Ewolucja doktryny obronnej państwa na przyk³adzie

Transkrypt

AKADEMIA OBRONY NARODOWEJ
CENTRUM SYMULACJI I KOMPUTEROWYCH GIER WOJENNYCH
PRACA STUDYJNA
OCHRONA INFRASTRUKTURY
KRYTYCZNEJ PAŃSTWA
sieci i usługi łączności elektronicznej
Opracował
Kierownik Pracy
Piotr Rutkowski
płk.dr inż. Marek Kinasiewicz
WARSZAWA
2004
1. Infrastruktura krytyczna – zakres pojęciowy i identyfikacja zagrożeń _____________ 3
2. Rola sektora prywatnego w ochronie infrastruktury ___________________________ 8
3. Ewolucja doktryny obronnej państwa na przykładzie amerykańskim______________ 9
3.1. Bezpieczeństwo Narodowe _________________________________________________ 9
3.2. Departament Obrony ____________________________________________________ 13
3.3. Ustawa o produkcji obronnej _____________________________________________ 15
3.4. Kontrola Eksportu ______________________________________________________ 17
3.5. Przebudowa amerykańskiego rynku telekomunikacyjnego _____________________ 18
3.6. NCS – Narodowy System Łączności ________________________________________ 23
3.7. Rozporządzenie wykonawcze Prezydenta 13010 ______________________________ 24
3.8. Dyrektywa 63 (PDD 63) __________________________________________________ 27
3.9. Mobilizacja sił w związku z „problemem roku 2000” __________________________ 33
3.10. Doświadczenie 11 września 2001 roku _____________________________________ 33
3.11. DHS – Departament Bezpieczeństwa Krajowego ____________________________ 37
3.12. Narodowa Strategia Zabezpieczenia Cyberprzestrzeni _______________________ 48
3.13. Narodowa Strategia Fizycznej Ochrony Infrastruktury Krytycznej i Kluczowych
Zasobów __________________________________________________________________ 54
4. Specyfika podejścia europejskiego ________________________________________ 56
5. Problematyka infrastruktury krytycznej w Polsce ____________________________ 63
5.1. Ustawa o powszechnym obowiązku obrony __________________________________ 63
5.2. Ustawa o organizowaniu zadań na rzecz obronności państwa realizowanymi przez
przedsiębiorców ____________________________________________________________ 66
5.3. Strategia bezpieczeństwa narodowego ______________________________________ 67
5.4. Sektor telekomunikacji - prawo telekomunikacyjne ___________________________ 69
5.5. Projekt ustawy o bezpieczeństwie obywatelskim i zarządzniu kryzysowym________ 71
6. Podsumowanie – prawdopodobny wpływ zmian technologicznych i rynkowych ____ 74
8. Skróty użyte w tekście __________________________________________________ 76
9. Bibliografia __________________________________________________________ 78
2
Informacja staje się najważniejszym zasobem
gospodarki i całego społeczeństwa.
Informację od innych strategicznych zasobów
różni jednak to, że można ją kopiować bez
ponoszenia kosztów, może być niszczona bez
pozostawiania śladów, a jej wartość zmienia się w
czasie i w zależności od kontekstu
Ueli Maurer – 2000
Dzisiaj nie wystarczy strategia militarna, która
jest powiązana z planami bitew i działaniami sił
zbrojnych… „Wielka strategia” (w odróżnieniu od
węższej militarnej) koncentruje się na zdolności
państwa do koordynowania i kierowania
narodowymi zasobami.
Sir Basil H. Liddel Hart, 1954
1. Infrastruktura krytyczna – zakres pojęciowy i
identyfikacja zagrożeń
W skład infrastruktury krytycznej wchodzą sektory gospodarki, instytucje, sieci
dystrybucyjne, systemy, które zapewniają ciągłość przepływu towarów i usług
istotnych dla obronności kraju, bezpieczeństwa gospodarczego, zdrowia, i
bezpieczeństwa obywateli.
Infrastrukturę należy uważać za „krytyczną”, kiedy jej nieprawidłowe działanie,
ograniczenie pojemności lub zniszczenie mogłoby mieć wpływ na osłabienie kraju
lub regionu.
3
Potrzeba ochrony zasobów gospodarki przed różnorodnymi zagrożeniami
wydaje się dosyć oczywista, ale wyzwanie to nabrało zupełnie nowego wymiaru,
kiedy powszechne zastosowanie systemów teleinformatycznych wytworzyło,
nieistniejący przedtem, bardzo złożony system współzależności, których
znaczenie wciąż trudno jest oszacować. „W rezultacie, zidentyfikowanie tego, co
jest krytyczne staje się zarówno trudniejsze, jak i bardziej istotne. Epoka
informacji, wprowadziła nas w ekscytującą nową erę technologii, ale przynosi nam
także wiele nowych problemów w dziedzinie bezpieczeństwa” [Bennett, 2002:s.1].
W niesprzyjających okolicznościach złożoność systemów powoduje, że
zagrożenia mogą pociągać za sobą efekt kaskadowy o zaskakującym zasięgu.
Jeżeli awarie lub zniszczenia zostały sprowokowane rozmyślnym atakiem, a
szczególnie zorganizowanym działaniem o charakterze terrorystycznym, z czym
należy się w coraz większym stopniu liczyć, efekty mogą być katastrofalne.
Ewentualne działania terrorystów, są potencjalnie najgroźniejszym rodzajem
zagrożeń, ponieważ terrorystom z zasady zależy na uderzeniu w najsłabszy i
trudny do przewidzenia punkt, wywołaniu jak najbardziej spektakularnych skutków
i eskalacji kryzysu.
Wskazówką w identyfikowaniu potencjalnych celów może być tylko to, że „jeden
z trwałych aksjomatów terroryzmu sprowadza się do tego, że zadaniem
terroryzmu jest zdobywanie rozgłosu i zwracanie uwagi na terrorystów i ich
sprawę. Jest to więc działalność jakby specjalnie stworzona na potrzeby środków
masowej informacji w końcu XX wieku.” [Hoffman, 1999, s. 147]. Z takiego punktu
widzenia media, szczególnie elektroniczne, w tym Internet stają się bronią
terrorystów.
Sytuacja się komplikuje, kiedy terroryści idą na prawdziwą wojnę, kiedy
rzeczywiście planują destabilizować wszelkimi dostępnymi sobie metodami
gospodarkę wrogiego kraju i zabić jak najwięcej ludzi, czego symptomy można
zaobserwować w działaniach Al.-Kaidy, szczególnie w związku z atakiem 11
września 2001 roku.
Media, nadal pozostają dla terrorystów ważnym elementem wojny informacyjnej,
ale są traktowane czysto instrumentalnie. Wykorzystuje się to, że to samym
mediom zależy na nagłośnieniu sensacyjnej sprawy. Podobnie jak w przypadku
tajnych operacji wojskowych, Al. Kaidę, stać na to by tygodniami unikać
oficjalnego potwierdzenia autorstwa ataków. W końcu grudnia 2001 roku Osama
4
Bin Laden, w jednej ze swych słynnych wypowiedzi telewizyjnych mówi, że „to
bardzo ważne, by z użyciem wszelkich możliwych środków koncentrować się na
uderzeniach w gospodarkę USA,…spójrzcie na filary amerykańskiej gospodarki.
Trzeba uderzyć w kluczowe filary wroga…” [przekaz NBC, tłumaczenie z ang.]
Przygotowanie infrastruktury krytycznej na ewentualność ataków
terrorystycznych jest również dobrym punktem wyjścia do klasyfikacji i określenia
środków zaradczych wobec innych, nieco łatwiejszych do zalgorytmizowania
zagrożeń, nie wyłączając klęsk żywiołowych i przypadkowych katastrof.
W podejściu, które można by dzisiaj już uznać jako klasyczne, do
infrastruktury krytycznej zalicza się następujące sektory:
Sieci łączności elektronicznej (telekomunikacja i teleinformatyka);
Energetykę (wytwarzanie energii, sieci transmisyjne i dystrybucyjne)
Magazynowanie przesyłanie i dystrybucja ropy naftowej, gazu, paliw płynnych;
Bankowość i finanse
Transport
Zaopatrzenie w wodę
Służby ratunkowe i naprawcze1
Zabezpieczenie infrastruktury krytycznej wymaga wypracowania zasad i
procedur, które zapewnią ciągłość świadczenia usług, niezawodność i stałą
gotowość skutecznego reagowania, pozwalającą nabrać przekonania, że będzie
ona mniej podatna na potencjalne zagrożenia. Oznacza to, że istnieje zdolność do
ograniczania skutków ewentualnych zagrożeń, a także odtwarzania normalnego
stanu działania systemu.
Można wyróżnić dwie zasadnicze kategorie zagrożeń infrastruktury krytycznej:
Fizyczne ataki na obiekty, które są składnikami tej infrastruktury;
Ataki z cyberprzestrzeni ukierunkowanymi na informację, łączność, systemy
zarządzania infrastrukturą.
Do tej pory dominują ataki fizyczne, przy użyciu broni konwencjonalnej, którą
stosunkowo łatwo zdobyć i której użycie daje natychmiastowe widoczne efekty.
Ochrona fizyczna wymaga stosowania znanych środków technicznych i
1
Emergency services
5
organizacyjnych i jest odpowiedzialnością posiadaczy obiektów. Wystarczy
rozważać przeglądy procedur, użycie nowocześniejszych środków technicznych i
szukać kompromisu pomiędzy kosztami, a zmniejszaniem uciążliwości dla
użytkowników, rozszerzać uniwersalność użytych środków ochrony wobec
ewentualności użycia broni masowego rażenia.
Inaczej jest z atakami z cyberprzestrzeni. Z jednej strony bezpieczeństwo jest
standardową odpowiedzialnością posiadaczy systemów teleinformatycznych.
Trzeba się jednak teraz liczyć z zagrożeniem w większej skali, kumulacją skutków
ewentualnych uszkodzeń, mających skutki daleko poza administrowaną siecią, w
innych obszarach infrastruktury, destabilizacją sytuacji na dużych obszarach. W
odróżnieniu od ochrony fizycznej obietów, gdzie mobilizacja policji, wojska i straży
pożarnej może wspomagać działania prewencyjne, ratownicze i naprawcze w
przypadku zagrożeń z cyberprzestrzeni, zanim pojawią się widoczne fizyczne
skutki zniszczeń, państwowe służby antykryzysowe nie są w stanie reagować na
zagrożenia w prywatnych systemach informatycznych telekomunikacyjnych.
W większości krajów definicja infrastruktury krytycznej i metody jej ochrony są
przedmiotem debaty. W zależności od lokalnych doświadczeń i wyjściowej
perspektywy przyjmuje się własne metody analizy ryzyka, szacowania ważności
poszczególnych priorytetów, określania podatności na zagrożenia i środków
zaradczych potrzebnych do zapewnienia infrastruktury krytycznej. W dalszym
ciągu jest jednak również wiele krajów, gdzie nie wypracowano jeszcze jasnej
koncepcji ochrony infrastruktury krytycznej.
Następstwa ataku terrorystycznego 11 września 2001 roku i późniejszych
zagrożeń bakteriologicznych dodały nowego impulsu do tych dyskusji. Amerykanie
doszli do wniosku, że koncepcję infrastruktury krytycznej należy ekstrapolować na
inne sektory i w obecnie prezentowanej strategii lista sektorów jest skonstruowana
nieco inaczej dla strategii ochrony fizycznej infrastruktury krytycznej oraz inaczej
dla strategii ochrony cyberprzestrzeni. Sektory te są również inaczej
uszeregowane. Trzeba jednak podkreślić, że koordynację obu strategii powierzono
jednemu Departamentowi Bezpieczeństwa Krajowego.
6
Fizyczna ochrona infrastruktury
krytycznej i kluczowych
aktywów
Sektory Infrastruktury krytycznej
Ochrona cyberprzestrzeni
Rolnictwo i żywność
Woda
Ubezpieczenia
Zdrowie Publiczne
Chemia
Służby ratunkowe
Ropa i gaz
Przemysł zbrojeniowy i usługi i
Energetyka
zaopatrzenie sił zbrojnych
Policja, służby specjalne,
Telekomunikacja
prokuratura2
Energetyka
Szkolnictwo wyższe
Transport
Transport
Telekomunikacja i teleinformatyka
Chemikalia i materiały
Woda
niebezpieczne
Poczta i spedycja
[Bush-2,2003: s.xiii]
Kluczowe aktywa
Narodowe pomniki i muzea
Elektrownie atomowe
Tamy
Budynki rządowe
Kluczowe aktywa komercyjne
[Bush-3, 2003: s. xii]
2
law enforcement
7
2. Rola sektora prywatnego w ochronie infrastruktury
Zdecydowanie najważniejszym, kluczowym problemem w tworzeniu i wdrożeniu
strategii ochrony infrastruktury krytycznej jest wypracowanie mechanizmów
współpracy pomiędzy służbami rządowymi, a sektorem prywatnym. To sektor
prywatny jest właścicielem większości obiektów infrastruktury krytycznej,
całkowicie kontrolując ich stan, rozwój, inwestycje, w tym związane z
bezpieczeństwem.
To sektor prywatny jest na pierwszej linii ataku, ale nie ma dostępu o niejawnych
informacji zbieranych przez służby rządowe, szczególnie ze źródeł operacyjnych.
Rząd natomiast tworzy strategiczne plany obrony, opierając się o własną wiedzę
analityczną i nadaje im odpowiednią prawną klauzulę informacji niejawnej, ale
gromadząc dane nie ma pełni wiedzy ani o możliwościach, ani o słabościach
infrastruktury krytycznej posiadanej przez sektor prywatny. Ta wiedza jest przez
właścicieli infrastruktury bardzo pilnie strzeżona, jako jeden z najbardziej
wrażliwych czynników oceny zdolności do wygrania własnej pozycji na
konkurencyjnym rynku.
Sektor prywatny buduje swoją filozofię działania o walkę na rynku
konkurencyjnym. Jeżeli w doktrynie obronnej państwa pojawia się teza, że
ewentualność ataków na infrastrukturę krytyczną, szczególnie w związku z
zagrożeniem terrorystycznym jest bardzo prawdopodobna, to nie należy pogłębiać
konfliktu aksjologicznego, kto ma wziąć na siebie odpowiedzialność za
bezpieczeństwo powszechne. Trzeba spróbować znaleźć płaszczyznę wymiany
informacji i wspólnie postarać się o lepszą świadomość uwarunkowań i
współzależności. Poprawa niezawodności i bezpieczeństwa, w epoce gospodarki
elektronicznej powinna wzmacniać pozycję posiadaczy infrastruktury krytycznej.
8
3. Ewolucja doktryny obronnej państwa na przykładzie
amerykańskim
Świadomość obrony własnego terytorium była dla amerykanów ograniczona.
Pomimo krótkiego epizodu gorączki obrony atomowej po kryzysie Zatoki Świń,
wielu amerykanów pozostawało pod wpływem mitu, że kontynent amerykański nie
był obszarem obcej inwazji od 1812 roku. Obecnie mit nie jest już uzasadniony,
ponieważ inwazja za pośrednictwem cyberprzestrzeni jest zjawiskiem codziennym
[Montgomery, 2002: s.21].
3.1. Bezpieczeństwo Narodowe
Potrzeba redefiniowania pojęcia bezpieczeństwa narodowego, wymuszana od
niedawna przez globalizację oraz powszechną dostępność sieci i usług łączności
elektronicznej, nie jest dla amerykanów nowym zjawiskiem. Poważne zmiany w
podejściu do bezpieczeństwa narodowego wynikały na przykład z następstw
Wojny Wietnamskiej, a także zakończenia ery „zimnej wojny” [Oslund, 2002:
s.89].
Można uznać [s.90 ibid.], że najwcześniejsza amerykańska koncepcja
formułowana jako bezpieczeństwo narodowe należy do Edwarda Lippmana, który
w 1942 pisał: „naród jest bezpieczny w granicach, w których nie jest zagrożony w
swoich uświęconych podstawowych wartościach, jeżeli pragnie uniknąć wojny lub
jeżeli zajdzie konieczność prowadzenia wojny, jest w stanie tę wojnę doprowadzić
do zwycięstwa [s.51ibid.]”.
Podczas zimnej wojny, która początkowo sprowadzała się do zintensyfikowania
zbrojeń, zwiększenia potencjału militarnego i agresywnej polityki
międzynarodowej, stopniowo pojawiły się mechanizmy uwzględniające
międzynarodowe interesy gospodarcze.
Do późnych lat osiemdziesiątych, zanim nastąpiła korozja radzieckiej potęgi, w
obszar pojęcia bezpieczeństwa narodowego zaczęto wpisywać wiele innych
dziedzin: dostęp do surowców, ochronę środowiska, demografię, prawa człowieka,
handel narkotykami, choroby epidemiczne, przestępczość zorganizowaną.
W 1994 roku Wspólna Komisja ds. Bezpieczeństwa, powołana przez sekretarza
obrony i dyrektora CIA, przygotowała raport, w którym stwierdziła, że „jeżeli
zamiast atakować nasze wojskowe systemy i bazy danych, wróg uderzy w naszą
9
niechronioną infrastrukturę cywilną, rezultaty gospodarcze i inne byłyby
katastrofalne” [JSC, 1994].
W następstwie wniosków raportu JSC Prezydent wydał w tym samym roku
dyrektywę PDD 29 i powołał Radę ds. Polityki Bezpieczeństwa3, w której
uczestniczyli zastępcy sekretarzy obrony, stanu, handlu, energetyki,
sprawiedliwości, Dyrektor CIA, Zastępca przewodniczącego Połączonego
Kolegium Szefów Sztabu, a przewodniczył Asystent Prezydenta ds.
Bezpieczeństwa Narodowego [PDD 29, 1994],
Znaczącą rolę w rozwoju ogólnej koncepcji obrony infrastruktury krytycznej
odegrał Departament Obrony4, finansujący prace nad problematyką wojny
informacyjnej. W 1995 roku powstał między innymi finansowany przez
Departament Obrony raport na temat strategicznej wojny informacyjnej w RAND
Corporation [Molander, 1996]. Raport podsumował scenariusz ćwiczeń
realizowanych pod hasłem „The Day After” od stycznia do czerwca 1995 roku.
Założeniem scenariusza ćwiczeń było poważne zakłócenie działania infrastruktury
informacyjnej Stanów Zjednoczonych, jako pola nowych potencjalnych konfliktów,
przyszłej wojny, w czasie której „narody wykorzystywałby cyberprzestrzeń, w celu
wpływania na strategiczne operacje wojskowe [Molander 1996: s 1].
W raporcie tym sformułowano potrzebę zidentyfikowania i zdefiniowania
„minimalnej istotnej infrastruktury informacyjnej5”, co otworzyło pole do badań nad
problematyką informacyjnej infrastruktury krytycznej. W raporcie pominięto jednak
„problem wyważenia celów wojskowych i politycznych, co powinno być uważane
za bardzo istotne w strategicznej wojnie informacyjnej” [Rattray 2004, s.361].
Stopniowo, mniej więcej od połowy lat dziewięćdziesiątych zaczęto poważnie
brać pod uwagę ryzyko ataków na infrastrukturę informacyjną, konieczność
ochrony tej infrastruktury, a także systemowej przebudowy metodyki analiz
kontrwywiadowczych, które objęły w szerszym niż przedtem stopniu problematykę
polityki, uwarunkowań społecznych, gospodarczych mających wpływ na intencje i
motywacje potencjalnych atakujących. [Arquilla, 1996: s.96].
Security Policy Board
Department of Defense
5 minimum essential information infrastructure
3
4
10
Definiowanie amerykańskiego bezpieczeństwa narodowego wspomaga
powoływanie komisji skupiających autorytety wyłonione zarówno przez rządząca,
jak i opozycyjną partię6.
Komisja ds. Interesów Narodowych7 w lipcu 1996 roku przygotowała obszerny
dokument, w którym zwraca uwagę na międzynarodowe uwarunkowania
gospodarcze amerykańskiego bezpieczeństwa i katastrofalne następstwa działań
mogących wpływać na międzynarodowy handel, rynki finansowe, dostawy energii,
w tym zależność tych dziedzin od Internetu i sieci komputerowych oraz podatność
na zagrożenie cyberterroryzmem [Commission,1996: s.50].
Ochronę infrastruktury krytycznej umieszczono na takim samym poziomie
„żywotnych interesów8” jak zapobieganie, odstraszanie i redukcja w dziedzinie
broni atomowych, chemicznych i biologicznych, mogących zagrozić Stanom
Zjednoczonym, ochronę granic lądowych i morskich przed pojawieniem się sił
wrogich Stanom Zjednoczonym, zapobieganie umacnianiu się nastrojów antyamerykańskich w Europie i Azji, czy utrzymanie sojuszników Stanów
Zjednoczonych [Oslund 2002, s.92].
W dokumencie wydanym pod tą samą nazwą w 2000 roku znaczenie
infrastruktury informacyjnej dla kwestii bezpieczeństwa systemu finansowego,
energetycznego, transportowego, obronnego i telekomunikacyjnego zostało
wzmocnione – „ pojawiające się zagrożenia wymagają, by bezpieczeństwo
komputerów i sieci było potraktowane jako wyzwanie bezpieczeństwa
narodowego, a nie tylko jako jedno z zagadnień polityki telekomunikacyjnej. Stany
Zjednoczone są tak uzależnione od tych systemów, a problem podatności na
zagrożenia tak powszechnie występujący, że poprawa odporności amerykańskiej
infrastruktury informacyjnej należy do najbardziej żywotnych zagadnień
narodowych” [Commission 2000: s.49]. Dalej odnosząc się do problemów z
wdrażaniem prezydenckiej dyrektywy PDD 63, zauważono, że bardzo istotnym
problemem, którego rozwiązaniu trzeba nadać najwyższy priorytet, jest poprawa
wymiany informacji o zagrożeniach z sektorem prywatnym kontrolującym
większość infrastruktury krytycznej.
Bi-partisan comission
Commission on National Interests
8 vital interests
6
7
11
W połowie 1998 roku na wniosek Sekretarza Obrony powstała inna komisja –
Komisja Bezpieczeństwa Narodowego/ Wiek 219, zwana komisją HartaRudmana od nazwisk dwóch przewodniczących reprezentujących obie partie.
W krótkim (11 stronicowym) raporcie wydanym w roku 1999 zwrócono
lakonicznie uwagę, że „szybki postęp w dziedzinie technologii informacyjnych i
biotechnologii tworzy nowe obszary podatności dla bezpieczeństwa Stanów
Zjednoczonych” [Hart-Rudman, 1999, s.4].
W rok później w następnym krótkim (17 stron) raporcie (faza II) zaproponowano
cztery, a raczej trzy poziomy klasyfikacji priorytetów zagadnień istotnych dla
bezpieczeństwa narodowego – „Interesy od których zależy przetrwanie10 - bez
zachowania których, jak należy sądzić, Ameryka przestałaby istnieć, krytyczne
interesy – od których krok do interesów od których zależy przetrwanie, znaczące
interesy11, na tyle ważne by wpływać na światowe otoczenie w którym Stany
Zjednoczone muszą działać, Są jeszcze oczywiście inne narodowe interesy, które
wydają się mniej ważne od wymienionych trzech kategorii” [Hart-Rudman 2000:
s.7] W raporcie ochronę infrastruktury krytycznej zakwalifikowano do drugiej
kategorii – interesów krytycznych”.
W lutym 2001 roku powstał obszerny raport tej samej Komisji Bezpieczeństwa
Narodowego, który zauważa „gwałtowny wzrost uzależnienia Stanów
Zjednoczonych od infrastruktury krytycznej w ciągu ostatnie dekady ” [HartRudman 2001: s.18], a także potrzebę poszerzania zdolności i obszaru analityki
wywiadu od zagrożenia związane z ochroną infrastruktury krytycznej [s.23]
Raport zaleca też poszerzenie koncepcji ochrony infrastruktury krytycznej na
sieci satelitarne, w związku z jej znaczeniem dla wielu kluczowych amerykańskich
systemów informacyjnych [s.81]
W wydanym w kwietniu 2001 uzupełnieniu do raportu Komisji ds.
Bezpieczeństwa Narodowego, gdzie rozwinięto opis wymagań Narodowego
Bezpieczeństwa Krajowego12, które należy rozumieć jako „ochronę życia, zdrowia
i własności obywateli amerykańskich. Określono również, że skuteczne
Bezpieczeństwo Krajowe, musi zapewnić integralność narodowej infrastruktury
Commisssion on National Security/ 21 Century
survival intersets
11 significant interests
12 National Homeland Security
9
10
12
krytycznej, w tym sieci łączności, transportu i systemu finansowego, oraz
najistotniejszych usług publicznych, jak usług wytwarzania energii, urządzeń
sanitarnych, ochrony zdrowia.” [Hart-Rudman 04.2001: s.5].
W kilka miesięcy po znamiennych w skutki wydarzeniach 11 września
i ukształtowaniu się koncepcji stworzenia nowego Sekretariatu Bezpieczeństwa
Krajowego, Biały Dom opublikował dokument pod nazwą Narodowa Strategia
Bezpieczeństwa Krajowego13. Znalazła się tam nowa definicja Bezpieczeństwa
Krajowego – „ wspólne narodowe wysiłki dla obrony przed atakami
terrorystycznymi w Stanach Zjednoczonych, zmniejszające podatność Ameryki na
terroryzm i minimalizujące szkody i pozwalające wychodzić z kryzysu po atakach,
które miały miejsce” [OHS, 2002: s.2].
3.2. Departament Obrony
Znaczenie koordynacji działań związanych z ochroną systemów informacyjnych
oraz analizowania informacji z jak największej liczby źródeł nie było zbyt dobrze
rozumiane prawie do końca II wojny światowej. Do roku 1945 amerykańskie siły
zbrojne były zorganizowane w ramach dwóch odrębnych ministerstw –
Departamentu Wojny14 i Departamentu Marynarki15, w których działały dwie
niezależne struktury wywiadowcze bez żadnych formalnych procedur współpracy,
w tym wymiany informacji [Bush 2002: 7].
W obliczu wizji zimnej wojny z obozem sowieckim Prezydent Harry Truman w
grudniu 1945 roku zwrócił się do Kongresu z wnioskiem o połączenie
Departamentu Wojny i Departamentu Marynarki w jeden Departament Obrony.
Cel ten został osiągnięty w roku 1947. Nowe ministerstwo, miało być z założenia
kierowane przez cywilnego sekretarza. Utworzono również Centralną Agencję
Wywiadowczą dla koordynacji i analizy zagranicznych informacji wywiadowczych i
Narodową Radę Bezpieczeństwa16, która miała się stać ośrodkiem koordynacji
polityki bezpieczeństwa. Formalne zmiany nie pozwoliły jednak uniknąć,
ciągnących się latami problemów w koordynacji działań wojsk lądowych,
marynarki i sił powietrznych [DeCorla-Souza 2002: 19].
National Strategy for Homeland Security
War Department
15 Navy Department
16 National Security Council
13
14
13
W latach dziewięćdziesiątych w Departamencie Obrony zaczęto rozwijać
koncepcje określane jako wojna informacyjna, rozumiana zarówno jako
wykorzystanie podczas działań wojennych przewagi informacyjnej, nowoczesnych
środków gromadzenia, przesyłania i przetwarzania informacji, jak i przyczynę
ewentualnych zagrożeń, związanych z atakiem na amerykańską infrastrukturę
informacyjną. Pojęcie wojny informacyjnej, zostało formalnie zdefiniowane dla
celów planowania w Departamencie Obrony w 1992 roku w tajnej dyrektywie
TS3600.1 [Rattray, 2004:s.340]. Celem wojny informacyjnej miało być przede
„wszystkim oddzielenie nieprzyjacielskiej struktury dowodzenia od sił bojowych”
[MOP 30, 1993]. Początkowo koncentrowano się jednak raczej na metodach
ataków na systemy informacyjne przeciwnika, niż obronie własnej infrastruktury
[Rattray, 2004: s.341].
W 1995 i w 1996 roku Departament Obrony sfinansował szereg projektów
studialnych, w których zaprezentowano spostrzeżenia stwierdzenia o dużej liczbie
potencjalnych celów, wielu słabych punktach i konieczności podjęcia działań
ukierunkowanych na szerszą ochronę infrastruktury informacyjnej, w tym
kontrolowaną przez komercyjnych operatorów telekomunikacyjnych.
Połączony Sztab17, w którego kompetencjach znajduje się opracowanie
doktryny wojskowej w lutym 1996 roku określił doktrynę w zakresie dowodzenia i
kierowania w dokumencie Joint Publication 3-13.1. W dokumencie tym nadal
kojarzono wojnę informacyjną przede wszystkim z zagranicznymi operacjami
wojskowymi, ale znalazło się tam spostrzeżenie o potrzebie „integrowania się
cywilnych i wojskowych sieci i technologii informacyjnych” [za Rattray 2004, s.
353] i dalej, że wojna informacyjna „wspiera narodową strategię wojskową, lecz
wymaga również wsparcia, koordynacji i uczestnictwa ze strony innych agencji
rządu USA, a także sektora prywatnego”.
Po raz pierwszy w doktrynie wojskowej powiązano „wojnę informacyjną ze
strategicznymi implikacjami, dotyczącymi narodowej strategii informacyjnej”
[Ratttray 2004, s.353] i wskazano na konieczność znalezienia rozwiązań
regulacyjnych wobec infrastruktury cywilnej, znajdującej się poza nadzorem
Departamentu Obrony, ale mogącej mieć dla kwestii obronności potencjalnie
istotne znaczenie.
17
Joint Staff
14
Podejście prezentowane dokumencie 3-13.1 zostało rozwinięte jeszcze w tym
samym roku w kolejnej prezentacji strategii Połączonych Sztabów wydanej pod
tytułem „Wojna informacyjna – strategia dla pokoju – decydujący aspekt wojny”,
[Joint Staff, 1996: s.4], gdzie wskazano między innymi jasno, że „musimy wykazać
dostawcom usług (telekomunikacyjnych) konieczność zespołowego współdziałania
przy opracowywaniu niezbędnych rozwiązań – nie tylko po to, by wspierać
Departament Obrony i chronić bezpieczeństwo narodowe, ale również w celu
ochrony ich własnego interesu”. Te deklaracje nie były jednak zbyt aktywnie
rozwijane. Przygotowania strategiczne skoncentrowały się zdecydowanie mocniej
na udoskonaleniu działań ofensywnych
W 1997 roku Połączony Sztab przeprowadził ćwiczenie pod kryptonimem
Eligibile Receiver. Zespół atakujący wykonując symulowane ataki osiągnął
zdolność do istotnych celów w Departamencie Obrony, a także operatorów
telekomunikacyjnych i dostawców energii elektrycznej ograniczając zdolności
bojowe kilku baz wojskowych.
Od 1997 w poszczególnych dowództwach zaczęto tworzyć wyspecjalizowane
struktury odpowiedzialne za aktywną ochronę przed atakami na systemy łączności
i systemy informacyjne, między innymi przy Dowództwie Europejskim, Dowództwie
Rejonu Pacyfiku i Dowództwie Transportu, obejmując również ochronę
infrastruktury informacyjnej sił sprzymierzonych, również w misjach pokojowych.
Niezależnie programy ochrony infrastruktury informacyjnej wdrożono w
poszczególnych rodzajach wojsk.
.
3.3. Ustawa o produkcji obronnej
Fundamentalne znaczenie dla związania polityki bezpieczeństwa narodowego z
gospodarką miało przyjęcie w roku 1950 ustawy o produkcji obronnej - DPA18.
Regulację tę oparto na koncepcji forsowanej przez administrację prezydenta
Trumana, by pewne szczególne zasady działania gospodarki wypracowane
podczas II wojny światowej i zaraz po niej zachować na stałe. Zasady te pozwały
kierować wyroby i usługi przemysłowe tam gdzie były najbardziej potrzebne
również w warunkach pokoju.
W praktyce uruchomiono mechanizm „promocji obrony narodowej” [DPA 1950,
sec.101], w którym producent A, który realizował zamówienie na łożyska dla firmy
18
Defense Production Act 1950
15
B, musiał zmienić kolejność wysyłki, jeżeli okazywało się, że łożyska są potrzebne
rządowi19 lub firmie C, która realizowała zamówienie bezpośrednio dla rządu
[Zeichner 2002: 76].
Podczas debaty, która wywiązała się w 1950 roku w Kongresie starano się
rozstrzygnąć następujące dylematy:
Czy gospodarka i stabilność przemysłowa mają związek z siłą Stanów
Zjednoczonych i jeżeli tak to jak może to wpływać na bezpieczeństwo
narodowe?
Jakie nadzwyczajne środki Kongres może delegować dla Prezydenta w czasie
pokoju? Czy istotnie są potrzebne specjalne zasady prawne, jeżeli nie ma
wojny, znaczącego konfliktu militarnego, deklaracji Prezydenta o
nadzwyczajnym zagrożeniu?
Czy Kongres może zaufać Prezydentowi, by posługiwał się tego rodzaju
narzędziami prawnymi? Czy Kongres może wziąć na siebie tego rodzaju
odpowiedzialność?
Na wynik tej debaty – przyjęcie ustawy, wpłynęła świeża pamięć powszechnego
wysiłku, związanego z mobilizacją całej gospodarki po ataku na Pearl Harbor i
rosnąca świadomość początku zimnej wojny [Zieicher 2002: 76].
DPA wprowadziła do praktyki regulacyjnej prezydenckie rozporządzenia
wykonawcze20 i dyrektywy decyzyjne21, które określiły sposób wprowadzania
programów polityki bezpieczeństwa i polityki obronnej w gospodarce na następne
lata. Powstała również po raz pierwszy potrzeba definiowania zasobów
infrastruktury krytycznej.
Na przełomie roku 1999 i 2000, kiedy podejmowano szeroko zakrojone
działania, mające ochronić amerykańskie systemy informacyjne w związku z
problemem roku 2000 zastanawiano się, czy właściwe jest stosowanie ustawy o
produkcji wojennej do ochrony infrastruktury krytycznej. Istotnie główną przesłanką
wprowadzenia tamtej ustawy była potrzeba ochrony bezpieczeństwa narodowego,
obrony narodowej, zdrowia i życia obywateli. W przypadku infrastruktury
krytycznej pojawia się silny kontekst gospodarczy, a nawet potrzeba ochrony
w amerykańskim podejściu określenie rząd oznacza również wszystkie służby podległe
administracji rządowej, włącznie z siłami zbrojnymi (ale potocznie „pracować dla rządu (working
for the Government) należy rozumieć „pracować dla którejś z tajnych służb”.
20 Executive Orders
21 Decision direcives
19
16
interesów konsumenta [Zeichner, 2002: s. 83], jednak ostatecznie, jak się wydaje
przeważył pogląd, że nie powinno być problemu z rozszerzającą interpretacją
ustawyy.
3.4. Kontrola Eksportu
Rozszerzenie obszaru zagadnień objętych interesami bezpieczeństwa
narodowego poza kwestie militarne doprowadziło do wprowadzenie systemu
kontroli międzynarodowego obrotu wieloma wyrobami i technologiami uznanymi
za strategiczne [Export Administration Act 1979] ukierunkowanej głownie na kraje
znajdujące się w obszarze wpływów Związku Radzieckiego i Chin. Oprócz
zastosowań typowo militarnych w obszarze technologii objętych embargiem
znalazły się w zasadzie wszystkie nowocześniejsze urządzenia oferowane na
rynku cywilnym, między innymi służące do przetwarzania i przesyłania informacji,
szybsze komputery, urządzenia telekomunikacyjne, elektroniczne, urządzenia
szyfrujące, służące do podsłuchu, urządzenia pomiarowe, podzespoły, elementy,
urządzenia służące do produkcji, technologie, know-how. Embargo objęło również
publikację wymagań technicznych dla technologii objętych zakazem eksportu.
Kryteria, według których formułowano zakazy były często niepublikowane lub
opatrzone klauzulą tajności. W związku z tym duża część wniosków o wydanie
zezwolenia eksportowego była załatwiana odmownie.
Międzynarodową politykę w zakresie kontroli eksportu prowadzono z inicjatywy
amerykańskiej od czasów zimnej wojny ramach Międzynarodowego Komitetu
Koordynacyjnego dla Wielostronnej Kontroli Eksportu (CoCom22), w którym
uczestniczyło 17 krajów.
Z polskich praktycznych doświadczeń wynika, że ograniczenia te
liberalizowano, aż do końca działania CoCom w 1994 prawie wyłącznie wtedy,
kiedy okazywało się, że kraje objęte embargiem dysponują już technologiami z
listy Cocom. Trudno to sobie dzisiaj wyobrazić, ale zakaz eksportu obejmował
takie urządzenia jak np. telefaksy. Również decyzja o uwolnienie Internetu została
na amerykańskiej administracji praktycznie wymuszona metodą faktów
dokonanych, do czego przyczyniły się między innymi prywatne kontakty naukowe
polskich fizyków, którzy zestawiali pierwsze linie komunikacyjne z amerykańską
siecią Internetu przy pomocy przywożonych prywatnie urządzeń.
22
Cocom – Coordinating Committee for Multilateral Export Controls
17
Pomimo formalnego uznania przemian demokratycznych w Polsce po 1989 roku
możliwość zakupu wielu nowoczesnych technologii telekomunikacyjnych była
bardzo utrudniona, prawie do czasu wstąpienia Polski do NATO oraz
wprowadzenia przez Polskę zasad kontroli eksportu w ramach tzw. porozumienia
Waasenaar, które zastąpiło Cocom.
W lutym 2004 Prezydent George Bush zaproponował ponowny przegląd
przepisów, mających przeciwdziałać proliferacji broni masowego rażenia i
technologii podwójnego zastosowania, tym razem biorąc pod uwagę przede
wszystkim wzrost zagrożeń o charakterze terrorystycznym.
3.5. Przebudowa amerykańskiego rynku telekomunikacyjnego
W roku 1984, kiedy uprawomocniło się orzeczenie sędziego Herolda H. Greena o
podziale, AT&T Bell System działała w Stanach zjednoczonych praktycznie w
warunkach monopolu, zarówno w obszarze sieci i usług telekomunikacyjnych, jak i
produkcji urządzeń instalowanych w tych sieciach. Tylko w słabo zaludnionych
regionach wiejskich, programowo zaniedbywanych przez AT&T usługi
telekomunikacyjne świadczyło wiele małych niezależnych spółek i spółdzielni
telefonicznych, działające często na zasadzie „bez zysku23”.
Wcześniej, w roku 1956 AT&T zostało również w wyniku postępowania
antytrustowego zmuszone do oddzielenia się od Western Electric.
Do czasu wprowadzenia szerszej konkurencji kwestie współpracy AT&T z
użytkownikami z administracji rządowej, zapewnienie bezpieczeństwa i utrzymanie
zdolności obronnej, a także działania w sytuacjach zagrożeń miały w dużej części
charakter niesformalizowany, ale poza opisanym w następnym rozdziale, nie jest
znane zbyt wiele przykładów problemów, które sprawiały tego rodzaju „niepisane”
zasady współpracy. Przez lata niezbyt precyzyjnie były również uregulowane
kwestie zakładania podsłuchów, identyfikacji przestępców i terrorystów,
korzystających z publicznie dostępnych środków łączności, co w pośredni sposób
również wpływa na bezpieczeństwo infrastruktury krytycznej.
Prezydent miał jednak prawo żądać priorytetu łączności dla potrzeb sił
zbrojnych i uprawnienie do użycia wojska do ochrony sieci telekomunikacyjnych w
sytuacjach kryzysowych. To uprawnienie do „żądania priorytetu” przełożyło się na
ustalenie procedur odtwarzania łączności dla potrzeb zarządzania kryzysem.
23
non profit organization
18
Ustawa Prawo Telekomunikacyjne z 1934 roku wprowadziła obowiązek
informowania powołanej tą ustawą Federalnej Komisji Łączności (FCC24) o
zmianach, mogących wpłynąć na warunki świadczenia usług. Do połowy lat
pięćdziesiątych FCC powołana do reprezentowania interesu publicznego w
sektorze telekomunikacji, sprawowała nadzór na rynkiem raczej o charakterze
monitorującym, niż regulacyjnym.
Szerokim obszarem właściwości FCC jest również gospodarka zasobami widma
częstotliwości użytkowanych przez wszystkie cywilne służby radiokomunikacyjne
oraz problematyka kompatybilności elektromagnetycznej. Ogólne zagadnienia
federalnej polityki telekomunikacyjnej pozostają od 1934 roku w kompetencjach
Sekretarza Handlu. Operatorzy sieci telekomunikacyjnych są również niezależnie
poddani nadzorowi regulacyjnemu władz stanowych, gdzie z reguły sprawami sieci
telekomunikacyjnych, cen i taryf zajmują się stanowe komisje do spraw
komunalnych usług publicznych25, obejmujących wszystkie rodzaje infrastruktury
sieciowej, telekomunikację, sieci energetyczne, gazowe, wodociągi, kanalizację
itp.
Dopiero od 1959 roku FCC wydawała zezwolenia na eksploatację wydzielonych
linii radiowych typu punkt-punkt dla wewnętrznych potrzeb korporacyjnych
niektórych firm.
Do połowy lat siedemdziesiątych FCC prowadziło szereg postępowań w sprawie
wniosków o zmianę zasad funkcjonowania rynku. W 1968 roku pod naciskiem
producentów, wprowadzono konkurencję na rynku urządzeń końcowych, chociaż
AT&T udawało się przez kilka lat skutecznie opóźniać wykonanie tej decyzji,
starając się uprawdopodobnić tezę o groźbie utraty integralności sieci, a nawet
poważnych uszkodzeń central i urządzeń transmisyjnych, z powodu instalacji
„niezbyt dobrze skontrolowanych” urządzeń.
W 1971 roku pojawili się pierwsi dostawcy wydzielonych łączy dla potrzeb
biznesu. W roku 1980 wydano decyzję o udostępnianiu przez AT&T powierzchni
na centralach, w celu instalacji urządzeń, należących do klientów korporacyjnych
zestawiających dla swoich potrzeb łącza transmisyjne. Pojawiły się też na
poziomie stanowym nowe regulacje, dotyczące współużytkowania obiektów z
operatorami lokalnymi i międzymiastowymi.
24
25
Federal Communications Commission
public utilities
19
W 1974 roku Departament Sprawiedliwości wniósł pozew antytrustowy
przeciwko AT&T Bell Systems, proponując radykalny podział na 22 firmy o ściśle
rozgraniczonych kompetencjach. W 1982 roku sędzia okręgowy Harold Green
wydał kompromisowe orzeczenie, które ograniczyło liczbę firm mających powstać
w wyniku podziału do 7 regionalnych26 i AT&T – operatora sieci międzymiastowej,
międzynarodowej i producenta urządzeń telekomunikacyjnych. Wszystkich
nowych operatorów obowiązywał zakaz świadczenia niektórych usług
przypisanych innym typom operatorów. Chciano między innymi w ten sposób
ujednolicić warunki działania firm istniejących, z tymi które dopiero rozpoczynały
działalność na mniejszą skalę. Chcąc osiągnąć przejrzystość rozliczeń i taryf,
które były podstawą nowych regulacji
Wprowadzanie konkurencji operatorów niezależnych od firm powstałych w
wyniku podziału AT&T postępowało stopniowo. Początkowo wydawano licencje
dla operatorów, świadczących usługi w lokalnych relacjach międzymiastowych,
później licencje dla Sprint i MCI na ogólnokrajową łączność międzymiastową, a
później międzynarodową, licencje satelitarne, komórkowe itd.
Otwartą konkurencję również w usługach lokalnych wprowadzono nowelizacją
prawa telekomunikacyjnego w 1996 roku.
Za liberalizacją, otwarciem rynku na konkurencję stały silne przesłanki
ekonomiczne i społeczne. Oczekiwano wszystkich efektów, jakie niesie ze sobą
rynek konkurencyjny – spadku cen, podniesienia jakości, pojawiania się
nowocześniejszych rozwiązań technicznych. Korzyści pojawiały się szybko, a
efekty konkurencji zaskakiwały wszystkich przyzwyczajonych do tradycyjnych, jak
się okazało całkowicie nieuprawnionych tłumaczeń monopolisty, że tylko
utrzymanie szczególnej ochrony zapewni stabilność inwestycji i ciągłość
świadczenia usług. Nowym graczom rynkowym sprzyjały coraz tańsze technologie
cyfrowe.
Administracja Billa Clintona, pod patronatem Wiceprezydenta Allana Gore’a
przyjęła rozwój rynku technologii informacyjnych jako jeden z kluczowych
priorytetów kadencji prezydenckiej. W 1995 roku z inicjatywy amerykańskiej
spotkanie międzynarodowego forum gospodarczego grupy G-7 po raz pierwszy
poświęcono jednej dziedzinie – technologiom informacyjnym. Zaczęto mówić o
26
tzw. Baby Bells
20
rewolucji informacyjnej, globalnej infrastrukturze informacyjnej i nowym
społeczeństwie informacyjnym. W otwarciu rynku na nowe technologie
informacyjne i konkurencję widziano wiele atrakcyjnych możliwości:
Katalizator rozwoju gospodarczego
Usprawnienie obrotu gospodarczego
Usprawnienie systemu finansowego
Usprawnienie działania administracji
Podnoszenie jakości życia społeczeństwa
Tworzenie nowych miejsc pracy
Dostęp do oświaty, nauki, ochrony zdrowia, kultury
Poprawę bezpieczeństwa
Kwestie ochrony infrastruktury krytycznej, działania w sytuacjach kryzysowych
pozostawały mniej więcej do końca lat dziewięćdziesiątych nieco z boku
intensywnego ruchu przemian w sektorze telekomunikacji. Bardzo obszerna
nowelizacja prawa telekomunikacyjnego z roku 1996 nie wnosiła na przykład w
sprawach ochrony infrastruktury krytycznej nic nowego. Nie można jednak
powiedzieć, że znaczenie operatorów telekomunikacyjnych dla kwestii
bezpieczeństwa narodowego nie było brane pod uwagę. Od stosunkowo
niedawna zagraniczne firmy telekomunikacyjne zostały dopuszczone do udziału w
amerykańskim rynku sieci i usług telekomunikacyjnych. Stało się to, dopiero w
związku z otwartą krytyką na forum WTO27 i pod wpływem nacisków ze strony Unii
Europejskiej, gdzie operatorzy amerykańscy już od dawna nie spotykają się z
podobnymi restrykcjami.
Przygotowanie operatorów telekomunikacyjnych do działań w sytuacjach klęsk
żywiołowych znalazło się częściowo pod nadzorem Federalnej Agencji
Zarządzania w Sytuacjach Zagrożeń (FEMA28). Koncentracja na kwestiach klęsk
żywiołowych sprawia, że FEMA odgrywa niewielką rolę w sprawach zwalczania
zagrożeń na sieci teleinformatyczne, chociaż ma przygotowane zalecenia i
procedury postępowania w przypadku skutków z cyberprzestrzeni, jednej z
możliwych przyczyn zakłóceń w funkcjonowaniu infrastruktury krytycznej. Na
uwagę jednak zasługuje to, że jednym z ważniejszych sposobów działania FEMA,
mającym znaczenie dla upowszechniania wiedzy o ochronie infrastruktury
27
28
Word Trade Organization
Federal Emergency Mangement Agency
21
krytycznej jest udostępnianie z pomocą Internetu i faksu dostępu do wielu
instrukcji, poradników postępowania w przypadku zagrożeń, katastrof, klęsk
żywiołowych.
W rezultacie konkurencyjnej walki o rynek wielu nowych operatorów
zaniedbywało kwestie bezpieczeństwa, które pozostawały nadal głównie troską
AT&T i niektórych innych „wtajemniczonych” uczestniczących w zapewnieniu
szczególnych potrzeb łączności bezpośrednio dla rządu w ramach Narodowego
Systemu Łączności.
Z drugiej strony wzrost konkurencji zmobilizował operatorów sieci do
przykładania coraz większej uwagi do kwestii niezawodności systemów łączności,
odporności na uszkodzenia i działanie w sytuacjach nietypowych, na przykład w
warunkach obciążania ruchem, co jest również typowe w sytuacjach kryzysowych.
Konkurencja umotywowała operatorów do unowocześniania sieci, wprowadzania
rozwiązań redundantnych, dróg obejściowych, cyfryzacji, SDH, usług sieci
inteligentnej.
Wprowadzenie konkurencji w usługach międzymiastowych i przydzielenie
każdemu operatorowi międzymiastowemu prefiksu zmusiło szybko tracącemu
rynek AT&T do uruchomienia, nieistniejących przedtem zasobów organizacyjnych
„szybkiego reagowania” w celu ochrony sieci przed przypadkowymi fizycznymi
uszkodzeniami. System oparto na założeniu, że jeżeli abonent wybierając prefiks
międzymiastowy nie zdoła się za pierwszym razem połączyć, to najdalej po drugiej
próbie spróbuje prefiksu innego operatora. Na początku lat dziewięćdziesiątych
AT&T zakupiło kilkanaście samolotów i helikopterów, by z powietrza prowadzić
monitoring sieci w celu wykrywania robót ziemnych prowadzonych w terenie przez
firmy budowlane i wprowadzono specjalne procedury powiadamiania wykonawców
tych robót wprost z samolotu.
W warunkach konkurencji zdolność do szybkiego podjęcia prac naprawczych i
odtworzenia zdolności do przekazywania ruchu telekomunikacyjnego w przypadku
katastrof lub klęsk żywiołowych ma swój aspekt rynkowy. Pozwala budować
wobec klientów wizerunek wiarygodności i stabilności i pozwala zminimalizować
ryzyko przejęcia chwilowo utraconego rynku przez konkurentów.
22
3.6. NCS29 – Narodowy System Łączności
Historia NCS sięga kryzysu kubańskiego w 1962 r, kiedy jednym z problemów z
uniknięciem konfliktu zbrojnego stały się trudności komunikacyjne na linii Stany
Zjednoczone, Związek Radziecki i kwatera główna NATO. Po zażegnaniu kryzysu
Prezydent John F. Kennedy zarządził dochodzenie w sprawie działania systemów
łączności dla potrzeb zarządzania kryzysem. W następstwie tego dochodzenia
Narodowa Rada Bezpieczeństwa utworzyła specjalną komisję mieszaną z
zadaniem wypracowania zasad, dających gwarancję uniknięcia komunikacyjnych
trudności technicznych i organizacyjnych w przypadku zaistnienia sytuacji
kryzysowych.
Międzyagencyjna komisja mieszana zarekomendowała utworzenie specjalnego
jednolitego systemu łączności dla potrzeb Prezydenta, Departamentu Obrony,
placówki dyplomatyczne, placówki wywiadu i szefów niektórych instytucji
cywilnych.
W sierpniu 1963 roku Prezydent Kennedy wydał memorandum na temat
utworzenia NCS z zadaniem utworzenia systemu łączy telekomunikacyjnych,
poprawy ich jakości i rozszerzenia zasięgu dla potrzeb wszystkich właściwych
agencji rządowych, a także rekomendacji o charakterze instytucjonalnym.
We wrześniu 1982 roku Prezydent Rondla Regan popisał Rozporządzenie
12382, powołujące Prezydencki Komitet Doradczy Narodowego Bezpieczeństwa
Telekomunikacyjnego NSTAC30, który miał doradzać w sprawach bezpieczeństwa
telekomunikacyjnego Prezydentowi i Sekretarzowi Obrony [EO 12382, 1982].
W kwietniu 1984 roku Prezydent Ronald Regan podpisał Rozporządzenie
12472, które rozszerzyło zasięg systemu NCS z liczby sześciu do 23 federalnych
agencji i departamentów [EO 12472, 1984]. Odpowiedzialność za kreowanie
polityki w zakresie NCS przypisano Narodowej Radzie Bezpieczeństwa, a kwestie
związane z określaniem zasobów sieci, a także częstotliwości, mogących mieć
znaczenie w sytuacjach kryzysowych, a także formułowania wymagań
technicznych przypisano Dyrektorowi Urzędu Nauki i Polityki Technologicznej31.
NCS – National Communications Systems
President's National Security Telecommunications Advisory Committee
31 Director of the Office of Science and Technology Policy
29
30
23
3.7. Rozporządzenie wykonawcze Prezydenta 1301032
Jednym z najważniejszych priorytetów politycznych początkowego okresu
prezydentury Billa Clintona stały się kwestie rozwoju infrastruktury informacyjnej
(NII33), nazywanej początkowo trochę niefortunnie programem budowy
„informacyjnych autostrad34”. Inicjatywa NII odnosiła się przede wszystkim do
gospodarczego i cywilizacyjnego znaczenia powszechnej dostępności nowych
technologii informacyjnych, które stopniowo rozwinęły się w programy rozwoju
społeczeństwa informacyjnego, wśród dyskutowanych zagadnień musiała się
również pojawić kwestia ochrony zasobów, których znaczenie należało uznać za
krytyczne.
W 1995 roku po atakach bombowych na Word Trade Center i w Oklahoma City
Prezydent Clinton wydał dyrektywę w sprawie zwalczania terroryzmu PDD 39,
która zawierała wyraźny postulat „oceny podatności agencji rządowych i
podstawowej infrastruktury informacyjnej na ataki terrorystyczne”[PDD 39, 1995].
Oceny tej dokonała grupa robocza, której przewodniczyła zastępca Prokuratora
Generalnego Jamie Goerlick. W skład grupy wchodził również Zastępca
Sekretarza Obrony, Dyrektor FBI, Dyrektor CIA, Zastępca Asystenta Prezydenta
ds. Bezpieczeństwa Narodowego. Zdefiniowano podstawowe rodzaje
infrastruktury krytycznej i zidentyfikowano różne typy zagrożeń. Niestety
„rozwijając mechanizmy organizacyjne obrony krajowej infrastruktury
informacyjnej, nie doceniono roli wytwórców rozwiązań technicznych i
użytkowników komercyjnych”[Rattray 2004: s.363}. Prace tej grupy roboczej
pozwoliły jednak przygotować założenia do pierwszej kompleksowej regulacji na
temat infrastruktury krytycznej EO 13010 w roku 1996, definiując sektory
infrastruktury krytycznej i powołując Prezydencką Komisję ds. Infrastruktury
Krytycznej (PCCIP35). Przewodniczącym PCIP został emerytowany generał
lotnictwa Robert. T. Marsh. Komisja gromadziła przedstawicieli agencji rządowych,
sektora prywatnego i ekspertów ze środowiska akademickiego.
PCCIP podzielono na 5 zespołów:
Presidential Executive Order 13010
National Information Infrstructure
34 information highways
35 PCCIP – Presidential Commission on Critical Infrastructure Protection
32
33
24
Informacja i telekomunikacja, obejmujący telekomunikację, komputery,
oprogramowanie, Internet, satelity, światłowody;
Dystrybucja fizyczna, obejmujący koleje, lotnictwo, żeglugę, rurociągi;
Energia, obejmujący energetykę, gaz, ropę naftową, produkcję, dystrybucję i
składowanie;
Bankowość i finanse, obejmujący transakcje finansowe, rynek akcji i obligacji,
rezerwy federalne;
Najważniejsze usługi dla ludności – wodę, usługi ratownicze, usługi
administracji rządowej i samorządowej
Razem z PCIP powołano również Zespół Specjalny ds. Ochrony Infrastruktury
IPTF36 w strukturach Departamentu Sprawiedliwości.
W 1966 roku GAO37 przedstawił raport na temat bezpieczeństwa
informacyjnego, który we wstępie zauważa, że Departament Obrony korzysta w
coraz większym stopniu z komercyjnych sieci łączności, ale w związku z tym
wzrasta ryzyko ataku na wojskową infrastrukturę informacyjną - „potencjalna
możliwość katastrofalnych zniszczeń jest bardzo duża. Zorganizowani grupy
innych narodowości, w tym terroryści mogą użyć techniki „wojny informacyjnej” dla
zakłócenia działań militarnych, uszkadzając systemy dowodzenia i kierowania,
publiczne sieci komutowane oraz inne systemy i sieci, na których bazują sieci
wojskowe” [GAO 1996: s.2].
Z kolei w raporcie opublikowanym w październiku 1997 roku przez PCCIP
[PCCIP Report, 1997] zwrócono uwagę na niedostateczne zainteresowanie
ochroną infrastruktury krytycznej wśród odpowiedzialnych instytucji i podmiotów.
Zalecono strategię działania, polegającą na współpracy z prywatnymi podmiotami,
potrzebie uświadamiania i kształcenia, opracowania programu badań i rozwoju.
Wyodrębniono pięć obszarów, w których potrzebna jest partnerska współpraca
pomiędzy rządem, a sektorem prywatnym:
Formułowanie polityki;
Zapobieganie i łagodzenie skutków;
Dzielenie się informacjami i analiza informacji
Przeciwdziałanie (reagowanie na incydenty)
Przywrócenie poprzedniego stanu.
36
37
Infrastructure Protection Task Force
General Accounting Office – odpowiednik polskiego NIK
25
Raport zalecał stworzenie specjalnych struktur w ramach administracji, które miały
być odpowiedzialne za ochronę infrastruktury krytycznej:
Urząd ds. Zapewnienia Infrastruktury Krajowej38, działający w ramach
Narodowej Rady Bezpieczeństwa (NSC) kierowany przez specjalnego
asystenta prezydenta.
Krajowa Rada ds. Zapewnienia Infrstruktury39, składająca się z nominowanych
przez prezydenta urzędnicy federalni i stanowi, lokalni
Biuro ds. Pomocy w Zapewnieniu Infrastruktury40, działające w strukturach
Departamentu Handlu, stanowiące płaszczyznę porozumienia rządu i sektora
prywatnego
Federalne agencje zarządzające poszczególnymi sektorami
Koordynatorzy poszczególnych sektorów, odpowiedzialni za wymianę
informacji
Centrum Wymiany Informacji i Analiz41, z zadaniem gromadzenia informacji ze
wszystkich dostępnych źródeł, również anonimowych, w tym informacji o
incydentach. Zakładano, że będzie to miejsce współpracy sektora rządowego i
prywatnego. Proponowano, by organizacyjnie wykorzystać częściowo zasoby
głównego CERT (CERT/CC42). W ośrodku miała również działać komórka
odpowiedzialna za sprawy łączności na potrzeby rządu federalnego i
delegatura komórki FBI, kompetentnej w sprawach przestępstw
komputerowych i naruszeń w sprawach infrastruktury krytycznej.
Centrum Ostrzegania43, pod zarządem FBI, zachowujące zdolność
natychmiastowego reagowania prób ataku na infrastrukturę krytyczną.
Wdrażanie niektórych propozycji i polepszanie ochrony infrastruktury krytycznej
napotykało na przeszkody prawne. Sektor prywatny oczekiwał zapewnienia, że
udostępnione rządowi informacje wrażliwe, nie przedostaną się do wiadomości
strony trzeciej [Denning 2002, s.461-462]. Stwierdzono, że istnieją problemy z
kwalifikacją prawną wielu przestępstw komputerowych. Wiele z nich wykracza
Office of National Infrastructure Assurance
National Infrastructure Assurance Council
40 Infrastructure Assurance Support Office
41 Information Sharing and Analysis Center
42 Computer Emergency Response Team Coordination Center
43 Warning Center
38
39
26
poza granice jurysdykcji i powinno być ściganych z upoważnienia sędziego
federalnego. Sformułowano potrzebę podjęcia działań na szczeblu
międzynarodowym. Zidentyfikowano kilka obszarów badawczych i sformułowano
potrzebę zwiększenia budżetu na zwalczanie zagrożeń związanych atakami na
infrastrukturę krytyczną.
3.8. Dyrektywa 63 (PDD 6344)
Wydana przez Prezydenta Billa Clintona Dyrektywa PDD 63 na temat
Infrastruktury Krytycznej z roku 1998 określiła infrastrukturę krytyczną jako „te
fizyczne i teleinformatyczne (cybernetyczne) systemy informatyczne, które są
istotne dla zapewnienia minimum działania gospodarki i rządu” .
Wcześniejszy raport Prezydenckiej Komisji ds. Ochrony Infrastruktury
Krytycznej (PCCIP) określił punkt wyjścia dla polityki regulacyjnej: „żaden urząd,
organizacja, ani osoba fizyczna w ramach Rządu Federalnego nie odpowiada za
całość ochrony infrastruktury lub politykę w tym zakresie. To nie powinno być
zaskakujące, ponieważ jest niewielkie zapotrzebowanie na istnienie krajowego
punktu widzenia, jeżeli infrastruktura w większości jest zróżnicowana, tworzona
według niezależnych koncepcji, rozproszona geograficznie, niekiedy chroniona
przez siły zbrojne. Dzisiaj jednak współzależność, współdziałanie infrastruktury i
wystawienie na ataki z cyberprzestrzeni oraz inne zagrożenia uzasadniają
potrzebę istnienia takiego jednego punktu widzenia. Dla wsparcia tej potrzeby
powstaną ramowe zasady na poziomie federalnym, przy współpracy z władzami
stanowymi i sektorem prywatnym, by wprowadzić narodową politykę ochrony
infrastruktury” [PCCIP Report 1997: s.50].
PDD 63 przewidywała przeprowadzenie oceny podatności na zagrożenia w ciągu
180 dni, a następnie okresowe przeglądy dla każdego sektora gospodarki i
sektora rządowego, które mogłyby się stać przedmiotem potencjalnego ataku.
Ocena miała również zawierać „minimum istotnej infrastruktury (MEI45) dla
każdego sektora”.
Strategia działań zakładała następujące cele:
Wprowadzenie mechanizmów partnerstwa publiczno-prywatnego dla
wzmocnienia bezpieczeństwa technologii informacyjnych;
44
45
Presidential Decision Directive 63
Minimum Essential Infrastructure
27
Podniesienie świadomości ważności bezpieczeństwa teleinformatycznego w
sektorze prywatnym i rządowym;
Stymulowanie sił rynkowych dla zwiększenia popytu na środki bezpieczeństwa
oraz wypracowanie standardów i zasad postępowania;
Finansowanie i inspirowanie prac badawczych w obszarze technologii
informacyjnych ukierunkowanych na zwiększanie bezpieczeństwa;
Współpraca z ośrodkami akademickimi w celu zwiększenia liczby studentów
specjalizujących się w dziedzinie bezpieczeństwa teleinformatycznego;
Pomoc w organizacji ochrony przed zagrożeniami, łagodzenia skutków i
zdolności reagowania na ataki z cyberprzestrzeni, poprzez budowanie systemu
wymiany informacji pomiedzy agencjami rządowymi, pomiedzy korporacjami, a
także pomiędzy rządem, a biznesem [Report 2001: 3]
Dla osiągnięcia celów PDD 63 przewidziano realizację dwóch kierunków działań
politycznych:
Utworzenie skutecznego systemu współpracy z sektorem prywatnym dla
każdego sektora infrastruktury i innych kluczowych dziedzin, w tym
administracji podatkowej, ubezpieczeń oraz inwestycji komunalnych, w celu
podnoszenia świadomości i inicjowania rozwiązań i działań rynkowych;
Poprawa bezpieczeństwa infrastruktury krytycznej systemów rządowych, w tym
planów działań, prac badawczych i rozwojowych, zatrudnienie kompetentnego
personelu.
Działania te powierzono kilku nowym instytucjom:
Koordynator Krajowy ds. bezpieczeństwa, infrastruktury krytycznej i
przeciwdziałania terroryzmowi
Koordynator Krajowy działał w strukturze Narodowej Rady Bezpieczeństwa
(NCS46) Białego Domu, był sprawozdawcą zagadnień związanych z
bezpieczeństwem teleinformatycznym i naruszeń w związku z wykonaniem
dyrektywy PDD 63.
46
NCS – National Security Council
28
CIAO47 - Urząd ds. Zabezpieczenia Infrastruktury Krytycznej
CIAO było międzyagencyjnym biurem, działającym w strukturach Departamentu
Stanu wspomagając działania koordynacyjne rządu federalnego. Do kompetencji
CIAO należały trzy główne zadania:
Koordynacja przygotowania projektu Narodowego Planu Ochrony
Bezpieczeństwa Informacyjnego. Wersja 1.0 tego planu została opublikowana
w styczniu 2000 roku [National Plan, 2000];
Wspomaganie agencji federalnych w działaniach analitycznych, określających
zależności i współzależności infrastruktury krytycznej;
Koordynacja krajowych osiągnięć, edukacji i wysiłków zmierzających do
wzrostu świadomości, dotyczącej problematyki bezpieczeństwa informacji i
CIAO miało być katalizatorem utworzenia Partnerstwa dla Bezpieczeństwa
Infrastruktury Krytycznej (PCIS48) przez przedstawicieli sektora prywatnego.
NIPC49 – Centrum Ochrony Infrastruktury Krytycznej
NIPC było międzyagencyjnym biurem działającym w strukturze Federalnego
Biura Śledczego (FBI50). Było ono centrum koordynacyjnym specjalizującym się w
sprawach naruszeń bezpieczeństwa teleinformatycznego, ostrzeżeń, wykrywania
słabych punktów w systemie bezpieczeństwa infrastruktury krytycznej oraz
ścigania przestępstw związanych z bezpieczeństwem teleinformatycznym.
Zatrudniało ono personel składający się częściowo z funkcjonariuszy FBI oraz
osób delegowanych z innych agencji federalnych. Do centrum delegowały również
przedstawicieli właściwe agencje rządowe z Kanady i Wielkiej Brytanii.
Niezależnie od czynności dochodzeniowo śledczych, które były właściwością
NIPC, prowadziło również działalność doradczą promując rozwiązania
bezpieczeństwa.
CICG51 - Grupa Koordynacyjna Infrastruktury Krytycznej
Każdemu sektorowi infrastruktury krytycznej przypisano właściwą agencję
rządową i pracownika agencji - Sektorowego Urzędnika Łącznikowego52, którzy
CIAO – Critical Infrastructure Assurance Office
PCIS – Partnership for Critical Infrastructure Security
49 NIPC – National Infrastructure Protection Center
50 FBI – Federal Bureau of Investigation
51 CICG – Critical Infrastructure Coordinating Group
47
48
29
poprzez Grupę Koordynacyjną Infrastruktury Krytycznej utrzymywał kontakty z
prezydenckim Koordynatorem Krajowym.
CICG składało się z wysokich urzędników szczebla politycznego –
podsekretarza stanu lub wyżej, również z innych instytucji federalnych. Pracami
CICG formalnie kierował Koordynator Krajowy. .
CISG53 – Grupa Sterująca Cyber-Incydentów oraz CIWG54 Grupa Robocza
Cyber-Incydentów.
CISG i CIWG działały w ramach CICG, zajmując się konkretnymi przypadkami
naruszeń bezpieczeństwa infrastruktury krytycznej. CISG zajmowało się
koordynacją działań naprawczych, a CIWG czynnościami dochodzeniowośledczymi, przy współpracy z FBI, ale z zasady nie naruszając właściwości
samego FBI i innych służb policyjnych.
Rada CIO55
Rada CIO skupia pełnomocników ds. ochrony informacji z federalnych agencji
rządowych. Ich odpowiedzialność obejmuje ochronę informacji niejawnych,
ochronę danych osobowych w podległych urzędach, nadzór nad procedurami
bezpieczeństwa, a także politykę udostępniania informacji w systemach
informatycznych.
JTRB56 Wspólna Rada Zasobów telekomunikacyjnych
Wspomaga działania urzędu prezydenta poprzez Dyrektora ds. nauki i
Technologii w sprawach działania Narodowego Systemu Łączności (NCS) w
sprawach szczególnych zagrożeń o niewojennym charakterze. JTRB z udziałem
przedstawicieli sektora prywatnego bierze udział w organizacji centrum łączności
kryzysowej Krajowego Centrum Łączności (NCC57), będąc „wzorcowym
przykładem partnerstwa publicznego-prywatnego” [Report 2001: s.6]
Sector Liaison Official
CISG – Cyber Incydent Steering Group
54 CIWG – Cyber Incident Working Group
55 CIO Council – Chief Information Officers Council
56 JTRB – Joint Telecommunications Resources Board
57 NCC – National Communications Center
52
53
30
NSTISSC58 – Narodowy Komitet Bezpieczeństwa Systemów
Telekomunikacyjnych i Informatycznych
NSTISSC został utworzony w 1990 jest forum dyskusyjnym na temat polityki
ochrony krajowych systemów bezpieczeństwa teleinformatycznego i skupia
przedstawicieli eirlu agencji cywilnych i wojskowych.
NIAP59 – Narodowe Partnerstwo Zabezpieczenia Informacyjnego
NIAP to rządowa inicjatywa powołana do zaspokojenia potrzeb noramizacyjnych
i testowania bezpieczeństwa teleinformatycznego producentów i użytkowników.
NIAP współpracował z Narodowym Instytutem Standardów Technologicznych
(NIST60) i Narodową Agencją Bezpieczeństwa (NSA61)
FedCIRC62 - Federalny Potencjał Reagowania na Incydenty
Komputerowe
FedCIRC był centralnych rządowym ośrodkiem analitycznym bezpieczeństwa
systemów komputerowych cywilnych i rządowych, korzystając z zasobów
analitycznych Departament Obrony, służb specjalnych i policyjnych, Wspólnoty
Wywiadowczej, ośrodków akademickich i innych specjalizowanych agencji
rządowych i cywilnych.
ISAC63 – Centra Wymiany Informacji i Analizy
Jedną z najważniejszych koncepcji PDD 63 było tworzenie ISAC w ramach
poszczególnych sektorów gospodarki w celu wymiany informacji o zagrożeniach,
incydentach, podatności, rozwiązaniach i środkach zaradczych.
ISAC były zorganizowane według następujących zasad:
Dostarczanie informacji miało być dla organizacji gospodarczych dobrowolne
Członkostwo organizacji gospodarczych miało być dobrowolne
***
Założeniem PDD 63 było określenie specyfiki poszczególnych sektorów i różnic
w sposobie podejścia do zachowania infrastruktury krytycznej i środków
National Security Telecommunications and Information Systems Security Committee
NIAP – National Information Assurance Partnership
60 NIST – National Institute of Standards and Technology
61 NSA – National Security Agency
62 FedCIRC – Federal Computer Incident Response Capability
63 ISAC – Information Sharing and Analysis Center
58
59
31
zaradczych. Jednak w po kilku latach doświadczeń, szczególnie pod rządami
administracji nowego Prezydenta oceniono, że wysiłek administracji Clintona
poświęcony na realizację założeń PDD 63 nie dał zadawalających rezultatów.
Część problemów wiązano z samym PDD 63, gdzie nie zawarto dostatecznie
przejrzystych kryteriów do oceny co w istocie jest krytyczne lub przynajmniej
procedur dojścia do ocen pozwalających osiągnąć zakładany cel [Bennett,
2002:3].
Jeszcze w 2001 Prezydencka Rada ds. Integralności i Skuteczności
przedstawiła raport na temat postępów w realizacji PDD 63 [Report, 2001].
Obszerny raport dokumentował wszystkie czynności i decyzje, które były wynikiem
wprowadzania PDD, ale stwierdzał przy tym w wstępnym podsumowaniu [s.6], że:
Większość agencji nie zidentyfikowało swoich najistotniejszych zasobów
infrastruktury64;
Prawie żadana z agencji nie zakończyła oceny podatności swoich zasobów MEI
ani planów zaradczych.
Oceny te potwierdził raport GAO z kwietnia 2001, stwierdzając ponadto
nieskuteczność wysiłków prowadzących do wymiany informacji i doświadczeń,
pomiędzy różnymi agencjami i sektorami gospodarki [GAO 2001: s.71]. .
Konkluzje te potwierdzały nie bez złośliwej satysfakcji komentarze
przedstawicieli administracji prezydenta Busha. Krajowy Koordynator nie był w
stanie zapewnić wystarczającego nadzoru nad podległymi sobie agencjami, ani
odpowiedniego budżetu na rozwój. Administracja Clintona nie zdołała również
przełamać biurokratycznego oporu odpowiedzialnych agencji przed współpracą.
Nie można było skłonić agencji do zastosowania proponowanych standardów i
inwestowania w potrzebne systemy. Planowanie, wdrażanie i wykonanie
wypracowanych założeń ochrony infrastruktury krytycznej komplikowało się, w
związku z zastaną pionową strukturą zarządzania bezpieczeństwem, implikującą
sposób finansowania w większości agencji. Administracji Clintona udawało się
osiągać sukcesy głównie tam, gdzie nie trzeba było liczyć ze skutkami
budżetowymi lub tam gdzie realizacja projektu była oczywistą koniecznością
[Montgomery, 2002, s.23].
64
mission-essential infrastructure assets
32
3.9. Mobilizacja sił w związku z „problemem roku 2000”
Przygotowanie do uniknięcia katastrofy informatycznej na początku roku 2000,
kiedy spodziewano się poważnych zakłóceń w działaniu systemów
informatycznych zależnych od oprogramowania, w którego daty systemowe nie
zakładały zmiany z roku 1999 na rok 2000, zaangażowało tysiące firm prywatnych.
Według wyliczeń Departamentu Handlu przygotowania do granicznej daty roku
2000 mogły pochłonąć w okresie od 1995 do 2000 roku około 100 miliardów
dolarów.
Duża część doświadczeń, głównie o charakterze instytucjonalnym, może być
wykorzystana do prac problematyką infrastruktury krytycznej [Mussington 2002,
s.vii].
W rozwiązywaniu problemu roku 2000 okazało się, że wbrew partykularnym
różnicom interesów możliwe jest osiągnięcie synergii we współpracy wokół
wspólnego celu różnych agencji rządowych, podmiotów gospodarczych, ośrodków
badawczych [Chen, 2002: s.65]
Ostatnie miesiące 1999 upłynęły w atmosferze sporów prawnych, czy zasadne
byłoby zastosowanie ustawy o produkcji obronnej do zupełnie odmiennej sytuacji,
niż w czasach zimnej wojny, a także jak stosować inne ustawy o działaniach w
stanach nadzwyczajnych, skoro nie uwzględniały wprost tematyki infrastruktury
krytycznej [Zeichner 2002: s.76-82].
Pod względem praktycznym działania zmierzające do uniknięcia problemu roku
2000 były poligonem doświadczalnym struktur organizacyjnych wprowadzonych
dyrektywą PPD 63.
Problem roku 2000 pokazał, w jak istotne znaczenie, nawet na zdolność do
przetrwania podmiotu gospodarczego, może mieć ryzyko związane z połączeniem
w sieć systemów kontrolujących działanie gospodarki i wspierających działanie
różnych rodzajów infrastruktury [Keys 2002: s 41].
3.10. Doświadczenie 11 września 2001 roku
11 września boleśnie zweryfikował dużą część teoretycznych rozważań na temat
infrastruktury krytycznej. Terroryzm zaangażowany w wojnę przeciwko państwu
wcale nie musi brać na cel obiektów o strategicznym znaczeniu militarnym. Nie
można również zakładać, że to siły zbrojne będą mogły zawsze wziąć na siebie
33
podstawowy ciężar działań związanych ze zwalczaniem przyczyn i skutków
kryzysu w wojnie prowadzonej metodami terrorystycznymi.
W ataku na wieże World Trade Center użyto cywilnych samolotów, a wybrany
cel ataku, niezależnie od tragicznego rozmiaru zniszczeń i szokującej liczby
niewinnych ofiar, miał przede wszystkim znaczenie symboliczne. Podjęcie
rutynowych działań obronnych przez wojskowe siły powietrzne nie mogłoby
zapobiec atakom, bo wiadomość o porwaniu samolotu American Flight lot nr 11
dotarła do Federalnej Agencji Lotnictwa o 8:40, niespełna 6 minut przed
uderzeniem w World Trade Center. Rozkaz startu dla pary dyżurnej F-15 z bazy
Gwardii Narodowej Otis w Falmouth zbiegł się z uderzeniem w północny
wieżowiec o 8:46, a start nastąpił o 8:52, na dziesięć minut przed uderzeniem
United Flight lot nr 175 w wieżowiec południowy [NRC, 2003, s.15].
Do wyjścia z kryzysu użyto przede wszystkim służb cywilnych, również cywil,
burmistrz Gulliani, zarządzał w Nowym Jorku zwalczaniem kryzysu i akcją
naprawczą.
Z punktu widzenia terrorystów zakładany cel operacji został osiągnięty i to przy
użyciu środków technicznych, będących własnością wroga. Do ataku użyto
amerykańskich samolotów, startujących z amerykańskich lotnisk. Terroryści zdobili
umiejętność sterowania porwanymi samolotami wykorzystując amerykański
system szkolenia pilotów. Wiele wskazuje na to, że najważniejszym celem
terrorystów było instrumentalne wykorzystanie sprawności sieci komunikacji
amerykańskich mediów elektronicznych. Dzięki amerykańskim środkom
komunikacji elektronicznej o atak, dosłownie na żywo mógł oglądać cały świat i
każdy dowiedział się, co to jest Al.-Kaida i kim jest Bin Laden. Gdyby Al.-Kaida
kierowała się głównie maksymalizacją szkód w infrastrukturze, tak się to przyjęto
zakładać w ofensywnych działaniach militarnych, to być może wstrzymano by się
o mniej więcej o godzinę, by do zniszczeń i efektu medialnego dodać katastrofalne
efekty związane z destabilizacją działania giełdy nowojorskiej i być może
światowego rynku finansowego. Ponieważ pierwszy samolot uderzył w północny
wieżowiec o godz. 8:46 zarząd NYSE65 miał jeszcze czas, by podjąć decyzję o
opóźnieniu otwarcia giełdy, [NYSE 2001].
65
New York Stock Exchange
34
Zaatakowany rejon Manhattanu jest przy tym wszystkim bardzo istotnym
węzłem komunikacyjnym. Chronologia zniszczeń systemów telekomunikacyjnych
przedstawia się następująco:
8:46 – 10:00
System łączności WTC zostaje zablokowany
Niektóre urządzenia zostały zniszczone lub zablokowane
przeciążeniowo
Przeciążeniowe zablokowanie internetowych serwisów
informacyjnych NBC, CNN, MSNBC
10:00 – 11:00
Walą się oba wieżowce
Ze względu na skomasowanie nadajników radiowych na
wieżowcach WTC, w rejonie przestaje działać większość
systemów radiowych, komórkowych (Sprint, PCS, AT&T
Wireless, Arizon) oraz dyspozytorskich policji, straży
ogniowej, służb medycznych i innych, a także nadajników i
przekaźników radiowych i telewizyjnych
Przestaje działać kilkanaście internetowych centrów wymiany
danych (PoP66) obsługiwanych przez WorldCom, AT&T Local
Services, Verizon
Przestają działać niektóre linie wydzielone transmisji danych
lub DNS zarządzane z serwerów w WTC, a obsługujące
klientów w Nowym Jorku, Connecticut, Massachusetts, a
nawet w niektórych lokalizacjach w Europie (np.Włochy,
Niemcy, Rumunia), a także w Południowej Afryce.
11:00 – 17:00
Następują wyłączenia kolejnych systemów
telekomunikacyjnych, w związku z wyczerpywaniem się
systemów zasilania
17:20 – 17:40
Runął budynek nr 7 WTC
Zniszczona podstacja elektryczna dla rejonu
Zniszczona główna lokalna centrala telefoniczna Verizon
[NRC, 2003, s.14-19] [materiały archiwalne Verizon, AT&T]
66
Point of Presence
35
Fizyczne zniszczenia sieci telekomunikacyjnych:
Centrala Verizon obsługująca 3,5 mln łączy;
Zniszczone zostaje 10 komórkowych stacji bazowych Verizon;
Zniszczone urządzenia AT&T dla obsługi ruchu korporacyjnego, lokalnego i
międzymiastowego i międzynarodowego;
Sieć komórkowa Sprint traci 4 komórki, obsługujące cały rejon Manhattanu;
Worldcom traci 200 wysokiej wydajności łączy transmisji danych
Zniszczonych 9 z 14 lokalnych nadajników telewizyjnych (wszystkie
przekaźniki telewizyjne były umieszczone na wieżowcu północnym, który runął
pierwszy), co miało w Nowym Jorku relatywnie większe znaczenie, niż w
innych miastach, bo na Manhattanie tylko ok. 50% mieszkań korzystało z
telewizji kablowej (średnia krajowa wynosi 70%) [[NRC, 2003, s.39]
Część systemów przestała funkcjonować ze względu na przeciążenie ruchem:
Większość nowojorskich internetowych serwisów informacyjnych (New York
Limes, CNN, NBC News) zostało całkowicie zablokowanych pomiędzy 9:00, a
10:00
W rejonie Nowego Jorku zanotowano 400% wzrost ruchu telefonicznego
wobec średniej dziennej. Około godziny 11:00 główny lokalny operator
telefoniczny Verizon zanotował wzrost wywołań (żądanie nawiązania
połączenia telefonicznego) ok. 1300% [NRC, 2003: s. 38]
Sieć AT&T obsłużyła 431 mln połączeń, kiedy zwykle obsługuje w szczycie
ruchu ok. 300 mln połączeń [mat. Archiwalne AT&T]
Sieć Verizon obsłużyła ponad 340 mln połączeń, kiedy zwykle w szczycie
ruchu obsługuje srednio ok.105 mln połączeń.
AOL Instant Messenger przesłał 1,2 miliarda wiadomości, czyli 100 razy więcej
niż zwykle
Sieć komórkowa Cingular Wireless zanotowała wzrost ruchu 400%.
Wywołania sieci komórkowych, tych które w rejonie Nowego Jorku działały były
blokowane w 75% ze względu na przeciążenie [NRC, 2003:s.38]
Dla oceny metodyki wychodzenia z trudnej do przewidzenia sytuacji kryzysowej
na Manhattanie 11 września i w dniach następnych, z punktu widzenia strategii
36
ochrony infrastruktury krytycznej, należałoby zwrócić uwagę na trzy ważne
czynniki, które pozwoliły uniknąć pogłębiania lub eskalacji kryzysu:
Natychmiastowe, prawie automatyczne uruchomienie procedur kryzysowych.
Decyzje, zostały podjęte dzięki sprawnym systemom informacyjnym, np:
o Decyzja o wstrzymaniu otwarcia Giełdy NYSE;
o 8:52 zatrzymanie pociągów metra jadących w kierunku stacji WTC;
o 9:12 ostatni ratunkowy pociąg metra opuszcza stację WTC;
o 9:21 zamknięcie mostów i tuneli w Nowym Jorku;
o 11.02 otwarcie mostów dla ruchu z Manhattanu;
Zaangażowanie wszystkich prywatnych operatorów w odtworzenie systemów
łączności,
o ezzwłoczne zapewnienie łączności dla zarządzania kryzysem, m.in:
5000 aparatów komórkowych
wozów łączności satelitarnej,
o udostępnienie 4000 darmowych automatów telefonicznych na
Manhattanie;
o Zorganizowanie zapasowych centrów łączności,
Zrównoważenie destrukcyjnego efektu psychologicznego, przez medialną
propagandę bohaterstwa ratowników i solidarności.
3.11. DHS – Departament Bezpieczeństwa Krajowego67
3.11.1 Biuro Bezpieczeństwa Krajowego68
Wkrótce po ataku na WTC Prezydent Bush przedstawił koncepcję powołania
nowego ministerstwa – Departamentu Bezpieczeństwa Krajowego, którego misję
sformułował w październiku 2001, jako „opracowanie i koordynacja wdrażania
całościowej narodowej strategii ochrony Stanów Zjednoczonych przed
zagrożeniami lub atakami terrorystycznymi” [EO 13228, 08.10.2001]. Prace
przygotowujące powołanie DHS, i długoterminowej strategii Prezydent Bush
powierzył Tomowi Ridge, Asystentowi Prezydenta ds. Bezpieczeństwa Krajowego.
Tom Ridge, stał się tym samym Dyrektorem Biura Bezpieczeństwa Krajowego,
zorganizowanego w strukturze Białego Domu.
67
68
Departament of Homeland Security
Office of Homeland Security
37
Prezydent powołał również rozporządzeniem EO 13228 kierowaną Radę
Bezpieczeństwa Krajowego, dla której Biuro Bezpieczeństwa Krajowego było
organem wykonawczym. Radą kieruje Prezydent lub pod jego nieobecność
Wiceprezydent. W jej skład wchodzą Sekretarze wszystkich agencji federalnych.
W prezydenckim dokumencie roboczym zaprezentowanym w końcu 2001 roku,
znalazło się jasne stwierdzenie, że „Stany Zjednoczone nigdy nie dysponowały
narodowym planem własnego zabezpieczenia przed zagrożeniami
terrorystycznymi”[Bush, 2002: s.6]. Wymieniono następujące obszary działań,
wydzielonych jako ogólne pozycje budżetowe:
Wsparcie sił „pierwszego reagowania” (straż pożarna, wolontariusze, policja
lokalna, ratownicze służby medyczne);
Ochronę przed zagrożeniem bioterroryzmem;
Ochrona granic;
Technologie 21 wieku ukierunkowane na obronność kraju;
Bezpieczeństwo teleinformatyczne. Ochrona Infrastruktury Informacyjnej:
o Narodowe Centrum Ochrony Infrastruktury (NIPC) – działające nadal
w strukturach FBI;
o Sieć wywiadowcza ostrzegania o zagrożeniach (CWIN69);
o Priorytet dla radiodostępu70 - program, który pozwoli zachować;
zdolność do utrzymania ciągłości łączności radiowej w sytuacjach
kryzysowych;
o Symulacyjne i Analityczne Centrum Narodowej Infrastruktury71 - w
Departamencie Energii, dla lepszego rozumienia współzależności
infrastruktury krytycznej, Internetu i gospodarki;
o Studium wykonalności na temat projektu „GovNet” – sieć rządowa o
zwiększonej odporności na atak z zewnątrz;
o AES72 - wdrażanie standardów kryptograficznych w administracji;
o Uczelniany „Cyberkorpus”, promujący kursy o tematyce
bezpieczeństwa;
Cyberspace Warning Intelligence Network
Priority Wireless Access
71 National Infrastructure Simulation and Analysis Centem
72 Advanced Encryption Standard
69
70
38
Inne obszary związane z bezpieczeństwem kraju:
o Bezpieczeństwo transportu;
o Federalne służby bezpieczeństwa;
o Korpusy Obywatelskie73;
milicja obywatelska;
medyczne służby rezerwowe;
system informacji o zagrożeniach terrorystycznych TIPS74;
społeczne grupy reagowania w sytuacjach szczególnych
zagrożeń (CERT75);
Program obserwacji sąsiedzkiej76;
Przewodnik Gotowości Obywatelskiej77;
o Departament Obrony i Wspólnota Wywiadowcza;
o Ochrona Infrastruktury Krytycznej.
W czerwcu 2002 roku Prezydent zaprezentował raport podsumowujący stan
prac nad przygotowaniem do powołania DHS [Bush, 2002], w którym przede
wszystkim promowano tezę o konieczności ścisłej koordynacji działań, w zakresie
bezpieczeństwa krajowego rozproszonych w ponad 100 różnych podmiotach
administracji rządowej różnego szczebla, poprzez podporządkowanie ich jednej
wyspecjalizowanej agencji.
Zaplanowano, by we właściwościach DHS znalazły się kwestie:
Bezpieczeństwa granic i transportu;
Przygotowania i reagowania w sytuacjach szczególnych zagrożeń;
Przeciwdziałania zagrożeniom chemicznym, biologicznym radiologicznym i
jądrowym.
Analizy informacji, ze wszelkich źródeł wywiadowczych, operacyjnych i
analitycznych wszystkich innych agencji oraz ochrony amerykańskiej
Citizen Corps
Terrorist Information and Prevention System
75 Community Emergency Response Team
76 Neighborhood Watch Programs
77 Citizens’ Prepardness Guidebook
73
74
39
Określono również kilka kluczowych zagadnień, wymagających dalszych prac:
Koordynacja współdziałania sektora rządowego/samorządowego i sektora
prywatnego;
Włączenie w strukturę DHS Tajnej Słuzby78;
Zachowanie kompetencji Białego Domu, Biura Bezpieczeństwa Krajowego
oraz Rady Bezpieczeństwa Krajowego w sprawach koordynacji i upraszczania
procesów wymagających współpracy międzyagencyjnej;
Zadania, które znajdą się w kompetencjach DHS, pomimo, że wykraczają poza
ściśle pojmowaną ochronę kraju przed terroryzmem. Dotyczy to na przykład
działań, w których środki podejmowane do zarządzania kryzysem są podobne
lub analogiczne, jak na przykład klęski żywiołowe (działanie poprzez FEMA)
3.11.2 Narodowa Strategia Bezpieczeństwa Krajowego
W lipcu 2002 roku Biuro ds. Bezpieczeństwa Krajowego w imieniu Prezydenta
opublikowało dokument – Narodowa Strategia Bezpieczeństwa Krajowego [OHS
2002], która miała odpowiedzieć na cztery podstawowe pytania:
Co to jest Bezpieczeństwo Krajowe i z realizacją jakiej misji jest związane?
Jakich starania należy podejmować i jakie są najważniejsze cele
bezpieczeństwa krajowego?
Na czym polegają działania podejmowane aktualnie przez odpowiedzialny
dział administracji federalnej i czym się ma on zajmować w przyszłości?
Co powinny robić instytucje samorządowe, sektor prywatny i obywatele by
chronić kraj?
W dokumencie tym nieco inaczej uporządkowano obszary działań w celu
zapewnienia bezpieczeństwa krajowego:
Wywiad i ostrzeganie,
Bezpieczeństwo granic,
Przeciwdziałanie terroryzmowi79 na poziomie lokalnym,
Ochrona infrastruktury krytycznej i kluczowych zasobów,
Obrona przed zagrożeniami katastroficznymi,
Gotowość i reagowanie w sytuacjach zagrożeń.
78
79
Secret Service
counterterrorism
40
W miejscu, gdzie w dokumencie Strategia Bezpieczeństwa Krajowego omawia
się kwestię infrastruktury krytycznej, znalazło się stwierdzenie, że do
amerykańskiej infrastruktury krytycznej należy zaliczyć wiele różnych sektorów,
systemów, zasobów i funkcji istotnych z punktu widzenia bezpieczeństwa
narodowego, możliwości zarządzania państwem, zdrowia i bezpieczeństwa
publicznego, gospodarki i morale społeczeństwa.
W niesprzyjających okolicznościach zaatakowanie jednego lub kilku fragmentów
infrastruktury krytycznej może spowodować uszkodzenie całego systemu i mieć
skutki dla całego kraju. Potraktowane jako priorytetowe, działania mające chronić
infrastrukturę krytyczną przed zagrożeniami o charterze terrorystycznymi, powinny
również zmniejszyć podatność na zagrożenia o innym charakterze, jak klęski
żywiołowe, zorganizowana przestępczość, hackerzy komputerowi [OHS 2002,
s.30]
W strategii określono 8 obszarów działań:
Działanie 1. Zjednoczenie amerykańskich wysiłków w dziedzinie ochrony
infrastruktury w DHS.
Sprowadza się to między innymi do konsolidacji wyspecjalizowanych jednostek
organizacyjnych z różnych urzędów, przede wszystkim:
Urząd ds. Zapewnienia Infrastruktury Krytycznej CIAO, działające w
Departamencie Handlu
Centrum Ochrony Infrastruktury Narodowej – NIPC, z wyłączeniem spraw
związanych z przestępczością komputerową, działające w strukturze FBI
DHS miało powiększać zdolność działania w oparciu o dorobek lub przejęcie
niektórych jednostek organizacyjnych Federalnego Centrum Reagowania na
Incydenty Komputerowe FedCIRC, Dział Bezpieczeństwa Komputerowego
Narodowego Instytutu Standardów i Technologii oraz NCS (Narodowego Systemu
Telekomunikacyjnego).
DHS ma także ujednolicić odpowiedzialność za bezpieczeństwo
teleinformatyczne i fizyczne infrastruktury we wszystkich dziedzinach.
41
Organizacja Rządu Federalnego w obszarze ochrony infrastruktury krytycznej
i kluczowych zasobów
Prezydent
Sekretarz ds. Bezpieczeństwa Krajowego
Koordynacja i integracja sektorów federalnego, stanowych, lokalnych i prywatnych
Całościowy plan ochrony narodowej infrastruktury krytycznej
Określenie mapy zagrożeń i podatności, ogłaszanie ostrzeżeń
Sektor Agencja nadzorująca
Rolnictwo Departament Rolnictwa80
Żywność:
Mięso i drób Departament Rolnictwa
Pozostałe produkty żywnościowe Departament Zdrowia i i Usług dla Ludności81
Woda Agencja Ochrony Środowiska82
Zdrowie Publiczne Departament Zdrowia i i Usług dla Ludności
Służby ratunkowe83 Departament Bezpieczeństwa Krajowego
Rząd
Ciągłość działania rządu Departament Bezpieczeństwa Krajowego
Ciągłość działań Wszystkie departamenty i agencje
Przemysł obronny Departament Obrony
Informatyka i Telekomunikacja Departament Bezpieczeństwa Krajowego
Energia Departament Bezpieczeństwa Krajowego
Transport Departament Bezpieczeństwa Krajowego
Bankowość i Finanse Departament Skarbu
Przemysł chemiczny i materiałów Agencja Ochrony Środowiska
niebezpiecznych
Poczta i spedycja Departament Bezpieczeństwa Krajowego
Narodowe pomniki i pamiątki Departament spraw wewnętrznych84
[OHS, 2002: s.32]
Department of Agriculture
Department of Health & Human Services
82 Environmental Protection Agency
83 Emergency services
84 Department of the Interior
80
81
42
Działanie 2. Budowa i utrzymanie kompletnego i dokładnego oszacowania
amerykańskiej infrastruktury krytycznej i kluczowych zasobów
Zdolność oszacowania infrastruktury krytycznej, oceny podatności i gotowości to
obszar, który był niezagospodarowany w administracji federalnej. Ocena zagrożeń
należy do zadań o charakterze ciągłym i wiąże się z uprawnieniem do ogłaszania
stanów ostrzegawczych i działaniach w zespołach kryzysowych.
Realizacja tego zadania ma znaczenie nie tylko dla bieżących działań. Powinno
to również pomóc w wypracowaniu długofalowej polityki w sprawie lokowania
zasobów i wysiłków, pozwalając na przykład odpowiedzieć, czy w danym
przypadku ważniejsze jest inwestowanie w mocniejszą, fizyczną infrastrukturę i
urządzenia, czy utrzymać rezerwy organizacyjne i sprzętowe dla celów
interwencyjnych, w przypadkach okresowego wzrostu zagrożeń [OHS 2002; s.33].
Działanie 3. Umożliwić skuteczne partnerstwo z władzami stanowymi,
lokalnymi i sektorem prywatnym
Szczególnie istotne jest wypracowanie zasad współpracy z sektorem
prywatnym, który kontroluje około 85 % amerykańskiej infrastruktury. W
większości przypadków, to firmy prywatne, a nie instytucje rządowe dysponują
wiedzę o środkach ochrony kontrolowanej przez siebie infrastruktury. Instytucje
rządowe wszystkich szczebli muszą umożliwiać, a nie powstrzymywać sektor
prywatny przed braniem odpowiedzialności za stosowanie zabezpieczeń.
Jedną z najważniejszych koncepcji utworzenia DHS jest to, by instytucje władz
stanowych i lokalnych oraz sektor prywatny miały z rządem federalnym jeden
punkt kontaktowy w sprawie bezpieczeństwa i ochrony, co ma ułatwiać
przygotowanie planowania strategicznego.
Działanie 4. Opracowanie narodowego planu ochrony infrastruktury
krytycznej
Plan opiera się o założenia budżetowe i jest przygotowywany w cyklu rocznym.
Ma on określać metodologię identyfikacji i określania priorytetów zasobów
krytycznych, systemów, funkcji, a także definiować podział odpowiedzialności,
pomiędzy agencje federalne, władze stanowe, lokalne i sektor prywatny.
Plan określa standardy i wskaźniki dla infrastruktury krytycznej oraz środki
pomiaru stanu wykonania zadań.
Budżet przeznaczony na ochronę infrastruktury krytycznej musi racjonalnie
równoważyć koszty i korzyści, wynikające z poprawy bezpieczeństwa.
43
DHS dysponuje programem grantów, na wdrażanie planu ochrony infrastruktury
krytycznej na poziomie stanowym i lokalnym. Istnieje również możliwość tworzenia
zachęt dla sektora prywatnego, by wprowadzał środki bezpieczeństwa oraz
inwestował w bezpieczne technologie według założeń DHS. Niektóre wymuszone
zasady zachowania bezpieczeństwa, mogą się stawać przedmiotem regulacji
prawnych inicjowanych na podstawie doświadczeń DHS.
Działanie 5. Zabezpieczyć cyberprzestrzeń
Powszechne bezpieczeństwo teleinformatyczne należy do ważnych priorytetów
strategii rządu federalnego. Gromadzeniu doświadczeń ma służyć działanie
prezydenckiej Narodowej Strategii Zabezpieczenia Cyberprzestrzeni, powstającej
na zasadzie partnerstwa publiczno-prywatnego, przy wsparciu prezydenckiej Rady
Ochrony Infrastruktury Krytycznej. Strategia ta ma wspomagać wybory
podejmowane w kwestiach bezpieczeństwa w na wszystkich poziomach:
użytkowników domowych, małych, średnich i dużych przedsiębiorstw, zagadnienia
o zasięgu lokalnym, stanowym, krajowym, globalnym.
Działanie 6. Zabezpieczenie narzędzi służących analityce i modelowaniu dla
wypracowania skutecznych środków ochrony
Zadanie będzie realizowane przy wykorzystaniu zasobów wywiadowczoanalitycznych. Niektóre z opracowanych narzędzi analitycznych będą
udostępniane władzom stanowym, lokalnym oraz sektorowi prywatnemu.
Realizację tego zadania ma wspomagać organizacyjnie wchłonięcie przez DHS
Narodowego Centrum Symulacji i Analiz, znajdującego się przedtem w strukturach
departamentu Energii.
Działanie 7. Ochrona amerykańskiej infrastruktury krytycznej i kluczowych
zasobów przed zagrożeniami wewnętrznymi
Zadanie, częściowo o charakterze kontrwywiadowczym jest ukierunkowane na
potencjalne zagrożenia ze strony osób, zatrudnionych przy utrzymaniu
infrastruktury krytycznej, które z różnych przyczyn mogą sabotować jej
bezpieczeństwo lub z premedytacją prowokować zagrożenia.
Sekretarz DHS wspólnie z Prokuratorem Generalnym organizują panel, z
udziałem właściwych agencji, szczebla federalnego, stanowego i lokalnego oraz
konsultacje z sektorem prywatnym na temat metod zapewnienia bezpieczeństwa
osobowego w infrastrukturze krytycznej, sposobów określania prawnej
44
odpowiedzialności za powierzone zasoby infrastruktury, a także odpowiedzialności
karnej za naruszenia. DHS opracuje również zalecenia dotyczące tworzenia stref
bezpieczeństwa i kontroli dostępu.
Działanie 8. Partnerstwo ze wspólnotą międzynarodową dla ochrony
amerykańskiej infrastruktury o zasięgu ponadnardowym
Partnerstwo oznacza przegląd stosowanych i wypracowanie nowych zasad
współpracy transgranicznej w dziadzninie ochrony infrastruktury krytycznej z
Meksykiem i Kanadą
3.11.3 Departament Bezpieczeństwa Krajowego – rozpoczęcie
działalności
Prezydent George Bush podpisał ustawę o bezpieczeństwie krajowym 25
listopada 2002 roku. Departament Bezpieczeństwa Krajowego rozpoczął
działalność w styczniu 2003 roku, konsolidując w jednym centralnym urzędzie
działania prowadzone przedtem przez 22 agencje. Jest to najpoważniejsza
reforma amerykańskiej administracji od 50 lat [DHS Strategic Plan, 2004: s.53].
Przedtem żadna z agencji federalnych nie określała bezpieczeństwa krajowego
jako swojego pierwszoplanowego celu.
Najważniejsze zadanie nowej agencji to „obrona obywateli amerykańskich i
amerykańskiego stylu życia przed terroryzmem” [DHS Strategic Plan, 2004: s.2
okł.]. Ogólne cele strategiczne DHS są bezpośrednio odpowiadają trzem celom
Narodowej Strategii:
1. Zapobiegać przed atakami terrorystycznymi w Stanach Zjednoczonych;
2. Zredukować podatność Ameryki na terroryzm;
3. Zminimalizować zniszczenia i zapewnić wychodzenie z kryzysu po atakach,
które miały miejsce.
Cele strategii, związane bezpośrednio z infrastrukturą krytyczną to:
Cel strategii 1. Świadomość – identyfikowanie i zrozumienie zagrożeń,
oszacowanie podatności, określenie potencjalnych skutków, okresowe
rozpowszechnianie informacji.
działanie 1.1 – Gromadzenie i łączenie informacji z różnych źródeł,
analizowanie i koordynacja dostępu do informacji związanymi
z terrorystami i innymi zagrożeniami.
45
działanie 1.2 – Identyfikacja i oszacowanie podatności w infrastrukturze
krytycznej i kluczowych zasobach.
działanie 1.3 – Opracowywanie okresowych, aktualizowanych,
wartościowanych biuletynów informacyjnych w oparciu o
analizy wywiadowcze i oszacowania podatności.
działanie 1.4 – Zapewnienie szybkiego i dokładnego rozpowszechniania
odpowiednich informacji wywiadowczych wśród organizacji
współpracujących, w tym udostępnianie informacji publicznej.
Cel strategii 2. Zapobieganie
…
działanie 2.3 – Zaopatrzenie właściwych podmiotów i użytkowników w
technologie i środki do wykrywania i zapobiegania atakom
terrorystycznym, działalności terrorystycznej i innym
nielegalnym działaniom.
Działanie 2.4. – Zapewnienie by krajowa i międzynarodowa polityka,
działania właściwych służb specjalnych i policji w dziedzinie
przygotowania i ochrony przed terroryzmem były
koordynowane.
….
Cel strategii 3. Ochrona
…
Działanie 3.2. – Zmniejszenie podatności infrastruktury na działanie
terroryzmu
….
Działanie 3.5 – Zapewnienie ciągłości działania rządu i jego najistotniejszych
funkcji w przypadku kryzysu lub katastrofy
…
Działanie 3.7 – Wzmacnianie powszechnej gotowości i zdolności do
łagodzenia skutków zaistnienia aktów terroryzmu, klęsk
żywiołowych i innych szczególnych zagrożeń.
….
Strategiczny plan DHS oprócz zdefiniowania szczegółowych, bieżących celów
formułuje także najważniejsze wyzwania [s.52,53]:
46
Wykrywanie i przeciwdziałanie działalności terrorystycznej zależy od
wypracowania metod, które pozwolą uniknąć zaskoczenia, które jest głównym
atutem terrorystów. Wymaga to udoskonalenia i ukierunkowania działań
wywiadowczych oraz wprowadzenia mechanizmów wczesnego ostrzegania o
zagrożeniach.
Zmniejszenie zagrożeń stwarzanych przez terrorystów, wymaga, by
organizacje terrorystyczne nie mogły uzyskać broni chemicznej, biologicznej,
radiologicznej lub atomowej. Międzynarodowe organizacje, o charakterze
terrorystycznym nie powinny mieć możliwości działania na terytorium Stanów
Zjednoczonych, dzięki współdziałaniu administracji federalnej, stanowej i lokalnej.
Organizacje o charakterze terrorystycznym nie powinny mieć również możliwości
pogłębiania wiedzy na temat sposobów ataku.
Wspólny narodowy wysiłek dla bezpieczeństwa kraju, to wyzwanie, które
oznacza organizację i koordynację instytucji federalnych, stanowych i lokalnych,
działających na podstawie ponad 87’000 systemów prawnych, niekiedy
niezależnych, a także sektora prywatnego oraz partnerów międzynarodowych.
Wykorzystanie doświadczeń i wiedzy, a także określanie powinności instytucji i
organizacji federalnych, stanowych, lokalnych, środowiskowych, a także
międzynarodowych wymaga zagwarantowania odpowiednich funduszy. Konieczne
jest przy tym zapewnienie wymiany doświadczeń, wzajemne wspieranie się tymi
doświadczeniami, unikanie dublowania wysiłków.
Skuteczność regulacji prawnych. W ukształtowanych historycznie
amerykańskich systemach prawnych na poziomie federalnym, stanowym i
lokalnym dużo miejsca zajmują kwestie bezpieczeństwa, wolności. W związku z
ewolucją podejścia do bezpieczeństwa krajowego wzrasta zapotrzebowanie na
prawo, pozwalające wyważyć wolność i prawa jednostki z bezpieczeństwem
narodu i obywateli.
Postęp w nauce i technologii, powinien być kluczem do obrony kraju.
Potrzebne jest inwestowanie w rozwój tych dziedzin nauki i nowoczesnych
technologii, które mogą wspomagać zwalczanie terroryzmu oraz wykrywanie
zagrożeń.
Współpraca międzynarodowa, jest konieczna w zwalczaniu terroryzmu. Stany
Zjednoczone będą dążyć do zinstytucjonalizowania współpracy międzynarodowej
47
w dziedzinie zwalczania terroryzmu i wykorzystania właściwych organizacji
międzynarodowych.
3.12. Narodowa Strategia Zabezpieczenia Cyberprzestrzeni
Narodowa Strategia Zabezpiecznenia Cyberprzestrzeni, której ostateczna
wersja została opublikowana w lutym 3003 roku została zapowiedziana w
Narodowej Strategii Bezpieczeństwa Krajowego w lipcu 2002 [OHS, 2002; s.34].
Opublikowano ją po półrocznych konsultacjach wersji wstępnej. Równolegle
wydano drugą uzupełniającą strategię zabezpieczenia fizycznego infrastruktury
krytycznej [Bush-2, 2003].
Ramy prawne dla wprowadzenia strategii dało rozporządzenie Prezydenta nr
13231 z października 2001 roku upoważniające do wprowadzenia programu
ciągłej ochrony systemów informacyjnych infrastruktury krytycznej, włącznie z
systemami służb ratunkowych [EO 13231, 2001]
Dokument jest skierowany do wszystkich, którzy muszą lub powinni być
zainteresowani bezpieczeństwem korzystania z publicznie dostępnych sieci
komputerowych i Internetu, opierając się na założeniu, że bezpieczeństwo jest
strategicznym wyzwaniem w równym stopniu dla władz federalnych, stanowych,
lokalnych, sektora prywatnego, jak i zwykłych obywateli, użytkowników.
„Gospodarka i bezpieczeństwo narodowe (Stanów Zjednoczonych) stały się
całkowicie zależne od technologii informacyjnych i infrastruktury informacyjnej.
Sieć sieci bezpośrednio wspiera działanie wszystkich sektorów gospodarki –
energetyki (energia elektryczna, ropa i gaz), transportu (kolejowego, lotniczego,
żeglugi), finansów i bankowości, teleinformatyki i telekomunikacji, ochrony
zdrowia, służb ratunkowych, przesyłu wody, chemikaliów, przemysłu obronnego,
żywności, rolnictwa, poczty i spedycji. Sieci kontrolują również działanie fizycznych
obiektów, takich jak podstacje transformatorowe, pociągi, gazociągi, pompy,
zbiorniki chemiczne i radary” [Bush-1, 02,2003: s.6]
Trzy ogólne cele strategii odpowiadają celom ogólnych strategii bezpieczeństwa
krajowego i potwierdzonych jako kierunkowe wskazania DHS. W przypadku
strategii zabezpieczenia cyberprzestrzeni są sformułowane następująco:
Zapobiegać przed cyber-atakami na amerykańską cyberprzestrzeń;
Zredukować narodową podatność na cyber-ataki;
48
Zminimalizować zniszczenia i zapewnić wychodzenie z kryzysu po atakach,
które miały miejsce.
Upowszechnienie wysiłków, zmierzających do poprawy bezpieczeństwa
korzystania z cyberprzestrzeni opiera się na założeniu, że „rząd federalny nie jest
w stanie samodzielnie obronić amerykańskiej cyberprzestrzeni. Zgodnie z tradycją
amerykańskiego federalizmu i ograniczonych wymagań rządu, to organizacje
pozarządowe biorą na siebie przywództwo w tego rodzaju wysiłkach. Każdy
Amerykanin, mogący przyczynić się do zabezpieczenia części cyberprzestrzeni
będzie zachęcany, by to robić” [Bush-1, 02,2003: s.xiii].
Zakłada się, że sektor prywatny jest dobrze wyposażony w nowoczesne
urządzenia, które w ewolucyjny sposób dostosowuje do pojawiających się
zagrożeń z cyberprzestrzeni. Istnieją jednak specyficzne okoliczności, które
powodują, że konieczne jest uwzględnienie punktu widzenia lub wymagań rządu,
federalnego, stanowego lub lokalnego. Kluczowym składnikiem strategii
zabezpieczenia cyberprzestrzeni jest zaangażowanie partnerstwa publicznoprywatnego. Partnerstwo publiczno-prywatne może użytecznie konfrontować
problemy koordynacji działań, ułatwiać wymianę informacji i współpracę,
szkolenia, ulepszanie technologii, znajdowanie środków zaradczych na podatności
na zagrożenia, działania naprawcze.
Władze federalne rezerwują sobie prawo działania w sprawach związanych z
kwalifikacją prawną ataków, ochroną sieci i systemów określanych jako krytyczne
dla bezpieczeństwa narodowego, odnotowywaniem ataków i ostrzeganiem,
ochroną przed atakami zorganizowanymi, tworzącymi zagrożenie gospodarcze w
dużej skali.
Działania rządu federalnego służą również inspirowaniu i wspieraniu prac
naukowo-badawczych, które pozwolą systemom infrastruktury krytycznej, będącej
własnością prywatną lepiej zabezpieczać infrastrukturę narodową
Rola władz federalnych ujawnia się z zasady wtedy, kiedy konieczne jest
rozstrzygnięcie kwestii kosztów, w tym zaangażowania budżetu federalnego.
49
Narodowa Strategia Zabezpieczenia Cyberprzestrzeni określa pięć priorytetów:
I. System reagowania na naruszenie bezpieczeństwa cyberprzestrzeni
narodowej85,
II. Narodowy program redukowania zagrożeń i podatności bezpieczeństwa
cyberprzestrzeni,
III. Narodowy Program uświadamiania i szkolenia bezpieczeństwa
cyberprzestrzeni,
IV. Zabezpieczenie rządowej cyberprzestrzeni
V. Bezpieczeństwo narodowe i międzynarodowa współpraca w dziedzinie
bezpieczeństwa cyberprzestrzeni
Rola i odpowiedzialność w Zabezpieczeniu Cyberprzestrzeni
Priorytet I
Priorytet II
Priorytet III
system reagowania na
Narodowy program
Narodowy Program
naruszenie
redukowania zagrożeń
uświadamiania i
Priorytet IV
Priorytet V
Bezpieczeństwo
narodowe i
Zabezpieczenie
międzynarodowa
współpraca w
bezpieczeństwa
i podatności
szkolenia
rządowej
cyberprzestrzeni
bezpieczeństwa
bezpieczeństwa
cyberprzestrzeni
narodowej
cyberprzestrzeni
cyberprzestrzeni
dziedzinie
bezpieczeństwa
cyberprzestrzeni
Poziom
Użytkownicy
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
domowi/mały
biznes
Duże
przedsiębiorstwa
Sektory
infrastruktury
krytycznej
Sprawy
państwowe i
miejsca wrażliwe
Globalny
2
[Bush-1, 02,2003:s.9]
85
national cyberspace security response system
50
Priorytet I – System reagowania na naruszenie bezpieczeństwa
cyberprzestrzeni narodowej
System reagowania na naruszenie bezpieczeństwa cyberprzestrzeni
narodowej, koordynowany przez Departament Bezpieczeństwa Krajowego, jest
strukturalnie oparty o zasadę partnerstwa publiczno-prywatnego. Służy on
analizowaniu i ostrzeganiu, zarządzaniu incydentami o znaczeniu
ogólnokrajowym, wspiera ciągłość działania infrastruktury systemów rządowych
oraz sektora prywatnego, by zapewnić poprawę bezpieczeństwa cyberprzestrzeni
dąży do wzrostu wymiany informacji wewnątrz organizacji oraz pomiędzy różnymi
podmiotami.
System reagowania na naruszenie bezpieczeństwa cyberprzestrzeni
narodowej
analiza
ostrzeganie
Zarządzanie
incydentami
reagowanie
odtwarzanie
składniki
Centrum Analiz DHS
Centrum
Struktura zarządzania
Narodowe
operacyjne
incydentami DHS
awaryjne plany
reagowania86
incydentów DHS
• grupa strategiczna
• grupa taktyczna
• szacowanie podatności
• Cyber alarmy i
sieci informacyjne
• ISAC
• Koordynacja federalna
• Plany federalne
• Koordynacja prywatna,
• Prywatne plany
stanowa, lokalna
koordynacyjne
[Bush-1, 02,2003: s.21]
Umożliwienie tworzenia analiz o znaczeniu taktycznym i strategicznym na
temat ataków w cyberprzestrzeni i szacowania podatności;
Zachęty dla sektora prywatnego, by wykorzystywał swoje zdolności i zasoby do
wymiany prognoz na temat właściwego sposobu korzystania z
cyberprzestrzeni;
86
national response contingency plans
51
Rozbudowa sieci informacyjnych ostrzegania o cyber-alarmach przy
wykorzystaniu DHS, jako koordynatora w zarządzaniu kryzysem;
Poprawa krajowego systemu zarządzania incydentami;
Koordynacja procesu dobrowolnego uczestniczenia w rozwoju publicznoprywatnych planów awaryjnych;
Ćwiczenia planów zachowania ciągłości bezpieczeństwa teleinformatycznego
dla systemów federalnych;
Poprawa i udoskonalanie publiczno-prywatnych zasad wymiany informacji na
temat ataków, zagrożeń i podatności.
Priorytet II - Narodowy program redukowania zagrożeń i podatności
bezpieczeństwa cyberprzestrzeni,
Realizacja zadania przewiduje następujące działania:
Poprawa zdolności służb specjalnych i policji w zapobieganiu i ściganiu
przestępstw związanych z atakami w cyberprzestrzeni
Wdrożenie procesu oszacowania podatności systemów o znaczeniu
narodowym dla lepszego rozumienia potencjalnych konsekwencji zagrożeń i
podatności;
Zabezpieczenie mechanizmu działania Internetu, poprzez udoskonalanie
protokołów i systemu kierowania ruchem;
Poparcie dla użytkowania zaufanych systemów kontroli cyfrowej, zarządzania
kontrolnego i systemów przechowywania danych;
Zredukowanie podatności uzależnionych od oprogramowania;
Zrozumienie współzależności infrastruktury i poprawa bezpieczeństwa
fizycznego systemów teleinformatycznych i telekomunikacyjnych;
Nadawanie priorytetu pracom badawczym i rozwojowym w dziedzinie
bezpieczeństwa teleinformatycznego;
Ocena i zabezpieczenie systemów wykorzystywanych dla celów służb
ratunkowych i w sytuacjach szczególnych zagrożeń.
Priorytet III - Narodowy Program uświadamiania i szkolenia
bezpieczeństwa cyberprzestrzeni,
Realizacja zadania przewiduje następujące działania:
52
Promocja jednolitego narodowego programu uświadamiania potrzeby
zabezpieczenia własnego środowiska cyberprzestrzeni, ukierunkowana na
wszystkich amerykanów, podmioty gospodarcze, środowisko pracowników
najemnych, i ogół ludności;
Rozwijanie programów edukacyjnych i szkoleniowych;
Poprawa jakości dotąd stosowanych programów szkolenia w zakresie
bezpieczeństwa teleinformatycznego dla urzędników federalnych;
Promocja wsparcia sektora prywatnego dla dobrze skoordynowanych, szeroko
dostępnych programów certyfikacji bezpieczeństwa teleinformatycznego.
Priorytet IV - Zabezpieczenie cyberprzestrzeni rządowej
Zabezpieczenie systemów rządowych sprowadza się przede wszystkim do
likwidacji zaniedbań i uszczelnienia licznych słabości.
Realizacja tej części strategii oznacza między innymi podjęcie następujących
działań:
A/R 4-1 Agencje federalne kontynuują wprowadzanie zautomatyzowanych
systemów oceny bezpieczeństwa i wykrywania ataków. Rząd federalny
będzie oceniał na ile potrzebne są tego typu działania w poszczególnych
jednostkach organizacyjnych, ale również promował używanie tego typu
narzędzi.
A/R 4-2 Wprowadzenie powszechnej zasady uwierzytelniania przy uzyskiwaniu
dostępu do publicznie dostępnych informatycznych systemów rządowych
(e-government). Dążenie od wypracowania uniwersalnych narzędzi
kontroli dostępu i uwierzytelniania.
A/R 4-3 Instalowanie systemów stałego sprawdzania nieautoryzowanego dostępu
do sieci rządowych, włącznie z oceną ewentualnego poszerzenia
stosowania mocniejszych narzędzi kryptograficznych.
Priorytet V - Bezpieczeństwo narodowe i międzynarodowa współpraca
w dziedzinie bezpieczeństwa cyberprzestrzeni
Oprócz ogólnych działań i deklaracji warto tu wymienić intencję wspierania
innych krajów w przystępowaniu do europejskiej konwencji na temat
cyberprzestępczości (działanie A/R 5-10).
Realizacja tej części strategii oznacza między innymi podjęcie następujących
działań:
53
A/R 5-1 Wzmocnienie zdolności kontrwywiadowczych FBI
A/R 5-3 Negocjacje z Kanadą i Meksykiem w sprawie stworzenia „bezpiecznej
cyber-strefy Ameryki Północnej zamiarem rozszerzania tej inicjatywy na
kolejne dziedziny infrastruktury krytycznej, która bywa współużytkowana
w rejonach przygranicznych: sieci transportowe, telekomunikacyjne,
energetyczne, bankowe i finansowe, ratunkowe, żywnościowe, ochrony
zdrowia i wodne.
3.13. Narodowa Strategia Fizycznej Ochrony Infrastruktury
Krytycznej i Kluczowych Zasobów
Zaprezentowana w lutym 2003 roku [Bush-3, 2003] równolegle do strategii
zabezpieczenia cyberprzestrzeni, prezydencka strategia fizycznej ochrony
infrastruktury krytycznej jest kolejnym dokumentem programowym dla
Departamentu Bezpieczeństwa Krajowego, jest rozwinięciem poprzednio
prezentowanych strategii i odnosi się do wszystkich rodzajów infrastruktury, które
mogą być obiektem ataków:
bezpośrednich, które niszczą elementy infrastruktury lub uniemożliwiają
korzystanie z nich;
efekty niebezpośrednie, w przypadku których poprzez reakcję na atak; pojawia
się kaskadowy efekt destabilizacji, przerw lub finansowych problemów w
funkcjonowaniu rządu, społeczeństwa, gospodarki;
wykorzystanie niektórych elementów infrastruktury niezgodnie z ich
przeznaczeniem lub intencją właściciela, by unieruchomić lub zniszczyć inny
obiekt.
Najistotniejsze obszary działań wiążą się z identyfikacją współzależności i
priorytetów. Podobnie jak we wcześniej prezentowanych dokumentach
podstawowym wyzwaniem jest znalezienie płaszczyzn współpracy rządu
federalnego, władz stanowych i lokalnych z sektorem prywatnym, który jest
właścicielem większości infrastruktury krytycznej i kontroluje jej działanie.
Wymienione wprost priorytety to:
planowanie i przydział odpowiedzialności za zasoby infrastruktury krytycznej;
wymiana informacji i wskazówek oraz system powiadamiania;
54
budowanie odpowiedzialnych, świadomych zasobów ludzkich i wykorzystanie
istniejącego kapitału wiedzy i ludzi;
badania naukowe i rozwojowe;
Analityka, modelowanie i wykorzystanie narzędzi symulacyjnych;
Rynek usług i sieci telekomunikacyjnych zmienia się bardzo istotnie w związku z
rozwojem konkurencji. Ma to wpływ na politykę rozwoju infrastruktury przez
operatorów telekomunikacyjnych. Konieczne jest uważne dostosowywanie
podejścia do problematyki bezpieczeństwa.
W obszarze infrastruktury telekomunikacyjnej przewiduje się następujące
główne kierunki działań:
Zdefiniowanie progu bezpieczeństwa dla sieci telekomunikacyjnych, by
zlikwidować lukę pomiędzy oczekiwaniami wobec bezpieczeństwa i typowymi
wymaganiami systemów telekomunikacyjnych, które są obecnie
eksploatowane. DHS dąży do porozumienia z przedstawicielami sektora, które
musi uwzględniać różnorodność technologii i rodzajów usług;
Rozbudowa infrastruktury w celu wykorzystania różnorodnych możliwości
komunikowania się dla potrzeb administracji rządowej, by zwiększać
niezawodność i bezpieczeństwo.
Zrozumienie ryzyka związanego z podatnością infrastruktury
telekomunikacyjnej na zagrożenia. DHS, przy współpracy z sektorem
prywatnym prowadzi prace studialne, które pozwolą lepiej identyfikować słabe
punkty i czynniki ryzyka związane z poszczególnymi technologiami, rodzajami
sieci i usług, a także czynnikami fizycznymi. Prace studialne mają w
szczególności pomóc wypracować zasady zachowania bezpieczeństwa w
środowisku, w którym działa wielu operatorów i dostawców usług.
Coraz częściej infrastruktura telekomunikacyjna jest uzależniona od
współpracy z dostawcami infrastruktury, usług i urządzeń z innych krajów. DHS
podejmuje działania zmierzające do zacienienia współpracy globalne z
rządami, przedstawicielami sektora, która zapewni żywotnych interesów w
dziedzinie łączności.
55
4. Specyfika podejścia europejskiego
W europie problematyka infrastruktury krytycznej pozostaje pod wpływem
ogólniejszej debaty na temat bezpieczeństwa. Nawet w przypadku rozważań na
temat bezpieczeństwa sieci usług łączności elektronicznej najczęściej dominuje
czynnik ludzki – świadomość zagrożeń i umiejętność zarządzania ryzykiem. Jako
istotne dla bezpieczeństwa uwydatnia się również czynniki społeczne i polityczne,.
Pojęcie bezpieczeństwa informacji w rozumieniu europejskim obejmuje szeroki
obszar zagadnień poza czynnikami technicznymi, organizacyjnymi i prawnymi.
Bezpieczeństwo dyskutuje się w kontekście prywatności, praw obywatelskich,
przestępczości, zasad działania służb zajmujących się ochroną informacji,
transakcjami zawieranymi na odległość, handlem międzynarodowym,
obronnością. „Europa promuje holistyczne podejście do kwestii ochrony
infrastruktury krytycznej. To oznacza, że skuteczność ochrony infrastruktury
krytycznej zależy od możliwości współpracy uczestniczących w tym
przedsięwzięciu aktorów (publicznych, prywatnych, indywidualnych) oraz
wielowymiarowym podejściu do stosowania środków zaradczych(włączając w to
aspekty techniczne, społeczne i polityczne” [Dunn, 2004, s.206].
Nieco inne od amerykańskiego podejście większości krajów europejskich, a co
za tym idzie również Unii Europejskiej do problematyki ochrony infrastruktury
krytycznej, jest w dużej części uwarunkowane historycznie.
Pewne znaczenie może mieć na przykład to, że Europę charakteryzuje nieco
inne niż amerykańskie doświadczenie w budowaniu doktryn obronnych,
wynikające z odmiennej tradycji działania administracji rządowej, a po części
również z odmiennego doświadczenia historycznego. Nie na miejscu byłoby na
przykład w Europie „panujące przez lata amerykańskie przeświadczenie, że
bezpośredni atak na własne terytorium, nie mówiąc już o naruszeniu integralności
terytorialnej są mało prawdopodobne. Kiedy Stany Zjednoczone gromadzą
obecnie siły, by umocnić obronę swoich najważniejszych zasobów, w Europie
rozważa się tym czasem doktryny obronne oparte o elastyczne reagowanie
operacyjne, zakładające rozproszenie działań wojennych, zamiast obrony granic i
ważnych obiektów „[Clark, 2003, s.3].
56
Jeszcze ważniejsze dla wyróżnienia specyfiki europejskiego podejścia do
zbudowania planu działań ochrony infrastruktury krytycznej, miały mechanizmy
rozwoju sektora telekomunikacji.
Przynajmniej do końca lat osiemdziesiątych, kiedy w Unii Europejskiej zaczęto
wprowadzać zasady konkurencji w usługach telekomunikacyjnych, niemal we
wszystkich krajach operatorzy telekomunikacyjni działali na zasadzie naturalnych
monopoli. Z reguły były to firmy państwowe, niekiedy, podobnie jak w Polsce,
działające jako część administracji, czyli bezpośrednio zarządzane przez
odpowiedniki ministerstwa łączności.
Utrzymanie naturalnych monopoli w telekomunikacji miało przede wszystkim
podłoże gospodarcze, ponieważ przez wiele lat w Europie panował pogląd, że
tylko państwo jest w stanie gwarantować powszechny dostęp do usług i stabilny
rozwój infrastruktury, dla której zwrot nakładów inwestycyjnych, przy stosowanych
wówczas technologiach następował po kilkudziesięciu latach. Tworzenie
wspólnego rynku na towary i usługi stało się dla krajów tworzących przyszłą Unię
Europejskiej jedną z kluczowych zasad, wyrażonych w Traktacie Rzymskim. Nie
było podstaw, by utrzymywać wyłączenie z tej zasady usług i sieci
telekomunikacyjnych.
Innym ze stosowanych przez wiele lat argumentów za utrzymaniem monopolu
była konieczność zapewnienia szczególnych zasobów dla potrzeb obronności,
czemu dodatkowo miał sprzyjać bezpośredni nadzór państwa.
Ponieważ Unia Europejska bardzo długo unikała ustalenia wspólnej polityki
obronnej, to szczególne kwestie obronności i bezpieczeństwa w sektorze
telekomunikacji były i w pewnym sensie nadal są wewnętrzną sprawą polityki
krajów członkowskich. Podobnie zresztą bywało, a niekiedy nadal jest, z polityką w
sprawie dużej części innych zasobów infrastruktury krytycznej – transportem,
sieciami dystrybucji wody, gazu, energetyką, gdzie w wielu krajach europejskich
udział skarbu państwa lub samorządów lokalnych jest nadal znaczący.
Poza wojskową współpracą w ramach NATO ustalenia międzynarodowe w
Europie podejmowano w związku z planowaniem użycia zasobów
infrastrukturalnych i organizacyjnych operatorów telekomunikacyjnych w
sytuacjach szczególnych zagrożeń, ale nie miało to związku z inicjatywami Komisji
57
Europejskiej, ale raczej innych organizacji międzynarodowych, takich jak ONZ,
Międzynarodowy Związek Telekomunikacyjny (ITU87).
Pojawienie się konkurencji w telekomunikacji to splot kilku okoliczności:
Integracja europejska oznacza wypełnianie traktatowej zasady tworzenia
wspólnego rynku europejskiego dla usług i towarów;
Postęp technologiczny spowodował, że w drugiej połowie lat osiemdziesiątych
zaczęto w telekomunikacji powszechnie wprowadzać technologie cyfrowe,
nieporównywalnie tańsze w wytworzeniu i eksploatacji od starych rozwiązań
analogowych, opartych o konstrukcje elektromechaniczne i wcześniejsze
generacje elektroniki;
Pojawił się lobbing ze strony przedsiębiorstw o rozległej strukturze terytorialnej,
które zaczęły dostrzegać, że niezbędne do ich działalności usługi łączności są
oferowane na nierynkowych zasadach;
Pojawił się lobbing ze strony grup biznesu, które w demonopolizacji rynku
ujrzały obszar potencjalnie korzystnych inwestycji kapitałowych;
Upowszechnił się i zadomowił na stałe pogląd, że konkurencja w
telekomunikacji uruchomi naturalne mechanizmy rynkowe – zapewni tańsze
usługi, większy wybór i lepszą jakość (w tym bezpieczeństwo).
Liberalizacja rynku telekomunikacyjnego rozpoczęła się na początku lat
dziewięćdziesiątych. Konkurencję wprowadzano stopniowo, zaczynając od sieci
transmisji danych, międzynarodowych, satelitarnych, komórkowych, aż do
lokalnych sieci dostępnych, których rynek otwarto w Unii Europejskiej od stycznia
1998 roku. Pomimo postępującej liberalizacji kraje członkowskie Unii Europejskiej
utrzymały dużą autonomię w kwestii polityki określania szczególnych zobowiązań
operatorów telekomunikacyjnych wobec państwa. Kraje członkowskie mają
swobodę określania związanych z tym powinności, z tym zastrzeżeniem, że
obecnie mówi się, że powinny być proporcjonalne i nie powinny naruszać zasad
równowagi rynkowej.
Kwestie zobowiązań, ale i szczególnych uprawnień, początkowo kryły się pod
eufemistycznym określeniem „istotnych wymagań88” [Vandenbroucke, 1998],
których nakładanie stanowiło wyjątek od ogólnej zasady liberalizacji i otwierania
87
88
International Telecommunications Union
Essential requirements
58
rynku na swobodną konkurencję, w tym zasady dobrowolnego stosowania norm,
wprowadzonej dyrektywami tzw. „nowego podejścia”.
Polityka unijna nie narzucała również krajom członkowskim jasnych zaleceń, co
do prywatyzacji przedsiębiorstw telekomunikacyjnych. Z drugiej strony było jasne,
że jeden z podstawowych warunków otwarcia rynku i rozwoju zrównoważonej
konkurencji, to rozdzielenie w rządzie funkcji regulacyjnych od właścicielskich, co
nie jest przejrzyste, jeżeli państwo ma znaczące udziały w operatorze, który z
natury rzeczy miał na rynku pozycję dominującą.
Rozluźnienie więzi właścicielskich w procesie prywatyzacji telekomów
przeważnie nie skutkuje ochłodzeniem relacji operatora ze służbami administracji
odpowiedzialnymi za zapewnienie łączności kryzysowej, łączności dla potrzeb
obronności, łączności rządowej i to nie tylko ze względu na wieloletnie umowy i
przygotowanie obiektów o spełniających specjalne wymagania obronne. W
sektorowych systemach regulacyjnych dla sektora telekomunikacji większości
krajów nie jest zbyt łatwo doszukać się przepisów, które dążą do urynkowienia
usług ukierunkowanych na szczególne wymagania bezpieczeństwa i obronności
państwa. Z dzisiejszego punktu widzenia, z trudnych do zaakceptowania powodów
w prawie unijnym usługi telekomunikacyjne zostały wyłączone z ogólnych
przepisów o zamówieniach publicznych.
Liczne regulacyjne problemy rozwijającego się nadzwyczaj dynamicznie rynku
usług sieci łączności elektronicznej dosyć wyraźnie przysłaniały kwestie
bezpieczeństwa, poza bardzo ogólnymi, pochodzącymi jeszcze z tradycji
przepisów pocztowych zasadami tajemnicy korespondencji, które użyto w
Międzynarodowej Konwencji Telekomunikacyjnej ITU. W prawie
telekomunikacyjnym próbowano tylko rozszerzać to pojecie w związku ze
specyfiką telekomunikacji. W polskiej ustawie wprowadzono pojęcie „tajemnica
telekomunikacyjna”). W pierwszym pakiecie dyrektyw telekomunikacyjnych z 1998
roku znalazła się ponadto specjalizowana dyrektywa na temat ochrony danych
osobowych w telekomunikacji 97/66/WE.
Impulsem do prac legislacyjnych nad bezpieczeństwem stał się rozwój koncepcji
tzw. gospodarki elektronicznej i handlu elektronicznego. Pojawiło się szereg
regulacji unijnych, dotyczących bezpieczeństwa handlu elektronicznego,
warunkowego dostępu, zawierania transakcji drogą elektroniczną, elektronicznych
59
instrumentów płatniczych, podpisu elektronicznego, elektronicznego urzędu89 itd.
Dominuje jednak wyraźnie podejście nastawione na ochronę interesów
konsumenta. Inny nurt legislacyjny dotyczy ochrony praw autorskich w sieciach
komunikacji elektronicznej.
Wprowadzone w życie w lipcu 2002 dyrektywy tzw. nowego pakietu
regulacyjnego dążą do harmonizacji przepisów dla wszystkich sieci i usług
łączności elektronicznej, starając się również realizować wyzwanie neutralności
technologicznej. Zakłada się substytucję różnych rodzajów sieci i usług i większą
swobodę prowadzenia działalności gospodarczej. Tworzy to nowe wyzwania
związane z bezpieczeństwem.
Unia Europejska dąży do stworzenia ram prawnych dla bezpiecznej gospodarki
elektronicznej. Odbywa się to równolegle na kilku płaszczyznach:
prawa cywilnego, czyli uregulowania wszelkich czynności prawnych,
związanych z wykorzystaniem sieci i usług komunikacji elektronicznej,
prawa administracyjnego, poprzez wprowadzenie zasad elektronicznego
kontaktu urząd – obywatel oraz urząd – urząd do procedur administracyjnych,
prawa karnego, by unikać zaskakujących sytuacji, w których czynny noszące
ewidentnie znamiona przestępstw nie dawały się zakwalifikować prawnie.
Pierwszym ważnym międzynarodowym narzędziem prawnym w obszarze
naruszeń bezpieczeństwa w usługach społeczeństwa informacyjnego oraz w
usługach i sieciach łączności elektronicznej stała się europejska konwencja w
sprawie cyberprzestępczości przyjęta przez Komitet Ministrów Rady Europy i
zaprezentowana do podpisu 23 listopada 2001 roku w Budapeszcie
[Convension,2001]. Konwencja została podpisana przez prawie 50 krajów, między
innymi również przez Stany Zjednoczone i Kanadę, Japonię i Rosję. Konwencję
podpisała również Polska, tyle, że dotąd nie została ratyfikowana. Pełnej ratyfikacji
dokonało dotąd tylko 6 krajów.
Uzgodnienie konwencji było rezultatem niemal pięcioletnich negocjacji pomiędzy
ekspertami w dziedzinie prawa kryminalnego. Konwencja ustanawia zasady
międzynarodowej współpracy i wspólnego podejścia polityki w dziedzinie
89
e-government
60
zwalczania przestępstw z wykorzystaniem Internetu, sieci komputerowych,
naruszających między innymi prawa autorskie.
Kwestie bezpieczeństwa są również częścią tzw. Strategii Lizbońskiej [Lizbon,
2000], która określa m.in. rolę rozwoju nowych technologii we wzroście
konkurencyjności gospodarki europejskiej. Programowy dokument tej strategii,
który dotyczy stosowania technologii informacyjnych eEuropa 2002 , wymienia
bezpieczeństwo, jako jeden z najważniejszych priorytetów [eEurope, 2000:s.10].
Problematyka ochrony infrastruktury krytycznej jest również przedmiotem
programów badawczych finansowanych z unijnych funduszy strukturalnych. Już w
ramach programu Technologie Społeczeństwa Informacyjnego (IST90), będącego
częścią 5-tego Programu Ramowego realizowanego w latach 1998-2002.
Rozwinięcie strategii rozwoju społeczeństwa informacyjnego przygotowane na
spotkanie Rady Europy w Sewilli w czerwcu 2002 wskazało ponownie
bezpieczeństwo sieci i informacji, jako jeden z priorytetów nowego planu działań
eEurope 2005. Najważniejsze priorytety usług publicznych oferowanych za
pośrednictwem sieci łączności elektronicznej to usługi elektronicznego urzędu,
elektronicznego nauczania i elektronicznych usług ochrony zdrowia, mają być
rozwijane w planach nakreślonych do roku 2010. Techniczną platformę rozwoju
usług mają tworzyć: sieci szerokopasmowe i „bezpieczna infrastruktura
informacyjna”[eEurope 2005, 2002, s.3].
Strategia eEurope przewidywała utworzenie grupy zadaniowej bezpieczeństwa
teleinformatycznego (CSTF91). W wyniku spotkań grupy roboczej powstała
koncepcja Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA92),
która rozpoczęła działalność 1 stycznia 2004 roku [ENISA,2003]. Agencja, która
jest w stadium organizacji ma służyć koordynacji działań i wymianie informacji,
pomiędzy krajami członkowskimi, w dziedzinie dosyć szeroko pojętej problematyki
bezpieczeństwa sieci i usług łączności elektronicznej.
Strategia eEurope przyjęła też złożenia do programu bezpiecznej wymiany
wrażliwych danych w ramach administracji rządowych TESTA [Ocakoglu, 2004].
Information Socjety Technologies
Cyber security task force
92 European Network and Information Security Agency
90
91
61
W 2002 roku Komisja Europejska opublikowała projekt decyzji decyzji ramowej
na temat ataków na sieci komputerowe [COM(2002)173], która odnosi się
bezpośrednio do ataków na cywilną infrastrukturę krytyczną, definiując między
innymi różne rodzaje ataków. Decyzja ta ma otworzyć pole do ujednolicenia
przepisów na temat cyberprzestępczości w Unii Europejskiej.
62
5. Problematyka infrastruktury krytycznej w Polsce
W Polsce problematyka infrastruktury krytycznej jest raczej wciąż
nieuregulowana lub nienazwana. Większość przepisów, które dotyczą tematyki,
mogącej się kojarzyć się z ochroną infrastruktury krytycznej, jest rozproszonych w
różnych ogólnych ustawach i przepisach wykonawczych, począwszy od
Konstytucji i ustawy o powszechnym obowiązku obrony. Są to jednak z reguły
przepisy ukierunkowane na zagrożenia militarne lub związane klęskami
żywiołowymi.
5.1. Ustawa o powszechnym obowiązku obrony
Na podstawie delegacji art. 4a, ust.1 ustawy o powszechnym obowiązku obrony,
Prezydent RP:
„ 1) zatwierdza, na wniosek Prezesa Rady Ministrów, strategię bezpieczeństwa
narodowego,
2) wydaje, na wniosek Prezesa Rady Ministrów, w drodze postanowienia,
Polityczno-Strategiczną Dyrektywę Obronną Rzeczypospolitej Polskiej, oraz
inne dokumenty wykonawcze do strategii bezpieczeństwa narodowego,
3) zatwierdza, na wniosek Rady Ministrów plany krajowych ćwiczeń systemu
obronnego, oraz kieruje ich przebiegiem,
4) postanawia, na wniosek Prezesa Rady Ministrów, o wprowadzeniu albo
zmianie określonego stanu gotowości obronnej państwa,
5) może zwracać się do wszystkich organów władzy publicznej, administracji
rządowej i samorządowej, przedsiębiorców i kierowników innych jednostek
organizacyjnych oraz organizacji społecznych o informacje mające
znaczenie dla bezpieczeństwa i obronności państwa,
6) inicjuje lub patronuje przedsięwzięciom ukierunkowanym na kształtowanie
postaw patriotycznych i obronnych w społeczeństwie.”
[Sejm, 2.06.2004, art.4a ust.1].
Te uprawnienia Prezydenta dają między innymi możliwość bezpośredniego
wpływu na politykę ochrony infrastruktury krytycznej.
Rada Ministrów na podstawie delegacji art. 6 opracowuje między innymi: projekt
strategii bezpieczeństwa narodowego, planuje i realizuje przygotowania obronne
państwa, system kierowania bezpieczeństwem narodowym, określa obiekty
63
szczególnie ważne dla bezpieczeństwa i obronności, przygotowuje i utrzymuje w
stałej gotowości jednolity system obserwacji, pomiarów, analiz, prognozowania i
powiadamiania, określa zasady wykorzystania infrastruktury technicznej na
potrzeby obronne oraz wydaje rozporządzenia, określające zasady realizacji tych
zadań. Delegacja dotyczy również rozporządzenia w sprawie warunków,
przygotowania i wykorzystania systemów łączności na potrzeby obronne państwa
oraz właściwości organów w tych sprawach [art.6 ust.2 pkt 7]. Rozporządzenie to
jest na etapie uzgodnień, ale nie zostało dotąd wydane.
Art.208, ust.4 pkt 8 wyłącza stosowanie ogólnych przepisów ustawy na temat
świadczeń rzeczowych w czasie pokoju wobec tych sieci i urządzeń operatorów
telekomunikacyjnych, które są objęte świadczeniami nałożonymi na podstawie
prawa telekomunikacyjnego.
5.1.1.Rozporządzenie w sprawie systemu kierowania bezpieczeństwem
narodowym
W rozporządzeniu Rady Ministrów w sprawie przygotowania systemu
kierowania bezpieczeństwem narodowym [Dz.U.2004.98.978: §21] zawarto
delegację dla ministra właściwego ds. łączności do przygotowania koncepcji
organizacji systemu łączności na potrzeby systemu kierowania, wymagań
techniczno-organizacyjnych, połączenia sieci systemu kierowania z sieciami
przedsiębiorców telekomunikacyjnych oraz wykonywania i odbioru robót.
Należy zakładać, że ta koncepcja powstaje w Ministerstwie Infrastruktury w
oparciu o informacje uzyskane od Prezesa Urzędu Regulacji Telekomunikacji,
który i tak ma ustawowe upoważnienie do gromadzenia wszelkich informacji od
operatorów oraz nadzoruje przygotowanie przez operatorów planów działań w
sytuacjach szczególnych zagrożeń.
5.1.2. Rozporządzenie w sprawie obiektów szczególnie obiektów
szczególnie ważnych dla bezpieczeństwa i obronności państwa
Rozporządzenie z 24 czerwca 2003 roku wymienia rodzaje obiektów, które są
poddane specjalnym rygorom „szczególnej ochrony”[Dz.U.2003.116.1090].
Rozporządzenie zawiera wprawdzie uogólniające rozumienie ochrony, w
przepisie, który wymienia „inne rodzaje ochrony”[§5 ust.3 pkt 2], ale odnosi się
właściwie wyłącznie do ochrony fizycznej i przede wszystkim do zagrożeń o
znaczeniu militarnym.
64
Na liście [§2] sklasyfikowano 19 rodzajów obiektów:
1) zakłady produkujące, remontujące i magazynujące uzbrojenie i sprzęt wojskowy oraz
środki bojowe, a także zakłady, w których są prowadzone prace badawczo-rozwojowe
lub konstruktorskie w zakresie produkcji na potrzeby bezpieczeństwa i obronności
państwa;
2) magazyny rezerw państwowych, w tym bazy i składy paliw płynnych, żywności, leków i
artykułów sanitarnych;
3) obiekty jednostek organizacyjnych podległych Ministrowi Obrony Narodowej lub przez
niego nadzorowanych;
4) obiekty infrastruktury transportu samochodowego, kolejowego, lotniczego, morskiego i
wodnego śródlądowego, drogownictwa, kolejnictwa i łączności oraz ośrodki
dokumentacji geodezyjnej i kartograficznej;
5) zapory wodne i inne urządzenia hydrotechniczne;
6) obiekty jednostek organizacyjnych Agencji Wywiadu;
7) obiekty:
a. Narodowego Banku Polskiego oraz Banku Gospodarstwa Krajowego,
b. Polskiej Wytwórni Papierów Wartościowych S.A. oraz Mennicy Państwowej S.A.;
8) obiekty, w których produkuje się, stosuje lub magazynuje materiały jądrowe oraz źródła i
odpady promieniotwórcze;
9) obiekty telekomunikacyjne przeznaczone do nadawania programów radia publicznego i
telewizji publicznej;
10) obiekty organów i jednostek organizacyjnych podległych ministrowi właściwemu do
spraw administracji publicznej lub przez niego nadzorowanych;
11) obiekty organów i jednostek organizacyjnych podległych ministrowi właściwemu do
spraw wewnętrznych lub przez niego nadzorowanych;
12) obiekty jednostek organizacyjnych Agencji Bezpieczeństwa Wewnętrznego;
13) obiekty Policji, Straży Granicznej i Państwowej Straży Pożarnej;
14) obiekty znajdujące się we właściwości Ministra Sprawiedliwości, Służby Więziennej oraz
jednostek organizacyjnych podległych lub nadzorowanych przez Ministra
Sprawiedliwości;
15) zakłady mające bezpośredni związek z wydobywaniem kopalin podstawowych;
16) obiekty, w których produkuje się, stosuje lub magazynuje materiały stwarzające
szczególne zagrożenie wybuchowe lub pożarowe;
17) obiekty, w których prowadzi się działalność, z wykorzystaniem toksycznych związków
chemicznych i ich prekursorów, a także środków biologicznych, mikrobiologicznych,
mikroorganizmów, toksyn i innych substancji wywołujących choroby u ludzi lub zwierząt;
18) elektrownie i inne obiekty elektroenergetyczne;
19) inne obiekty będące we właściwości organów administracji rządowej, organów
jednostek samorządu terytorialnego, formacji, instytucji państwowych oraz
przedsiębiorców i innych jednostek organizacyjnych, których zniszczenie lub
uszkodzenie może stanowić zagrożenie dla życia i zdrowia ludzi, dziedzictwa
narodowego oraz środowiska w znacznych rozmiarach albo spowodować poważne
straty materialne, a także zakłócić funkcjonowanie państwa
[Dz.U.2003.116.1090: §2]
65
Jeżeli traktować tę listę, jako wskazówkę do definiowania infrastruktury
krytycznej, to niestety nie sposób uniknąć spostrzeżenia, że sieci
telekomunikacyjne i teleinformatyczne, ukryte w punkcie 4, inaczej niż w
większości krajów, nie stanowią osobnego rodzaju. Wyróżnione są natomiast w
punkcie 9 obiekty telekomunikacyjne przeznaczone do nadawania programów
radia publicznego i telewizji publicznej.
5.2. Ustawa o organizowaniu zadań na rzecz obronności państwa
realizowanymi przez przedsiębiorców
Ustawa z dnia 23 sierpnia 2003 o organizowaniu zadań [Dz.U.2001.122.1320]
wprowadza pojęcie przedsiębiorstw o szczególnym znaczeniu gospodarczo
obronnym. Ustawa dotyczy zadań obronnych związanych z zagrożeniami
militarnymi. Wymienione w ustawie kategorie przedsiębiorstw o szczególnym
znaczeniu gospodarczo obronnym to:
„1) eksploatacja lotnisk i portów morskich,
2) kolportaż,
3) nadawanie programów radiowych i telewizyjnych,
4) produkcja, magazynowanie i transport produktów naftowych,
5) realizacja obrotu specjalnego,
6) transport,
7) usługi pocztowe,
8) usługi telekomunikacyjne,
9) wytwarzanie, dystrybucja i przesyłanie gazu ziemnego, paliw płynnych oraz
energii elektrycznej”
[Dz.U.2001.122.1320: art.3]
Ustawa zawiera delegację dla Rady Ministrów do wydania rozporządzenia w
sprawie wykazu tego rodzaju przedsiębiorców [Dz.U.2002.13.122]. Na liście
zawierającej 168 przedsiębiorstw. Spośród wielu operatorów telekomunikacyjnych
sektora telekomunikacji wymienia się dwa przedsiębiorstwa: Telekomunikację
Polską S.A. oraz spółkę telekomunikacyjną PKP S.A. (Telekomunikacja Kolejowa
Sp.z o.o.), z tym że nadzór nad TP sprawuje minister właściwy ds. łączności
(Minister Infrastruktury), nadzór ministra właściwy ds. transportu (Minister
66
Infrastruktury). Oprócz tego należałoby wspomnieć Telewizję Polską S.A. i Polskie
Radio S.A.(nadzór Ministra Gospodarki). Biorąc pod uwagę znaczenie
infrastruktury i usług ich brak na liście przedsiębiorstw o szczególnym znaczeniu
wydaje się nieporozumieniem.
5.3. Strategia bezpieczeństwa narodowego
W zatwierdzonej przez Prezydenta we wrześniu 2003 roku strategii
bezpieczeństwa narodowego, sformułowanie „infrastruktura krytyczna” nie zostało
użyte. Jest jednak mowa o pojawieniu się nowego rodzaju zagrożeń:
„Istota zmian w naszym środowisku bezpieczeństwa polega zatem na
przesuwaniu się punktu ciężkości z zagrożeń klasycznych (inwazja zbrojna),
których znaczenie się zmniejsza, na zagrożenia nietypowe, których źródłem stają
się także trudne do zidentyfikowania podmioty pozapaństwowe. Zagrożenia te
mogą dotyczyć bezpieczeństwa naszych obywateli, obiektów oraz służb istotnych
dla sprawnego funkcjonowania państwa. Wymagają one z naszej strony
szczególnej uwagi” [BBN, 2003: s.2]
Jako jedno z tych zagrożeń wymienia się wprost terroryzm – „Najpoważniejsze
niebezpieczeństwo wśród nowych zagrożeń dla systemu międzynarodowego i
bezpieczeństwa poszczególnych państw, w tym Polski, stwarza zorganizowany
terroryzm międzynarodowy…” [s.3].
Wymienia się również wprost zagrożenia związane z atakami z cyberprzestrzeni
– „Coraz bardziej realne stają się dla Polski zagrożenia w sferze
teleinformatycznej. Rośnie zagrożenie operacjami mającymi na celu
dezorganizację kluczowych systemów informacyjnych instytucji rządowych oraz
niektórych sfer sektora prywatnego, oddziałujących na system bezpieczeństwa
państwa, a także operacjami związanymi z penetracją baz danych i prowadzeniem
działań dezinformacyjnych.” [s.3].
W części obejmującej założenia działań o charakterze ogólnym stwierdza się,
że „Z charakteru nowych zagrożeń wynika konieczność rozwoju współpracy sił
zbrojnych ze strukturami cywilnymi w zakresie reagowania na zagrożenia
pozamilitarne oraz podejmowania operacji ratowniczych i antyterrorystycznych w
kraju i poza jego granicami” oraz, że „wzrasta znaczenie sfery bezpieczeństwa
wewnętrznego, którą tworzą wszystkie organy administracji publicznej oraz inne
podmioty społeczne i gospodarcze, realizujące zadania w dziedzinie
67
bezpieczeństwa i obrony.” [s.6]. Jednak zadania z tym związane adresuje się
przede wszystkim do służb państwowych lub nadzorowanych przez państwo.
Dotyczy to także systemu reagowania kryzysowego – „Nowe wyzwania dyktują
potrzebę utworzenia państwowego kompleksowego systemu reagowania
kryzysowego, odpowiadającego na współczesne zagrożenia bezpieczeństwa
zarówno międzynarodowego, jak i wewnętrznego.”[s.6]
Podstawowe wyzwanie w związku z systemem reagowania kryzysowego to
wyjaśnienie kompetencji – „Niezbędne staje się spójne uregulowanie zadań i
kompetencji organów i instytucji państwowych, a także organizacji społecznych
działających na rzecz bezpieczeństwa państwa”[s.6]
W części dotyczącej zagrożeń wewnętrznych [s. 13-16] jest mowa o między
innymi o ochronie „strategicznych elementów infrastruktury gospodarczoopbronnej” w kontekście zdań kontrwywiadowczych.
Znalazł się tam również podrozdział o „ochronie infrastruktury
teleinformatycznej”. Jednak strategia skupia się na sieciach rządowych i
odpowiedzialności służb rządowych - „Zwalczanie zagrożeń dla rządowych
systemów i sieci teleinformatycznych należy do kompetencji wyspecjalizowanych
komórek cywilnych i wojskowych służb państwowych. Ich zadaniem jest
zwalczanie przestępczości komputerowej wymierzonej w rządową i samorządową
infrastrukturę telekomunikacyjną, w tym przeciwdziałanie atakom na jej elementy.”
Zapewnienie ochrony infrastruktury teleinformatycznej „wymaga zdolności do
koordynacji procesów dochodzeniowych w ramach instytucji posiadających
elementy rządowej infrastruktury teleinformatycznej” oraz wspólnych działań z
„producentami i dostawcami urządzeń oraz oprogramowania informatycznego,
krajowymi operatorami telekomunikacyjnymi i dostawcami usług internetowych,
ośrodkami badawczymi i szkoleniowymi”[s.15]
Środkiem zwiększania skuteczności ochrony infrastruktury teleinformatycznej
ma być rozwój i wdrażanie rodzimej kryptografii oraz dostosowanie przepisów
prawa telekomunikacyjnego.[s.16]
Skuteczność reagowania kryzysowego mają wspomóc organizowanie zespołów
reagowania kryzysowego na wszystkich szczeblach administracji rządowej i
samorządowej. Strategia zapowiada również przygotowanie wieloletniego
programu „Bezpieczeństwo Cywilne 2004-2007” [s.16]
68
5.4. Sektor telekomunikacji - prawo telekomunikacyjne
Do 1990 roku usługi telekomunikacyjne w Polsce były świadczona w warunkach
państwowego monopolu. Dyrektor państwowej jednostki organizacyjnej Polska
Poczta Telegraf i Telefon podlegał bezpośrednio ministrowi łączności (w latach
1987-1990 Ministrowi Transportu Żeglugi i Łączności). Państwowy był również
przemysł teletechniczny (Zjednoczenie Telkom). Import urządzeń odbywał się
również za pośrednictwem państwowych central handlu zagranicznego. Monopol
państwa był również zagwarantowany w dziedzinie radiofonii i telewizji. Kwestie
obronności i bezpieczeństwa państwa w tamtych warunkach nie istniały w
oficjalnym obiegu, a przepisy o tajemnicy państwowej obejmowały szeroki bardzo
zakres informacji na temat sieci, przeznaczenia central, urządzeń.
Główną intencją ustawy o łączności z 1990 roku było otwarcie możliwości dla
prywatnych inwestycji w dziedzinie telekomunikacji i stworzenie dostępu do
nowych cyfrowych technologii całkowicie niedostępnych ze względu na
ograniczenia importowe COCOM. Było to bardzo istotne, ze względu na to, że
Polska miała najgorzej rozwiniętą infrastrukturę telekomunikacyjną w Europie, a
środki na nowe inwestycje mogły pochodzić wyłącznie ze źródeł zagranicznych.
W praktyce rynek otwierał się bardzo powoli, czego skutki odczuwamy do
dzisiaj. Jednym z chętnie używanych argumentów była konieczność dbania o
interes narodowego operatora, na którym spoczywał główny obowiązek
zapewnienia łączności na potrzeby obronności i bezpieczeństwa państwa.
Ustawa o łączności dawała Ministrowi Łączności prawo nakładania obowiązków
związanych z obronnością w zezwoleniach (później w koncesjach). Ponieważ
delegacja była sformułowana dosyć ogólnie, to nakładanie szczegółowych
obowiązków w drodze decyzji było utrudnione od strony formalno-prawnej.
Wszystkim podmiotom wpisywano zatem również nie do końca prawidłowy pod
względem prawnym obowiązek zawarcia umów z MON, MSWIA, UOP. W
dzisiejszym stanie taki sposób formułowania powinności byłby niezgodny z
konstytucją. Minister Łączności zachował też prawie do dzisiaj prawo odmawiania
wydania uprawnień do wykonywania działalności w dziedzinie telekomunikacji ze
względu na możliwość zagrożenia obronności lub bezpieczeństwa państwa lub
bezpieczeństwa i porządku publicznego.
Ustawa prawo telekomunikacyjne z 2000 roku wprowadziła kilka przepisów,
dotyczących działania operatorów telekomunikacyjnych w sytuacjach
69
szczególnych zagrożeń i wykonywania powinności wobec obronności i
bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego.
Operatorzy zostali zobowiązani do przygotowania planów działań w sytuacjach
szczególnych zagrożeń. Przepis wzorował się na zaleceniach NATO dla łączności
cywilnej. Ustawa określa ogólne założenia dla tego rodzaju działań, odtwarzania
łączności, według określonych priorytetów. W planach powinny się znaleźć między
innymi podsumowania, dotyczące rezerw materiałowych, procedur alarmowych
itp. Kwestią sporną było natomiast finansowanie tego rodzaju przedsięwzięć, które
według prawa telekomunikacyjnego miało obciążać całkowicie operatorów.
Niedawno ukazała się kolejna wersja rozporządzenia do tego fragmentu ustawy,
obejmująca również kwestie podsłuchów. Rozporządzenie zostało zaskarżone
przez grupę operatorów do NSA.
Obecny stan prawny ulega właśnie zmianie. W piątek 16 czerwca sejm przyjął
nowe prawo telekomunikacyjne, które ma przystosować system regulacyjny dla
sektora telekomunikacji do dyrektyw tzw. nowego pakietu regulacyjnego Unii
Europejskiej z 2002 roku. Kwestie obronności i bezpieczeństwa w zasadzie nie są
przedmiotem tych regulacji unijnych, ale przy okazji zdecydowano się na
doprecyzowanie przepisów o zobowiązaniach operatorów wobec bezpieczeństwa i
obronności oraz bezpieczeństwa i porządku publicznego [druk 2933, 2933-A] –
(dział VII ustawy – art. 172- 178 (numeracja może jeszcze ulec zmianie w toku
dalszych prac)). W myśl nowego brzmienia prawa telekomunikacyjnego
„przedsiębiorcy telekomunikacyjni, w celu zapewnienia ciągłości świadczenia
usług telekomunikacyjnych, są obowiązani uwzględniać przy planowaniu,
budowie, rozbudowie, eksploatacji lub łączeniu sieci telekomunikacyjnych
możliwość wystąpienia sytuacji szczególnych zagrożeń, a w szczególności
wprowadzenia stanu nadzwyczajnego [art.172 ust.1].
Ponieważ obowiązek przygotowania planów działań odnosi się do sytuacji
szczególnych zagrożeń, to dotyczy to głównie takich sytuacji, jak klęski żywiołowe,
katastrofy, rozległe awarie, wymagających przede wszystkim fizycznego
zabezpieczenia ciągłości łączności, przygotowania awaryjnych procedur
odtwarzania łączności. Specyfika sytuacji kryzysowych w telekomunikacji karze
jednak zachować w takich sytuacjach gotowość do szczególnych działań
technicznych w dziedzinie zarządzania ruchem, likwidowania zatorów ruchu
telekomunikacyjnego, przygotowywania specjalnych połączeń priorytetowych,
70
sieci wirtualnych, szczególnego sposobu rozliczania ruchu, dostosowania się do
nietypowych interfejsów itd. Redakcja przepisów pozwala na ich rozszerzające
zastosowanie również do sytuacji kryzysowych wywołanych atakami z
cyberprzestrzeni.
5.5. Projekt ustawy o bezpieczeństwie obywatelskim i zarządzniu
kryzysowym
Nieco zaniedbane w ostatnich latach formacje obrony cywilnej zostały niedawno
podsumowane przez posła Bogdana Bujaka, sprawozdawcę projektu ustawy o
bezpieczeństwie obywatelskim i zarządzaniu kryzysowym – „przez całe lata
(formacje obrony cywilnej) zajmowały się głównie ochroną zakładów pracy
przemysłowych przed ewentualnym skutkami użycia broni jądrowej. Każda
większa katastrofa, w tym przytaczana lipcowa powódź, obnażała braki
organizacyjne, słabość dotychczasowych struktur, małą efektywność centralnego
kierowania” [Druk 2953 I czyt., 06, 2004: s.1]
Konstytucja wprowadziła (art.228 ust.1) do polskiego porządku prawnego
pojęcia stanu klęski żywiołowej, stanu nadzwyczajnego, stanu wojny, które można
wprowadzić w sytuacjach szczególnych zagrożeń. Prezydent wniósł odpowiednie
projekty ustaw jeszcze w 1997 roku na początku III kadencji (druki sejmowe nr 7,
8, 9), ale prace nie zostały zakończone do końca kadencji. Nowe projekty
Kancelaria Prezydenta przesłała na początku IV kadencji (druki sejmowe 14, 15,
16). Ustawy uchwalono w kwietniu 2002 roku. Ustawy te jednak raczej
marginalizują znaczenie obiektów infrastruktury krytycznej, w tym systemów
łączności. Na przykład w ustawie o klęsce żywiołowej, uprawnienie dla właściwych
organów administracji ma tylko charakter ogólny, zawierający się w przepisie
(art.19), że „kierujący działaniami, w celu zapobieżenia klęsce żywiołowej lub ich
usunięcia współpracują z … innymi podmiotami działającymi na obszarze ich
właściwości, a na wniosek i za zgodą tych podmiotów kierują ich działalność.”
Przepisy na temat systemów łączności dotyczą tylko ograniczeń w
wykorzystaniu systemów łączności lub sankcji karnych za niestosowanie się do
tych ograniczeń. Nie ma natomiast w tych ustawach przepisów, które by można
interpretować, jako służące ochronie infrastruktury krytycznej.
W dniu 15 czerwca 2004 roku w Sejmie odbyło się pierwsze czytanie projektu
ustawy o bezpieczeństwie obywatelskim i zarządzaniu kryzysowym [druk 2947].
71
Projekt został wniesiony jako poselski, został popisany przez grup posłów SLD,
UP, PSL, PLD, SDPL, ale jest on bezpośrednią kontynuacją prac prowadzonych w
MSWiA [Druk 2953 I czyt., 06, 2004: s.34] nad projektem, który nie zdołał
przebrnąć etapu uzgodnień międzyresortowych. Projekt został skierowany do
Komisji Administracji Spraw Wewnętrznych i Administracji i Komisji Samorządu
Terytorialnego i Polityki Regionalnej. Debata w pierwszym czytaniu odbyła się
wspólnie z projektem ustawy o krajowym systemie ratowniczym (druk nr 2947).
Praktycznym problemem, który może stanąć na przeszkodzie w uchwaleniu
ustawy jest to, że proces legislacyjny rozpoczął się w momencie kryzysu
rządowego, który z dużym prawdopodobieństwem doprowadzi do wcześniejszych
wyborów. Obie ustawy nie są wprawdzie zbyt obszerne, ale skierowanie projektu
do dwóch komisji dodatkowo przedłuża prace legislacyjne, co powoduje, że może
się nie udać zakończyć prac przed końcem skróconej kadencji.
Projekt niestety raczej nie jest on najprawdopodobniej wolny od błędów i wad
prawnych, szczególnie w przepisach ogólnych. Będzie zatem wymagał zmian
podczas prac w komisjach.
Po raz pierwszy w polskiej ustawie znalazła się definicja infrastruktury
krytycznej. Według propozycji autorów projektu infrastruktura krytyczna to,
„urządzenia, instalacje i usługi, powiązane ze sobą więzami funkcjonalnymi,
kluczowe dla bezpieczeństwa państwa i jego obywateli oraz zapewnienia
sprawnego funkcjonowania organów władzy i administracji publicznej, a także
instytucji i przedsiębiorców: Infrastruktura krytyczna obejmuje w szczególności
systemy:
a) zaopatrzenia w energię i paliwa,
b) telekomunikacyjne, gromadzenia i przekazywania informacji,
c) bankowe i finansowe,
d) zaopatrzenia w żywność, wodę oraz opieki zdrowotnej,
e) transportowe i komunikacyjne,
f) ratownicze oraz zapewniającece funkcjonowanie organów władzy publicznej.”
[druk 2947, 2004: art2 pkt 11]
Pojęcie infrastruktury krytycznej jest następnie użyte w dwóch innych
definicjach:
72
ochrona ludności , to „podejmowanie niezbędnych przedsięwzięć
ukierunkowanych na ochronę ludzi, mienia, środowiska i infrastruktury krytycznej
przed skutkami katastrof naturalnych i awarii technicznych, zdarzeń o charakterze
terrorystycznym, a w przypadkach bezpośredniego zewnętrznego zagrożenia
państwa i wojny, zapewnienie warunków koniecznych do przetrwania; ochrona
ludności ma charakter powszechny oraz interdyscyplinarny, wyrażający się w
skoordynowanym użyciu sił i środków, będących w dyspozycji państwa i jego
organów, przedsiębiorców, organizacji społecznych i humanitarnych oraz
poszczególnych obywateli” [druk 2947, 2004: art.2 pkt 2]Proponowana definicja
jest opisowa i w procesie legislacyjnym może ulec modyfikacjom, by nadać jej
bardziej normatywny charakter
Sytuacja kryzysowa to „stan narastającej destabilizacji, niepewności i napięcia
społecznego, charakteryzujący się naruszeniem więzi społecznych, możliwością
utraty kontroli nad przebiegiem wydarzeń oraz eskalacji zagrożenia, a w
szczególności sytuację, stwarzającą zagrożenie dla życia, zdrowia mienia,
dziedzictwa kulturowego i infrastruktury krytycznej, w tym spowodowaną
zdarzeniem o charakterze terrorystycznym” [druk 2947, 2004: art.2 pkt 2].
73
6. Podsumowanie – prawdopodobny wpływ zmian
technologicznych i rynkowych
Najważniejsze dwa wyróżniki koncepcji ochrony infrastruktury krytycznej to:
rosnąca współzależność różnych sektorów, wymagająca elastyczności
reagowania i ciągłego przeglądu elementów podatnych na ataki lub
przypadkowe zdarzenia oraz
własność prywatna większości obiektów infrastruktury krytycznej, wymagająca
radykalnej zmiany sposobu podejścia do zagadnień obronny interesu państwa
przez służby państwowe tradycyjnie odpowiedzialne za wdrażanie strategii
obronnej.
Szczególnie dynamicznie zmienia się rynek sieci i usług łączności elektronicznej i
on będzie miał największy wpływ na zmiany sektorów infrastruktury krytycznej.
Promowana obecnie filozofia systemu regulacyjnego dla rynku sieci i usług
łączności elektronicznej zakłada stopniowe odchodzenie od administracyjnej
regulacji, w miarę osłabiania zdolności byłych monopoli i nowszych oligopoli do
działań dyskryminujących nowych graczy rynkowych. To oznacza również
stopniową utratę możliwości wpływania na zachowanie przedsiębiorców
telekomunikacyjnych w sprawach obronności i bezpieczeństwa przy pomocy
narzędzi regulacyjnych prawa telekomunikacyjnego, tak jak to bywało w
przeszłości, kiedy kwestie obronności były pretekstem do reglamentacji rynku.
Oczekiwaniem uczestników rynku jest uogólnienie i uszczegółowienie
zobowiązań prawnych wobec państwa, zapewnienie że będą one proporcjonalne i
że nie zostaną użyte, by naruszać równowagę konkurencji.
Nie do utrzymania są na dłuższą metę mechanizmy działania prawa, które
pozwalają na arbitralnie określanie przez urzędników szczegółowych sposobów
wykonania obowiązków przedsiębiorców wobec państwa, kiedy większość wiedzy
na temat możliwości technologicznych ma operator lub dostawca rozwiązań
technologicznych lub aplikacyjnych.
Konkurencyjny rynek wymusza przyśpieszenie postępu technologicznego, w tym
wprowadzanie nowych bardziej wydajnych rozwiązań, tańszych, bardziej
uniwersalnych, elastycznych, ułatwiających współpracę z innymi sieciami.
74
Przykładem może być choćby szerokie pasmo i mobilność, gdzie o wiele łatwiej
będzie można zapewnić trwałe bezpieczeństwo fizyczne i kryptograficzne.
Walka o jakość to także dbałość o bezpieczeństwo, warunkujące możliwości
rozwoju gospodarki elektronicznej, która jest obecnie motorem wszelkich nowych
inwestycji w sieci i usługi łączności elektronicznej.
Oceniając możliwości nadzoru administracyjnego nad rynkiem sieci usług
trzeba brać pod uwagę, że rynek zmienia się bardzo szybko, a niektóre zmiany są
bardzo radykalne. Podobne usługi mogą być oferowane przez różne alternatywne
rozwiązania. Ta wymienność, konwergencja różnych technologii będzie
zjawiskiem postępującym. Zmienia się również struktura rynku, będą się pojawiać
nowe specjalności w dziedzinie przedsiębiorców oferujących różne elementy sieci,
usług hurtowych i detalicznych.
Jedną z metod zapewnienia infrastruktury krytycznej jest zwiększenie
redundancji sieci, czemu sprzyja konkurencja i neutralny technologicznie system
regulacyjny.
Zmiana kulturowa, której należy oczekiwać w związku koniecznością ochrony
infrastruktury krytycznej przed zagrożeniami terrorystycznymi, w tym
specyficznymi zagrożeniami z cyberprzestrzeni, to świadome zwiększenie udziału
sektora prywatnego, operatorów sieci, dostawców usług i producentów urządzeń.
To sektor prywatny musi tworzyć centra kompetencji, które będą wypracowywać
metody ochrony, wspierać finansowo badania w tej dziedzinie, organizować
systemy obserwacji i ostrzegania i proponować rządowi optymalne rozwiązania,
służące również poprawie rozwiązań prawnych i instytucjonalnych.
75
7. Skróty użyte w tekście
DPA
-
Defense Production Act
CoCom
-
Coordinating Committee for Multilateral Export Controls
MEI
-
minimum essential infrastructure
GAO
-
General Accounting Office
PDD 63
-
Presidential Decision Directive 63
PCCIP
-
President Commission on Critical Infrastructure Protection
CIAO
-
Critical Infrastructure Assurance Office
NIPC
-
National Infrastructure Protection Center
NIAC
-
National Assurance Council
NSC
-
National Security Council
PCIS
-
Partnership for Critical Infrastructure Security
CISG
-
Cyber Incident Steering Group
CIWG
-
Cyber Incident Working Group
Rada CIO
-
Chief Information Officers Council
JTRB
-
Joint Telecommunications Resources Board
NCS
-
National Communications System
NCC
-
National Communications Center
NSTISSC
-
National Security Telecommunications and Information Systems
Security Committee
NIAP
-
National Information Assurance Partnership
NIST
-
National Institute of Standards and Technology
NSA
-
National Security Agency
FCS
-
Federal Cyber Service
ISAC
-
Information Sharing and Analysis Center
CERT/CC
-
Computer Emergency Response Team Coordination Center
IPTF
-
Infrastructure Protection Task Force
NII
-
National Information Infrastructure
NSTAC
-
National Security Telecommunications Advisory Committee
DHS
-
Department of Homeland Security
CWIN
-
Cyberspace Warning Intelligence Newtork
76
CIAO
-
Critical Infrastructure Assurance Office
NIPC
-
National Infrastructure Protection Center
FCIRC
-
Federal Computer Incident Response Center
ENISA
-
European Network and Information Security Agency
77
8. Bibliografia
Academic workshop on public confidence proceedings, Report of President’s
Commission on Critical Infrastructure Protection, Washington 1997.
Aduskevicz P.J.: AT&T Response terrorist attack of September 11, 2001;
Presentation to NRIC V; AT&T, 30 October 2001.
Aggressive defense, Infrastructure consequence control; INEEL, 3 October 2002.
Albers Raymond F.: Outage reporting and customer notification team, Technical
paper; Bell Atlantic, Arlington, 18 January 1996.
Anderson Robert H., Bozek Thomas, Longstaff Tom, Meitzler Wayne, Skroch
Michael, Wyk Ken Wan: Research on mitigating the insider threat to information
systems; RAND, 2000.
Anderson Robert H., Brackney Richard, Bozek Thomas: Advanced network
defense research, Proceedings of a workshop; RAND, August 2000.
Anderson Robert H., Feldman Phillip M, Gerwehr Scott, Houghton Brian K., Mesic
Richard, Pinder John, Rothenberg Jeff, Chiesa James R.: Securing the U.S.
defense information infrastructure: a proposed approach; RAND, 1999.
Anderson Robert H.: Research and development initiatives focused on:
preventing, detecting and responding to insider misuse of critical defense
information systems: RAND; 1999.
Anselmo Joseph C.: We're watching you, A software spinoff in Maryland targets
security breaches from the inside out; Washington Techway; 25 April 2002.
Anthon Philip S., Silberglitt Richard, Schneider James: The global technology
revolution, bio/nano/materials trends and their synergies with information
technology by 2015; RAND, 2001.
Are you ready? A guide to citizen preparedness; Federal Emergency Management
Agency, Washington D.C.; 23 May 2003.
Arquilla John, Ronfeldt David F.: In Athena’s Camp: preparing for conflict in the
information age; RAND; 1997.
Arquilla John, Ronfeldt David F.: Networks and netwars: the future of terror, crime
and militancy; RAND, 2001.
Arquilla John, Ronfeldt David F.: The advent of netwar; RAND, 1996.
Bain Greg: Standards for protection of telecommunications links, Technical notes;
Office of the manager, National communications system; Technology and
standards division, Volume 6, No 3; August, 1999.
Baker Arnold B., Eagan Robert J., Falcone Patricia K., Harris Joe M.: A scalable
system approach for critical infrastructure security; SANDIA; April 2002.
Baker Arnold B.: Energy and critical infrastructure business overview (A
presentation for Phillipp Stegger - Science and Technology Counselor – Embassy
of Austria); SANDIA; February 2001.
78
Baker John C., Lachman Beth E., Frelinger David R., O’Connell Kevin M., Hou
Alexander C., Tseng Michael S., Orletsky David, Yost Charles: Mapping the risks
assessing the homeland security implications of publicly available geospatial
information; RAND; 2004.
Banking and finance sector compendium of supporting documents to the national
strategy of critical infrastructure assurance: defending America’s cyberspace;
Version 1.0.; 13 May 2003.
Banking and finance sector the national strategy of critical infrastructure
assurance: defending America’s cyberspace; Version 1.0.; 13 May 2003.
Barker William C.: Information security, Guideline for identifying an information
system as a national security system; Computer Security Division Information
Technology Laboratory NIST; Gaithersburg; August 2003.
Barker William W.: Information security, Volume I: Guide for mapping types of
information and information systems to security categories; Computer Security
Division Information Technology Laboratory, NIST; Gaithersburg; December 2003.
Barr Dale: Ultra- wideband technology, Technical Notes; Office of the Manager
National Communications System; Technology and program division, Volume 8,
No 1; February 2001.
Barr Dale: Ultra- wideband technology, Technical Notes; Office of the Manager
National Communications System; Technology and program division, Volume 8,
No 1; February 2001.
BBN, Strategia bezpieczeństwa narodowego przyjęta przez Radę Ministrów 22
lipca 2003, zatwierdzona przez Prezydenta RP 8 września 2003; www.bbn.gov.pl.
Be prepared, not scared, Emergency preparedness starts with you, Self-help
advice; Government of Canada; 12 December 2002.
Bendrath Ralf: The cyberwar debate: Perception and politics in US critical
infrastructure protection; Information & Security, Volume 7, 2001, pages 80-103.
Bennet Phil: Emerging threats; SANDIA, March 2003.
Bennet, Robert f., „Security in the information Age: We’re Not in Kansas Anymore”
w „Security in the Information Age”, Joint Economic Committee United State
Congress, 05-2002
Bernstein Debra D., Winer Jonathan: Business implications of the U.S. antiterrorism law; Gigalaw.com; November 2001.
Best practices for wireless fidelity (802.11b), Network vulnerabilities: National
Infrastructure Protection Center; 17 May 2002.
Blue cascades table top exercise Pacific North – west economic region: National
Infrastructure Protection Center, 7 August 2002.
Bosch Olivia: Cyber terrorism and private sector efforts for information
infrastructure protection; International Institute for Strategic Studies; ITU Workshop
on creating trust in critical network infrastructures; Seoul- Republic of Korea; 21
May 2002.
79
Botterman Marteen, Bickson Tora K., Cave Jonathan, Bosman Sandy, Frinking
Eric, de Pous Victor: Public information provision in the digital age, Implementation
and effects of US freedom and information act; RAND, May 2000.
Brian Krebs: Senate panel OKs more cybercrime dollars;
Washtech.com, 17 May 2002.
Brutt Lee Ann: NS/EP implication of GPS timing, Technical notes; Office of the
Manager, National Communications System; Technology and Standards Division,
Volume 6, No 2; August 1999.
Bryen D. Stephen: A collective security approach to protecting the global critical
infrastructure; ITU workshop on creating trust in critical network infrastructures;
Seoul- Republic of Korea; 20-22 May 2002.
Bryen D. Stephen: A global approach to protecting the global critical infrastructure;
ITU workshop on creating trust in critical network infrastructures; Seoul- Republic
of Korea; 22 May 2002.
Building peace and stability in crisis regions; EU- NATO cooperation; NATO
briefing; October 2003.
Bush George W.: President discusses nation’s critical infrastructure; Meeting
President US in Oak Park High School; Kansas City, Missouri.
Bush George W.: The Department of Homeland Security; June 2002.
Bush W George, Securing the Homeland Strengthen the Nations, White House,
02.2002
Bush-1, The national strategy to secure cyberspace; The White House document,
February 2003.
Bush-2, The national strategy for the Physical Protection of Critical Infrastructure
and Key assets”, The White House document, February 2003.
Bush-3, National strategy for the physical protection of critical infrastructures and
key assets; The White House document; Washington, February 2003.
Capabilities of Sandia National Laboratories to support recommendations of the
PCCIP: Sandia National Laboratories.
Caren Michael D.: Telecommuting as a back-up in emergencies; Pacific Bell; San
Ramon, 17 April 1996.
Carter Ashton B., Deutch John M., Zelikow Philip D.: Catastrophic terrorism:
elements of a national policy, A report of visions of governance for the twenty-first
century; John F. Kennedy School of Government Harvard University; 1998.
Chae Kijoon: Introduction to critical network infrastructures; EWHA Woman’s
University, Seoul; ITU Workshop on creating trust in critical network
infrastructures; Seoul- Republic of Korea; 20 May 2002.
Chairman’s report; ITU Workshop on creating trust in critical network
infrastructures; Seoul- Republic of Korea; 21-22 May 2002.
Chalk Peter: Terrorism, infrastructure, protection and the U.S. food and agricultural
sector; RAND, October 2001.
80
Charney Scott “ Transition Between Law Enforcement and National Defense” ” w
„Security in the Information Age”, Joint Economic Committee United State
Congress, 05-2002
Charny Ben : FCC mandates "911-only phone" changes: CNET News.com; April
30, 2002.
Chen Angeline “The definition and Integration of Law Enforcement and National
Defense Efforts with Regard to Critical Infrastructure Protection ” w „Security in the
Information Age”, Joint Economic Committee United State Congress, 05-2002
Clark A.: Organizing for homeland security; RAND; March 2002.
Clarke John L.: Securing the European homeland; Marshall Center, September
2003.
COM(2002)173, Proposal for a Council Framework Decision on attacks against
information systems, Commission of the European Communities, 19.04.2002
Comments of the United States government on the European Commission
communication on combating computer crime; European Commission Directorate
General on Information Society; 29 July 2002.
Commission on National Interests, America’s National Interests, July 1996
Commission on National Interests, America’s National Interests, July 2000
Commission recommendation of 25 July 2003 on the processing of caller location
information in electronic communication networks for purpose of location
enhanced emergency call services (notified under the document number C(2003)
2657) (2003/558/EEC); Official Journal of the European Union, 29.7.2003.
Computer security pervasive, serious weaknesses jeopardize State Department
operations; Report to the Committee on Governmental Affairs, U.S. Senate; GAO,
May 1998.
Constructing the e-emergency database, Project document, Version 2; European
Emergency Number Association; Brussels, 24 February 2004.
Convention on Cybercrime, Council of Europe CETS No.185, 23.09.2001
Cordesmann Anthony H.: The uncertain cost of homeland defense, the cost and
justification FY 2003 budget submission; CSIS; May 2002.
Council resolution of 18 February 2003 on a European approach towards a culture
of network and information security (2003/C 48/01).
Crawford Daniel E.: Fiber optic cable dig-ups: causes and cures; MCI
Telecommunications Corporation; Pennsylvania, October 1998.
Creating trust in critical network infrastructures, Netherlands case study; ITU
workshop on creating trust in critical network infrastructures; Seol- Republic of
Korea; 20-22 May 2002.
Creating trust in critical network infrastructures, the Brazil case, draft version 1.2;
ITU workshop on creating trust in critical network infrastructures; Seoul- Republic
of Korea; 20-22 May 2002.
Crisis communication handbook, SEMA’s educational series 2003:1; Swedish
Emergency Management Agency; 28 May 2003.
81
Critical infrastructure protection and the endangerment of civil liberties, an
assessment of the president's commission on critical infrastructure protection
(PCCIP); Electronic Privacy Information Center; Washington DC, 1998.
Critical infrastructure protection in the Netherlands: Ministry of the Interior and
Kingdom Relations; The Netherlands, April 2003.
Critical infrastructure protection plan: emergency law enforcement services sector
(ELES), February 2001.
Critical infrastructure protection series: best practices and innovations for a new
age; CSIS.
Critical infrastructure protection, Efforts of the financial services sector to address
cyber threats; Report to the Subcommittee on Domestic Monetary Policy,
Technology, and Economic Growth, Committee on Financial Services, House of
Representatives; GAO; January 2003.
Critical infrastructure protection, Federal efforts require a more coordinated and
comprehensive approach for protecting information systems; Report to the
Committee on Governmental Affairs, U.S. Senate; GAO, July 2002.
Critical infrastructure protection, Challenges for selected agencies and industry
sectors, Report to the Committee on Energy and Commerce, House of
Representatives; GAO, February 2003.
Critical infrastructure protection, Commercial satellite security should be more fully
addressed; Report to the Ranking Minority Member, Permanent Subcommittee on
Investigations, Committee on Governmental Affairs, U.S. Senate; GAO, August
2002.
Critical infrastructure protection, significant challenges in developing national
capabilities; United States General Accounting Office (GAO); April 2001.
Critical infrastructure protection; Homeland Security Office; NEI Web site; 2002.
Critical infrastructure: how organizations can protect themselves; Institute of
Internal Auditors Australia; South Pacific and Asia Conference (SOPAC); 25
March 2003.
CRN-workshop report, Risk and crime communication, creating a research agenda
from a security-policy perspective: Directorate for Civil Protection and Emergency
Planning, Norway (DSB) in cooperation with Comprehensive Risk Analysis and the
Management Network (CRN); Oslo, Norway 2003.
Crowe James Q.: The future of our nation’s communications infrastructure, A
report to the nation; Network Reliability and Interoperability Council V; NRIC V, 4
January 2002.
Cyber protest: the threat to the U.S. information infrastructure; National
Infrastructure Protection Center; October 2001.
Cyber threat and computer intrusion incident reporting guidelines: National
Infrastructure Protection Center; 14 June 2000.
Dacey Robert F.: Information security; progress made, but challenges remain to
protect federal systems and the nation’s critical infrastructures, Testimony before
the Subcommittee on Technology, Information Policy, Intergovernmental Relations
82
and the Census, Committee on Government Reform, House of Representatives;
GAO, 8 April 2003.
Darilek Richard E., Perry Walt R., Bracken Jerome, Gordon John, Nichiporuk
Brian: Measures of effectiveness for the information age army; RAND, 2001.
Data reporting and analysis, Final report; Network Reliability and Interoperability
Council V, Focus Group 2 Subcommittee 2.B1; 6 January 2004.
Davis Lynn E., Treverton Gregory F., Byman Daniel, Daly Sara, Rosenau William:
Coordinating the War on Terrorism; RAND, March 2004.
De Vries Henk: NATO Civil Communications Planning Committee (CCPC)
Presentation; NATO, 2 February 2003.
Decision 496 (approved at the eleventh plenary meeting ITU), Guidelines for
strategic planning workshops; Document C2000/90-E; Session of the Council ITU;
Geneva,19 - 28 July 2000.
Decision No 2256/2003/EU of the European Parliament and of the Council of 17
November 2003 on adopting multiannual programme (2003-2005) for the
monitoring of the eEurope 2005 action plan, dissemination of good practices and
the improvement of network and information security (MEDINIs); Official Journal of
the European Union 23.12.2003.
DeCorla-Souza Kevin F., The Department of Homeland Security, The Challenge of
Organizing and Implementing Change, The Congressional Institute Inc.,
Alexandria VA, 2002
Deklaracja w sprawie terroryzmu (wydana na posiedzeniu Rady
Północnoatlantyckiej NATO) na szczeblu ministrów spraw zagranicznych w
Brukseli, (tłumaczenie robocze BBN); 2 kwietnia 2004 roku.
Denning Dorothy E., “Wojna informacyjna I bezpieczeństwo informacji”,
Wydawnictwa Naukowo Techniczne, 2002
Department of Defense Directive on information assurance, number 8500.1; USA,
24 October 2002.
DHS Strategic Plan, “Securing our homeland, Vision, Mission, Core Values &
Guiding Principles”; U.S. Department of Homeland Security - Strategic Plan;
Homeland Security of USA, 2004.
Dick Ronald L. : Press statement on signing a memorandum of understanding
establishing a partnership between the NIPC and the Financial Services
Information Sharing and Analysis Center, LLC (FS/ISAC); National Infrastructure
Protection Center (NIPC); 25 June 2002.
Dick Ronald L.: The legal aspects of infrastructure protection; Infowarcon 2001,
Washington, d c; 5 September 2001.
Digital subscriber line technology, office of the manager national communications
system, technical notes; Technology and program division, Volume 7, No 5;
August 2000.
Digital subscriber line technology; Office of the manager national communications
system, Technical notes; Technology and program division, Volume 7, No 5;
August 2000.
83
Dong Nelson G., Lopatkiewicz Stefan M.: U.S. legal developments in
telecommunications and export control law on the aftermath of 11 September
2001; Dorsey and Whithney LLP; November 2003.
Draft minutes of the 14th WGET plenary meeting; Working Group on Emergency
Telecommunications /Inter-Agency Standing Committee, Reference Group ICT; 11
April 2003.
Draft white paper, Partnership for critical infrastructure security public policy
working group, A policy framework for critical infrastructure assurance; PCIS,
Revised 3 April 2002.
Druk 2933, 2933-A, Sprawozdanie Komisji Infrastruktury o rządowym projekcie
ustawy prawo telekomunikacyjne (druk 2937), wraz z dodatkowym
sprawozdaniem poprawek (druk 2933-A), (19.05.2004) 15.06.2004
Druk 2947, Projekt ustawy o krajowym systemie ratowniczym, druk sejmowy 2947,
Kancelaria Sejmu, 30.04.2004
Druk 2953 I czyt., Pierwsze czytanie poselskiego projektu ustawy o
bezpieczeństwie obywateli i zarządzaniu kryzysowym (druk nr 2953),
sprawozdanie stenograficzne, Kancelaria Sejmu, 15.06.2004
Druk 2953, Projekt ustawy o bezpieczeństwie obywateli i zarządzaniu
kryzysowym, druk sejmowy 2953, Kancelaria Sejmu, 30.04.2004
Duggan David P.: Common vulnerabilities in critical infrastructure control systems;
SANDIA, November 2003.
Dunn Myriam, Wiggert Isabelle: International CIIP handbook 2004, an inventory of
protection policies in fourteen countries, Critical information infrastructure
protection; ETH (Swiss Federal Institute of Technology Zurich); Zurich, 12
February 2004.
Dunn Myriam: Information age conflicts, a study of the information revolution and a
changing operating environment; ETH, Zurich, 9 September 2002.
Dz.U.2001.122.1320, Ustawa z dnia 23 sierpnia 2001 o organizowaniu zadań na
rzecz obronności państwa na rzecz przedsiębiorców, Dz.U. z 2001 r. nr 122
poz.1320
Dz.U.2002.13.122, Rozporządzenie Rady Ministrów z dnia 1 lutego 2002 w
sprawie wykazu przedsiębiorców o szczególnym znaczeniu gospodarczoobronnym, Dz.U. z 2002 r. nr 13 poz.122
Dz.U.2003.116.1090, Rozporządzenie z dnia 24 czerwca 2003 w sprawie
obiektów szczególnie obiektów szczególnie ważnych dla bezpieczeństwa i
obronności państwa oraz ich szczególnej ochrony, Dz.U.116 z 2003 r. nr 166
poz.1090
Dz.U.2004.98.978, Rozporządzanie Rady Ministrów z dnia 27 kwietnia 2004 w
sprawie przygotowania systemu kierowania bezpieczeństwem narodowym, Dz.U.
z 2004 r. nr 98 poz.978.
E-911 delays could cost AT&T Wireless $2.2M; The New York Times, November
2003
Eagan Robert J.: Critical infrastructure protection from the manufacturing
perspective; SANDIA, May 2002.
84
Eagan Robert J.: Energy and critical infrastructure strategic business unit;
SANDIA, March 2002.
Edwards Neill: Critical infrastructures: working together in a new world, lessons
learned from September 11; 4 February 2002.
E-economy consultation synthesis final revised 3 July 2002, Results on the open –
consultation on the e-economy; European Commission, DG Enterprise, Unit D.4;
April 2002.
eEurope 2002, An Information Society for All, Action Plan, prepared by the Council
and European Commission for Feira European Council, 19-20,06.2000
eEurope 2005, Communication from the Commission to the Council, The
European Parliament, The Economic and Social Committee and the Committee of
the Regions, eEurope 2005, An Information Society for All, An Action Plan to be
presented in view of the Sevilla European Council, 21/22 June 2002,
COM(2002)263, 28.5.2002
Egan Timothy: Computer student on trial for aid to Muslim web sites; The
Washington Post; 27 April 2004.
Eggletton Art: New approach to disaster management in Canada: The 11th World
Conference on Disaster Management held in Hamilton; Ontario, 26 June 2001.
Electricity requirements for a digital society, report; RAND ( www.rand.org/scitech),
8 October 2002.
Electricity sector response to the critical infrastructure protection challenge: North
American Electric Reliability Council; Princeton, New Jersey, May 2002.
Electronic intrusion threat to national security and emergency preparedness
(NS/EP) internet communications, An awareness document; National
Communications System, December 2000.
Emergency responders' views on their protection needs; RAND, www.rand.org,
2003.
Engi Dennis: International / vital issues processes, Critical infrastructure surety;
SANDIA, April 1999.
ENISA, Regulation of the European Parliament and of the Council Establishing the
Europan Network and Information Security Agency, Commission of the European
Communities, COM(2003)63 – C50058/2003-2001/0032(COD), 2003
EO 12382, Executive order (EO) 12382 – President’s National Security
Telecommunications Advisory Committee; Presidential document; 10 August
2000.
EO 12472, Executive Order (EO) 12472- Assignment of national security and
emergency preparedness telecommunications functions: Presidential document; 3
April 1984.
EO 12656, Executive Order (EO) 12656 - Assignment of emergency preparedness
responsibilities: Presidential document; 18 November 1988.
EO 13010 Executive Order (EO) 13010 – Critical infrastructure protection:
Presidential document; 15 July 1996.
85
EO 13215, Executive Order (EO) 13215 –Presidents information Technology
Advisory Committee - further amendment to EO 13035: Presidential document; 31
May 2001.
EO 13225, Executive Order (EO) 13225, Continuance of certain Federal Advisory
Committees: Presidential document; 28 September 2001.
EO 13228, Executive Order (EO) 13228, Establishing the Office of Homeland
Security and Homeland Security Council: Presidential document; 8 October 2001.
EO 13231, Executive Order (EO) 13231, Critical infrastructure protection in the
information age: Presidential document; 16 October 2001.
EO 13260Executive Order (EO) 13260, Establishing the President's Homeland
Security Advisory Council and Senior Advisory Committees for Homeland
Security; Presidential document; 19 March 2002.
EO12010, Executive Order (EO) 12010 – Critical infrastructure protection:
Presidential document; 15 July 1996.
ERC decision of 12 March 2001 on the harmonized frequency bands to be
designated for the Direct Mode Operation (DMO) of the Digital Land Mode
Systems for the Emergency Systems (ERC/DEC/ 01(19)); European
Radiocommunications Committee, European Conference of Postal and
Telecommunications Administrations, 16 March 2001.
designated for Air-Ground-Air (AGA) of Digital Land Mobile Systems for the
Emergency Services (ERC/DEC/ 01(20)); European Radiocommunications
Committee, European Conference of Postal and Telecommunications
Administrations, 16 March 2001.
designated for the introduction of the Digital Land Mode Systems for the
Emergency Systems (ERC/DEC/ 96(01)); European Radiocommunications
Committee, European Conference of Postal and Telecommunications
Administrations, March 2001.
Essenberg Ivo: New initiatives workshop: Creating trust in the critical network
infrastructures; ITU, 20 May 2002.
Executive order of homeland security and the Homeland Security Council: Critical
Infrastructure Assurance Office; Office of the Press Secretary the White House, 8
October 2001.
Executive order, Critical infrastructure protection; The White House document, The
Electronic Privacy Information Center; Washington, 15 July 1996.
FCC establishes office of homeland security; James Dailey named director; News
Media, FCC; Washington, 10 July 2003.
Federal computer security grades 2000-2003; Federal Information Security
Management Act (FISMA).
Federal Computer Security Report Card 2003, Statement of the chairman federal
computer security report card; Washington, 9 December 2003.
86
Federal register: part IV, 6 CFR part 29, Procedures for handling critical
infrastructure information, Interim rule; Department of Homeland Security, Office of
the Secretary, 20 February 2004.
Fenichel Robert: Direct broadcast satellite radio; Office of the manager, National
communications system, Technical notes; Technology and standards division,
Volume 7, No 2; July 2000.
Floods, What to do before and after, Self-help advice; Government of Canada, 12
December 2002.
Forlano Laura: Damage and restoration to electricity, phones, tv; Gotham Gazette
- http://www.gothamgazette.com/article/tech/20010901/19/703; 09 September
2001.
Fourth report card on computer security at federal departments and agencies,
overall grade: D; Subcommittee on Technology, Information Policy
Intergovernmental Relations And the Census, House Government Reform
Committee, 9 December 2003.
Frinking Eric J., Ligtvoet Andreas, Van de Linde Eric J.G.: Risicoanlyse van het
zero- base project, eindrapport: RAND Europe, Jannuari 2001.
Genesis of the National Communications System (NCS) ; http://gets.ncs.gov.
Geomagnetic storms - reducing the threat to critical infrastructure in Canada; Office
of critical infrastructure protection and emergency prepardness, Government of
Canada, 29 April 2002.
Goldsmith S. Y.: Workshop on concepts for self-healing critical infrastructures:
SANDIA, June 2003.
Goodman Seymour E., Hassebroek Pamela B., King Davis, Ozment Andy:
International coordination to increase the security of critical network
infrastructures; Georgia Institute of Technology Atlanta; ITU Workshop on creating
trust in critical network infrastructures; Seoul- Republic of Korea; 21-22 May 2002.
Gordon Sarah; Ford Richard: Cyberterrorism?; Symantec Security Response; 19
March 2003.
Government Emergency Telecommunications Service; http://gets.ncs.gov;
January 2002.
Grance Tim, Hash Joan, Peck Steven, Smith Jonathan, Korow-Diks Karen:
Security guide for interconnecting information technology systems,
Recommendations of the National Institute of Standards and Technology; NIST,
August 2002.
Grance Tim, Hash Joan: Security considerations in the information system
development life cycle; Recommendations of the National Institute of Standards
and Technology; NIST, Gaithersburg, October 2003.
Grance Timothy, Stevens Marc, Myers Marissa: Guide to selecting information
technology security products, Recommendations of the National Institute of
Standards and Technology, Special Publication; NIST, Gaithersburg, October
2003.
87
Gravell William, National Security in Transformation: Outlining a Comrehensive
Approach to National Information Power ” w „Security in the Information Age”,
Joint Economic Committee United State Congress, 05-2002
Grossman Mark: Trade secrets in a dot-com world; Gigalaw.com, May 2000.
Gugliotta Guy: Report: U.S. vulnerable to attack
scientists urge new terrorism research; Washingtonpost.com, 25 June 2002.
Guidance for radio amateur civil emergency service, Civil preparedness guide:
Federal Emergency Management Agency; Washington, D.C. 20472, CPG 1-15, 18
March 1991.
Hammar Patricia: IT security: risks and problem-solving tactics; National Security
Research's; 23 April 2002.
Hancock Bill: National infrastructure protection issues, Exodus a cable and
wireless service [presentation]; 22 May 2002.
Handbook of the legislative procedures of computer and network misuse in EU
countries: Study for the European Commission Directorate General Information
Society; 2002.
Harmonization of frequencies for police and security services in Europe; European
Radiocommunications Committee (ERC) within the European Conference of
Postal and Telecommunications Administration (CEPT); Oslo, December 1991.
Harmonized radio frequency channel agreements for the emergency services
operating in the band 380-400 MHz , Recommendation T/R 02/02 E; European
Radiocommunications Committee (ERC), Bonn 1993, revised at Odense 1997.
Harrison Rick: Network reliability performance committee, Best practice team,
Technical paper; Alliance for Telecommunication Industry Solutions Network
Operations Forum; Bellcore, 18 January 1996.
Harrop Michael: Creating trust in the critical network infrastructure, Canadian case
study; ITU workshop on creating trust in critical network infrastructures; SeoulRepublic of Korea; 21 May 2002.
Harrop Mike: Outline of a possible “straw-man” model for international coordination
on the protection of critical infrastructures; ITU workshop on creating trust in
critical network infrastructures; Seoul- Republic of Korea, 21 May 2002.
Hart-Rudman, New World Coming, American Security in the 21st Century, Major
Themes and Implications, Phase I Report on a U.S. National Startegy for 21st
Century, US Commission on National Security/21 Century, 15.09.1999
Hart-Rudman, Road Map for National Security: Addendum on Implementation, US
Commission on National Security/21 Century, National Security Study Group,
15.04.2001
Hart-Rudman, Road Map for National Security: Imperative for Change, The phase
III Report on a U.S. National Startegy for 21st Century, US Commission on
National Security/21 Century, 15.02.2001
Hart-Rudman, Seeking National Strategy, A concept for Preserving Security and
Promoting Freedom, The phase II Report on a U.S. National Startegy for 21st
Century, US Commission on National Security/21 Century, 15.04.2000
88
Harvey James A.: An early look at the national strategy to secure cyberspace;
Gigalaw.com, April 2003.
Hennessey Bobbi: Airfone dramatically drops pricing as special outreach to its
airline partners, Per-minute calling rates for domestic calls drop to 99 cents for
limited time; Verizon press release, 27 September 2001.
Hephner R.: Analysis for the homeland security act of 2002; 18 June 2002.
Hess Stephen: The CNN effect: how 24-hour news coverage affects government
decisions and public opinion; A Brookings/Harvard Forum: Press Coverage and
the War on Terrorism, 23 January 2002.
History of National Security Council, Office of the Historian, U.S. Department of
State, 1997
Hoffman Bruce, Oblicza terroryzmu, Politea, 1999
Homeland security – presidential directive – 1, Organization and operation for the
Homeland Security Council; 29 October 2001.
Homeland security at FCC; FCC; Washington, 10 July 2003.
Homeland security: communications industry considers measures to ensure it
meets the needs of public safety community during times of crisis; News FCC;
Washington D.C., 14 March 2003.
Homeland security: network reliability and interoperability council to hold meeting
to consider recommendations for service continuity and disaster recovery; Public
Notice Federal Communications Commission (FCC); Washington, D.C., 6 March
2003.
Homeland security: protecting the nation’s communications network against attack
tops agenda for upcoming national reliability and interoperability council Meeting
December 6, 2002; News FCC; Washington D.C., 26 November 2002.
Houser Ari N., Jackson Brian A., Bartis James T., Peterson D.J.: Emergency
responder injuries and fatalities, An analysis of surveillance data (TR-100-NIOSH);
RAND, March 2004.
How grades were assigned; FISMA, December 2000.
Hunt David, Seshadri Raj, Carins Alastair: Impact of attack on New York financial
services; McKinsey & Company's Banking & Securities Practice, November 2001.
Increasing capabilities and security for automation, SCADA test bed; INEEL, 26
March 2003.
Information assurance and critical infrastructure protection: a federal perspective;
Government Electronics and Information Technology Association; 2001.
Information note number: IN02-005, Securing publicly available information; Public Safety
and Emergency Preparedness Canada, 31 May 2002.
Information security, Computer attacks at department of defense pose increasing
risks, Report to congressional requesters; GAO, May 1996.
Information sharing agreements; Trusting Information Sharing Network for Critical
Infrastructure Protection; http://www.cript.gov.au/, 28 March 2003.
89
Information sharing for critical infrastructure protection task force report: NSTAC,
June 2001.
Information sharing program, emergency fire services ISAC; Department of
Homeland Security Infrastructure Monitoring, Analysis and Coordination Branch
(IMAC / IAIP) & US Fire Administration; Emmitsburg, Maryland, 14 August 2003.
Informationstechnische bedrohungenfur kritische infastructuren in Deutschland,
Kurzbericht der ressortarbeitsgruppe KRITIS (Entwurfversion 7.95), Dezember
1999.
Interim report on critical infrastructure protection activities for the information and
communications (I&C) sector (1998 - 2000); NTIA, 21 September 2000.
Interim Report: causes of August 14th blackout in the United States and Canada;
U.S. Canada Power System Outage Task Force, November 2003.
Internet security/architecture task force report, First steps in identifying and
remediating vulnerabilities pervasive software and protocols: NSTAC, 4 April 2003.
IT security reports; Washingtonpost.com, 22 April 2002.
ITU plenipotentiary conference (PP-98); Minneapolis,12 October - 6 November
1998.
Jackson Brian A., Peterson D.J., Bartis James T.: Protecting emergency
responders, Lessons learned form terrorists attacks; RAND, 2002.
Joint Publication 3-13.1, “Joint Doctrine for Command and Control Warfare, Joint
Staff, 1996
Joint Staff: “Information Warfare – A strategy for Peace – The Decisive Edge for
War, Joint Staff, 1996
JSC, Joint Security Commission, Redefining Security: A Report to the Secretary of
Defense and the Director of Central Intelligence, 1994
Juster Kenneth I, Tritak John S. “Critical Infrastructure Assurance: A Coceptual
Overview” ” w „Security in the Information Age”, Joint Economic Committee United
State Congress, 05-2002
Juster Kenneth I.: Homeland security and critical infrastructure assurance, the
importance of community action; Conference on critical infrastructures: working
together in a new world; Austin, 13 February 2002.
Karty Steve L.: E-mail over high frequency (HF) radio, Filling the communications
gap during unexpected telephone outages; Office of the manager national
communications system, Technical Notes; Technology and program division,
Volume 7, No 6, August 2000.
Karty Steve: Bluetooth personal area network technology, Technical notes; Office
of the Manager, National Communications System; Technology and standards
division, Volume 7, No 3; July 2000.
Keating Dan: Pentagon's online voting program deemed too risky;
Washington Post; 22 January 2004.
Key Responsibilities in the Protection of Critical Infrastructure: Trusting Information
Sharing Network for critical infrastructure protection; http://www.cript.gov.au/.
90
Keys David, “Cyber Early Warning: Implications for Business Productivity and
Economic Security” ” w „Security in the Information Age”, Joint Economic
Committee United State Congress, 05-2002
Khalilzad Zalmay, White John P., Marshall Andrew W.: Strategic appraisal: the
changing role of information in warfare; RAND, 1999.
Knight John C., Elder Matthew C., Flinn James, Marx Patrick: Analysis of four
critical infrastructure applications, Computer science report no. CS-97-27;
University of Virginia, Department of Computer Science, 19 September 1998.
Knight John C., Elder Matthew C., Flinn James, Marx Patrick: Summaries of three
critical infrastructure applications, Computer science report no. CS-97-27;
University of Virginia, Department of Computer Science; 14 November 1997
(Revised December 10, 1997).
Koblentz Gregory D.: Overview of federal programs to enhance state and local
preparedness for terrorism with weapons of mass destruction; ESDP, BCSIA, April
2001.
Kośla Robert: Ochrona infrastruktury krytycznej w Polsce - aktualny stan prac;
Departament Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa
Wewnętrznego; Warszawa, 3 Grudnia 2002.
Krebs Brian, McGuire David: FTC: ID theft remains top complaint;
Washingtonpost.com, 22 January 2004.
Krebs Brian: Two Virginia Universities to join forces against cybercrime;
Washtech.com, 13 May 2002.
Krebs Brian: FCC OKs VoiceStream waiver for emergency wireless system;
Newsbytes; Washington, D.C, 3 April 2002.
Krebs Brian: Gov't computer security lagging – report; Washingtonpost.com, 9
December 2003.
Krim Jonathan: Think tank urges information sharing, Network could help combat
terrorism; Washingtonpost.com, 3 December 2003.
Lachman Beth E., Wong Anny, Knopman Debra, Gavin Kim: Lessons for the
global spatial data infrastructure; International Case Study Analysis, prepared for
the GSDI Secretariat; RAND, 2002.
Larson Eric V., Peters John E.: Preparing the U.S. Army for homeland security:
concepts, issues and options; RAND, 2001.
Last mile bandwidth availability task force report: NSTAC, March 2002.
LaTourrette Tom, Peterson D.J., Bartis James T., Jackson Brian A., Houser Ari:
Protecting emergency responders, Community views of safety and health risks
and personal protection needs – Volume II; Rand, 2003.
Lawor Maryann: Keeping the lines of communication open collaboration,
Cooperation secure emergency response capability; Signal Magazine 2002, April
2002.
Legislative and regulatory, penalties for Internet and cyber crime: NSTAC,
February 2003.
91
Leland Joe, Feldman Philip M.: Fundamental research policy for the digital
battlefield: RAND, 1998.
Liddel Hart Basil H, “Strategy, Meridian Books, 1954
Lim Chaeho: Creating trust in critical network infrastructures, Korean case study;
KAIST/ITU, 24 May 2002.
Lippmann, Walter, U.S. Foreign Policy, Liittle Brown and Company, Boston, 1943
s. 51,
Lisbon Strategy, Presidency Conclusion of the Lisbon European Council of 23 and
24 March 2000,
Livesey Tomas F.: Towards critical infrastructure protection, Realistic alternatives
to Version 1.0.; 5 May 2000.
Lounsbury David: Securing distributed controls: A systems perspective open group
advanced research; http;//www.opengroup.org/[email protected].
Low Eva: Performance metrics team, Final report; Pacific Bell, San Ramon, 15
January 1996.
Luiijf Eric A.M, Burger Helen H., Klaver Marieke H.A.: Critical infrastructure
protection in the Netherlands: a quick-scan; EICAR Conference Best Paper
Proceedings, 2003.
Luiijf Eric A.M, Klaver Marieke H.A., Huizenga J., Till van J., de Boer R., van de
Sandt C.H.C., Maclaine Pont C.: The vulnerable Internet, a study of critical
infrastructure (of the Netherlands section) of Internet; TNO & STRATIX Consulting
Group, 6 June 2001.
Luiijf Eric A.M, Klaver Marieke H.A.: In bits and pieces, Vulnerability of the
Netherlands ICT infrastructure and consequences for the information society;
Infodrome, March 2000.
Luiijf Eric A.M.: ICT in bits and pieces, Critical infrastructures; TNO Physics and
Electronic Laboratory, 30 November 2001.
Luiijf Eric A.M.: The vulnerable Internet, A CIP study by the Netherlands; TNO
Physics and Electronic Laboratory and STRATIX, 26 November 2001.
MacGriffin John “Counterintelligence and Infrastructure Protection” ” w „Security in
the Information Age”, Joint Economic Committee United State Congress, 05-2002
Mann Brett W.: Cross-border co-operation speeds up emergency telecommunications
repairs; October-December 1997.
Martinez Gabriel: Signaling system 7 Internet protocol interconnection, Technical
Notes; Office of the Manager National Communications System, Technology and
program division, Volume 8, No 2; March 2001.
McCullagh Declan: Bush signs homeland security bill; CNET News.com, 25
November 2002.
Mell Peter, Grance Tim: Use of the common vulnerabilities and exposures (CVE)
vulnerability naming scheme recommendations of the National Institute of
Standards and Technology; NIST, September 2002.
92
Microsoft SQL Server 2000 “Slammer” worm – impact paper; Office of Critical
Infrastructure Protection and Emergency Prepardness, Government of Canada;
Incident analysis, No. IA003-001, 12 March 2003.
Miller Bill: Worries of cyberattacks on U.S. are aired, Chinese military is looking
for ways, Students seen gearing up for disruptions; Washington Post, 26 April
2002.
Miller Jason: Panel: proposed IT security bill needs revisions; Government
Computer News; 2 May 2002.
Miller Paul, Irland Kevin W.: Local business, government leaders learn about
disaster recovery, business continuity from Verizon; Verizon press release; 18
April 2002.
Molander Roger C., Riddle Andrew S., Wilson Peter. A. Strategic Information
Warfare: A New face of War, RAND, 1996
MOP 30, Memorandum on Policy 30, “Command and Control Warfare”, Połączone
Kolegium Szefów Sztabów, 1993
Moteff John D., Copeland Claudia, Fisher John: Critical infrastructures: what
makes an infrastructure critical? Report for Congress; Congressional Research
Service - The Library of Congress; 29 January 2003.
Moteff John D.: Critical infrastructures: background, policy, and implementation,
Report for Congress; Congressional Research Service - The Library of Congress;
10 February 2003.
Mussington David: Concepts for enhancing critical infrastructure protection,
Relating Y2K to CIP research and development; Rand Corporation, 2002.
Nacchio Joseph P.: Critical infrastructure protection: who is in charge?; Qwest
Communications International, Inc., 4 October 2001.
Narrow band frequencies for inter-agency coordination and safety and security
communications in international humanitarian assistance, as adopted by the fifth
WGET Plenary Meeting, Geneva, 20/21 May 1997, and revised by the eight
WGET Plenary Meeting, Washington DC, 7-8 June 1999.
National Communications System; http://gets.ncs.gov, January 2002.
National Coordinating Service for Telecommunications;
http://www.ncs.gov/ncc/htm, February 2002.
National Counter Terrorism-Committee, Critical infrastructure protection in
Australia: Trusting information sharing network for critical infrastructure protection;
http://www.cript.gov.au/, 27 March 2003.
National Infrastructure Protection Center, 9 May 2002.
National plan for critical infrastructure protection rail section: Association of
American Railroads, June 2002.
National plan for information’s system protection Version 1.0. An invitation to
dialogue: Defending America’s cyberspace; The White House, 2000.
National research priorities: Trusting Information Sharing Network for critical
infrastructure protection; http://www.cript.gov.au/, March 2003.
93
National security telecommunications policy, Directive number 97; The White
House, 13 June 1983.
National security to secure cyberspace, The Presidential Critical Infrastructure
Board, Established Under US Presidential Executive Order 13231, 20 March 2002.
Nelson Jennifer E.: Critical infrastructure surety at Sandia National Laboratories;
SANDIA.
Network reliability best practices packet switching circuit switching, Final report;
Network Reliability and Interoperability Council V; Focus Group 2 Subcommittee
2.A; NRIC, January 2002.
Network Reliability Council Focus Group IV, Essential communications during
emergencies, Team report findings and recommendations, pertaining to
emergency service network reliability; NRC, 12 January 1996.
Network security/vulnerability assessments task force report: NSTAC, March
2002.
Neu C. Richard, Anderson Robert H., Bikson Tora K.: Government and citizens,
security, policy issues and next steps; RAND, 1998.
NRC, Internet under crisis conditions, Lessons from Setember 11; Computer
Science and Telecommunications Board, Division on Engineering and Physical
Sciences; National Research Council of National Academy of Sciences;
Washington D.C. 2003.
NSTAC at 20: providing national security telecommunications policy expertise for
two decades; Arlington, 1 May 2003.
NSTAC’s response to the national plan: NSTAC, April 2001.
NYSE, New York Stock Exchange September 11, 2001, NYSE Press Room,
Information and Resouces, 2001
Ocakoglu Gzim, IDA Secure Communications Platforms TESTA and PKI,
European Commission – DG Enterprise, 2004
Ohno Hiroyuki: Security study activities in ITU-T, Q10 / SG17 rapporteur; SeoulRepublic of Korea, 21 May 2002.
OHS, National strategy for homeland security: President of the United States,
Office of Homeland Security, July 2002.
O'Neil Michael J., Dempsey James X.: Critical infrastructure protection: threats to
privacy and other civil liberties and concerns with government mandates on
industry; Depaul Business Law Journal, Vol 12, p. 97, (1999/2000).
Opening remarks of the secretary-general: ITU workshop on creating trust in
critical network infrastructures; Seoul- Republic of Korea; 20 May 2002.
Orszag Peter R., Pechman Joseph A.: Critical infrastructure protection and the
private sector: the crucial role of incentives, Testimony before the Subcommittee
on Cybersecurity, Science, and Research & Developmentand the Subcommittee
on Infrastructure and Border Security House Select Committee on Homeland
Security; The Brookings Institution, 4 September 2003.
Oslund Jack “National Security: The Definitions Landscape” ” w „Security in the
Information Age”, Joint Economic Committee United State Congress, 05-2002
94
Parachini John V., Davis Lynn E., Liston Timothy: Homeland security, a
compendium of private and public organisations’ policy recommendations; Rand
Corporation, 2003.
PCCIP Report “Critical Foundations-Protecting America’s Infrastructures” The
Report of of the President’s Commission on Critical Infsratructure, 1997
PDD 29, Presidential Decision Directive 29, “Security Policy Coordination”, White
House, 16.09.1994
PDD 39, Presidential Decision Directive, “US Policy on Counterterrorism”, White
House, 06.1995
Perrow Charles: 2YK as a normal accident; International Conference on Disaster
Management and Medical Relief; Amsterdam 14-16, June 1999.
Powell Michael: Attachment assessment of the readiness of emergency
communications FCC Y2K task force; FCC, 13 July 1999.
Prepare to survive a major earthquake, Self-help advice; Government of Canada,
12 December 2002.
Prepared for the woods, Self-help advice; Government of Canada, 12 December
2002.
Preparing for the unexpected, Self-Help Advice; Government of Canada, 12
December 2002.
President NSC-63, Presidential decision directive NSC-63, Critical infrastructure
protection; The White House document; Washington, 22 May 1998.
Progress report on the global war on terrorism: The White House; Washington,
September 2003.
Proposal for a Council framework decision on attacks against information systems
2002/0086 (CNS); Commission of the European Communities; Brussels, 19 April
2002.
Proposal for a regulation of the European Parliament and of the Council,
Establishing the European Network and Information Security Agency (Com 2000);
19 February 2004.
Protecting America's critical infrastructures; The White House, Office of the Press
Secretary, 22 May 1998.
Protecting and securing the nation, critical infrastructure test range; INEEL (Idaho
National Engineering and Environmental Laboratory), 3 October 2002.
Protecting critical infrastructures and key assets; The National Strategy For
Homeland Security, 15 July 2002.
Protecting the Homeland, Report of the Defence Science Board Task Force on
defensive information operations 2000; Summer study, volume 2; Department of
Defense, March 2001.
Protection plan for mission critical infrastructure assets; VID CAD/ ESP, 3 July
2003.
Public switched network security assessment guidelines; The Office of the
Manager National Security Communications Systems; December, 2000.
95
Quarantelli E.L.: Disaster planning, emergency management, and civil protection:
the historical development and current characteristics of organized efforts to
prevent and respond to disasters; 18 June 1999.
Rahman Bistamam Siru Abdul: Malaysia’s approach to network security; ITU
workshop on creating trust in critical network infrastructures; Seoul- Republic of
Korea, 21 May 2002.
Rasmussen Michael “information Protection: Assuring Stakeholder Value in a
Digital Age” ” w „Security in the Information Age”, Joint Economic Committee
United State Congress, 05-2002
Rattray Gregory J., Wojna Strategiczna w Cyberprzestrzeni, Wydawnictwa
Naukowo Techniczne, 2004
Recommendation 12; ITU, Geneva, http://www.reliefweb.int/.
Reliability issues - Changing Technologies Focus Group New Wireline Access
Technologies, Subteam Final Report; Network Reliability Council (NRC), 22
February 1996.
Reliability Issues - Changing Technologies Focus Group Satellite Communications
Networks Subteam Final Report; Network Reliability Council (NRC), 22 February
1996.
Reliability issues - Changing Technologies Focus Group Synchronous Optical
Network/Asynchronous Transfer Mode (SONET/ATM), Subteam Final Report;
Network Reliability Council (NRC), 22 February 1996.
Reliability Issues - Changing Technologies Focus Group Wireless/PCS Subteam
Final Report; Network Reliability Council (NRC), 22 February 1996.
Reliability issues - Changing Technologies Focus Group, Advanced Intelligent
Network Subteam Final Report; Network Reliability Council (NRC), 22 February
1996.
Reliability issues - Changing Technologies Focus Group, Focus group overview;
Network Reliability Council (NRC), 22 February 1996.
Report of the defence science board task force on information warfare - defence
(IW-D); Office of the Under Secretary of Defense for Acquisition & Technology;
Washington, D.C.; November 1996.
Report of the President of the United States on the status of federal critical
infrastructure protection activities; The White House document; Washington,
January 2001.
Report on implementation issues related to access to location information by
emergency services (E112) in European Union, Final report; Coordination Group
on Access to Location Information for Emergency Services (CGALIES), 19
February 2002.
Research and development exchange proceedings: transparent security in a
converged and distributed network environment: A symposium sponsored by the
President’s NSTAC in the conjunctions with the Telecommunications and
Information Security workshop; University of Tulsa, Oklahoma, 28-29 September
2000.
96
Resolution 19 - ITU, Telecommunication resources for disaster mitigation
and relief operations; The World Telecommunication Development Conference;
Valletta, 1998.
Resolution 34, Telecommunication resources in the service of humanitarian
assistance - ITU; The World Telecommunication Development Conference
(Istanbul 2002).
Resolution 645 - ITU, Global harmonization of spectrum for public protection and
disaster relief ; Geneva (WRC-2000), http://www.reliefweb.int/.
Rice James B.: Supply chain response to terrorism: creating resilient and recure
supply chains; Interim report of progress and learnings; Massachusetts Institute of
Technology, 8 August 2003.
Ridge Tom: Remarks of secretary Tom Ridge to the American Enterprise Institute:
Securing America in a post 9/11 world; Office of Homeland Security USA.
Rinaldi Steven M.: Critical infrastructure independencies; SANDIA, June 2003.
Rinaldi Steven M.: The role of modeling and simulation in critical infrastructure
protection; SANDIA, May 2003.
Risk assessment in Europe, part 2; lectures presented at the EU workshop on
Risk Rssessment; Oslo 25-26 November 1999.
Risk management, An essential guide to protection critical asset: National
Infrastructure Protection Center, November 2002.
Robinson C.P., Woodward J.B., Varando S.G.: How vulnerable is our interlinked
infrastructure?; Issues in science and technology – online; Fall 1998.
Ronfeldt David F., Arquilla John, Fuller Graham E., Fuller Melissa: The Zapatista
social netwar in Mexico; RAND Corporation, 1998.
Ross Ron, Swanson: Information security, Guide for the security certification and
accreditation of federal information systems, Second public draft; Computer
Security Division Information Technology Laboratory NIST; Gaithersburg, June
2003.
Ross Ron; Stoneburner Gary, Katzke Stuart, Johnson Arnold, Swanson Marianne:
Information security, Initial public draft; Computer Security Division Information
Technology Laboratory, NIST; Gaithersburg, December 2003.
SANDIA Lab News; Vol. 53, no 19; 21 September 2001.
Sands Jeffery I.: PCIS common reference glossary, Version 2001-09; Information
Sharing Task Force; PCIS, 14 September 2001.
Sauners David: Westin - solutions through technology; 13 June 2002.
Schmidt Howard: Cybersecurity and homeland defense; The Washington Post, 2
May 2002.
Securing oil and natural gas infrastructures in the new economy: National
Petroleum Council, Committee on Critical Infrastructure Protection; June 2003.
Securing publicly available information, Information note number: IN02-005; Public safety
and emergency preparedness Canada, 31 May 2002.
97
Securing VoIP; Information note number: IN03-001, Securing publicly available
information: Public safety and emergency preparedness Canada, 13 June 2003.
Security guidelines for the electricity sector, Emergency plans; Version: 1.0; North
American Electric Reliability Council: 14 June 2002.
Security guidelines for the electricity sector: Communications, Version: 1.0; North
American Electric Reliability Council, 14 June 2002.
Security guidelines for the electricity sector: Cyber IT firewalls; Version: 1.0; North
American Electric Reliability Council, 14 June 2002.
Security guidelines for the electricity sector: Cyber access controls, Version: 1.0;
North American Electric Reliability Council, 14 June 2002.
Security guidelines for the electricity sector: Cyber intrusion detection; Version:
1.0; North American Electric Reliability Council, 14 June 2002.
Security guidelines for the electricity sector: Cyber risk management; Version: 1.0;
North American Electric Reliability Council: 14 June 2002.
Security guidelines for the electricity sector: Protecting potentially sensitive
information; Version: 1.0; North American Electric Reliability Council, 14 June
2002.
Security guidelines for the electricity sector: Securing remote access to electronic
control and protection systems, Version: 1.0: North American Electric Reliability
Council, 10 June 2003.
Security guidelines for the electricity sector: Vulnerability and risk assessment;
Version: 1.0; North American Electric Reliability Council, 14 June 2002.
Security in the information age, new challenges, new strategies: Joint Economic
Committee United States Congress; May 2002.
Security research: EU action to improve protection of citizens IP/04/145; Brussels,
3 February 2004.
Sejm, Ustawa z dnia 21 listopada 1967 roku o powszechnym obowiązku obrony
Rzeczypospolitej Polskiej, DZ.U. z 2002 r. nr 21 poz.205 z późn. zmianami,
Kancelaria Sejmu, 2.06.2004
Self-help advice for businesses and institutions, A guide to business continuity planning:
the office of critical infrastructure protection and emergency preparedness,
Minister of Public Works and Government Services of Canada;
http://www.drie.org.
September 11, 2001 Terrorist Attacks - Critical Infrastructure Protection Lessons
Learned Information; Note number: IN02-001, Securing publicly available information:
Public safety and emergency preparedness Canada, 27 September 2002.
Seven simple computer security tips for small business and home computer users:
National Infrastructure Protection Center; 9 May 2002.
Severe storms, self-help advice; Government of Canada, 12 December 2002.
Shaw Robert: Country case studies: the case of Brazil; ITU workshop on creating
trust in critical network infrastructures; Seoul- Republic of Korea, 20-22 May 2002.
98
Shea Dana A.: Critical infrastructure: control systems and the terrorist threat,
Report for Congress; Congressional Research Service - The Library of Congress;
21 February 2003.
Shinn J. James: The "data gap" and national security; Washingtonpost.com, 21
May 2002.
Silicki Krzysztof: Ochrona krytycznej infrastruktury państwa; NASK archiwum,
Sierpień 2002.
Single European emergency call number 1-1-2; Coordination Group on Access to
Location Information for Emergency Services (CGALIES);
http://www.telematica.de/cgalies/index.html.
Skroch Michael J.: An adversarial view on cyber defense and US critical
infrastructure; SANDIA, June 2003.
Smith Jim, Yeatts Lacy: Verizon offers new Yorkers free local calling to and from
payphones on Manhattan streets; 4,000 payphones can make and receive free
local calls for duration of city emergency; Verizon press realase, 11 September
2001.
Smith Jim: Temporary listings in Verizon's directory assistance computers can
help displaced New Yorkers connect; Listings let Verizon's 411 operators direct
callers to wireless phones, Alternate numbers; Verizon press realase; 27
September 2001.
Smith Jim: Verizon's free payphones help disaster area residents connect 80,000
times a day, callers reach out to families, jobs; Verizon press realase; 21
September 2001.
Spiegel Peter: DT takeover of Voice Stream passes FBI hurdle; Washington, 17
January 2001.
Stacking the network against hackers, Cyber security, Protecting computers and
communications and the systems they link; INEEL, 18 September 2002.
State and local actions for homeland security; Executive office of the President of
the United States, Office of Homeland Security, July 2002.
Stoneburner Gary, Goguen Alice, Feringa Alexis: Risk management guide for
information technology systems; Recommendations of the National Institute of
Standards and Technology; U.S. Department of Commerce, 20 January 2004.
Stoneburner Gary, Hayden Clark, Feringa Alexis: Computer security, engineering
principles for information technology security (a baseline for achieving security),
Public review draft; Computer Security Division Information Technology
Laboratory, NIST; Gaithersburg, 21 January 2004.
Storm surges, Self-help advice; Government of Canada, 12 December 2002.
Structure of the network: trusting information sharing network for critical
infrastructure protection; http://www.cript.gov.au/, 31 March 2003.
Summary report of the 12th WGET plenary meeting, 17 may 2002.
Survey on Implementation of 112 Subject: Pan European emergency call number
112: European Commission, Directorate-General XIII, Telecommunications,
Information Market and Exploitation of Research, Telecommunications, trans-
99
European networks and services and postal services, Telecommunications
legislation; Brussels, 6 January 1999.
Swanson Marianne, Bartol Nadya, Sabato John, Hash Joan, Graffo Laurie:
Computer security, security metrics guide for information technology systems;
Computer Security Division Information Technology Laboratory; NIST:
Gaithersburg, July 2003.
Tamashiro Reynold, Pollock Robert D.: Indications and warnings system to protect
critical US infrastructures, Critical infrastructure surety; SANDIA, May 1999.
Tamashiro Reynold: The need for improved SCADA security; SANDIA, 25 March
2002.
Tampere Convention on Emergency Telecommunications (ICET-98); 1998.
Tampere Convention on the Provision of Telecommunication Resources
for Disaster Mitigation and Relief Operation; the Intergovernmental Conference on
Emergency Telecommunications (ICET-98), NATO 1999.
Telecom News - National security and emergency preparedness, Issue 1; 2003.
Telecom News - National security and emergency preparedness, Issue 1; 2004.
Telecom News - National security and emergency preparedness; NSTAC (Special
edition 2003).
Telecommunication resources for disaster mitigation and relief operations1997
ITU; World Radiocommunication Conference Resolution 644 (WRC-97); Geneva,
1997.
Telecommunications service priority system; http://gets.ncs.gov, February 2002.
Terms of reference for the Working Group on Emergency Telecommunications
(WGET); ITU; 14th Plenary Meeting in Geneva 20-21 February 2003.
Terrorism and the media, Council of Foreign Relations.
Thompson Tracy: Your family disaster plan; FEMA (The Federal Emergency
Management Agency’s Community and Family Preparedness Program and the
American Red Cross Community Disaster Education Program), September 1991.
Thonis Peter, Rabe Eric: Verizon begins work to restore service at network center
damaged in southern Manhattan; network in New York City and D.C. continues to
handle heavy volumes; Verizon press realase, 12 September 2001.
Thonis Peter, Rabe Eric: Verizon makes steady progress to restore phone service
in lower Manhattan, Verizon provides solutions for two-thirds of voice lines served
out of damaged switching center within two weeks of terrorist attacks; Verizon
press realase, 24 September 2001.
Thonis Peter, Rabe Eric: Verizon reports cellular, Landline calls double during
peak of today's tragedy; Verizon press realase, 11 September 2001.
Threat analysis, Al-Qaida cyber capability, key judgements; Office of Critical
Infrastructure Protection and Emergency Prepardness, Government of Canada,
December 2002.
Threats to Canada’s critical infrastructure note number: TA03-001, Securing publicly
available information: Public safety and emergency preparedness; Canada, 12 March
2003.
100
Tomko John S. Jr.: Critical infrastructure protection; USAWC strategy research
project, Department of the Army Civilian, 6 December 2002.
Tritak John S.: Before the House Committee On Science; Critical Infrastructure
Assurance Office Bureau of Industry and Security U.S. Department of Commerce,
27 June 2002.
Tritak John S.: Critical infrastructure protection: Who’s in charge; Senate
Committee on Governmental Affairs, 4 October 2001.
Trust but verify, a guide to using e-mail correspondence; National Infrastructure
Protection Center, December, 2001.
Twenty most critical Internet security vulnerabilities (Updated), The experts’
consensus, Version 2.504; SANS Institute, 2 May 2002.
U.S. chemical sector cyber security strategy, Reducing risk to our society and
economy by leveraging technology, processes and people to protect chemical
sector cyber security; The chemical sector information sharing forum, Cyber
Security Strategy Task Team, June 2002.
UN Emergency relief items, compendium of generic specification; Volume 1,
Telecommunications, Shelter & Housing, Water Supply, Food, Sanitation &
Hygiene, Materials Handling, Power Supply; United Nations, October 1998.
Ustawa o bezpieczeństwie obywatelskim; Sejm RP, (projekt) 21 Sierpnia 2003.
Vademecum, handbook; NATO/OTAN, 26 November 2003.
Vaida Bara: Federal critical infrastructure reaches out to States;
Nationaljournal.com.
Van De Hei Diane: Critical infrastructure protection national plan input water
sector; Water Sector Liaison & Lead Federal Agency, 23 July 2003.
Van de Linde, O’Brien Kevin, Lindstrom Gustaw, de Spiegeleire Stephan,
Vayrynen Mikko, de Vries Han: Quick scan of post 9/11 national counter-national
policymaking and implementation of selected European countries; Research
project for Netherlands Ministry of Justice, Rand Corporation, May 2002.
Vandenbroucke Ann: Final report of harmonizing essential requirements; ETO for
European Commission, 12 March 1998.
Vasishtha Preeti: HHS awards contract to iDefense for cyber threat protection; The
Washington Post, 25 April 2002.
Wack John, Cutler Ken, Pole Jamie: Guidelines on firewalls and firewall policy
recommendations of the National Institute of Standards and Technology; NIST,
January 2002.
War gaming for the real world, Critical infrastructure modeling systems protecting
and recovering from attack; INEEL (Idaho National Engineering and Environmental
Laboratory), 26 March 2003.
Ware Willis H.: The cyber – posture of the national information infrastructure;
RAND Corporation, 1998.
Warner Peter: Should GPS Be Classified As "Critical Infrastructure"?.
Water industry process control & SCADA systems; SCADA, 13 June 2002.
101
Watson Kenneth C.: Critical infrastructure protection: who’s in charge?; PCIS, 4
October 2001.
Watson Kenneth C.: House Energy and Commerce Committee Subcommittee on
Oversight and Investigation Hearing on Creating the Department of Homeland
Security: Consideration of the administration’s proposal; PCIS; 9 July 2002.
Watson Kenneth: Critical infrastructure assurance: The US experience; PCIS, 10
October 2002.
Wenger Anderas, Metzger Jan, Dunn Myriam: International CIIP handbook, an
inventory of protection policies in eight countries, critical information infrastructure
protection; ETH (Swiss Federal Institute of Technology Zurich), Zurich, 2002.
Westrin Peter: Critical information infrastructure protection (CIIP); Information &
Security. Volume 7, 2001, pages 67-79, 2001.
WGET / IASC-RGT, Report from the 11th WGET plenary meeting to the XIV
meeting of the IASC-WG; Geneva, 10-11 May 2001.
WGET Resolution on MInimum Security Telecommunications Standards (MISTS);
11th Plenary Meeting in Rome, Italy on May 3-4,2000.
White paper, the Clinton administration’s policy on critical infrastructure protection:
Presidential decision Directive 63, 22 May 1998.
Whitehead Jay: Perspective: why IT will love homeland; CNET News.com,
13 November 2002.
Williams Darryl, Alston Richard: Joint news release, protecting Australia's critical
infrastructure, 29 November 2002.
Wilson Mark, Hash Joan: Computer security, building an information technology
security awareness and training program; NIST, Gaithersburg, October 2003.
Winter driving: you, your car and winter storms, Self-help advice; Government of
Canada, 12 December 2002.
Winter power failures, Self-help advice; Government of Canada, 12 December
2002.
Wireless emergency response team (WERT), Final Report from the September
11, 2001 New York City, World Trade Center Terrorists Attack; October 2001.
Wireless task force report, wireless priority service: NSTAC, August 2002.
Wireless task force report, wireless security: NSTAC, January 2003.
Wireline network spectral integrity, final report and recommendations; NRIC V
Network Reliability and Interoperability Council, Focus Group 3; 4 January 2002.
Wolfer Arnold „National Security” As an Ambiguous Symbol”, Political Science
Quaterly LXVII. (Dec.1952) str. 484
Wong Nancy “Critical Infrastructure and Information Assurance: A working Context
and Framework” ” w „Security in the Information Age”, Joint Economic Committee
United State Congress, 05-2002
Wood Mark (G4HLZ): Disaster communications, Part 1 (Gobal); Disaster Relief
Communications Foundation, First edition, June 1996.
102
Woodward John D.: Privacy vs. security: electronic surveillance in the nation’s
capital; RAND, March 2002.
Working Group on Emergency Telecommunications / Inter-Agency Standing
Committee, Reference Group of Telecommunications; 13th Plenary Meeting;
Rome, Italy, 17 - 18 June 2002.
Working paper EAPC (CCPC), WP (2002)03 Civil Communications Planning
Committee CEP consequences of the Tampere convention; NATO, 5 March 2002.
Wynegar Don: Communications and information infrastructure assurance program
(CIIAP) FY 2000, Presentation to Communications and Information Sector
Working Group National Telecommunications and Information Agency; NTIA, 30
May 2000.
Yake Terry J., Ireland Ross K.: Increased interconnection, Task group II report,
Network Reliability Council; Sprint Corporation; Metcalf, 14 January 1996.
Yang Seung Taik: Welcoming address ITU new initiatives workshop - on creating
trust in critical network infrastructures; Seoul -Korea, 20 May 2002.
Yang-Shin Cha, Ministry of Information and Communication: Korea’s approach to
network security; ITU workshop on creating trust in critical network infrastructures;
Seoul- Republic of Korea, 21 May 2002.
Yoran Amit: Homeland security's cybersecurity chief homeland security's
cybersecurity efforts; Washingtonpost.com, 11 February 2004.
Young Ray: Channel reservation vs. PACA, queuing: a comparison of priority call
handling techniques; Office of the manager, National communications system;
Technology and standards division, Volume 6, No 1; January 1999.
Young Ray: Differentiate services – one solution for priority over the Internet;
Office of the manager, National communications system; Technology and
standards division, Volume 7, No 1; April 2000.
Young Ray: Wireless IP – internet without wires; Office of the manager national
communications system; Technology and program division, Volume 7, No 4;
August 2000.
Yu Peter K.: What business should know about cyberterrorism; Gigalaw.com,
October 2001.
Zeichner Lee M., “Use of the Defense Production Act of 1950 for Critical
Infrastructure Protection ” w „Security in the Information Age”, Joint Economic
Committee United State Congress, 05-2002
.
103
104

Ewolucja doktryny obronnej państwa na przyk³adzie

Transkrypt

Podobne dokumenty

Czy tylko e-Usługi się liczą?