Kas nosaka un kādas ir kritiskās infrastruktūras drošības prasības?

2020. gads pasaulei ir atnesis virkni izaicinājumu – Covid-19, “Black Lives Matter” kustības izpausmes ASV un Eiropā, Beirūtas amonija nitrāta noliktavas sprādzienu un tagad arī Baltkrievijas prezidenta vēlēšanas un no tām izrietošās protesta akcijas. Sabiedrībā pieaugošā sociālā spriedze, kas radusies izolācijas un ekonomiskās lejupslīdes dēļ, un no tās izrietošās vardarbīgās protesta akcijas par dažādām sabiedrībā samilzušām problēmām rada draudus arī infrastruktūrai. Kā panākt kritiskās infrastruktūras drošību?

Jau iepriekš rakstījām – kā minēts Nacionālās drošības likumā[1], par kritisko infrastruktūru dēvē tādus objektus, sistēmas vai to daļas, kuras ir vitāli svarīgas cilvēku veselības, drošības un labklājības nodrošināšanai un kuru darbības traucējumi vai pilnīga iznīcināšana būtiski ietekmētu valsts pamatfunkciju īstenošanu. Riska grupā ietilpst, piemēram, augstākās valsts darbības nodrošināšanas iestādes (tostarp Saeima un Ministru kabinets), hidroelektrostacijas, ostu teritorijas, dzelzceļa tilti un specdienestu ēkas. Kritiskā infrastruktūra var būt gan valsts, gan pašvaldību, gan privātīpašumā, un katrā no infrastruktūras objektiem ir atbildīgās personas, kuras kontaktējas ar attiecīgajām drošības iestādēm un pēc nepieciešamības pielāgo apsardzes prasības un nodrošinājumu.

Kritiskās infrastruktūras drošības prasības

Nacionālā līmenī kritiskās infrastruktūras drošību regulē Nacionālās Drošības Likums un uz tā pamata izdotie Ministru kabineta noteikumi Nr.496 “Kritiskās infrastruktūras, tajā skaitā Eiropas kritiskās infrastruktūras, apzināšanas un drošības pasākumu plānošanas un īstenošanas kārtība”[2]. Šie noteikumi regulē Nacionālās drošības starpinstitūciju komisiju (nejaukt ar Nacionālās drošības komisiju), nosaka kritiskās infrastruktūras identifikācijas un apzināšanas procesu, kā arī kritiskās infrastruktūras un Eiropas kritiskās infrastruktūras drošības pasākumu plānošanu.

Ja raugāmies tieši no kritiskās infrastruktūras drošības prasību skatpunkta, tad šajos MK Nr.496 ir noteikta:

Iekļaušana kritiskās infrastruktūras kopumā:

• VDD, SAB, MIDD (Valsts drošības iestādes) informē KI[3] īpašnieku vai tiesisko valdītāju par KI iekļaušanu KI kopumā un par KI noteikšanu par Eiropas kritisko infrastruktūru (ja attiecas);

Atbildīgais par drošību:

• KI īpašnieks vai tiesiskais valdītājs norīko atbildīgo un nosaka tā uzdevumus;
• ir:
  • Latvijas pilsonis
  • Nesodīts
  • Ar narkologa un psihiatra atzinumu
  • Tam nav saistību ar ārvalstu specdienestiem, nelikumīgām organizācijām vai organizēto noziedzību
  • Ir vismaz 2 gadu pieredze fiziskās drošības pasākumu plānošanā vai īstenošanā.
• Valsts drošības iestādes pārbauda un apstiprina par KI atbildīgo personu.

Atbildīgās personas uzdevumi:

• Plānot KI drošības pasākumus;
• Izvērtēt un noteikt KI funkcionēšanai nozīmīgas informācijas, tehnoloģisko iekārtu vai pakalpojumu sarakstu, kuru iesniedz valsts drošības iestādē;
• Ne retāk kā reizi gadā KI īpašnieka vai tiesiskā valdītāja noteiktajā kārtībā un apjomā organizēt KI fiziskās drošības pasākumu nodrošināšanā iesaistītajiem darbiniekiem teorētiskas un praktiskas apmācības par fizisko drošību;
• Ne vēlāk kā mēnesi pirms minēto mācību norises dienas par to informēt valsts drošības iestādi.

Kontrole:

• Valsts drošības iestādes var pārbaudīt reglamentējošajos dokumentos noteikto prasību izpildi, KI darbiniekus un pakalpojumu sniedzēju – darbiniekus, īpašniekus, valdes locekļus. Pamatojoties uz pārbaudes rezultātiem, var tikt sniegti ieteikumi KI drošības pasākumu veikšanai
• Ja valsts drošības iestāžu rīcībā ir informācija, ka atbildīgais par drošību neatbilst iepriekšminētajām prasībām, tās informē KI īpašnieku vai tiesisko valdītāju
• KI drošību reglamentējošos dokumentus saskaņo ar valsts drošības iestādi.

Kritiskā infrastruktūra tiek iedalīta trīs kategorijās pēc to nozīmības – A, B vai C kategorijā

• A – valsts līmeņa sevišķi svarīga kritiskā infrastruktūra, kuras iznīcināšana vai darbības spēju samazināšana būtiski apdraud valsts pārvaldīšanu un drošību;

• B – valsts līmeņa sevišķi svarīga kritiskā infrastruktūra, kuras iznīcināšana vai darbības spēju samazināšana būtiski apdraud valsts pārvaldīšanu un drošību;

• C – valsts līmeņa sevišķi svarīga kritiskā infrastruktūra, kuras iznīcināšana vai darbības spēju samazināšana būtiski apdraud valsts pārvaldīšanu un drošību;

A kategorijas KI fiziskās drošības pasākumu īstenotāju nosaka ar atsevišķu Ministru kabineta rīkojumu, taču par B un C kategorijas KI fiziskās drošības pasākumu realizēšanu atbild KI īpašnieks vai tiesiskais valdītājs. Tas nozīmē, ka A kategorijas KI fiziskās drošības pasākumus var nodrošināt ne tikai pats īpašnieks vai tiesiskais valdītājs, bet arī kādas citas institūcijas, piemēram, valsts drošības un tiesībsargājošās iestādes, kā arī bruņotie spēki.

Kritiskās infrastruktūras drošības minimālās prasības

Ministru kabineta noteikumos Nr.496 ir nosacījums, ka KI drošības pasākumu reglamentējošie dokumenti  jāsaskaņo ar valsts drošības iestādi. Tāpat šiem noteikumiem ir pievienota obligāti iekļaujamā informācija, ko var uztvert arī par minimālajām prasībām, jo šādas informācijas iesniegšana iezīmē drošības organizatorisko struktūru.

Reglamentējošajos dokumentos obligāti jāiekļauj:

1. Vispārēja informācija par KI – nosaukums, īpašnieks vai tiesiskais valdītājs, KI atrašanās vieta (adrese), dokumenta mērķis
2. Institūcija (struktūrvienība), kas nodrošina drošības pasākumu īstenošanu (tātad faktiski jābūt vai nu ārējam pakalpojumam, piemēram, no valsts policijas vai apsardzes kompāniju puses, vai iekšējai struktūrvienībai, piemēram, iekšējās drošības dienestam, kas nodrošina drošības pasākumu īstenošanu)
3. Ārējā perimetra aizsardzība (piemēram, žogi un to izvietojums, apgaismojums un tā izvietojums, videonovērošana, signalizācija). Šis punkts norāda uz to, ka jābūt definētam perimetram un noteiktiem tā aizsardzības mehānismiem – fiziskām barjerām, gaismas objektiem un drošības sistēmām.
4. Iekļūšanas kontrole KI vai tās teritorijā (piemēram, iekļūšanas punkti, to izvietojums, darba laiks, personu identifikācijas dokumentu paraugi, noteiktais caurlaižu režīms kā darbiniekiem un apmeklētājiem, tā arī transportlīdzekļiem un kravām). Punkts norāda uz nepieciešamību noteikt caurlaižu režīmu, definēt piekļuves zonas un izstrādāt identifikācijas veidus.
5. Ierobežotas piekļuves zonas (piemēram, izvietojums, iekļūšanas punkti, noteiktā iekļūšanas kontrole darbiniekiem, apmeklētājiem un transportlīdzekļiem). Šeit tiek paplašināts jēdziens par piekļuves zonām, caurlaides režīmu un piekļuves tiesībām.
6. Apsardzes personāla funkcijas (piemēram, izvietojums, pienākumi, tiesības, patrulēšanas režīms). Faktiski norāda uz fiziskās apsardzes nepieciešamību KI objektos.
7. KI videonovērošanas sistēmas un videonovērošanas sistēmas shēma. Šis punkts norāda uz nepieciešamību izvietot un uzstādīt videonovērošanas sistēmas, kas uzrauga KI objektu un teritoriju. Tāpat videonovērošanas sistēmai jābūt shematiski attēlotai, jo šāda shēma ļauj pamanīt arī aklās zonas.
8. KI fiziskās drošības signalizācijas sistēmas. Šis punkts pievērš uzmanību vajadzībai pēc lokālas apsardzes signalizācijas vai tehniskās apsardzes, tomēr jāņem vērā, ka šeit nav prasība pēc shēmas (kas gan praksē tomēr tiek realizēta), jo vairums apsardzes tehnisko sistēmu ierīkotāji tāpat izstrādā šādu sistēmu izvietojuma shēmas sistēmu uzstādīšanas laikā.
9. Kritiskās infrastruktūras vai Eiropas kritiskās infrastruktūras plānojums. Šāda prasība, šķiet, ir ne tikai drošībai, bet arī saimnieciskiem un operatīviem nolūkiem. Grūti iedomāties, kā uzņēmums spēj strādāt, ja nezina savu īpašumu un teritoriju.
10. Rīcība apdraudējuma situācijās (sprādziens, bruņots uzbrukums, sprādzienbīstama priekšmeta atrašana, informācijas saņemšana par spridzināšanas draudiem, aizdomīga pasta sūtījuma saņemšana, nesankcionēta iekļūšana vai tās mēģinājums, nesankcionēta kritiskās infrastruktūras vai Eiropas kritiskās infrastruktūras objekta filmēšana, fotografēšana vai cita veida dokumentēšana). Šī prasība atkarībā no objekta varētu būt ar vislielāko dokumentācijas daudzumu, jo paredz vajadzību izstrādāt tādus dokumentus kā apsardzes instrukcijas, rīcība ārkārtas situācijā, drošības procedūras u.c.

Var uzskatīt, ka šie MK noteikumi Nr. 496. apraksta pamatvajadzības ne tikai kritiskās infrastruktūras objektiem, bet arī jebkurai organizācijai un uzņēmumam, kas vēlas nopietni pievērsties drošības mehānismu pilnveidošanai.

Tāpat valsts drošības iestādes nereti izplata dažādas rekomendācijas par KI drošību

Eiropas Savienības nozīme kritiskās infrastruktūras drošībā

Būtu kļūdaini spriest, ka Eiropas Savienība (ES) nedomā par kritiskās infrastruktūras drošību, izstrādājot visas ES drošības politiku. ES radīto ietekmi varam redzēt arī Ministru kabineta noteikumos Nr. 496, kur minēts, ka tajos iestrādātas prasības no Eiropas Padomes 2008.gada 8.decembra Direktīvas 2008/114/EK[4] par to, lai apzinātu un noteiktu Eiropas kritiskās infrastruktūras un novērtētu vajadzību uzlabot to aizsardzību.

Šī konkrētā direktīva gan ir viena no lielākas Eiropas Kritiskās Infrastruktūras aizsardzības programmas (EPKIA)[5] sastāvdaļām. Konkrētās programmas mērķis ir uzlabot kritiskās infrastruktūras drošību ES, izstrādājot vienotu ES ietvaru kritiskās infrastruktūras aizsardzībai. Šī programma paredz, ka visā Eiropas Savienībā ir izveidota ne tikai vienota reglamentējošā pieeja kritiskās infrastruktūras aizsardzībai, bet arī pastāv Kritiskās Infrastruktūras Brīdinājumu Informācijas Tīkls (CIWIN), ES līmenī izveidotas KI drošības ekspertu grupas un norit KI drošības informācijas apmaiņas process. Kaut gan konkrētā direktīva 2008/114/EK ir tikai rekomendējoša rakstura un vairākās ES valstīs izveidojusies un pastāv vienota izpratne par KI drošību, 2019. gadā Eiropas Komisija izvērtēja direktīvas ieviešanu un nonāca pie būtiskiem secinājumiem:

• Kopš direktīvas pieņemšanas ievērojami mainījies tehnoloģiskais, ekonomiskais, sabiedriskais, politiskais un vides konteksts, kurā darbojās kritiskā infrastruktūra, tādēļ direktīvai ir tikai daļēja atbilstība esošajai situācijai.
• Direktīva ir bijusi nepilnīga, tai pietrūkusi efektivitāte un konkrētība, jo tā ļāvusi dalībvalstīm interpretēt prasības pēc savas izpratnes.
• Direktīva ir sasniegusi vienota ietvara izstrādes mērķi, ko dalībvalstis citādi pašas nebūtu sasniegušas.
• Dalībvalstis vēlas vienotu pieeju KI drošības īstenošanā.
• Tiek minēta nepieciešamība paplašināt KI sektoru loku.

Tāpat izvērtējums atklāj gan pieaugošos izaicinājumus un mainīgo draudu vektorus, gan nepieciešamību elastīgi pielāgoties jaunajiem draudiem. Ņemot vērā novērtējumā atklāto atbalstu vienotai ES pieejai dalībvalstu kritiskās infrastruktūras drošības īstenošanā, paredzams, ka nākotnē ES palielinās savu lomu KI drošības regulēšanā un, iespējams, direktīvas pārtaps par regulām.

[1]  https://likumi.lv/doc.php?id=209821 

[2] https://likumi.lv/ta/id/212031-kritiskas-infrastrukturas-taja-skaita-eiropas-kritiskas-infrastrukturas-apzinasanas-un-drosibas-pasakumu-planosanas

[3] Kritiskā infrastruktūra

[4] http://eur-lex.europa.eu/eli/dir/2008/114/oj/?locale=LV

[5] https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2006:0786:FIN:EN:PDF