Bezpieczeństwo publiczne vs bezpieczeństwo prywatne, co się zmieniło…
Zainspirował mnie wysyp ustaw, które mają zmienić straż miejską w policję municypalną zaczyna. Pomału zaczyna on przerażać. Niedawno byłem w Łodzi, gdzie mogłem zapoznać się z projektem zwanym projektem “dwunastki”, od Unii Metropolii Polskich, których to metropolitalni komendanci mają swój projekt. Teraz dostałem projekt stowarzyszenia Krajowa Rada Komendantów Straży Miejskich i Gminnych (niekoniecznie od stowarzyszenia).
Przeraża mnie to, bo każde “rozjechanie kierunków działania” jakiejkolwiek organizacji jest zjawiskiem niepożądanym. Zmiany poza tym powinny nadchodzić na drodze ewolucji, w rozumieniu dłuższego nieco uświadamiania etc. Ale to na inny wpis, w którym na pewno popastwię się nad specjalistami od bezpieczeństwa którzy “sprzedają skoroszyt”, czyli gotowy produkt.
Wracając do zmian w bezpieczeństwie publicznym. Zarówno w jednym jak i drugim projekcie, nieco jest zmian w zadaniach nowego-starego. Nieco, oznacza moim zdaniem – nieco zbyt mało. I właśnie czytając projekty i dyskutując nad nimi uświadomiłem sobie pewną bardzo istotną kwestię. Zakresów zmian w bezpieczeństwie publicznym nastąpiło w ciągu ostatnich 10 lat bardzo dużo. Nie wiem, czy można nazwać to rewolucją, czy jeszcze ewolucją, ale myślę, że chyba czas nieco zwolnić i przystopować. I zacząć konsumować owe zmiany.
A ta najważniejsza, która w biznesie czy korporacyjnym bezpieczeństwie jest bardzo widoczna, a publicznym nieco mniej, to zmiana celu branży bezpieczeństwa.
Kiedyś bezpieczeństwo było celem samym w sobie. Zapewnić odpowiedni poziom bezpieczeństwa, w pewnych obszarach i w odniesieniu do określonych zagrożeń. Ot ustawa o stanie klęski żywiołowej, ustawa o ochronie przeciwpożarowej, ustawa o ochronie osób i mienia, ustawa o ochronie danych osobowych i inne ustawy “o ochronie”. W tych przepisach pojawia się główny nurt – ochrona zasobów jako takich. Ludzkich, finansowych, rzeczowych, informacyjnych.
Nagle jednak pojawiła się ustawa o zarządzaniu kryzysowym (2010), która wprowadziła pewną definicję oraz określiła co to jest sytuacja kryzysowa:
sytuacja kryzysowej — należy przez to rozumieć sytuację wpływającą negatywnie na poziom bezpieczeństwa ludzi, mienia w znacznych rozmiarach lub środowiska, wywołującą znaczne ograniczenia w działaniu właściwych organów administracji publicznej ze względu na nieadekwatność posiadanych sił i środków
Czyli pomału już mamy kwestie dobrze znane od lat w biznesie – ciągłość działania (BCM – business continuity management). Celem staje się utrzymanie funkcjonowania, nie samo bezpieczeństwo zasobów. Owo bezpieczeństwo staje się NARZĘDZIEM.
Jak i w BCM czy BCP (planach ciągłości) w bezpieczeństwie prywatnym, tak i tutaj pojawiły się pewne wskaźniki, oznaczenia, kryteria, które powodują, że coś zostanie zaklasyfikowane do infrastruktury krytycznej:
infrastrukturze krytycznej — należy przez to rozumieć systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. Infrastruktura krytyczna obejmuje systemy:
a) zaopatrzenia w energię, surowce energetyczne i paliwa,
b) łączności,
c) sieci teleinformatycznych,
d) finansowe,
e) zaopatrzenia w żywność,
f) zaopatrzenia w wodę,
g) ochrony zdrowia,
h) transportowe,
i) ratownicze,
j) zapewniające ciągłość działania administracji publicznej,
k) produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych;
Ciekawe prawda? Wiele z tych elementów jest w BCM jako kluczowe zasoby do utrzymania ciągłości. Ale, żeby jeszcze analogia jedna była. Ciągłość dostaw jest często elementem zarządzania bezpieczeństwem w łańcuchu dostaw czy już teraz częściej sieci dostaw (supply network). Tak samo mamy z infrastrukturą … na poziomie Unii Europejskiej:
europejska infrastruktura krytyczna — należy przez to rozumieć systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia i instalacje kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców, wyznaczone w systemach, o których mowa w pkt 2 lit. a i h, w zakresie energii elektrycznej, ropy naftowej i gazu ziemnego oraz transportu drogowego, kolejowego, lotniczego, wodnego śródlądowego, żeglugi oceanicznej, żeglugi morskiej bliskiego zasięgu i portów, zlokalizowane na terytorium państw członkowskich Unii Europejskiej, których zakłócenie lub zniszczenie miałoby istotny wpływ na co najmniej dwa państwa członkowskie;
Kierunek moim zdaniem… nie on nie tylko jest dobry. Jest po prostu na dzień dzisiejszy jeden z bardziej właściwych. Oczywiście nie można pomijać pozostałych (nie krytycznych) elementów, bo szacując ryzyko, zejdziemy mimo wszystko do tych, które są mało krytyczne, ale w sieci powiązań i… łańcuchu dostaw mogą wpłynąć na funkcjonalność zabezpieczanego procesu. Ale skąd wiedzieć?
Szacowanie i ocena ryzyka
Tak, to właściwa odpowiedź. We wspomnianej ustawie mamy art 5 ust 2:
2. W skład planów zarządzania kryzysowego wchodzą następujące elementy:
1) plan główny zawierający:
a) charakterystykę zagrożeń oraz ocenę ryzyka ich wystąpienia, w tym dotyczących infrastruktury krytycznej, oraz mapy ryzyka i mapy zagrożeń,
Mało prawda? Specjaliści bezpieczeństwa komercyjnego mówią – krótko. Gdzie BIA – ocena skutku incydentu (business impact analisys)? Cóż.. tu mało, ale czy naprawdę w przepisach nie ma? A art 68 ustawy o finansach publicznych? Może stamtąd? Tam już mowa o ZARZĄDZANIU RYZYKIEM. (w ramach tzw. kontroli zarządczej) i obowiązuje wszystkie jednostki sektora finansów publicznych. Tu już ryzyka powinny być oszacowane i ZARZĄDZANE. A plany ciągłości działania, to po prostu narzędzie reakcji na dane ryzyko, w momencie jego materializacji (oddziaływanie może być “na prawdopodobieństwo” i “na skutek”).
Najsłabsze ogniwo… w komercyjnym bezpieczeństwie. A może nie tylko?
Najgorzej w tym wszystkim wypada ochrona fizyczna mienia. Jako gałąź branży znajduje się często na styku bezpieczeństwa publicznego i prywatnego, a to niestety nie wróży zbyt dobrze. Dlatego, że w przypadku ochrony obiektów tzw. obowiązkowej ochrony, mamy rozkrok, między komercyjnymi podmiotami, czyli typowo prywatnym rynkiem, a dobrem publicznym. Czyli rządzą prawa rynku – tanio. Najgorzej, że prawo zamówień publicznych nie obejmuje chociażby wyłączenia z trybu przetargowego ochrony obiektów infrastruktury krytycznej, co powoduje to co powoduje.
Czyli w większości nie jest istotne to, czy ochrona zostanie zrealizowana, tylko za ile (dokładniej ile oszczędzimy w odniesieniu do poprzedniego budżetu). A jak nie zostanie zrealizowana – ewentualnie pokopie się wykonawcę, może na listę UZP go wrzuci, skosi po polisie i szczęście w pełni. Bo budżet niski. Tylko pytanie, czy naprawdę obiekty istotne ze względu na obronność, interes ekonomiczny, ochronę dziedzictwa, czy te dodatkowo w ramach infrastruktury krytycznej, w tym nawet europejskiej, powinny mieć ochronę wybieraną przez cenę? Czy coś co gwarantuje nam to, że nasz kraj będzie istnieć, że samoloty będą latać, będziemy mieć wodę, prąd, jest tak mało ważne, że chronić to może inwalida za 5 pln za godzinę (często brutto)?
I to jest jeszcze ta różnica w podejściu komercyjnym i podejściu prywatnym. BCP/BCM są obecnie wdrażane w wielu firmach, fabrykach, zakładach w Polsce. Nie dyskutuje się za bardzo o cenie, bo ważny jest efekt – jak coś rypnie to się będziemy umieli podnieść. A najlepiej jak nie rypnie, więc się kluczowe elementy chroni. Bo np. wydatek na system ochrony ppoż wartości 3 mln daje gwarancję, że nie złoży się cała linia za kilkaset mln. System CCTV za 350 tys. daje informacje o zdarzeniach w rejonach zagrożonych, co w reakcji usuwa ryzyko zatrzymania produkcji, usług o wartości od kilkudziesięciu mln do kilku miliardów (słownie napisałem, bo można źle odczytać).
Ale w przypadku infrastruktury krytycznej, która jest naprawdę trudna do oszacowania, wartość powinna być chyba już odtworzeniowo liczona (ile kosztować będzie zbudowanie nowej kotłowni, nowego szpitala, nowego portu), pewnie w setki milionów do dziesiątków miliardów – ryzyka zniszczenia, ataku terrorystycznego, zmiany właściwości są chronione przez … nie, już wyżej pisałem.
Podsumowanie
Bardzo mnie cieszy, że bezpieczeństwo publiczne zaczyna nabierać cech podobnych jak komercja. W prywatnym naprawdę liczy się każdą złotówkę, a jednak na bezpieczeństwo są spore budżety. I to jest chyba to co jest do nadrobienia w bezpieczeństwie publicznym – zmiana sposobu liczenia. Nie na zasadzie wydatków, tylko na zasadzie adekwatności do ryzyka. Paradoksalnie – znam obiekty, które moim zdaniem powinny całkowicie zejść z fizycznej, jako mało adekwatnej do zagrożeń. Ale znam też takie, że żeby pozyskać człowieka z rynku pracy, który zrealizuje wszystkie zadania, prewencyjne, interwencyjne, da radę w odbudowie, to i 25 netto za godzinę będzie mało. Ale to on zagwarantuje, że mało co rypnie.
Tylko… mały problem całej mojej branży. Prewencji i jej skuteczności praktycznie nie można oszacować. Bo się nie zdarzyło – nie wiadomo, czy dlatego, że mam taki system bezpieczeństwa jaki mam, czy dlatego, że się zdarzyć nie miało. Ale dlatego o swojej pracy mówię – gonię króliczka…
P.S. Zacząłem od straży i policji, skończyłem na filozoficznych wątkach. Obiecuję, ze już niedługo o SM w systemie bezpieczeństwa też będzie, o zadaniach i ewolucji. Swoją drogą zastanawiam się nad dorbkiem naukowym. Chyba naukowcy, jak już sobie uświadomią wszystkie zmiany w bezpieczeństwie publicznym i prywatnym, to będą mieli dużo pracy. Bo na dziś wszystkie napisane przed 2010 rokiem prace naukowe, magisterskie o tym, jaka rola SM, ochrony w systemie bezpieczeństwa państwa – są po prostu do wyrzucenia.
Artykuł pojawił sie równiez na blogu: http://grzegorzk.business-security.pl
