2003: s.2] Jako jedno z tych zagrożeń wymienia się wprost terroryzm – „Najpoważniejsze niebezpieczeństwo wśród nowych zagrożeń dla systemu międzynarodowego i bezpieczeństwa poszczególnych państw, w tym Polski, stwarza zorganizowany terroryzm międzynarodowy…” [s.3]. Wymienia się również wprost zagrożenia związane z atakami z cyberprzestrzeni – „Coraz bardziej realne stają się dla Polski zagrożenia w sferze teleinformatycznej. Rośnie zagrożenie operacjami mającymi na celu dezorganizację kluczowych systemów informacyjnych instytucji rządowych oraz niektórych sfer sektora prywatnego, oddziałujących na system bezpieczeństwa państwa, a także operacjami związanymi z penetracją baz danych i prowadzeniem działań dezinformacyjnych.” [s.3]. W części obejmującej założenia działań o charakterze ogólnym stwierdza się, że „Z charakteru nowych zagrożeń wynika konieczność rozwoju współpracy sił zbrojnych ze strukturami cywilnymi w zakresie reagowania na zagrożenia pozamilitarne oraz podejmowania operacji ratowniczych i antyterrorystycznych w kraju i poza jego granicami” oraz, że „wzrasta znaczenie sfery bezpieczeństwa wewnętrznego, którą tworzą wszystkie organy administracji publicznej oraz inne podmioty społeczne i gospodarcze, realizujące zadania w dziedzinie 67 bezpieczeństwa i obrony.” [s.6]. Jednak zadania z tym związane adresuje się przede wszystkim do służb państwowych lub nadzorowanych przez państwo. Dotyczy to także systemu reagowania kryzysowego – „Nowe wyzwania dyktują potrzebę utworzenia państwowego kompleksowego systemu reagowania kryzysowego, odpowiadającego na współczesne zagrożenia bezpieczeństwa zarówno międzynarodowego, jak i wewnętrznego.”[s.6] Podstawowe wyzwanie w związku z systemem reagowania kryzysowego to wyjaśnienie kompetencji – „Niezbędne staje się spójne uregulowanie zadań i kompetencji organów i instytucji państwowych, a także organizacji społecznych działających na rzecz bezpieczeństwa państwa”[s.6] W części dotyczącej zagrożeń wewnętrznych [s. 13-16] jest mowa o między innymi o ochronie „strategicznych elementów infrastruktury gospodarczoopbronnej” w kontekście zdań kontrwywiadowczych. Znalazł się tam również podrozdział o „ochronie infrastruktury teleinformatycznej”. Jednak strategia skupia się na sieciach rządowych i odpowiedzialności służb rządowych - „Zwalczanie zagrożeń dla rządowych systemów i sieci teleinformatycznych należy do kompetencji wyspecjalizowanych komórek cywilnych i wojskowych służb państwowych. Ich zadaniem jest zwalczanie przestępczości komputerowej wymierzonej w rządową i samorządową infrastrukturę telekomunikacyjną, w tym przeciwdziałanie atakom na jej elementy.” Zapewnienie ochrony infrastruktury teleinformatycznej „wymaga zdolności do koordynacji procesów dochodzeniowych w ramach instytucji posiadających elementy rządowej infrastruktury teleinformatycznej” oraz wspólnych działań z „producentami i dostawcami urządzeń oraz oprogramowania informatycznego, krajowymi operatorami telekomunikacyjnymi i dostawcami usług internetowych, ośrodkami badawczymi i szkoleniowymi”[s.15] Środkiem zwiększania skuteczności ochrony infrastruktury teleinformatycznej ma być rozwój i wdrażanie rodzimej kryptografii oraz dostosowanie przepisów prawa telekomunikacyjnego.[s.16] Skuteczność reagowania kryzysowego mają wspomóc organizowanie zespołów reagowania kryzysowego na wszystkich szczeblach administracji rządowej i samorządowej. Strategia zapowiada również przygotowanie wieloletniego programu „Bezpieczeństwo Cywilne 2004-2007” [s.16] 68 5.4. Sektor telekomunikacji - prawo telekomunikacyjne Do 1990 roku usługi telekomunikacyjne w Polsce były świadczona w warunkach państwowego monopolu. Dyrektor państwowej jednostki organizacyjnej Polska Poczta Telegraf i Telefon podlegał bezpośrednio ministrowi łączności (w latach 1987-1990 Ministrowi Transportu Żeglugi i Łączności). Państwowy był również przemysł teletechniczny (Zjednoczenie Telkom). Import urządzeń odbywał się również za pośrednictwem państwowych central handlu zagranicznego. Monopol państwa był również zagwarantowany w dziedzinie radiofonii i telewizji. Kwestie obronności i bezpieczeństwa państwa w tamtych warunkach nie istniały w oficjalnym obiegu, a przepisy o tajemnicy państwowej obejmowały szeroki bardzo zakres informacji na temat sieci, przeznaczenia central, urządzeń. Główną intencją ustawy o łączności z 1990 roku było otwarcie możliwości dla prywatnych inwestycji w dziedzinie telekomunikacji i stworzenie dostępu do nowych cyfrowych technologii całkowicie niedostępnych ze względu na ograniczenia importowe COCOM. Było to bardzo istotne, ze względu na to, że Polska miała najgorzej rozwiniętą infrastrukturę telekomunikacyjną w Europie, a środki na nowe inwestycje mogły pochodzić wyłącznie ze źródeł zagranicznych. W praktyce rynek otwierał się bardzo powoli, czego skutki odczuwamy do dzisiaj. Jednym z chętnie używanych argumentów była konieczność dbania o interes narodowego operatora, na którym spoczywał główny obowiązek zapewnienia łączności na potrzeby obronności i bezpieczeństwa państwa. Ustawa o łączności dawała Ministrowi Łączności prawo nakładania obowiązków związanych z obronnością w zezwoleniach (później w koncesjach). Ponieważ delegacja była sformułowana dosyć ogólnie, to nakładanie szczegółowych obowiązków w drodze decyzji było utrudnione od strony formalno-prawnej. Wszystkim podmiotom wpisywano zatem również nie do końca prawidłowy pod względem prawnym obowiązek zawarcia umów z MON, MSWIA, UOP. W dzisiejszym stanie taki sposób formułowania powinności byłby niezgodny z konstytucją. Minister Łączności zachował też prawie do dzisiaj prawo odmawiania wydania uprawnień do wykonywania działalności w dziedzinie telekomunikacji ze względu na możliwość zagrożenia obronności lub bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego. Ustawa prawo telekomunikacyjne z 2000 roku wprowadziła kilka przepisów, dotyczących działania operatorów telekomunikacyjnych w sytuacjach 69 szczególnych zagrożeń i wykonywania powinności wobec obronności i bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. Operatorzy zostali zobowiązani do przygotowania planów działań w sytuacjach szczególnych zagrożeń. Przepis wzorował się na zaleceniach NATO dla łączności cywilnej. Ustawa określa ogólne założenia dla tego rodzaju działań, odtwarzania łączności, według określonych priorytetów. W planach powinny się znaleźć między innymi podsumowania, dotyczące rezerw materiałowych, procedur alarmowych itp. Kwestią sporną było natomiast finansowanie tego rodzaju przedsięwzięć, które według prawa telekomunikacyjnego miało obciążać całkowicie operatorów. Niedawno ukazała się kolejna wersja rozporządzenia do tego fragmentu ustawy, obejmująca również kwestie podsłuchów. Rozporządzenie zostało zaskarżone przez grupę operatorów do NSA. Obecny stan prawny ulega właśnie zmianie. W piątek 16 czerwca sejm przyjął nowe prawo telekomunikacyjne, które ma przystosować system regulacyjny dla sektora telekomunikacji do dyrektyw tzw. nowego pakietu regulacyjnego Unii Europejskiej z 2002 roku. Kwestie obronności i bezpieczeństwa w zasadzie nie są przedmiotem tych regulacji unijnych, ale przy okazji zdecydowano się na doprecyzowanie przepisów o zobowiązaniach operatorów wobec bezpieczeństwa i obronności oraz bezpieczeństwa i porządku publicznego [druk 2933, 2933-A] – (dział VII ustawy – art. 172- 178 (numeracja może jeszcze ulec zmianie w toku dalszych prac)). W myśl nowego brzmienia prawa telekomunikacyjnego „przedsiębiorcy telekomunikacyjni, w celu zapewnienia ciągłości świadczenia usług telekomunikacyjnych, są obowiązani uwzględniać przy planowaniu, budowie, rozbudowie, eksploatacji lub łączeniu sieci telekomunikacyjnych możliwość wystąpienia sytuacji szczególnych zagrożeń, a w szczególności wprowadzenia stanu nadzwyczajnego [art.172 ust.1]. Ponieważ obowiązek przygotowania planów działań odnosi się do sytuacji szczególnych zagrożeń, to dotyczy to głównie takich sytuacji, jak klęski żywiołowe, katastrofy, rozległe awarie, wymagających przede wszystkim fizycznego zabezpieczenia ciągłości łączności, przygotowania awaryjnych procedur odtwarzania łączności. Specyfika sytuacji kryzysowych w telekomunikacji karze jednak zachować w takich sytuacjach gotowość do szczególnych działań technicznych w dziedzinie zarządzania ruchem, likwidowania zatorów ruchu telekomunikacyjnego, przygotowywania specjalnych połączeń priorytetowych, 70 sieci wirtualnych, szczególnego sposobu rozliczania ruchu, dostosowania się do nietypowych interfejsów itd. Redakcja przepisów pozwala na ich rozszerzające zastosowanie również do sytuacji kryzysowych wywołanych atakami z cyberprzestrzeni. 5.5. Projekt ustawy o bezpieczeństwie obywatelskim i zarządzniu kryzysowym Nieco zaniedbane w ostatnich latach formacje obrony cywilnej zostały niedawno podsumowane przez posła Bogdana Bujaka, sprawozdawcę projektu ustawy o bezpieczeństwie obywatelskim i zarządzaniu kryzysowym – „przez całe lata (formacje obrony cywilnej) zajmowały się głównie ochroną zakładów pracy przemysłowych przed ewentualnym skutkami użycia broni jądrowej. Każda większa katastrofa, w tym przytaczana lipcowa powódź, obnażała braki organizacyjne, słabość dotychczasowych struktur, małą efektywność centralnego kierowania” [Druk 2953 I czyt., 06, 2004: s.1] Konstytucja wprowadziła (art.228 ust.1) do polskiego porządku prawnego pojęcia stanu klęski żywiołowej, stanu nadzwyczajnego, stanu wojny, które można wprowadzić w sytuacjach szczególnych zagrożeń. Prezydent wniósł odpowiednie projekty ustaw jeszcze w 1997 roku na początku III kadencji (druki sejmowe nr 7, 8, 9), ale prace nie zostały zakończone do końca kadencji. Nowe projekty Kancelaria Prezydenta przesłała na początku IV kadencji (druki sejmowe 14, 15, 16). Ustawy uchwalono w kwietniu 2002 roku. Ustawy te jednak raczej marginalizują znaczenie obiektów infrastruktury krytycznej, w tym systemów łączności. Na przykład w ustawie o klęsce żywiołowej, uprawnienie dla właściwych organów administracji ma tylko charakter ogólny, zawierający się w przepisie (art.19), że „kierujący działaniami, w celu zapobieżenia klęsce żywiołowej lub ich usunięcia współpracują z … innymi podmiotami działającymi na obszarze ich właściwości, a na wniosek i za zgodą tych podmiotów kierują ich działalność.” Przepisy na temat systemów łączności dotyczą tylko ograniczeń w wykorzystaniu systemów łączności lub sankcji karnych za niestosowanie się do tych ograniczeń. Nie ma natomiast w tych ustawach przepisów, które by można interpretować, jako służące ochronie infrastruktury krytycznej. W dniu 15 czerwca 2004 roku w Sejmie odbyło się pierwsze czytanie projektu ustawy o bezpieczeństwie obywatelskim i zarządzaniu kryzysowym [druk 2947]. 71 Projekt został wniesiony jako poselski, został popisany przez grup posłów SLD, UP, PSL, PLD, SDPL, ale jest on bezpośrednią kontynuacją prac prowadzonych w MSWiA [Druk 2953 I czyt., 06, 2004: s.34] nad projektem, który nie zdołał przebrnąć etapu uzgodnień międzyresortowych. Projekt został skierowany do Komisji Administracji Spraw Wewnętrznych i Administracji i Komisji Samorządu Terytorialnego i Polityki Regionalnej. Debata w pierwszym czytaniu odbyła się wspólnie z projektem ustawy o krajowym systemie ratowniczym (druk nr 2947). Praktycznym problemem, który może stanąć na przeszkodzie w uchwaleniu ustawy jest to, że proces legislacyjny rozpoczął się w momencie kryzysu rządowego, który z dużym prawdopodobieństwem doprowadzi do wcześniejszych wyborów. Obie ustawy nie są wprawdzie zbyt obszerne, ale skierowanie projektu do dwóch komisji dodatkowo przedłuża prace legislacyjne, co powoduje, że może się nie udać zakończyć prac przed końcem skróconej kadencji. Projekt niestety raczej nie jest on najprawdopodobniej wolny od błędów i wad prawnych, szczególnie w przepisach ogólnych. Będzie zatem wymagał zmian podczas prac w komisjach. Po raz pierwszy w polskiej ustawie znalazła się definicja infrastruktury krytycznej. Według propozycji autorów projektu infrastruktura krytyczna to, „urządzenia, instalacje i usługi, powiązane ze sobą więzami funkcjonalnymi, kluczowe dla bezpieczeństwa państwa i jego obywateli oraz zapewnienia sprawnego funkcjonowania organów władzy i administracji publicznej, a także instytucji i przedsiębiorców: Infrastruktura krytyczna obejmuje w szczególności systemy: a) zaopatrzenia w energię i paliwa, b) telekomunikacyjne, gromadzenia i przekazywania informacji, c) bankowe i finansowe, d) zaopatrzenia w żywność, wodę oraz opieki zdrowotnej, e) transportowe i komunikacyjne, f) ratownicze oraz zapewniającece funkcjonowanie organów władzy publicznej.” [druk 2947, 2004: art2 pkt 11] Pojęcie infrastruktury krytycznej jest następnie użyte w dwóch innych definicjach: 72 ochrona ludności , to „podejmowanie niezbędnych przedsięwzięć ukierunkowanych na ochronę ludzi, mienia, środowiska i infrastruktury krytycznej przed skutkami katastrof naturalnych i awarii technicznych, zdarzeń o charakterze terrorystycznym, a w przypadkach bezpośredniego zewnętrznego zagrożenia państwa i wojny, zapewnienie warunków koniecznych do przetrwania; ochrona ludności ma charakter powszechny oraz interdyscyplinarny, wyrażający się w skoordynowanym użyciu sił i środków, będących w dyspozycji państwa i jego organów, przedsiębiorców, organizacji społecznych i humanitarnych oraz poszczególnych obywateli” [druk 2947, 2004: art.2 pkt 2]Proponowana definicja jest opisowa i w procesie legislacyjnym może ulec modyfikacjom, by nadać jej bardziej normatywny charakter Sytuacja kryzysowa to „stan narastającej destabilizacji, niepewności i napięcia społecznego, charakteryzujący się naruszeniem więzi społecznych, możliwością utraty kontroli nad przebiegiem wydarzeń oraz eskalacji zagrożenia, a w szczególności sytuację, stwarzającą zagrożenie dla życia, zdrowia mienia, dziedzictwa kulturowego i infrastruktury krytycznej, w tym spowodowaną zdarzeniem o charakterze terrorystycznym” [druk 2947, 2004: art.2 pkt 2]. 73 6. Podsumowanie – prawdopodobny wpływ zmian technologicznych i rynkowych Najważniejsze dwa wyróżniki koncepcji ochrony infrastruktury krytycznej to: rosnąca współzależność różnych sektorów, wymagająca elastyczności reagowania i ciągłego przeglądu elementów podatnych na ataki lub przypadkowe zdarzenia oraz własność prywatna większości obiektów infrastruktury krytycznej, wymagająca radykalnej zmiany sposobu podejścia do zagadnień obronny interesu państwa przez służby państwowe tradycyjnie odpowiedzialne za wdrażanie strategii obronnej. Szczególnie dynamicznie zmienia się rynek sieci i usług łączności elektronicznej i on będzie miał największy wpływ na zmiany sektorów infrastruktury krytycznej. Promowana obecnie filozofia systemu regulacyjnego dla rynku sieci i usług łączności elektronicznej zakłada stopniowe odchodzenie od administracyjnej regulacji, w miarę osłabiania zdolności byłych monopoli i nowszych oligopoli do działań dyskryminujących nowych graczy rynkowych. To oznacza również stopniową utratę możliwości wpływania na zachowanie przedsiębiorców telekomunikacyjnych w sprawach obronności i bezpieczeństwa przy pomocy narzędzi regulacyjnych prawa telekomunikacyjnego, tak jak to bywało w przeszłości, kiedy kwestie obronności były pretekstem do reglamentacji rynku. Oczekiwaniem uczestników rynku jest uogólnienie i uszczegółowienie zobowiązań prawnych wobec państwa, zapewnienie że będą one proporcjonalne i że nie zostaną użyte, by naruszać równowagę konkurencji. Nie do utrzymania są na dłuższą metę mechanizmy działania prawa, które pozwalają na arbitralnie określanie przez urzędników szczegółowych sposobów wykonania obowiązków przedsiębiorców wobec państwa, kiedy większość wiedzy na temat możliwości technologicznych ma operator lub dostawca rozwiązań technologicznych lub aplikacyjnych. Konkurencyjny rynek wymusza przyśpieszenie postępu technologicznego, w tym wprowadzanie nowych bardziej wydajnych rozwiązań, tańszych, bardziej uniwersalnych, elastycznych, ułatwiających współpracę z innymi sieciami. 74 Przykładem może być choćby szerokie pasmo i mobilność, gdzie o wiele łatwiej będzie można zapewnić trwałe bezpieczeństwo fizyczne i kryptograficzne. Walka o jakość to także dbałość o bezpieczeństwo, warunkujące możliwości rozwoju gospodarki elektronicznej, która jest obecnie motorem wszelkich nowych inwestycji w sieci i usługi łączności elektronicznej. Oceniając możliwości nadzoru administracyjnego nad rynkiem sieci usług trzeba brać pod uwagę, że rynek zmienia się bardzo szybko, a niektóre zmiany są bardzo radykalne. Podobne usługi mogą być oferowane przez różne alternatywne rozwiązania. Ta wymienność, konwergencja różnych technologii będzie zjawiskiem postępującym. Zmienia się również struktura rynku, będą się pojawiać nowe specjalności w dziedzinie przedsiębiorców oferujących różne elementy sieci, usług hurtowych i detalicznych. Jedną z metod zapewnienia infrastruktury krytycznej jest zwiększenie redundancji sieci, czemu sprzyja konkurencja i neutralny technologicznie system regulacyjny. Zmiana kulturowa, której należy oczekiwać w związku koniecznością ochrony infrastruktury krytycznej przed zagrożeniami terrorystycznymi, w tym specyficznymi zagrożeniami z cyberprzestrzeni, to świadome zwiększenie udziału sektora prywatnego, operatorów sieci, dostawców usług i producentów urządzeń. To sektor prywatny musi tworzyć centra kompetencji, które będą wypracowywać metody ochrony, wspierać finansowo badania w tej dziedzinie, organizować systemy obserwacji i ostrzegania i proponować rządowi optymalne rozwiązania, służące również poprawie rozwiązań prawnych i instytucjonalnych. 75 7. Skróty użyte w tekście DPA - Defense Production Act CoCom - Coordinating Committee for Multilateral Export Controls MEI - minimum essential infrastructure GAO - General Accounting Office PDD 63 - Presidential Decision Directive 63 PCCIP - President Commission on Critical Infrastructure Protection CIAO - Critical Infrastructure Assurance Office NIPC - National Infrastructure Protection Center NIAC - National Assurance Council NSC - National Security Council PCIS - Partnership for Critical Infrastructure Security CISG - Cyber Incident Steering Group CIWG - Cyber Incident Working Group Rada CIO - Chief Information Officers Council JTRB - Joint Telecommunications Resources Board NCS - National Communications System NCC - National Communications Center NSTISSC - National Security Telecommunications and Information Systems Security Committee NIAP - National Information Assurance Partnership NIST - National Institute of Standards and Technology NSA - National Security Agency FCS - Federal Cyber Service ISAC - Information Sharing and Analysis Center CERT/CC - Computer Emergency Response Team Coordination Center IPTF - Infrastructure Protection Task Force NII - National Information Infrastructure NSTAC - National Security Telecommunications Advisory Committee DHS - Department of Homeland Security CWIN - Cyberspace Warning Intelligence Newtork 76 CIAO - Critical Infrastructure Assurance Office NIPC - National Infrastructure Protection Center FCIRC - Federal Computer Incident Response Center ENISA - European Network and Information Security Agency 77 8. Bibliografia Academic workshop on public confidence proceedings, Report of President’s Commission on Critical Infrastructure Protection, Washington 1997. Aduskevicz P.J.: AT&T Response terrorist attack of September 11, 2001; Presentation to NRIC V; AT&T, 30 October 2001. Aggressive defense, Infrastructure consequence control; INEEL, 3 October 2002. Albers Raymond F.: Outage reporting and customer notification team, Technical paper; Bell Atlantic, Arlington, 18 January 1996. Anderson Robert H., Bozek Thomas, Longstaff Tom, Meitzler Wayne, Skroch Michael, Wyk Ken Wan: Research on mitigating the insider threat to information systems; RAND, 2000. Anderson Robert H., Brackney Richard, Bozek Thomas: Advanced network defense research, Proceedings of a workshop; RAND, August 2000. Anderson Robert H., Feldman Phillip M, Gerwehr Scott, Houghton Brian K., Mesic Richard, Pinder John, Rothenberg Jeff, Chiesa James R.: Securing the U.S. defense information infrastructure: a proposed approach; RAND, 1999. Anderson Robert H.: Research and development initiatives focused on: preventing, detecting and responding to insider misuse of critical defense information systems: RAND; 1999. Anselmo Joseph C.: We're watching you, A software spinoff in Maryland targets security breaches from the inside out; Washington Techway; 25 April 2002. Anthon Philip S., Silberglitt Richard, Schneider James: The global technology revolution, bio/nano/materials trends and their synergies with information technology by 2015; RAND, 2001. Are you ready? A guide to citizen preparedness; Federal Emergency Management Agency, Washington D.C.; 23 May 2003. Arquilla John, Ronfeldt David F.: In Athena’s Camp: preparing for conflict in the information age; RAND; 1997. Arquilla John, Ronfeldt David F.: Networks and netwars: the future of terror, crime and militancy; RAND, 2001. Arquilla John, Ronfeldt David F.: The advent of netwar; RAND, 1996. Bain Greg: Standards for protection of telecommunications links, Technical notes; Office of the manager, National communications system; Technology and standards division, Volume 6, No 3; August, 1999. Baker Arnold B., Eagan Robert J., Falcone Patricia K., Harris Joe M.: A scalable system approach for critical infrastructure security; SANDIA; April 2002. Baker Arnold B.: Energy and critical infrastructure business overview (A presentation for Phillipp Stegger - Science and Technology Counselor – Embassy of Austria); SANDIA; February 2001. 78 Baker John C., Lachman Beth E., Frelinger David R., O’Connell Kevin M., Hou Alexander C., Tseng Michael S., Orletsky David, Yost Charles: Mapping the risks assessing the homeland security implications of publicly available geospatial information; RAND; 2004. Banking and finance sector compendium of supporting documents to the national strategy of critical infrastructure assurance: defending America’s cyberspace; Version 1.0.; 13 May 2003. Banking and finance sector the national strategy of critical infrastructure assurance: defending America’s cyberspace; Version 1.0.; 13 May 2003. Barker William C.: Information security, Guideline for identifying an information system as a national security system; Computer Security Division Information Technology Laboratory NIST; Gaithersburg; August 2003. Barker William W.: Information security, Volume I: Guide for mapping types of information and information systems to security categories; Computer Security Division Information Technology Laboratory, NIST; Gaithersburg; December 2003. Barr Dale: Ultra- wideband technology, Technical Notes; Office of the Manager National Communications System; Technology and program division, Volume 8, No 1; February 2001. Barr Dale: Ultra- wideband technology, Technical Notes; Office of the Manager National Communications System; Technology and program division, Volume 8, No 1; February 2001. BBN, Strategia bezpieczeństwa narodowego przyjęta przez Radę Ministrów 22 lipca 2003, zatwierdzona przez Prezydenta RP 8 września 2003; www.bbn.gov.pl. Be prepared, not scared, Emergency preparedness starts with you, Self-help advice; Government of Canada; 12 December 2002. Bendrath Ralf: The cyberwar debate: Perception and politics in US critical infrastructure protection; Information & Security, Volume 7, 2001, pages 80-103. Bennet Phil: Emerging threats; SANDIA, March 2003. Bennet, Robert f., „Security in the information Age: We’re Not in Kansas Anymore” w „Security in the Information Age”, Joint Economic Committee United State Congress, 05-2002 Bernstein Debra D., Winer Jonathan: Business implications of the U.S. antiterrorism law; Gigalaw.com; November 2001. Best practices for wireless fidelity (802.11b), Network vulnerabilities: National Infrastructure Protection Center; 17 May 2002. Blue cascades table top exercise Pacific North – west economic region: National Infrastructure Protection Center, 7 August 2002. Bosch Olivia: Cyber terrorism and private sector efforts for information infrastructure protection; International Institute for Strategic Studies; ITU Workshop on creating trust in critical network infrastructures; Seoul- Republic of Korea; 21 May 2002. 79 Botterman Marteen, Bickson Tora K., Cave Jonathan, Bosman Sandy, Frinking Eric, de Pous Victor: Public information provision in the digital age, Implementation and effects of US freedom and information act; RAND, May 2000. Brian Krebs: Senate panel OKs more cybercrime dollars; Washtech.com, 17 May 2002. Brutt Lee Ann: NS/EP implication of GPS timing, Technical notes; Office of the Manager, National Communications System; Technology and Standards Division, Volume 6, No 2; August 1999. Bryen D. Stephen: A collective security approach to protecting the global critical infrastructure; ITU workshop on creating trust in critical network infrastructures; Seoul- Republic of Korea; 20-22 May 2002. Bryen D. Stephen: A global approach to protecting the global critical infrastructure; ITU workshop on creating trust in critical network infrastructures; Seoul- Republic of Korea; 22 May 2002. Building peace and stability in crisis regions; EU- NATO cooperation; NATO briefing; October 2003. Bush George W.: President discusses nation’s critical infrastructure; Meeting President US in Oak Park High School; Kansas City, Missouri. Bush George W.: The Department of Homeland Security; June 2002. Bush W George, Securing the Homeland Strengthen the Nations, White House, 02.2002 Bush-1, The national strategy to secure cyberspace; The White House document, February 2003. Bush-2, The national strategy for the Physical Protection of Critical Infrastructure and Key assets”, The White House document, February 2003. Bush-3, National strategy for the physical protection of critical infrastructures and key assets; The White House document; Washington, February 2003. Capabilities of Sandia National Laboratories to support recommendations of the PCCIP: Sandia National Laboratories. Caren Michael D.: Telecommuting as a back-up in emergencies; Pacific Bell; San Ramon, 17 April 1996. Carter Ashton B., Deutch John M., Zelikow Philip D.: Catastrophic terrorism: elements of a national policy, A report of visions of governance for the twenty-first century; John F. Kennedy School of Government Harvard University; 1998. Chae Kijoon: Introduction to critical network infrastructures; EWHA Woman’s University, Seoul; ITU Workshop on creating trust in critical network infrastructures; Seoul- Republic of Korea; 20 May 2002. Chairman’s report; ITU Workshop on creating trust in critical network infrastructures; Seoul- Republic of Korea; 21-22 May 2002. Chalk Peter: Terrorism, infrastructure, protection and the U.S. food and agricultural sector; RAND, October 2001. 80 Charney Scott “ Transition Between Law Enforcement and National Defense” ” w „Security in the Information Age”, Joint Economic Committee United State Congress, 05-2002 Charny Ben : FCC mandates "911-only phone" changes: CNET News.com; April 30, 2002. Chen Angeline “The definition and Integration of Law Enforcement and National Defense Efforts with Regard to Critical Infrastructure Protection ” w „Security in the Information Age”, Joint Economic Committee United State Congress, 05-2002 Clark A.: Organizing for homeland security; RAND; March 2002. Clarke John L.: Securing the European homeland; Marshall Center, September 2003. COM(2002)173, Proposal for a Council Framework Decision on attacks against information systems, Commission of the European Communities, 19.04.2002 Comments of the United States government on the European Commission communication on combating computer crime; European Commission Directorate General on Information Society; 29 July 2002. Commission on National Interests, America’s National Interests, July 1996 Commission on National Interests, America’s National Interests, July 2000 Commission recommendation of 25 July 2003 on the processing of caller location information in electronic communication networks for purpose of location enhanced emergency call services (notified under the document number C(2003) 2657) (2003/558/EEC); Official Journal of the European Union, 29.7.2003. Computer security pervasive, serious weaknesses jeopardize State Department operations; Report to the Committee on Governmental Affairs, U.S. Senate; GAO, May 1998. Constructing the e-emergency database, Project document, Version 2; European Emergency Number Association; Brussels, 24 February 2004. Convention on Cybercrime, Council of Europe CETS No.185, 23.09.2001 Cordesmann Anthony H.: The uncertain cost of homeland defense, the cost and justification FY 2003 budget submission; CSIS; May 2002. Council resolution of 18 February 2003 on a European approach towards a culture of network and information security (2003/C 48/01). Crawford Daniel E.: Fiber optic cable dig-ups: causes and cures; MCI Telecommunications Corporation; Pennsylvania, October 1998. Creating trust in critical network infrastructures, Netherlands case study; ITU workshop on creating trust in critical network infrastructures; Seol- Republic of Korea; 20-22 May 2002. Creating trust in critical network infrastructures, the Brazil case, draft version 1.2; ITU workshop on creating trust in critical network infrastructures; Seoul- Republic of Korea; 20-22 May 2002. Crisis communication handbook, SEMA’s educational series 2003:1; Swedish Emergency Management Agency; 28 May 2003. 81 Critical infrastructure protection and the endangerment of civil liberties, an assessment of the president's commission on critical infrastructure protection (PCCIP); Electronic Privacy Information Center; Washington DC, 1998. Critical infrastructure protection in the Netherlands: Ministry of the Interior and Kingdom Relations; The Netherlands, April 2003. Critical infrastructure protection plan: emergency law enforcement services sector (ELES), February 2001. Critical infrastructure protection series: best practices and innovations for a new age; CSIS. Critical infrastructure protection, Efforts of the financial services sector to address cyber threats; Report to the Subcommittee on Domestic Monetary Policy, Technology, and Economic Growth, Committee on Financial Services, House of Representatives; GAO; January 2003. Critical infrastructure protection, Federal efforts require a more coordinated and comprehensive approach for protecting information systems; Report to the Committee on Governmental Affairs, U.S. Senate; GAO, July 2002. Critical infrastructure protection, Challenges for selected agencies and industry sectors, Report to the Committee on Energy and Commerce, House of Representatives; GAO, February 2003. Critical infrastructure protection, Commercial satellite security should be more fully addressed; Report to the Ranking Minority Member, Permanent Subcommittee on Investigations, Committee on Governmental Affairs, U.S. Senate; GAO, August 2002. Critical infrastructure protection, significant challenges in developing national capabilities; United States General Accounting Office (GAO); April 2001. Critical infrastructure protection; Homeland Security Office; NEI Web site; 2002. Critical infrastructure: how organizations can protect themselves; Institute of Internal Auditors Australia; South Pacific and Asia Conference (SOPAC); 25 March 2003. CRN-workshop report, Risk and crime communication, creating a research agenda from a security-policy perspective: Directorate for Civil Protection and Emergency Planning, Norway (DSB) in cooperation with Comprehensive Risk Analysis and the Management Network (CRN); Oslo, Norway 2003. Crowe James Q.: The future of our nation’s communications infrastructure, A report to the nation; Network Reliability and Interoperability Council V; NRIC V, 4 January 2002. Cyber protest: the threat to the U.S. information infrastructure; National Infrastructure Protection Center; October 2001. Cyber threat and computer intrusion incident reporting guidelines: National Infrastructure Protection Center; 14 June 2000. Dacey Robert F.: Information security; progress made, but challenges remain to protect federal systems and the nation’s critical infrastructures, Testimony before the Subcommittee on Technology, Information Policy, Intergovernmental Relations 82 and the Census, Committee on Government Reform, House of Representatives; GAO, 8 April 2003. Darilek Richard E., Perry Walt R., Bracken Jerome, Gordon John, Nichiporuk Brian: Measures of effectiveness for the information age army; RAND, 2001. Data reporting and analysis, Final report; Network Reliability and Interoperability Council V, Focus Group 2 Subcommittee 2.B1; 6 January 2004. Davis Lynn E., Treverton Gregory F., Byman Daniel, Daly Sara, Rosenau William: Coordinating the War on Terrorism; RAND, March 2004. De Vries Henk: NATO Civil Communications Planning Committee (CCPC) Presentation; NATO, 2 February 2003. Decision 496 (approved at the eleventh plenary meeting ITU), Guidelines for strategic planning workshops; Document C2000/90-E; Session of the Council ITU; Geneva,19 - 28 July 2000. Decision No 2256/2003/EU of the European Parliament and of the Council of 17 November 2003 on adopting multiannual programme (2003-2005) for the monitoring of the eEurope 2005 action plan, dissemination of good practices and the improvement of network and information security (MEDINIs); Official Journal of the European Union 23.12.2003. DeCorla-Souza Kevin F., The Department of Homeland Security, The Challenge of Organizing and Implementing Change, The Congressional Institute Inc., Alexandria VA, 2002 Deklaracja w sprawie terroryzmu (wydana na posiedzeniu Rady Północnoatlantyckiej NATO) na szczeblu ministrów spraw zagranicznych w Brukseli, (tłumaczenie robocze BBN); 2 kwietnia 2004 roku. Denning Dorothy E., “Wojna informacyjna I bezpieczeństwo informacji”, Wydawnictwa Naukowo Techniczne, 2002 Department of Defense Directive on information assurance, number 8500.1; USA, 24 October 2002. DHS Strategic Plan, “Securing our homeland, Vision, Mission, Core Values & Guiding Principles”; U.S. Department of Homeland Security - Strategic Plan; Homeland Security of USA, 2004. Dick Ronald L. : Press statement on signing a memorandum of understanding establishing a partnership between the NIPC and the Financial Services Information Sharing and Analysis Center, LLC (FS/ISAC); National Infrastructure Protection Center (NIPC); 25 June 2002. Dick Ronald L.: The legal aspects of infrastructure protection; Infowarcon 2001, Washington, d c; 5 September 2001. Digital subscriber line technology, office of the manager national communications system, technical notes; Technology and program division, Volume 7, No 5; August 2000. Digital subscriber line technology; Office of the manager national communications system, Technical notes; Technology and program division, Volume 7, No 5; August 2000. 83 Dong Nelson G., Lopatkiewicz Stefan M.: U.S. legal developments in telecommunications and export control law on the aftermath of 11 September 2001; Dorsey and Whithney LLP; November 2003. Draft minutes of the 14th WGET plenary meeting; Working Group on Emergency Telecommunications /Inter-Agency Standing Committee, Reference Group ICT; 11 April 2003. Draft white paper, Partnership for critical infrastructure security public policy working group, A policy framework for critical infrastructure assurance; PCIS, Revised 3 April 2002. Druk 2933, 2933-A, Sprawozdanie Komisji Infrastruktury o rządowym projekcie ustawy prawo telekomunikacyjne (druk 2937), wraz z dodatkowym sprawozdaniem poprawek (druk 2933-A), (19.05.2004) 15.06.2004 Druk 2947, Projekt ustawy o krajowym systemie ratowniczym, druk sejmowy 2947, Kancelaria Sejmu, 30.04.2004 Druk 2953 I czyt., Pierwsze czytanie poselskiego projektu ustawy o bezpieczeństwie obywateli i zarządzaniu kryzysowym (druk nr 2953), sprawozdanie stenograficzne, Kancelaria Sejmu, 15.06.2004 Druk 2953, Projekt ustawy o bezpieczeństwie obywateli i zarządzaniu kryzysowym, druk sejmowy 2953, Kancelaria Sejmu, 30.04.2004 Duggan David P.: Common vulnerabilities in critical infrastructure control systems; SANDIA, November 2003. Dunn Myriam, Wiggert Isabelle: International CIIP handbook 2004, an inventory of protection policies in fourteen countries, Critical information infrastructure protection; ETH (Swiss Federal Institute of Technology Zurich); Zurich, 12 February 2004. Dunn Myriam: Information age conflicts, a study of the information revolution and a changing operating environment; ETH, Zurich, 9 September 2002. Dz.U.2001.122.1320, Ustawa z dnia 23 sierpnia 2001 o organizowaniu zadań na rzecz obronności państwa na rzecz przedsiębiorców, Dz.U. z 2001 r. nr 122 poz.1320 Dz.U.2002.13.122, Rozporządzenie Rady Ministrów z dnia 1 lutego 2002 w sprawie wykazu przedsiębiorców o szczególnym znaczeniu gospodarczoobronnym, Dz.U. z 2002 r. nr 13 poz.122 Dz.U.2003.116.1090, Rozporządzenie z dnia 24 czerwca 2003 w sprawie obiektów szczególnie obiektów szczególnie ważnych dla bezpieczeństwa i obronności państwa oraz ich szczególnej ochrony, Dz.U.116 z 2003 r. nr 166 poz.1090 Dz.U.2004.98.978, Rozporządzanie Rady Ministrów z dnia 27 kwietnia 2004 w sprawie przygotowania systemu kierowania bezpieczeństwem narodowym, Dz.U. z 2004 r. nr 98 poz.978. E-911 delays could cost AT&T Wireless $2.2M; The New York Times, November 2003 Eagan Robert J.: Critical infrastructure protection from the manufacturing perspective; SANDIA, May 2002. 84 Eagan Robert J.: Energy and critical infrastructure strategic business unit; SANDIA, March 2002. Edwards Neill: Critical infrastructures: working together in a new world, lessons learned from September 11; 4 February 2002. E-economy consultation synthesis final revised 3 July 2002, Results on the open – consultation on the e-economy; European Commission, DG Enterprise, Unit D.4; April 2002. eEurope 2002, An Information Society for All, Action Plan, prepared by the Council and European Commission for Feira European Council, 19-20,06.2000 eEurope 2005, Communication from the Commission to the Council, The European Parliament, The Economic and Social Committee and the Committee of the Regions, eEurope 2005, An Information Society for All, An Action Plan to be presented in view of the Sevilla European Council, 21/22 June 2002, COM(2002)263, 28.5.2002 Egan Timothy: Computer student on trial for aid to Muslim web sites; The Washington Post; 27 April 2004. Eggletton Art: New approach to disaster management in Canada: The 11th World Conference on Disaster Management held in Hamilton; Ontario, 26 June 2001. Electricity requirements for a digital society, report; RAND ( www.rand.org/scitech), 8 October 2002. Electricity sector response to the critical infrastructure protection challenge: North American Electric Reliability Council; Princeton, New Jersey, May 2002. Electronic intrusion threat to national security and emergency preparedness (NS/EP) internet communications, An awareness document; National Communications System, December 2000. Emergency responders' views on their protection needs; RAND, www.rand.org, 2003. Engi Dennis: International / vital issues processes, Critical infrastructure surety; SANDIA, April 1999. ENISA, Regulation of the European Parliament and of the Council Establishing the Europan Network and Information Security Agency, Commission of the European Communities, COM(2003)63 – C50058/2003-2001/0032(COD), 2003 EO 12382, Executive order (EO) 12382 – President’s National Security Telecommunications Advisory Committee; Presidential document; 10 August 2000. EO 12472, Executive Order (EO) 12472- Assignment of national security and emergency preparedness telecommunications functions: Presidential document; 3 April 1984. EO 12656, Executive Order (EO) 12656 - Assignment of emergency preparedness responsibilities: Presidential document; 18 November 1988. EO 13010 Executive Order (EO) 13010 – Critical infrastructure protection: Presidential document; 15 July 1996. 85 EO 13215, Executive Order (EO) 13215 –Presidents information Technology Advisory Committee - further amendment to EO 13035: Presidential document; 31 May 2001. EO 13225, Executive Order (EO) 13225, Continuance of certain Federal Advisory Committees: Presidential document; 28 September 2001. EO 13228, Executive Order (EO) 13228, Establishing the Office of Homeland Security and Homeland Security Council: Presidential document; 8 October 2001. EO 13231, Executive Order (EO) 13231, Critical infrastructure protection in the information age: Presidential document; 16 October 2001. EO 13260Executive Order (EO) 13260, Establishing the President's Homeland Security Advisory Council and Senior Advisory Committees for Homeland Security; Presidential document; 19 March 2002. EO12010, Executive Order (EO) 12010 – Critical infrastructure protection: Presidential document; 15 July 1996. ERC decision of 12 March 2001 on the harmonized frequency bands to be designated for the Direct Mode Operation (DMO) of the Digital Land Mode Systems for the Emergency Systems (ERC/DEC/ 01(19)); European Radiocommunications Committee, European Conference of Postal and Telecommunications Administrations, 16 March 2001. ERC decision of 12 March 2001 on the harmonized frequency bands to be designated for Air-Ground-Air (AGA) of Digital Land Mobile Systems for the Emergency Services (ERC/DEC/ 01(20)); European Radiocommunications Committee, European Conference of Postal and Telecommunications Administrations, 16 March 2001. ERC decision of 7 March 1996 on the harmonized frequency bands to be designated for the introduction of the Digital Land Mode Systems for the Emergency Systems (ERC/DEC/ 96(01)); European Radiocommunications Committee, European Conference of Postal and Telecommunications Administrations, March 2001. Essenberg Ivo: New initiatives workshop: Creating trust in the critical network infrastructures; ITU, 20 May 2002. Executive order of homeland security and the Homeland Security Council: Critical Infrastructure Assurance Office; Office of the Press Secretary the White House, 8 October 2001. Executive order, Critical infrastructure protection; The White House document, The Electronic Privacy Information Center; Washington, 15 July 1996. FCC establishes office of homeland security; James Dailey named director; News Media, FCC; Washington, 10 July 2003. Federal computer security grades 2000-2003; Federal Information Security Management Act (FISMA). Federal Computer Security Report Card 2003, Statement of the chairman federal computer security report card; Washington, 9 December 2003. 86 Federal register: part IV, 6 CFR part 29, Procedures for handling critical infrastructure information, Interim rule; Department of Homeland Security, Office of the Secretary, 20 February 2004. Fenichel Robert: Direct broadcast satellite radio; Office of the manager, National communications system, Technical notes; Technology and standards division, Volume 7, No 2; July 2000. Floods, What to do before and after, Self-help advice; Government of Canada, 12 December 2002. Forlano Laura: Damage and restoration to electricity, phones, tv; Gotham Gazette - http://www.gothamgazette.com/article/tech/20010901/19/703; 09 September 2001. Fourth report card on computer security at federal departments and agencies, overall grade: D; Subcommittee on Technology, Information Policy Intergovernmental Relations And the Census, House Government Reform Committee, 9 December 2003. Frinking Eric J., Ligtvoet Andreas, Van de Linde Eric J.G.: Risicoanlyse van het zero- base project, eindrapport: RAND Europe, Jannuari 2001. Genesis of the National Communications System (NCS) ; http://gets.ncs.gov. Geomagnetic storms - reducing the threat to critical infrastructure in Canada; Office of critical infrastructure protection and emergency prepardness, Government of Canada, 29 April 2002. Goldsmith S. Y.: Workshop on concepts for self-healing critical infrastructures: SANDIA, June 2003. Goodman Seymour E., Hassebroek Pamela B., King Davis, Ozment Andy: International coordination to increase the security of critical network infrastructures; Georgia Institute of Technology Atlanta; ITU Workshop on creating trust in critical network infrastructures; Seoul- Republic of Korea; 21-22 May 2002. Gordon Sarah; Ford Richard: Cyberterrorism?; Symantec Security Response; 19 March 2003. Government Emergency Telecommunications Service; http://gets.ncs.gov; January 2002. Grance Tim, Hash Joan, Peck Steven, Smith Jonathan, Korow-Diks Karen: Security guide for interconnecting information technology systems, Recommendations of the National Institute of Standards and Technology; NIST, August 2002. Grance Tim, Hash Joan: Security considerations in the information system development life cycle; Recommendations of the National Institute of Standards and Technology; NIST, Gaithersburg, October 2003. Grance Timothy, Stevens Marc, Myers Marissa: Guide to selecting information technology security products, Recommendations of the National Institute of Standards and Technology, Special Publication; NIST, Gaithersburg, October 2003. 87 Gravell William, National Security in Transformation: Outlining a Comrehensive Approach to National Information Power ” w „Security in the Information Age”, Joint Economic Committee United State Congress, 05-2002 Grossman Mark: Trade secrets in a dot-com world; Gigalaw.com, May 2000. Gugliotta Guy: Report: U.S. vulnerable to attack scientists urge new terrorism research; Washingtonpost.com, 25 June 2002. Guidance for radio amateur civil emergency service, Civil preparedness guide: Federal Emergency Management Agency; Washington, D.C. 20472, CPG 1-15, 18 March 1991. Hammar Patricia: IT security: risks and problem-solving tactics; National Security Research's; 23 April 2002. Hancock Bill: National infrastructure protection issues, Exodus a cable and wireless service [presentation]; 22 May 2002. Handbook of the legislative procedures of computer and network misuse in EU countries: Study for the European Commission Directorate General Information Society; 2002. Harmonization of frequencies for police and security services in Europe; European Radiocommunications Committee (ERC) within the European Conference of Postal and Telecommunications Administration (CEPT); Oslo, December 1991. Harmonized radio frequency channel agreements for the emergency services operating in the band 380-400 MHz , Recommendation T/R 02/02 E; European Radiocommunications Committee (ERC), Bonn 1993, revised at Odense 1997. Harrison Rick: Network reliability performance committee, Best practice team, Technical paper; Alliance for Telecommunication Industry Solutions Network Operations Forum; Bellcore, 18 January 1996. Harrop Michael: Creating trust in the critical network infrastructure, Canadian case study; ITU workshop on creating trust in critical network infrastructures; SeoulRepublic of Korea; 21 May 2002. Harrop Mike: Outline of a possible “straw-man” model for international coordination on the protection of critical infrastructures; ITU workshop on creating trust in critical network infrastructures; Seoul- Republic of Korea, 21 May 2002. Hart-Rudman, New World Coming, American Security in the 21st Century, Major Themes and Implications, Phase I Report on a U.S. National Startegy for 21st Century, US Commission on National Security/21 Century, 15.09.1999 Hart-Rudman, Road Map for National Security: Addendum on Implementation, US Commission on National Security/21 Century, National Security Study Group, 15.04.2001 Hart-Rudman, Road Map for National Security: Imperative for Change, The phase III Report on a U.S. National Startegy for 21st Century, US Commission on National Security/21 Century, 15.02.2001 Hart-Rudman, Seeking National Strategy, A concept for Preserving Security and Promoting Freedom, The phase II Report on a U.S. National Startegy for 21st Century, US Commission on National Security/21 Century, 15.04.2000 88 Harvey James A.: An early look at the national strategy to secure cyberspace; Gigalaw.com, April 2003. Hennessey Bobbi: Airfone dramatically drops pricing as special outreach to its airline partners, Per-minute calling rates for domestic calls drop to 99 cents for limited time; Verizon press release, 27 September 2001. Hephner R.: Analysis for the homeland security act of 2002; 18 June 2002. Hess Stephen: The CNN effect: how 24-hour news coverage affects government decisions and public opinion; A Brookings/Harvard Forum: Press Coverage and the War on Terrorism, 23 January 2002. History of National Security Council, Office of the Historian, U.S. Department of State, 1997 Hoffman Bruce, Oblicza terroryzmu, Politea, 1999 Homeland security – presidential directive – 1, Organization and operation for the Homeland Security Council; 29 October 2001. Homeland security at FCC; FCC; Washington, 10 July 2003. Homeland security: communications industry considers measures to ensure it meets the needs of public safety community during times of crisis; News FCC; Washington D.C., 14 March 2003. Homeland security: network reliability and interoperability council to hold meeting to consider recommendations for service continuity and disaster recovery; Public Notice Federal Communications Commission (FCC); Washington, D.C., 6 March 2003. Homeland security: protecting the nation’s communications network against attack tops agenda for upcoming national reliability and interoperability council Meeting December 6, 2002; News FCC; Washington D.C., 26 November 2002. Houser Ari N., Jackson Brian A., Bartis James T., Peterson D.J.: Emergency responder injuries and fatalities, An analysis of surveillance data (TR-100-NIOSH); RAND, March 2004. How grades were assigned; FISMA, December 2000. Hunt David, Seshadri Raj, Carins Alastair: Impact of attack on New York financial services; McKinsey & Company's Banking & Securities Practice, November 2001. Increasing capabilities and security for automation, SCADA test bed; INEEL, 26 March 2003. Information assurance and critical infrastructure protection: a federal perspective; Government Electronics and Information Technology Association; 2001. Information note number: IN02-005, Securing publicly available information; Public Safety and Emergency Preparedness Canada, 31 May 2002. Information security, Computer attacks at department of defense pose increasing risks, Report to congressional requesters; GAO, May 1996. Information sharing agreements; Trusting Information Sharing Network for Critical Infrastructure Protection; http://www.cript.gov.au/, 28 March 2003. 89 Information sharing for critical infrastructure protection task force report: NSTAC, June 2001. Information sharing program, emergency fire services ISAC; Department of Homeland Security Infrastructure Monitoring, Analysis and Coordination Branch (IMAC / IAIP) & US Fire Administration; Emmitsburg, Maryland, 14 August 2003. Informationstechnische bedrohungenfur kritische infastructuren in Deutschland, Kurzbericht der ressortarbeitsgruppe KRITIS (Entwurfversion 7.95), Dezember 1999. Interim report on critical infrastructure protection activities for the information and communications (I&C) sector (1998 - 2000); NTIA, 21 September 2000. Interim Report: causes of August 14th blackout in the United States and Canada; U.S. Canada Power System Outage Task Force, November 2003. Internet security/architecture task force report, First steps in identifying and remediating vulnerabilities pervasive software and protocols: NSTAC, 4 April 2003. IT security reports; Washingtonpost.com, 22 April 2002. ITU plenipotentiary conference (PP-98); Minneapolis,12 October - 6 November 1998. Jackson Brian A., Peterson D.J., Bartis James T.: Protecting emergency responders, Lessons learned form terrorists attacks; RAND, 2002. Joint Publication 3-13.1, “Joint Doctrine for Command and Control Warfare, Joint Staff, 1996 Joint Staff: “Information Warfare – A strategy for Peace – The Decisive Edge for War, Joint Staff, 1996 JSC, Joint Security Commission, Redefining Security: A Report to the Secretary of Defense and the Director of Central Intelligence, 1994 Juster Kenneth I, Tritak John S. “Critical Infrastructure Assurance: A Coceptual Overview” ” w „Security in the Information Age”, Joint Economic Committee United State Congress, 05-2002 Juster Kenneth I.: Homeland security and critical infrastructure assurance, the importance of community action; Conference on critical infrastructures: working together in a new world; Austin, 13 February 2002. Karty Steve L.: E-mail over high frequency (HF) radio, Filling the communications gap during unexpected telephone outages; Office of the manager national communications system, Technical Notes; Technology and program division, Volume 7, No 6, August 2000. Karty Steve: Bluetooth personal area network technology, Technical notes; Office of the Manager, National Communications System; Technology and standards division, Volume 7, No 3; July 2000. Keating Dan: Pentagon's online voting program deemed too risky; Washington Post; 22 January 2004. Key Responsibilities in the Protection of Critical Infrastructure: Trusting Information Sharing Network for critical infrastructure protection; http://www.cript.gov.au/. 90 Keys David, “Cyber Early Warning: Implications for Business Productivity and Economic Security” ” w „Security in the Information Age”, Joint Economic Committee United State Congress, 05-2002 Khalilzad Zalmay, White John P., Marshall Andrew W.: Strategic appraisal: the changing role of information in warfare; RAND, 1999. Knight John C., Elder Matthew C., Flinn James, Marx Patrick: Analysis of four critical infrastructure applications, Computer science report no. CS-97-27; University of Virginia, Department of Computer Science, 19 September 1998. Knight John C., Elder Matthew C., Flinn James, Marx Patrick: Summaries of three critical infrastructure applications, Computer science report no. CS-97-27; University of Virginia, Department of Computer Science; 14 November 1997 (Revised December 10, 1997). Koblentz Gregory D.: Overview of federal programs to enhance state and local preparedness for terrorism with weapons of mass destruction; ESDP, BCSIA, April 2001. Kośla Robert: Ochrona infrastruktury krytycznej w Polsce - aktualny stan prac; Departament Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego; Warszawa, 3 Grudnia 2002. Krebs Brian, McGuire David: FTC: ID theft remains top complaint; Washingtonpost.com, 22 January 2004. Krebs Brian: Two Virginia Universities to join forces against cybercrime; Washtech.com, 13 May 2002. Krebs Brian: FCC OKs VoiceStream waiver for emergency wireless system; Newsbytes; Washington, D.C, 3 April 2002. Krebs Brian: Gov't computer security lagging – report; Washingtonpost.com, 9 December 2003. Krim Jonathan: Think tank urges information sharing, Network could help combat terrorism; Washingtonpost.com, 3 December 2003. Lachman Beth E., Wong Anny, Knopman Debra, Gavin Kim: Lessons for the global spatial data infrastructure; International Case Study Analysis, prepared for the GSDI Secretariat; RAND, 2002. Larson Eric V., Peters John E.: Preparing the U.S. Army for homeland security: concepts, issues and options; RAND, 2001. Last mile bandwidth availability task force report: NSTAC, March 2002. LaTourrette Tom, Peterson D.J., Bartis James T., Jackson Brian A., Houser Ari: Protecting emergency responders, Community views of safety and health risks and personal protection needs – Volume II; Rand, 2003. Lawor Maryann: Keeping the lines of communication open collaboration, Cooperation secure emergency response capability; Signal Magazine 2002, April 2002. Legislative and regulatory, penalties for Internet and cyber crime: NSTAC, February 2003. 91 Leland Joe, Feldman Philip M.: Fundamental research policy for the digital battlefield: RAND, 1998. Liddel Hart Basil H, “Strategy, Meridian Books, 1954 Lim Chaeho: Creating trust in critical network infrastructures, Korean case study; KAIST/ITU, 24 May 2002. Lippmann, Walter, U.S. Foreign Policy, Liittle Brown and Company, Boston, 1943 s. 51, Lisbon Strategy, Presidency Conclusion of the Lisbon European Council of 23 and 24 March 2000, Livesey Tomas F.: Towards critical infrastructure protection, Realistic alternatives to Version 1.0.; 5 May 2000. Lounsbury David: Securing distributed controls: A systems perspective open group advanced research; http;//www.opengroup.org/[email protected]. Low Eva: Performance metrics team, Final report; Pacific Bell, San Ramon, 15 January 1996. Luiijf Eric A.M, Burger Helen H., Klaver Marieke H.A.: Critical infrastructure protection in the Netherlands: a quick-scan; EICAR Conference Best Paper Proceedings, 2003. Luiijf Eric A.M, Klaver Marieke H.A., Huizenga J., Till van J., de Boer R., van de Sandt C.H.C., Maclaine Pont C.: The vulnerable Internet, a study of critical infrastructure (of the Netherlands section) of Internet; TNO & STRATIX Consulting Group, 6 June 2001. Luiijf Eric A.M, Klaver Marieke H.A.: In bits and pieces, Vulnerability of the Netherlands ICT infrastructure and consequences for the information society; Infodrome, March 2000. Luiijf Eric A.M.: ICT in bits and pieces, Critical infrastructures; TNO Physics and Electronic Laboratory, 30 November 2001. Luiijf Eric A.M.: The vulnerable Internet, A CIP study by the Netherlands; TNO Physics and Electronic Laboratory and STRATIX, 26 November 2001. MacGriffin John “Counterintelligence and Infrastructure Protection” ” w „Security in the Information Age”, Joint Economic Committee United State Congress, 05-2002 Mann Brett W.: Cross-border co-operation speeds up emergency telecommunications repairs; October-December 1997. Martinez Gabriel: Signaling system 7 Internet protocol interconnection, Technical Notes; Office of the Manager National Communications System, Technology and program division, Volume 8, No 2; March 2001. McCullagh Declan: Bush signs homeland security bill; CNET News.com, 25 November 2002. Mell Peter, Grance Tim: Use of the common vulnerabilities and exposures (CVE) vulnerability naming scheme recommendations of the National Institute of Standards and Technology; NIST, September 2002. 92 Microsoft SQL Server 2000 “Slammer” worm – impact paper; Office of Critical Infrastructure Protection and Emergency Prepardness, Government of Canada; Incident analysis, No. IA003-001, 12 March 2003. Miller Bill: Worries of cyberattacks on U.S. are aired, Chinese military is looking for ways, Students seen gearing up for disruptions; Washington Post, 26 April 2002. Miller Jason: Panel: proposed IT security bill needs revisions; Government Computer News; 2 May 2002. Miller Paul, Irland Kevin W.: Local business, government leaders learn about disaster recovery, business continuity from Verizon; Verizon press release; 18 April 2002. Molander Roger C., Riddle Andrew S., Wilson Peter. A. Strategic Information Warfare: A New face of War, RAND, 1996 MOP 30, Memorandum on Policy 30, “Command and Control Warfare”, Połączone Kolegium Szefów Sztabów, 1993 Moteff John D., Copeland Claudia, Fisher John: Critical infrastructures: what makes an infrastructure critical? Report for Congress; Congressional Research Service - The Library of Congress; 29 January 2003. Moteff John D.: Critical infrastructures: background, policy, and implementation, Report for Congress; Congressional Research Service - The Library of Congress; 10 February 2003. Mussington David: Concepts for enhancing critical infrastructure protection, Relating Y2K to CIP research and development; Rand Corporation, 2002. Nacchio Joseph P.: Critical infrastructure protection: who is in charge?; Qwest Communications International, Inc., 4 October 2001. Narrow band frequencies for inter-agency coordination and safety and security communications in international humanitarian assistance, as adopted by the fifth WGET Plenary Meeting, Geneva, 20/21 May 1997, and revised by the eight WGET Plenary Meeting, Washington DC, 7-8 June 1999. National Communications System; http://gets.ncs.gov, January 2002. National Coordinating Service for Telecommunications; http://www.ncs.gov/ncc/htm, February 2002. National Counter Terrorism-Committee, Critical infrastructure protection in Australia: Trusting information sharing network for critical infrastructure protection; http://www.cript.gov.au/, 27 March 2003. National Infrastructure Protection Center, 9 May 2002. National plan for critical infrastructure protection rail section: Association of American Railroads, June 2002. National plan for information’s system protection Version 1.0. An invitation to dialogue: Defending America’s cyberspace; The White House, 2000. National research priorities: Trusting Information Sharing Network for critical infrastructure protection; http://www.cript.gov.au/, March 2003. 93 National security telecommunications policy, Directive number 97; The White House, 13 June 1983. National security to secure cyberspace, The Presidential Critical Infrastructure Board, Established Under US Presidential Executive Order 13231, 20 March 2002. Nelson Jennifer E.: Critical infrastructure surety at Sandia National Laboratories; SANDIA. Network reliability best practices packet switching circuit switching, Final report; Network Reliability and Interoperability Council V; Focus Group 2 Subcommittee 2.A; NRIC, January 2002. Network Reliability Council Focus Group IV, Essential communications during emergencies, Team report findings and recommendations, pertaining to emergency service network reliability; NRC, 12 January 1996. Network security/vulnerability assessments task force report: NSTAC, March 2002. Neu C. Richard, Anderson Robert H., Bikson Tora K.: Government and citizens, security, policy issues and next steps; RAND, 1998. NRC, Internet under crisis conditions, Lessons from Setember 11; Computer Science and Telecommunications Board, Division on Engineering and Physical Sciences; National Research Council of National Academy of Sciences; Washington D.C. 2003. NSTAC at 20: providing national security telecommunications policy expertise for two decades; Arlington, 1 May 2003. NSTAC’s response to the national plan: NSTAC, April 2001. NYSE, New York Stock Exchange September 11, 2001, NYSE Press Room, Information and Resouces, 2001 Ocakoglu Gzim, IDA Secure Communications Platforms TESTA and PKI, European Commission – DG Enterprise, 2004 Ohno Hiroyuki: Security study activities in ITU-T, Q10 / SG17 rapporteur; SeoulRepublic of Korea, 21 May 2002. OHS, National strategy for homeland security: President of the United States, Office of Homeland Security, July 2002. O'Neil Michael J., Dempsey James X.: Critical infrastructure protection: threats to privacy and other civil liberties and concerns with government mandates on industry; Depaul Business Law Journal, Vol 12, p. 97, (1999/2000). Opening remarks of the secretary-general: ITU workshop on creating trust in critical network infrastructures; Seoul- Republic of Korea; 20 May 2002. Orszag Peter R., Pechman Joseph A.: Critical infrastructure protection and the private sector: the crucial role of incentives, Testimony before the Subcommittee on Cybersecurity, Science, and Research & Developmentand the Subcommittee on Infrastructure and Border Security House Select Committee on Homeland Security; The Brookings Institution, 4 September 2003. Oslund Jack “National Security: The Definitions Landscape” ” w „Security in the Information Age”, Joint Economic Committee United State Congress, 05-2002 94 Parachini John V., Davis Lynn E., Liston Timothy: Homeland security, a compendium of private and public organisations’ policy recommendations; Rand Corporation, 2003. PCCIP Report “Critical Foundations-Protecting America’s Infrastructures” The Report of of the President’s Commission on Critical Infsratructure, 1997 PDD 29, Presidential Decision Directive 29, “Security Policy Coordination”, White House, 16.09.1994 PDD 39, Presidential Decision Directive, “US Policy on Counterterrorism”, White House, 06.1995 Perrow Charles: 2YK as a normal accident; International Conference on Disaster Management and Medical Relief; Amsterdam 14-16, June 1999. Powell Michael: Attachment assessment of the readiness of emergency communications FCC Y2K task force; FCC, 13 July 1999. Prepare to survive a major earthquake, Self-help advice; Government of Canada, 12 December 2002. Prepared for the woods, Self-help advice; Government of Canada, 12 December 2002. Preparing for the unexpected, Self-Help Advice; Government of Canada, 12 December 2002. President NSC-63, Presidential decision directive NSC-63, Critical infrastructure protection; The White House document; Washington, 22 May 1998. Progress report on the global war on terrorism: The White House; Washington, September 2003. Proposal for a Council framework decision on attacks against information systems 2002/0086 (CNS); Commission of the European Communities; Brussels, 19 April 2002. Proposal for a regulation of the European Parliament and of the Council, Establishing the European Network and Information Security Agency (Com 2000); 19 February 2004. Protecting America's critical infrastructures; The White House, Office of the Press Secretary, 22 May 1998. Protecting and securing the nation, critical infrastructure test range; INEEL (Idaho National Engineering and Environmental Laboratory), 3 October 2002. Protecting critical infrastructures and key assets; The National Strategy For Homeland Security, 15 July 2002. Protecting the Homeland, Report of the Defence Science Board Task Force on defensive information operations 2000; Summer study, volume 2; Department of Defense, March 2001. Protection plan for mission critical infrastructure assets; VID CAD/ ESP, 3 July 2003. Public switched network security assessment guidelines; The Office of the Manager National Security Communications Systems; December, 2000. 95 Quarantelli E.L.: Disaster planning, emergency management, and civil protection: the historical development and current characteristics of organized efforts to prevent and respond to disasters; 18 June 1999. Rahman Bistamam Siru Abdul: Malaysia’s approach to network security; ITU workshop on creating trust in critical network infrastructures; Seoul- Republic of Korea, 21 May 2002. Rasmussen Michael “information Protection: Assuring Stakeholder Value in a Digital Age” ” w „Security in the Information Age”, Joint Economic Committee United State Congress, 05-2002 Rattray Gregory J., Wojna Strategiczna w Cyberprzestrzeni, Wydawnictwa Naukowo Techniczne, 2004 Recommendation 12; ITU, Geneva, http://www.reliefweb.int/. Reliability issues - Changing Technologies Focus Group New Wireline Access Technologies, Subteam Final Report; Network Reliability Council (NRC), 22 February 1996. Reliability Issues - Changing Technologies Focus Group Satellite Communications Networks Subteam Final Report; Network Reliability Council (NRC), 22 February 1996. Reliability issues - Changing Technologies Focus Group Synchronous Optical Network/Asynchronous Transfer Mode (SONET/ATM), Subteam Final Report; Network Reliability Council (NRC), 22 February 1996. Reliability Issues - Changing Technologies Focus Group Wireless/PCS Subteam Final Report; Network Reliability Council (NRC), 22 February 1996. Reliability issues - Changing Technologies Focus Group, Advanced Intelligent Network Subteam Final Report; Network Reliability Council (NRC), 22 February 1996. Reliability issues - Changing Technologies Focus Group, Focus group overview; Network Reliability Council (NRC), 22 February 1996. Report of the defence science board task force on information warfare - defence (IW-D); Office of the Under Secretary of Defense for Acquisition & Technology; Washington, D.C.; November 1996. Report of the President of the United States on the status of federal critical infrastructure protection activities; The White House document; Washington, January 2001. Report on implementation issues related to access to location information by emergency services (E112) in European Union, Final report; Coordination Group on Access to Location Information for Emergency Services (CGALIES), 19 February 2002. Research and development exchange proceedings: transparent security in a converged and distributed network environment: A symposium sponsored by the President’s NSTAC in the conjunctions with the Telecommunications and Information Security workshop; University of Tulsa, Oklahoma, 28-29 September 2000. 96 Resolution 19 - ITU, Telecommunication resources for disaster mitigation and relief operations; The World Telecommunication Development Conference; Valletta, 1998. Resolution 34, Telecommunication resources in the service of humanitarian assistance - ITU; The World Telecommunication Development Conference (Istanbul 2002). Resolution 645 - ITU, Global harmonization of spectrum for public protection and disaster relief ; Geneva (WRC-2000), http://www.reliefweb.int/. Rice James B.: Supply chain response to terrorism: creating resilient and recure supply chains; Interim report of progress and learnings; Massachusetts Institute of Technology, 8 August 2003. Ridge Tom: Remarks of secretary Tom Ridge to the American Enterprise Institute: Securing America in a post 9/11 world; Office of Homeland Security USA. Rinaldi Steven M.: Critical infrastructure independencies; SANDIA, June 2003. Rinaldi Steven M.: The role of modeling and simulation in critical infrastructure protection; SANDIA, May 2003. Risk assessment in Europe, part 2; lectures presented at the EU workshop on Risk Rssessment; Oslo 25-26 November 1999. Risk management, An essential guide to protection critical asset: National Infrastructure Protection Center, November 2002. Robinson C.P., Woodward J.B., Varando S.G.: How vulnerable is our interlinked infrastructure?; Issues in science and technology – online; Fall 1998. Ronfeldt David F., Arquilla John, Fuller Graham E., Fuller Melissa: The Zapatista social netwar in Mexico; RAND Corporation, 1998. Ross Ron, Swanson: Information security, Guide for the security certification and accreditation of federal information systems, Second public draft; Computer Security Division Information Technology Laboratory NIST; Gaithersburg, June 2003. Ross Ron; Stoneburner Gary, Katzke Stuart, Johnson Arnold, Swanson Marianne: Information security, Initial public draft; Computer Security Division Information Technology Laboratory, NIST; Gaithersburg, December 2003. SANDIA Lab News; Vol. 53, no 19; 21 September 2001. Sands Jeffery I.: PCIS common reference glossary, Version 2001-09; Information Sharing Task Force; PCIS, 14 September 2001. Sauners David: Westin - solutions through technology; 13 June 2002. Schmidt Howard: Cybersecurity and homeland defense; The Washington Post, 2 May 2002. Securing oil and natural gas infrastructures in the new economy: National Petroleum Council, Committee on Critical Infrastructure Protection; June 2003. Securing publicly available information, Information note number: IN02-005; Public safety and emergency preparedness Canada, 31 May 2002. 97 Securing VoIP; Information note number: IN03-001, Securing publicly available information: Public safety and emergency preparedness Canada, 13 June 2003. Security guidelines for the electricity sector, Emergency plans; Version: 1.0; North American Electric Reliability Council: 14 June 2002. Security guidelines for the electricity sector: Communications, Version: 1.0; North American Electric Reliability Council, 14 June 2002. Security guidelines for the electricity sector: Cyber IT firewalls; Version: 1.0; North American Electric Reliability Council, 14 June 2002. Security guidelines for the electricity sector: Cyber access controls, Version: 1.0; North American Electric Reliability Council, 14 June 2002. Security guidelines for the electricity sector: Cyber intrusion detection; Version: 1.0; North American Electric Reliability Council, 14 June 2002. Security guidelines for the electricity sector: Cyber risk management; Version: 1.0; North American Electric Reliability Council: 14 June 2002. Security guidelines for the electricity sector: Protecting potentially sensitive information; Version: 1.0; North American Electric Reliability Council, 14 June 2002. Security guidelines for the electricity sector: Securing remote access to electronic control and protection systems, Version: 1.0: North American Electric Reliability Council, 10 June 2003. Security guidelines for the electricity sector: Vulnerability and risk assessment; Version: 1.0; North American Electric Reliability Council, 14 June 2002. Security in the information age, new challenges, new strategies: Joint Economic Committee United States Congress; May 2002. Security research: EU action to improve protection of citizens IP/04/145; Brussels, 3 February 2004. Sejm, Ustawa z dnia 21 listopada 1967 roku o powszechnym obowiązku obrony Rzeczypospolitej Polskiej, DZ.U. z 2002 r. nr 21 poz.205 z późn. zmianami, Kancelaria Sejmu, 2.06.2004 Self-help advice for businesses and institutions, A guide to business continuity planning: the office of critical infrastructure protection and emergency preparedness, Minister of Public Works and Government Services of Canada; http://www.drie.org. September 11, 2001 Terrorist Attacks - Critical Infrastructure Protection Lessons Learned Information; Note number: IN02-001, Securing publicly available information: Public safety and emergency preparedness Canada, 27 September 2002. Seven simple computer security tips for small business and home computer users: National Infrastructure Protection Center; 9 May 2002. Severe storms, self-help advice; Government of Canada, 12 December 2002. Shaw Robert: Country case studies: the case of Brazil; ITU workshop on creating trust in critical network infrastructures; Seoul- Republic of Korea, 20-22 May 2002. 98 Shea Dana A.: Critical infrastructure: control systems and the terrorist threat, Report for Congress; Congressional Research Service - The Library of Congress; 21 February 2003. Shinn J. James: The "data gap" and national security; Washingtonpost.com, 21 May 2002. Silicki Krzysztof: Ochrona krytycznej infrastruktury państwa; NASK archiwum, Sierpień 2002. Single European emergency call number 1-1-2; Coordination Group on Access to Location Information for Emergency Services (CGALIES); http://www.telematica.de/cgalies/index.html. Skroch Michael J.: An adversarial view on cyber defense and US critical infrastructure; SANDIA, June 2003. Smith Jim, Yeatts Lacy: Verizon offers new Yorkers free local calling to and from payphones on Manhattan streets; 4,000 payphones can make and receive free local calls for duration of city emergency; Verizon press realase, 11 September 2001. Smith Jim: Temporary listings in Verizon's directory assistance computers can help displaced New Yorkers connect; Listings let Verizon's 411 operators direct callers to wireless phones, Alternate numbers; Verizon press realase; 27 September 2001. Smith Jim: Verizon's free payphones help disaster area residents connect 80,000 times a day, callers reach out to families, jobs; Verizon press realase; 21 September 2001. Spiegel Peter: DT takeover of Voice Stream passes FBI hurdle; Washington, 17 January 2001. Stacking the network against hackers, Cyber security, Protecting computers and communications and the systems they link; INEEL, 18 September 2002. State and local actions for homeland security; Executive office of the President of the United States, Office of Homeland Security, July 2002. Stoneburner Gary, Goguen Alice, Feringa Alexis: Risk management guide for information technology systems; Recommendations of the National Institute of Standards and Technology; U.S. Department of Commerce, 20 January 2004. Stoneburner Gary, Hayden Clark, Feringa Alexis: Computer security, engineering principles for information technology security (a baseline for achieving security), Public review draft; Computer Security Division Information Technology Laboratory, NIST; Gaithersburg, 21 January 2004. Storm surges, Self-help advice; Government of Canada, 12 December 2002. Structure of the network: trusting information sharing network for critical infrastructure protection; http://www.cript.gov.au/, 31 March 2003. Summary report of the 12th WGET plenary meeting, 17 may 2002. Survey on Implementation of 112 Subject: Pan European emergency call number 112: European Commission, Directorate-General XIII, Telecommunications, Information Market and Exploitation of Research, Telecommunications, trans- 99 European networks and services and postal services, Telecommunications legislation; Brussels, 6 January 1999. Swanson Marianne, Bartol Nadya, Sabato John, Hash Joan, Graffo Laurie: Computer security, security metrics guide for information technology systems; Computer Security Division Information Technology Laboratory; NIST: Gaithersburg, July 2003. Tamashiro Reynold, Pollock Robert D.: Indications and warnings system to protect critical US infrastructures, Critical infrastructure surety; SANDIA, May 1999. Tamashiro Reynold: The need for improved SCADA security; SANDIA, 25 March 2002. Tampere Convention on Emergency Telecommunications (ICET-98); 1998. Tampere Convention on the Provision of Telecommunication Resources for Disaster Mitigation and Relief Operation; the Intergovernmental Conference on Emergency Telecommunications (ICET-98), NATO 1999. Telecom News - National security and emergency preparedness, Issue 1; 2003. Telecom News - National security and emergency preparedness, Issue 1; 2004. Telecom News - National security and emergency preparedness; NSTAC (Special edition 2003). Telecommunication resources for disaster mitigation and relief operations1997 ITU; World Radiocommunication Conference Resolution 644 (WRC-97); Geneva, 1997. Telecommunications service priority system; http://gets.ncs.gov, February 2002. Terms of reference for the Working Group on Emergency Telecommunications (WGET); ITU; 14th Plenary Meeting in Geneva 20-21 February 2003. Terrorism and the media, Council of Foreign Relations. Thompson Tracy: Your family disaster plan; FEMA (The Federal Emergency Management Agency’s Community and Family Preparedness Program and the American Red Cross Community Disaster Education Program), September 1991. Thonis Peter, Rabe Eric: Verizon begins work to restore service at network center damaged in southern Manhattan; network in New York City and D.C. continues to handle heavy volumes; Verizon press realase, 12 September 2001. Thonis Peter, Rabe Eric: Verizon makes steady progress to restore phone service in lower Manhattan, Verizon provides solutions for two-thirds of voice lines served out of damaged switching center within two weeks of terrorist attacks; Verizon press realase, 24 September 2001. Thonis Peter, Rabe Eric: Verizon reports cellular, Landline calls double during peak of today's tragedy; Verizon press realase, 11 September 2001. Threat analysis, Al-Qaida cyber capability, key judgements; Office of Critical Infrastructure Protection and Emergency Prepardness, Government of Canada, December 2002. Threats to Canada’s critical infrastructure note number: TA03-001, Securing publicly available information: Public safety and emergency preparedness; Canada, 12 March 2003. 100 Tomko John S. Jr.: Critical infrastructure protection; USAWC strategy research project, Department of the Army Civilian, 6 December 2002. Tritak John S.: Before the House Committee On Science; Critical Infrastructure Assurance Office Bureau of Industry and Security U.S. Department of Commerce, 27 June 2002. Tritak John S.: Critical infrastructure protection: Who’s in charge; Senate Committee on Governmental Affairs, 4 October 2001. Trust but verify, a guide to using e-mail correspondence; National Infrastructure Protection Center, December, 2001. Twenty most critical Internet security vulnerabilities (Updated), The experts’ consensus, Version 2.504; SANS Institute, 2 May 2002. U.S. chemical sector cyber security strategy, Reducing risk to our society and economy by leveraging technology, processes and people to protect chemical sector cyber security; The chemical sector information sharing forum, Cyber Security Strategy Task Team, June 2002. UN Emergency relief items, compendium of generic specification; Volume 1, Telecommunications, Shelter & Housing, Water Supply, Food, Sanitation & Hygiene, Materials Handling, Power Supply; United Nations, October 1998. Ustawa o bezpieczeństwie obywatelskim; Sejm RP, (projekt) 21 Sierpnia 2003. Vademecum, handbook; NATO/OTAN, 26 November 2003. Vaida Bara: Federal critical infrastructure reaches out to States; Nationaljournal.com. Van De Hei Diane: Critical infrastructure protection national plan input water sector; Water Sector Liaison & Lead Federal Agency, 23 July 2003. Van de Linde, O’Brien Kevin, Lindstrom Gustaw, de Spiegeleire Stephan, Vayrynen Mikko, de Vries Han: Quick scan of post 9/11 national counter-national policymaking and implementation of selected European countries; Research project for Netherlands Ministry of Justice, Rand Corporation, May 2002. Vandenbroucke Ann: Final report of harmonizing essential requirements; ETO for European Commission, 12 March 1998. Vasishtha Preeti: HHS awards contract to iDefense for cyber threat protection; The Washington Post, 25 April 2002. Wack John, Cutler Ken, Pole Jamie: Guidelines on firewalls and firewall policy recommendations of the National Institute of Standards and Technology; NIST, January 2002. War gaming for the real world, Critical infrastructure modeling systems protecting and recovering from attack; INEEL (Idaho National Engineering and Environmental Laboratory), 26 March 2003. Ware Willis H.: The cyber – posture of the national information infrastructure; RAND Corporation, 1998. Warner Peter: Should GPS Be Classified As "Critical Infrastructure"?. Water industry process control & SCADA systems; SCADA, 13 June 2002. 101 Watson Kenneth C.: Critical infrastructure protection: who’s in charge?; PCIS, 4 October 2001. Watson Kenneth C.: House Energy and Commerce Committee Subcommittee on Oversight and Investigation Hearing on Creating the Department of Homeland Security: Consideration of the administration’s proposal; PCIS; 9 July 2002. Watson Kenneth: Critical infrastructure assurance: The US experience; PCIS, 10 October 2002. Wenger Anderas, Metzger Jan, Dunn Myriam: International CIIP handbook, an inventory of protection policies in eight countries, critical information infrastructure protection; ETH (Swiss Federal Institute of Technology Zurich), Zurich, 2002. Westrin Peter: Critical information infrastructure protection (CIIP); Information & Security. Volume 7, 2001, pages 67-79, 2001. WGET / IASC-RGT, Report from the 11th WGET plenary meeting to the XIV meeting of the IASC-WG; Geneva, 10-11 May 2001. WGET Resolution on MInimum Security Telecommunications Standards (MISTS); 11th Plenary Meeting in Rome, Italy on May 3-4,2000. White paper, the Clinton administration’s policy on critical infrastructure protection: Presidential decision Directive 63, 22 May 1998. Whitehead Jay: Perspective: why IT will love homeland; CNET News.com, 13 November 2002. Williams Darryl, Alston Richard: Joint news release, protecting Australia's critical infrastructure, 29 November 2002. Wilson Mark, Hash Joan: Computer security, building an information technology security awareness and training program; NIST, Gaithersburg, October 2003. Winter driving: you, your car and winter storms, Self-help advice; Government of Canada, 12 December 2002. Winter power failures, Self-help advice; Government of Canada, 12 December 2002. Wireless emergency response team (WERT), Final Report from the September 11, 2001 New York City, World Trade Center Terrorists Attack; October 2001. Wireless task force report, wireless priority service: NSTAC, August 2002. Wireless task force report, wireless security: NSTAC, January 2003. Wireline network spectral integrity, final report and recommendations; NRIC V Network Reliability and Interoperability Council, Focus Group 3; 4 January 2002. Wolfer Arnold „National Security” As an Ambiguous Symbol”, Political Science Quaterly LXVII. (Dec.1952) str. 484 Wong Nancy “Critical Infrastructure and Information Assurance: A working Context and Framework” ” w „Security in the Information Age”, Joint Economic Committee United State Congress, 05-2002 Wood Mark (G4HLZ): Disaster communications, Part 1 (Gobal); Disaster Relief Communications Foundation, First edition, June 1996. 102 Woodward John D.: Privacy vs. security: electronic surveillance in the nation’s capital; RAND, March 2002. Working Group on Emergency Telecommunications / Inter-Agency Standing Committee, Reference Group of Telecommunications; 13th Plenary Meeting; Rome, Italy, 17 - 18 June 2002. Working paper EAPC (CCPC), WP (2002)03 Civil Communications Planning Committee CEP consequences of the Tampere convention; NATO, 5 March 2002. Wynegar Don: Communications and information infrastructure assurance program (CIIAP) FY 2000, Presentation to Communications and Information Sector Working Group National Telecommunications and Information Agency; NTIA, 30 May 2000. Yake Terry J., Ireland Ross K.: Increased interconnection, Task group II report, Network Reliability Council; Sprint Corporation; Metcalf, 14 January 1996. Yang Seung Taik: Welcoming address ITU new initiatives workshop - on creating trust in critical network infrastructures; Seoul -Korea, 20 May 2002. Yang-Shin Cha, Ministry of Information and Communication: Korea’s approach to network security; ITU workshop on creating trust in critical network infrastructures; Seoul- Republic of Korea, 21 May 2002. Yoran Amit: Homeland security's cybersecurity chief homeland security's cybersecurity efforts; Washingtonpost.com, 11 February 2004. Young Ray: Channel reservation vs. PACA, queuing: a comparison of priority call handling techniques; Office of the manager, National communications system; Technology and standards division, Volume 6, No 1; January 1999. Young Ray: Differentiate services – one solution for priority over the Internet; Office of the manager, National communications system; Technology and standards division, Volume 7, No 1; April 2000. Young Ray: Wireless IP – internet without wires; Office of the manager national communications system; Technology and program division, Volume 7, No 4; August 2000. Yu Peter K.: What business should know about cyberterrorism; Gigalaw.com, October 2001. Zeichner Lee M., “Use of the Defense Production Act of 1950 for Critical Infrastructure Protection ” w „Security in the Information Age”, Joint Economic Committee United State Congress, 05-2002 . 103 104