Biznes w obliczu zagrożenia

W ostatnich tygodniach wiele mówi się o sytuacji w Izraelu — czy działania antyterrorystyczne zostały tam odpowiednio przeprowadzone?

Działania zbrojne, które obecnie obserwujemy w Izraelu, zaskoczyły nie tylko postronnych obserwatorów, lecz także izraelskie służby.  Atak przeprowadzono  w taki sposób, że nie przewidział  go nawet jeden z najlepszych światowych wywiadów, do jakich zalicza się MOSAD. W ostatnich dniach mogliśmy zaobserwować sporo analiz od specjalistów relacji palestyńsko-izraelskiej. Wielu osobom trudno uwierzyć, że w Izraelu, w którym każdy obywatel brał udział w przeszkoleniu wojskowym i jest czujny na pojawienie się zagrożenia, doszło do czegoś takiego. Obecnie światowe służby wywiadowcze analizują sytuację i starają się odpowiedzieć na pytanie:  Gdzie popełniono błąd? Właściwa odpowiedź pomoże zapobiec tego typu zdarzeniom w przyszłości.

Przykładem bardzo dobrze zorganizowanych służb jest wywiad brytyjski — departament MI5 oraz MI6. Działa on w obszarze prewencji międzynarodowej oraz bezpieczeństwa wewnętrznego. To właśnie w Wielkiej Brytanii, w 1939 roku, armia IRA przeprowadziła pierwszy atak bombowy, którego celem byli cywile. Służby MI5 oraz MI6 mają ogromne doświadczenie, które pozwala im przewidzieć pewne działania. Ich umiejętności mogą okazać się bardzo potrzebne innym krajom do zrozumienia procesów oraz prób zapobiegania ataków terrorystycznych. Uważam, że w zakresie obrony przed nimi, Wielka Brytania może stanowić wzór dla innych krajów.

W jakich przypadkach występuje w Polsce podwyższone ryzyko ataku terrorystycznego dla obiektów oraz organizacji?

Metody i lokalizacje ataków terrorystycznych stale ewoluują. Są determinowane przez różnorodne czynniki, takie jak: umiejętności i wiedza sprawców, dostęp do funduszy, zasoby personalne oraz obszar działania. Stąd kluczowa jest weryfikacja, czy w bliskich geograficznie regionach wystąpiły podobne incydenty. Analizując ataki z wykorzystaniem pojazdów z ostatnich lat, należy odnotować ich zwielokrotnienie  w miejscach publicznych, które zazwyczaj mają słabsze zabezpieczenia. To ułatwia zarówno przeprowadzenie ataku, jak i pozyskanie narzędzia , czyli w tym wypadku pojazdu. Rozwój technologii nieodłącznie wpływa  na ewolucję zagrożeń dla bezpieczeństwa ludzi. Z rosnącą popularnością motoryzacji zwiększa się liczba incydentów spowodowanych zarówno świadomymi, jak i nieumyślnymi działaniami kierowców.

Z biegiem lat, w odpowiedzi na różnorodne zagrożenia terrorystyczne, ewoluowały odpowiednie metody prewencji i zminimalizowania ich efektów. Wraz z rozwojem technologicznym zaprojektowano również urządzenia, które mają na celu zapobieganie im przy użyciu pojazdów. Na całym świecie eksperci ds. bezpieczeństwa, inżynierowie i producenci, wykorzystując zdobyte doświadczenie oraz analizę potencjalnych zagrożeń, opracowali kryteria klasyfikujące i wybierające urządzenia przeznaczone do zapobiegania atakom.

Badania dotyczące bezpieczeństwa w obiektach użyteczności publicznej jednoznacznie dowodzą, że wdrażanie antyterrorystycznych systemów zabezpieczeń technicznych musi wykraczać poza wewnętrzne obszary budynków i nie może ograniczać się do konkretnych rodzajów incydentów, takich jak np. umieszczenie ładunku wybuchowego. Ataki terrorystyczne z użyciem pojazdów mechanicznych, a także nieoczekiwane wypadki drogowe, stanowią zagrożenie zarówno dla osób znajdujących się w budynkach, jak i w ich bliskim otoczeniu, włączając w to ciągi piesze i drogowe. Implementacja różnych typów barier antyterrorystycznych ma na celu zredukowanie ryzyka dla ludzkiego życia oraz uszkodzeń strukturalnych budynków.

Wiadomo, że sytuacja międzynarodowa oraz zaangażowanie kraju w różne działania zewnętrzne i konflikty zbrojne ma znaczący wpływ na potencjalny atak terrorystyczny. Możemy wyróżnić tzw. etapy oceny ryzyka związanego z różnymi zdarzeniami — pierwszy etap to identyfikacja potencjalnych zagrożeń, drugim jest ocena potencjalnych skutków, trzeci etap to ocena podatności. Przypomnę, że 20 lat temu każda firma posiadała sejf, w którym przechowywała dokumentację zawierającą  dane poufne lub wartości pieniężne. Aktualnie przedsiębiorcy przechowują większość swoich cennych danych i wartości na „zewnątrz”. Nastąpiło przeniesienie systemów CRM oraz finansowo-księgowych do „chmury”. Wynika to przede wszystkim z powodu większej odporności „chmur” na cyberataki oraz ataki fizyczne, takie jak  zniszczenie serwerowni czy dysków twardych.

Z tego powodu nowo wybudowane data center w Polsce, w których umieszcza się dane przedsiębiorstw, wyposażone są w kompletne zabezpieczenia, między innymi:  ochronę  perymetryczną  ogrodzenia, weryfikację wchodzących do budynku osób lub wjeżdżających pojazdów  oraz ściśle określone procedury przebywania  w strefach obiektu. Zasady zostają opracowane przez konsultanta ds. bezpieczeństwa, na podstawie specjalnych norm i dokonanej oceny ryzyka.  W wyniku takiej analizy powstaje plan ochrony, co stanowi podstawę do zastosowania odpowiednich zabezpieczeń.

Czy służby pod postacią bazy intelligence świadczą usługi, czy chociażby wspierają przedsiębiorców w przygotowaniu się do przeprowadzenia analizy ryzyka i występowania nieprawidłowości w systemie obrony?

Porównując Polskę oraz Wielką Brytanię, możemy zaobserwować wiele różnic. W Wielkiej Brytanii  stworzono centrum CPNI, czyli Center of Protection National Infrastructure. Jego polskim odpowiednikiem jest Rządowe Centrum Bezpieczeństwa, który zbiera i analizuje informacje i przekazuje je potencjalnie zagrożonym podmiotom. Pamiętajmy, że w naszym kraju mamy do czynienia z niejawną listą obiektów infrastruktury krytycznej, które postrzegamy jako element bezpieczeństwa narodowego. Tutaj jako przykład można wymienić elektrownie regionalne czy serwerownie sieci komórkowych Metodologia stosowana przez CPNI pomaga wypracować narzędzia wspomagające działania prewencyjne. W Wielkiej Brytanii przez ostatnie kilkadziesiąt lat rozwinięto system wspierania przedsiębiorstw poprzez specjalną sieć konsultantów działających z ramienia Security Institute I. Brtyjczycy mają  duże praktyczne doświadczenie operacyjne. Prywatne przedsiębiorstwa – poza konsultantami – mogą skorzystać z pomocy ponad 200 certyfikowanych inżynierów zajmujących się bezpieczeństwem, którzy tworzą plany infrastruktury krytycznej dla konkretnych obiektów. W Polsce działania te prowadzone są na dużo mniejszą skalę i plany ochrony w zakresie zagrożeń o charakterze terrorystycznym muszą być uzgadniane z właściwym terytorialnie dyrektorem delegatury Agencji Bezpieczeństwa Wewnętrznego. Choć oczywiście w naszym kraju również występują obiekty, które wpisane    są na listę obiektów podlegających obowiązkowej ochronie, a nie przynależą do  infrastruktury krytycznej. Mowa  m.in. o placówkach  bankowych, które w swoich skarbcach lokują określoną wartość pieniędzy. To z myślą o nich powstały specjalne plany ochrony zatwierdzane przez policję.

W Polsce Centrum Prewencji Terrorystycznej ABW  prowadzi kampanię  społeczną 4U, oznaczającą: uważaj, uciekaj, ukryj się, udaremnij. Z doświadczenia naszych zachodnich sąsiadów wiemy, że należy rozwijać świadomość społeczeństwa, przede wszystkim uświadamiając, w jaki sposób należy zachować się w przypadku ataku.

Czy organizacje i przedsiębiorcy korzystają z katalogu zagrożeń terrorystycznych?

Pamiętajmy, że myśląc o ryzyku, analizujemy zdarzenia, do których już doszło.  Nieustanne studium przypadków i odpowiednia prewencja stanowią  klucz do sukcesu. Warto nadmienić, że Agencja Bezpieczeństwa Wewnętrznego przygotowuje materiały edukacyjne, które wskazują odpowiednie rozwiązania. Kilka miesięcy temu ABW (Agencja Bezpieczeństwa Wewnętrznego) wydała kolejną edycję darmowego podręcznika — Terroryzm, studia, analiza i prewencja. Budynki infrastruktury krytycznej dzięki właściwym planom ochrony są lepiej chronione i bezpieczniejsze, dzięki wdrażanym normom opartym na doświadczeniu z innych krajów. Śledzenie obecnych światowych zdarzeń oraz współpraca z konsultantem ds. bezpieczeństwa pomoże ochronić obiekt i przede wszystkim znajdujących się w nim ludzi.

W jaki sposób odpowiednio zabezpieczyć obiekt komercyjny?

Zabezpieczenie obiektu komercyjnego przed atakiem terrorystycznym lub infiltracją to zadanie do realizacji w wielu różnych obszarach. Do elementów zabezpieczających należą systemy  entrance control i access control, określane w Polsce jako kontrola dostępu do obiektu.

Entrance control obejmuje urządzenia wejściowe i wjazdowe, realizujące założone scenariusze bezpieczeństwa dostępu utworzone w systemie Access Control. Access Control urządzenia wejściowe dla osób (drzwi, bramki wejściowe, śluzy osobowe), a dla pojazdów to urządzenia wjazdowe  (szlabany, skanery podwozia lub blokady antyterrorystyczne).

Access control są to urządzenia, takie jak: centrale sterujące, kontrolery, karty dostępu, czytniki kart lub czytniki biometryczne.

Dla polskich decydentów sytuacja ulega uproszczeniu, gdy biuro projektowe, pracujące nad danym obiektem, wraz z jego systemami zabezpieczeń technicznych i antyterrorystycznych, zatrudnia inżynierów posiadających uprawnienia z zagranicy. Jest to częsta praktyka w biurach projektowych z Europy Zachodniej czy USA, gdzie do standardów należy włączanie opracowania inżynierskiego jako kluczowej części projektu.

W trakcie projektowania i realizacji systemów zabezpieczeń kluczowe jest uwzględnienie dostępu projektanta do informacji poufnych, w tym procedur bezpieczeństwa takich jak procedury awaryjnego otwierania przejazdów dla służb ratunkowych czy umiejscowienie i funkcjonowanie sterowników. Z uwagi na konieczność ochrony danych poufnych, firmy zaangażowane w projekt powinny mieć certyfikaty bezpieczeństwa przemysłowego, a ich pracownicy – odpowiednie certyfikaty bezpieczeństwa osobowego. Inwestor musi określić (już na początkowym etapie projektu), jakie poziomy dostępu do informacji poufnych są wymagane i w jakich obszarach projektowo-wykonawczych będą one niezbędne.

Warto podkreślić, że jeśli obiekt jest należycie chroniony (co już stanowi  właściwą  prewencję), ryzyko ataku spada. W nieruchomościach komercyjnych można postawić na różne rodzaje zabezpieczeń antyterrorystycznych. W przypadku obwodowej kontroli pojazdów zazwyczaj stosuje się standardowe szlabany, które – niestety – nie zapewniają odpowiedniej ochrony. Za bardziej zaawansowany można uznać system zabezpieczenia antyterrorystycznego, wykorzystujący bramy antyterrorystyczne, bollardy lub road blokery (charakterystyczne, wysuwane z ziemi bariery). Są one znane w nomenklaturze międzynarodowej jako VSB (Vehicle Security Barier).

Natomiast w przypadku kontroli wejścia i wyjścia ludzi najbardziej typowym urządzeniem są drzwi lub bramki wejściowe, a najbardziej zaawansowanym systemem ochrony strefy wrażliwej  jest wykorzystanie śluzy kontroli dostępu pozwalającej na sprawdzenie, czy do obiektu wchodzi jedna, czy też wiele osób.

Przede wszystkim podczas tworzenia systemu zabezpieczeń należy zwrócić  uwagę na to, z jakich urządzeń i podsystemów korzystamy w obiekcie. Czy mają one odpowiednie certyfikaty i zostały przebadane pod kątem ich skuteczności wg odpowiednich norm branżowych? Produkty przetestowane zgodnie z normami opisanymi gwarantują odporności na włamania i aktywne działania przestępców. Ich głównym zadaniem jest zapewnienie oporu przeciwko próbom naruszenia zabezpieczenia przez określony czas lub zabezpieczenie przed atakiem przy użyciu pojazdu.

Do testowania bram, ogrodzeń, słupków i barier antyterrorystycznych stosuje się normy zabezpieczające przed atakiem terrorystycznym przy użyciu pojazdu. W Europie obowiązujące są IWA 14-1 lub PAS68, a w USA norma ASTM  F2656. Do  testowania i certyfikacji w zakresie próby włamania dla drzwi, okien, ścian działowych, krat i żaluzji  w Europie obowiązuje norma EN 1627. Norma Brytyjska 8 LPS 1175 koncentruje się na szerszym spektrum produktów, które nie są objęte normą EN 1627. Dlatego wykorzystanie produktów zgodnych z normą 8 LPS 1175 – w połączeniu z produktami spełniającymi normy dla VSB – stanowi skuteczne uzupełnienie w procesie projektowania kompleksowej ochrony obwodowej.

Kiedy organizacje powinny wziąć pod uwagę zatrudnianie wewnętrznego security managera, a kiedy outsourcing usług?

Duże organizacje, wchodzące w skład infrastruktury krytycznej, zatrudniają wewnętrznego security managera. Jego najważniejszym zadaniem jest dopilnowanie, aby w obiekcie przestrzegano obowiązujących zasad oraz procedur. Jednak proces zapewnienia bezpieczeństwa obiektu w pełnym wydaniu polega na nieustannym doskonaleniu wszystkich procedur ochrony. Obecnie dobrze działające przepisy za pół roku mogą okazać się niewystarczające, ponieważ wciąż pojawiają się nowe zagrożenia lub technologie. Dlatego najlepszym  rozwiązaniem jest  zatrudnienie zewnętrznego konsultanta, który ma doświadczenie z pracy dla wielu branż i różnych rodzajów budynków. Jego wszechstronna perspektywa i bogata, a zarazem praktyczna wiedza może okazać się bezcenna.

W bezpieczeństwie obiektu możemy mówić o trzech podstawowych elementach. Są to: zabezpieczenia techniczne, ochrona fizyczna oraz procedury–zasady. Jak efektywnie je zbalansować, aby zapewnić odpowiedni poziom bezpieczeństwa w obiekcie?

Ochrona techniczna i fizyczna to dwa pierwsze elementy, które nieodzownie muszą ze sobą współgrać. W związku ze zmianą sytuacji rynkowej, czyli wzrostem wynagrodzenia minimalnego, ochrona fizyczna staje się coraz bardziej elitarna. W związku z tym, że klienci nie są w stanie zapłacić więcej, zaczynają wprowadzać alternatywy, jak np. entrance control w obiekcie. Zazwyczaj decydują się wówczas na ochronę fizyczną jedynie w godzinach wieczornych i nocnych. Dziś rozwój technologii pozwala zabezpieczyć pewne obszary budynków bez konieczności angażowania personelu. Warto jednak podkreślić, że efektywna ochrona składa się z trzech etapów:  stworzenia odpowiedniej procedur i ujęcia jej w planie, zabezpieczenia fizycznego i technicznego, a także utrzymaniu właściwej korelacji między tymi obszarami. Jeśli każdy z tych kroków zostanie odpowiednio wdrożony, wówczas  we właściwy sposób zadbamy o bezpieczeństwo w obiekcie.

Podsumowując, w wyniku ataków terrorystycznych w krajach Unii Europejskiej nastąpił wzrost świadomości społecznej. Przyczyniło się to do wdrażania środków prewencyjnych. Wiele państw rozpoczęło montaż VSB, a dobrym przykładem są zaimplementowane rozwiązania w Paryżu. Na poniższej fotografii przedstawiono systemy zabezpieczeń zainstalowane na dworcu Gare de Lyon, będącym jednym z sześciu najważniejszych dworców w Paryżu.