Jednym z najważniejszych wyzwań, jakie w ostatnich latach stanęły przed zarządzającymi obiektami infrastruktury strategicznej w Polsce, jest zapewnienie im odpowiedniego bezpieczeństwa. Zaglądamy do Zarządu Morskiego Portu Gdynia, by sprawdzić, jak bardzo wielowątkowe i trudne jest to zagadnienie w tak rozbudowanej i urozmaiconej instytucji.

Kiedy myślimy o zapewnieniu bezpieczeństwa portowi morskiemu, musimy pamiętać nie tylko o szlabanach na bramach wjazdowych i pilnowaniu przeładowywanych towarów. Jest to temat znacznie bardziej rozbudowany i obejmuje nie tylko ochronę fizyczną. Nowe zagrożenia pojawiają się w związku ze zmieniającą się sytuacją geopolityczną, ale także z rozwojem technologii.

Bez pozwolenia lepiej nie wchodzić

Zarząd Morskiego Portu Gdynia jest zarządcą infrastruktury portowej. Na jego terenach na mocy umów dzierżawy działają dziesiątki przedsiębiorstw, w tym tych, które bezpośrednio odpowiadają za przeładunki i prace na nabrzeżach i z jednostkami pływającymi. Tereny ZMPG objęte są ochroną. Sprawuje ją zarówno wyspecjalizowana firma ochroniarska zatrudniana przez sam Zarząd, jak i firmy pracujące na zlecenie poszczególnych dzierżawców, np. operatorów portowych. Kwestie te są regulowane różnego rodzaju aktami prawymi, w tym przede wszystkim Ustawą o ochronie osób i mienia, Ustawą o ochronie żeglugi i portów morskich i Kodeksem ISPS, a dodatkowo szeregiem rozporządzeń czy rekomendacji.

– Przy wybieraniu dostawców takich usług jak ochrona, polegamy na postępowaniu w oparciu o PZP, które precyzuje bardzo dokładnie nasze wymagania. Przystępują do niego firmy zewnętrzne, agencje ochrony, które spełnią nasze założenia. Swoją drogą, nasze oczekiwania są dość rygorystyczne, ale wynika to z faktu świadomości ciążącej na nas odpowiedzialności – tłumaczy Kacper Synowiecki, dyrektor ds. bezpieczeństwa w Zarządzie Morskiego Portu Gdynia. – Pracownicy ochrony są zatrudniani przez firmy zewnętrzne, natomiast nasz wewnętrzny Dział Bezpieczeństwa, który zarządza całością, składa się z osób profesjonalnie do tego przygotowanych, w dodatku różnych specjalności, który jako całość jest w stanie realizować wszystkie powierzone nam zadania. Tych zadań jest znacznie więcej niż tylko ochrona fizyczna – dodaje Kacper Synowiecki.

Rolą agencji ochrony, zatrudnianych zarówno przez ZMPG, jak i poszczególne terminale portowe, jest bieżąca kontrola i ochrona obiektów portowych. To właśnie tych funkcjonariuszy spotykamy na bramach wjazdowych na teren terminali, oni sprawdzają wszystkie możliwe upoważnienia, ich zmotoryzowane patrole reagują na pierwsze alarmy i doniesienia np. o nieautoryzowanym wejściu na teren portu czy krążących nad jego obiektami niezgłoszonych wcześniej dronach.

Jak mówi Kacper Synowiecki, Port Gdynia na szczęście nie odnotowuje wielu incydentów związanych z naruszeniem jego granic administracyjnych, a te, które występują, są przypadkami odosobnionymi i pojedynczymi. Jednocześnie wspomniani funkcjonariusze agencji ochrony są wspierani przez nowoczesną technologię, co sprawia, że nieautoryzowane wejście na teren portu bez zwrócenia na siebie uwagi jest praktycznie niemożliwe.

– Na naszych obiektach i do naszej dyspozycji mamy setki kamer telewizji przemysłowej połączonych w systemy skutecznie wspierające ochronę fizyczną. W ostatnich latach udało się mocno ten system rozbudować i zmodernizować. Do naszych instrumentów dołączyły również wysokiej jakości kamery termowizyjne, które pozwalają na obserwację miejsc słabo oświetlonych lub istotnych z naszego punktu widzenia, inaczej będących trudnymi do monitorowania. Jestem pewny, że mamy bardzo dużo świadomość sytuacyjną i o wszelkich próbach naruszenia naszych granic wiemy – opisuje Kacper Synowiecki. – Efektem naszych działań w projektach dotyczących bezpieczeństwa oraz zwiększających nasze możliwości są zdecydowanie szybsze czasy reakcji naszych służb na próby nieuprawionych wtargnięć na tereny portowe oraz zatrzymania nieautoryzowanych wejść na nasze obiekty – dodaje dyr. ds. bezpieczeństwa w ZMPG.

Choć incydentów jest mało, to te, które miały miejsce, pokazują skuteczność systemu ochrony Portu Gdynia. Jak podaje dyr. Synowiecki, przykładem jest choćby prawomocny wyrok wydany przez Sąd Rejonowy w Gdyni w sprawie dwóch osób, które wtargnęły na teren Portu Gdynia w 2022 roku. Zostały one skazane na 4 miesiące pozbawienia wolności, nakaz wykonywania prac społecznych w wymiarze 20 godzin oraz dotkliwe kary finansowe. Inne postępowanie w związku z ujęciem sprawców wtargnięcia na teren portu i zawiadomieniem o możliwości popełnienia przestępstwa jest w toku.

– Dla niektórych osób, zwłaszcza młodych, może wydawać się, że próba przedostania się na nasz teren jest przygodą lub wyzwaniem ale, jak wskazują przykłady, taka próba niesie ze sobą nie tylko poważne konsekwencje finansowe, ale i prawne – zwraca uwagę dyrektor Synowiecki.

Służby w pogotowiu

Czasami w ujęciu osób, które wejdą w nieautoryzowany sposób na tereny administrowane przez ZMPG pomagają odpowiednie służby.

– Jeśli skala lub wzorzec jest wyjątkowy i podejrzewamy, że mamy do czynienia ze zorganizowaną grupą przestępczą, prosimy o wsparcie służby, jak to się stało w przypadku udanego, grudniowego ujęcia przez CBŚ Holendrów chcących wykraść narkotyki z jednego z naszych terminali, o czym głośno było w prasie – przypomina Kacper Synowiecki.

ZMPG współpracuje z różnymi służbami.

– Należy podkreślić, iż współpraca nie ma charakteru okazjonalnego – wręcz przeciwnie, przez cały rok pozostajemy w stałym kontakcie ze służbami i zawsze możemy liczyć na ich wsparcie. W większości przypadków, do kontaktów z ZMPG S.A., są wyznaczeni konkretni przedstawiciele poszczególnych formacji, dobrze zaznajomieni z obszarem Portu Gdynia – tłumaczy dyrektor ds. bezpieczeństwa ZMPG. Dodaje, że współpraca pozostaje na bardzo wysokim poziomie.

Port Gdynia na stałe współpracuje nie tylko z Policją czy Strażą Pożarną, ale również m.in. z Krajową Administracją Skarbową czy Strażą Graniczną. Regularnie organizowane są ćwiczenia, w których uczestniczą funkcjonariusze różnych służb, które pomagają wypracować i usprawnić metody koordynacji działań. Przed każdym wydarzeniem, które może mieć wpływ na bezpieczeństwo portu lub miasta, ZMPG organizuje spotkania, na które zapraszani są przedstawiciele poszczególnych formacji. Tak dzieje się choćby w przypadku otwarcia kolejnych sezonów zawinięć statków wycieczkowych. Przed każdym sezonem port organizuje odprawę, w której uczestniczą nie tylko przedstawiciele firm odpowiedzialnych za obsługę statków, ale także przedstawiciele służb mundurowych.

Od powietrza i wody

Jednym z zagrożeń, o których przed kilkunastoma laty nikt jeszcze nawet nie myślał, są drony. Port Gdynia położony jest w zasadzie po sąsiedzku z miejskimi terenami chętnie uczęszczanymi przez turystów. W najbliższej okolicy są m.in. Akwarium Gdyńskie, plaże, przy Nabrzeżu Pomorskim na Molo Północnym cumują choćby Dar Młodzieży, Dar Pomorza czy ORP Błyskawica, stąd odpływają też jednostki wycieczkowe na rejsy po wodach portu. Stąd często startują również drony, co nikogo nie powinno dziwić – zarówno turyści, jak i mieszkańcy chcą mieć piękne ujęcia miasta z lotu ptaka. Jednakże nie warto zapuszczać się latającymi bezzałogowcami nad tereny Portu Gdynia bez wiedzy jego administracji. Loty nad portem każdorazowo muszą być zgłoszone i zaakceptowane. ZMPG korzysta z systemu PANSA, za pomocą którego zgłaszane są poszczególne misje dronów. Zgłoszeń trzeba dokonać z odpowiednim wyprzedzeniem i poinformować o nich dodatkowo odpowiedzialne osoby w samym Porcie – wszelkie szczegółowe informacje dotyczące procedury dostępne są na stronie internetowej ZMPG.

Trzeba jednak pamiętać, że samo dopełnienie formalności z Portem Gdynia to nie wszystko. Port, podobnie jak całe miasto, znajduje się w strefie wieży kontroli lotów lotniska wojskowego na Oksywiu. Dlatego też przed każdym lotem trzeba skontaktować się z wieżą i uzyskać także ich pozwolenie na lot.

Nad terenami i basenami Portu Gdynia dość regularnie latają bezzałogowce. Często wykonują one zlecenia dla samego Zarządu lub dla poszczególnych jednostek działających w porcie. To nie tylko dokumentacja wideo i zdjęciowa, ale także specjalistyczne pomiary pomagające w realizacji konkretnych inwestycji infrastrukturalnych. Zdarzały się jednak sytuacje, kiedy operatorzy dronów nie przestrzegali obowiązujących procedur i dostawali długotrwałe zakazy lotów. Tego typu incydenty są jednak rzadkie. W ciągu ostatnich kilku miesięcy nie było ich wcale.

– Wcześniejszych naruszeń strefy z sezonu letniego było dosłownie kilka i były związane z okrętami USS Navy lub rotującym sprzętem amerykańskiego wojska na placach składowych oraz ze zjawiskowymi statkami wycieczkowymi zawijającymi do naszego portu. Część incydentów została wyjaśniona, jeśli procedury nie zostały dotrzymane. Do nas zgłaszają się ci piloci, którzy chcą latać u nas legalnie i przestrzegają procedury, jaka jest dostępna dla wszystkich zainteresowanych. Staramy się współpracować z podmiotami zewnętrznymi zgodnie z przepisami – zapewnia Kacper Synowiecki. – Procedury nie są skomplikowane – wiedzą o tym piloci, którzy mają na swoim koncie misje w porcie i którym ewentualny stres jest kompletnie niepotrzebny. Nasza ochrona jest przeszkolona odpowiednio i wie, jak ma reagować w przypadku zidentyfikowania pilota. Prowadzimy też kilka projektów związanych z technologicznymi rozwiązaniami monitorowania przestrzeni powietrznej, a jeden ze zrealizowanych pozwolił nam wyciągnąć odpowiednie wnioski.

W zakresie wykrywania i identyfikowania zdarzeń związanych z lotami dronów port ściśle współpracuje także z Komendą Portu Wojennego, 3. Flotyllą Okrętów bazującą w Porcie Wojennym i Żandarmerią Wojskową.

A co w sytuacji, kiedy ktoś postanowi dostać się na tereny Portu Gdynia od strony wody? Wszak baseny portowe nie są oddzielone od wód ogólnodostępnych bramą ze szlabanem, pomijając rzecz jasna falochrony. Gdyby komuś przyszło do głowy przepłynąć łódką np. z wód mariny gdyńskiej na baseny portowe, musi liczyć się z interwencją służb.

– W zależności od charakteru wpłynięcia możemy posiłkować się szeregiem służb współpracujących. W pierwszej kolejności oczywiście łączymy się z Kapitanatem i Urzędem Morskim, Policją oraz Strażą Graniczną. Każda z tych administracji i służb ma do swojej dyspozycji jednostki nawodne, które gotowe są do działania w trybie 24/7. W sytuacji kontaktu z jednostką i stwierdzeniem przypadkowego naruszenia naszych granic administracyjnych lub wypłynięcia z potrzeby uzyskania pomocy, dysponujemy środkami nawodnymi PSP oraz holownikami w ramach podpisanych porozumień – tłumaczy Kacper Synowiecki.

Inną sytuację stanowi potencjalna akcja ratownicza – wtedy do akcji weszłyby również jednostki SAR. Tego typu incydenty znajdują się często w scenariuszu ćwiczeń, jakie odbywają się w porcie. Warto też pamiętać, że Port Gdynia dzieli awanport z Portem Wojennym, w którym stacjonują okręty 3. Flotylli Okrętów. Potencjalne wtargnięcie na akwatorium portu nie pozostałoby bez odpowiedzi ze strony Marynarki Wojennej, a ona – jak przypomina nasz rozmówca – ma do dyspozycji znacznie szerszy wachlarz efektorów.

Sam ZMPG planuje też pozyskanie na własne potrzeby wielofunkcyjnej łodzi, która będzie do wyłącznej dyspozycji pracowników portu. Dzięki temu załoga portu zyska niezależność podczas interwencji, ale także innych zadań na wodach portowych i będzie mogła służyć wsparciem reagującym na incydent służbom.

Po wodzie i światłowodzie

Osobny temat to cyberbezpieczeństwo. Zagadnienie jest na tyle duże i poważne, że w Zarządzie Morskiego Portu Gdynia istnieje osobna sekcja bezpieczeństwa i administracji systemów. Funkcjonuje ona w ramach działu IT.

– Mamy dosyć rozbudowany dział informatyki i telekomunikacji, jest złożony z naprawdę wysokiej klasy specjalistów i ekspertów. Sama bezpośrednia sekcja bezpieczeństwa i administracji systemów to komórka, która jest odpowiedzialna za obszar bezpieczeństwa naszej infrastruktury hardware'owej czy software'owej. Przede wszystkim każdego dnia otrzymujemy od tych instytucji, z którymi współpracujemy, różnego rodzaju rekomendacje, informacje o incydentach. Za każdym razem się z tymi informacjami zapoznajemy, analizujemy, czy na przykład dane rekomendacje są już u nas w systemach wdrożone, czy wymagają implementacji. Nierzadko jest tak, że wymagają dodatkowej konsultacji z CSIRT-em, czy z inną organizacją, która nam to zgłasza. Monitorujemy na bieżąco naszą infrastrukturę. Oprócz tego mamy na poziomie krajowym narodowe standardy cyberbezpieczeństwa, które też poniekąd regulują, w jaki sposób powinniśmy funkcjonować dla wspólnego dobra. Narodowy Program Ochrony Infrastruktury Krytycznej w 2023 roku opublikował załącznik, który określa pewne standardy służące zapewnieniu sprawnego funkcjonowania infrastruktury krytycznej. Jest tam również obszar dotyczący teleinformatyki. Więc to jest też to, w czym my funkcjonujemy na co dzień – opisuje Piotr Tretyn, kierownik działu IT ZMPG.

Poza bieżącą prewencją i reagowaniem na otrzymywane informacje, zadaniem pracowników sekcji bezpieczeństwa i administracji jest nieustanny monitoring infrastruktury. W porcie wdrożone są różne rozwiązania informujące o anomaliach w funkcjonowaniu systemów. Każda taka anomalia jest analizowana i – jeśli jest taka potrzeba – konsultowana ze specjalistami zewnętrznymi. Warto podkreślić, że współcześnie w zasadzie każdy element infrastruktury portu musi zostać cyfrowo zabezpieczony. Świat rzeczywisty przenika się ze światem cyber – każda inwestycja, czy to otwarcie nowego placu składowego, czy instalacja paneli fotowoltaicznych, musi odbyć się zatem z udziałem działu IT.

– W ramach Zarządu Morskiego Portu Gdynia współpracujemy w taki sposób, że komórki, które działają w swoich obszarach merytorycznych mają świadomość tego, że gdzieś ten punkt styku z informatyką w danym projekcie jest lub będzie. Tak samo współpracujemy z naszymi kontrahentami. Nasza obecność jest nierzadko niezbędna, żeby móc uruchomić kolejny obiekt, plac, magazyn, biuro. Takich punktów stycznych z IT jest z każdym tygodniem, miesiącem coraz więcej – opisuje Piotr Tretyn.

Co ciekawe, dział IT w kwestii cyberbezpieczeństwa zajmuje się nie tylko reagowaniem na incydenty i zabezpieczaniem infrastruktury, ale także... edukacją.

– Niezależnie od tego, jak dużo byśmy nakładów ludzkich i zasobów finansowych kładli w zabezpieczenia, w systemy, w różnego rodzaju rozwiązania, to zawsze najsłabszym ogniwem będzie człowiek. Ludzie nie do końca mają świadomość wagi tego wspólnego działania na rzecz naszego cyberbezpieczeństwa. A jest to niezwykle istotne. Zauważamy to również jako Zarząd Morskiego Portu Gdynia. Dlatego też kilka lat temu wprowadziliśmy system Security Awareness. Współpracujemy z firmą, która dostarcza nam rozwiązanie, w ramach którego prowadzimy cykliczne szkolenia naszych pracowników. I to wszystkich, od zarządu po najniższe stanowiska. Każde z nich jest niezwykle istotne w tym procesie. Czujemy wagę i istotę tego wspólnego działania na rzecz naszego cyberbezpieczeństwa. Dział IT może być najbardziej rozbudowany, najlepiej zabezpieczony, może mieć najwięcej środków na cyberbezpieczeństwo, ale w momencie, gdy powstanie jakaś luka na innych szczeblach funkcjonowania to niweczy nasz cały trud – argumentuje Piotr Tretyn.

W ramach programu Security Awareness pracownicy portu korzystają z platformy, na której udostępniane są dla nich materiały dotyczące cyberbezpieczeństwa. Zapoznanie się z nimi jest obowiązkowe. Jak mówi Piotr Tretyn, program odnosi pożądane efekty – w ciągu czterech lat nastąpił zauważalny wzrost świadomości pracowników, a liczba incydentów lub podatności na nie spadła. Dział IT weryfikuje to m.in. poprzez symulowane kampanie phishingowe, na które próbuje w kontrolowany sposób nabrać pracowników.

– O ile w pierwszych latach odsetek łapania się na ten phishing był dużo większy, to z roku na rok obserwujemy poprawę i zmianę – mówi dyrektor działu IT w ZMPG.

W gotowości

Kacper Synowiecki zwraca uwagę, że kwestie bezpieczeństwa w porcie – ważne zawsze – nabrały tylko jeszcze większej rangi od czasu ataku Rosji na Ukrainę. Jak mówi, pierwszy rok wojny był dla Działu Bezpieczeństwa bardzo trudnym okresem. Przypomina, że mieliśmy do czynienia z bezprecedensowej długości okresem drugiego poziomu ochrony (w trzystopniowej skali) przy okazji uszkodzenia gazociągu NordStream. Wszyscy zdawali sobie sprawę, że Rosja na Ukrainie atakuje infrastrukturę cywilną, próbując wyniszczyć ukraińską gospodarkę i tamtejsze możliwości transportowe nie bacząc na straty w ludności cywilnej. Pracownicy Portu Gdynia śledzili doniesienia o atakach na porty morskie, rzeczne i instalacje nadbrzeżne w Ukrainie.

– Wprowadzenie drugiego poziomu ochrony decyzją Dyrektora Urzędu Morskiego podyktowane jest względami bezpieczeństwa, w tym zwiększonym ryzykiem zajścia zdarzenia stwarzającego zagrożenie dla zdrowia, życia ludzi, mienia i infrastruktury obiektu portowego. Ma to zasadniczy wpływ na funkcjonowanie portu, ponieważ oznacza wdrożenie dodatkowych środków bezpieczeństwa. Zwiększone zostały kontrole bagaży i dokumentów pasażerów na promach, a także ładunków przypływających jednostek. Oznacza to skokowy wzrost liczby kwalifikowanych pracowników ochrony pod bronią oraz ilości pretensji osób poddanych rewizji, nie rozumiejących naszych powinności. W każdym razie, mimo że to był bardzo stresujący okres, było to również bardzo dobre ćwiczenie w praktyce nas samych, agencji ochrony czy terminali – wspomina Kacper Synowiecki.

Piotr Tretyn potwierdza, że od czasu napaści Rosji na Ukrainę również Port Gdynia stał się obiektem cyberataków.

– Nie mogę operować na konkretnych liczbach, natomiast nie będzie jakąś wielką tajemnicą, jeśli powiem, że dochodzi do ataków na naszą infrastrukturę. W szczególności w ostatnich latach, kiedy sytuacja geopolityczna zrobiła się trudna, szczególnie od momentu ataku Rosji na Ukrainę, zauważamy naprawdę zdecydowany wzrost liczby takich prób ataków – mówi. Zastrzega, że mówi o „próbach”, ponieważ ataki nie były skuteczne.

Wojna jednak trwa, a w Polsce, kraju przyfrontowym, również obowiązują w dalszym ciągu zarządzenia premiera dotyczące drugiego stopnia alarmowego BRAVO i trzeciego stopnia CRP na całym terytorium kraju.

– Nie powinniśmy się do tego stanu przyzwyczajać, pozostając przygotowanym na różne ewentualności – przestrzega Kacper Synowiecki, dyr. ds. bezpieczeństwa w Zarządzie Morskiego Portu Gdynia. Dlatego też, jak mówi, praca nad zapewnieniem bezpieczeństwa Portowi Gdynia nigdy się nie kończy. – Sukcesywnie od 2 lat udaje się nam zwiększać nakłady na ochronę, inwestycje i z powodzeniem planować wzrost naszych możliwości reagowania na różnego typu zagrożenia. Praca w tym sektorze i bieżącej specyfice geopolitycznej to ciągły proces doskonalenia. Wciąż się uczymy i wciąż szukamy przysłowiowych dziur w naszych systemach ochrony, reagowania i współpracy z podmiotami współodpowiedzialnymi za wielowymiarowe bezpieczeństwo. Jest to niekończące się wyzwanie i spora odpowiedzialność – kończy Kacper Synowiecki.