W skrócie
- Liczba odnotowanych cyberataków na polskie wodociągi wzrosła z 59 w 2024 roku do 94 w roku ubiegłym.
- Mariusz Kujawski, wiceprezes ComCERT z Grupy Asseco zaznacza, że za atakami nie zawsze stoją grupy powiązane z obcymi państwami.
- Systemy wodociągowe są szczególnie narażone na cyberataki ze względu na długie cykle życia urządzeń, brak jednolitych standardów bezpieczeństwa i rozproszoną strukturę sektora.
- Sytuację powinny poprawić środki z programu "Cyberbezpieczne Wodociągi". Pytanie, czy 600 mln zł wystarczy, żeby zabezpieczyć kraj przed poważnymi atakami, takimi jak skażenie wody czy przerwy w dostawach.
- Więcej podobnych informacji znajdziesz na stronie głównej serwisu
Sebastian Tałach, Interia Biznes: W Polsce w ostatnim czasie liczba cyberataków w branży wodociągowej rośnie bardzo dynamicznie. Krajowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego poinformował, że w 2025 roku obsłużył 94 takie incydenty, podczas gdy w roku 2024 było ich zaledwie 59. Skąd taki nagły wzrost?
Mariusz Kujawski, wiceprezes ComCERT z Grupy Asseco: - Jeśli spojrzymy na sytuację geopolityczną, staje się jasne, dlaczego sektor wodociągowy jest celem ataków. Wynika to z wielu czynników. To obszar związany z zaufaniem społecznym - mówimy o dostarczaniu wody, kanalizacji i bezpieczeństwie publicznym. Ataki na ten sektor mogą mieć poważny wpływ nie tylko na dostępność usług, ale też na szerszy kontekst społeczny.
Przyjrzyjmy się zatem głównym aktorom. Kto stoi za atakami na infrastrukturę wodociągową - głównie cyberprzestępcy, państwa czy może sabotażyści?
- Można wyróżnić trzy główne grupy. Pierwszą z nich są przestępcy nastawieni na zysk finansowy, stosujący m.in. ataki typu ransomware (rodzaj złośliwego oprogramowania, które szyfruje pliki lub blokuje dostęp do systemu, żądając okupu za ich odblokowanie - red.), które ukierunkowane są na systemy IT. Drugą - aktywiści, którzy dla szumu medialnego lub pokazania swoich możliwości w mediach społecznościowych przeprowadzają działania, podważając zaufanie społeczne. Trzecia grupa to w końcu wyspecjalizowane grupy, często powiązane z obcymi państwami, prowadzące ataki inspirowane i finansowane przez rządy, co w obecnej sytuacji geopolitycznej ma duże znaczenie.
Druga strona medalu to sama struktura sektora wodociągowego.
- Funkcjonuje on w Polsce od lat i był projektowany głównie w celu zapewnienia wysokiej dostępności usług. Systemy IT w tym sektorze były projektowane przede wszystkim pod kątem niezawodności i ciągłości działania, a niekoniecznie pod kątem najnowszych standardów bezpieczeństwa informatycznego. Urządzenia mające długi cykl życia - nawet kilkadziesiąt lat - są znane i dobrze przebadane, co zwiększa ryzyko dla cyberbezpieczeństwa.
- Dodatkowo sektor jest bardzo rozproszony - obejmuje różne podmioty, zarówno samorządowe, jak i centralne, w małych wsiach i dużych miastach, co oznacza brak jednolitej specyfiki i różny poziom cyberodporności pomiędzy poszczególnymi jednostkami. To wszystko sprawia, że branża wodociągowa staje się atrakcyjnym celem dla cyberataków.
Czy rzeczywiście obserwujemy wzrost liczby takich ataków, czy może po prostu lepiej je wykrywamy i raportujemy niż wcześniej?
- Liczba takich ataków rzeczywiście rośnie, a jednocześnie ich wykrywanie jest coraz lepsze. Widzimy, że prowadzone są zarówno działania centralne, jak i lokalne, a świadomość wśród podmiotów świadczących te usługi wzrasta. W ubiegłym roku mieliśmy wiele incydentów, które odbiły się też echem w mediach, co pokazuje, że branża coraz lepiej raportuje i reaguje na takie zagrożenia.
- Na wzrost wykrywalności wpływa również presja regulacyjna. Nawet tam, gdzie wcześniej świadomość zagrożeń mogła być mniejsza, sektor wodociągowy został objęty regulacjami KSC i uznany za usługę krytyczną, co nakłada określone obowiązki w zakresie bezpieczeństwa.
Macie dane, jak Polska wypada na tle innych krajów w Europie jeśli chodzi o liczbę i skalę tego typu ataków?
- Problem polega na tym, że nie wszystkie kraje publikują pełne dane o cyberatakach, a statystyk sektorowych wciąż brakuje. Mimo to można powiedzieć, że Polska na tle Europy i świata jest krajem o bardzo wysokiej ekspozycji na cyberataki. Jeśli chodzi o ataki typu ransomware, w ubiegłym roku Polska była najczęściej atakowanym krajem na świecie. W niektórych raportach za pierwsze półrocze przewyższaliśmy nawet Stany Zjednoczone pod względem liczby takich incydentów. Polska staje się atrakcyjnym celem dla cyberprzestępców.
To ile z ataków przeprowadzonych w zeszłym roku było w jakkolwiek sposób udanych - oczywiście z punktu widzenia głównych aktorów, o których już wspominaliśmy?
- To zależy, co rozumiemy przez "udany" atak, ponieważ cele atakujących różnią się w zależności od tego, kim oni są.
Osiągnięcie celów, które sobie zamierzyli.
- Analizując przypadki, które pojawiły się w mediach, wiemy np., że dochodziło do ataków na stacje uzdatniania wody, gdzie sprawcy pokazywali w filmikach publikowanych w mediach społecznościowych, że przeszli z trybu automatycznego na ręczny i przestawiali pompy na maksymalne obroty.
Zobacz również:
- To są właśnie ataki nastawione głównie na wywołanie szumu medialnego wokół siebie. Nie zawsze powodują realne zagrożenie dla ciągłości dostaw - przestawienie jednej pompy na maksymalne obroty nie spowoduje zakłóceń w całym systemie. Jednak ich celem jest wywołanie wrażenia w społeczeństwie, że bezpieczeństwo usług jest zagrożone, co może podważać zaufanie publiczne do sektora.
To był jeden z głośnych przypadków. Jakie inne poważne ataki odnotowano w ostatnim czasie?
- W ubiegłym roku, w sierpniu, udało się udaremnić poważny atak w jednym z dużych miast w Polsce, który mógł przerwać dostawy wody. Również w grudniu doszło do dużego ataku na sektor energetyczny - był to tzw. atak low and slow, gdzie sprawcy przygotowywali się przez kilka miesięcy i czekali na odpowiedni moment. Na szczęście szybko zareagowano i udało się sprawnie opanować sytuację.
Od czego to zależy, kiedy cyberatak uda się wykryć wcześniej i zareagować na czas?
- Skuteczność ataków zależy od ich celów. Część ataków rzeczywiście przynosi sukcesy dla atakujących, ale branża podejmuje ogromny wysiłek, aby je wykrywać i powstrzymywać. W świecie cyberataków trudno mówić o jednoznacznym rozróżnieniu "udany-nieudany", bo np. jeśli sprawca wysyła tysiące phishingowych maili, a jeden z nich się powiedzie, dla niego jest to sukces.
- Nie bez znaczenia jest też to, że w mediach najczęściej pojawiają się informacje o incydentach, które się powiodły - "good news is not news" - dlatego opinia publiczna często widzi tylko te sytuacje, które wzbudzają emocje.
- Do tego, jeśli atak uda się powstrzymać, nie powstaje incydent w sensie formalnym. Nie prowadzimy więc globalnych statystyk, które pozwalałyby w pełni ocenić skalę prób ataków, które zostały udaremnione.
Istnieje dzisiaj ryzyko scenariusza bardziej krytycznego - na przykład masowego skażenia lub zatrzymania dostaw wody?
- Taki scenariusz jest potencjalnie możliwy - nie można go całkowicie wykluczyć. Pokazują to chociażby doświadczenia z Ukrainy, gdzie doszło do skutecznych ataków na infrastrukturę energetyczną, skutkujących przerwami w dostawach prądu. Podobnie może być z wodociągami. To dowodzi, że infrastruktura krytyczna może być realnym celem i nie można tego zagrożenia bagatelizować.
- Jednocześnie nie należy tego nadmiernie demonizować. Tego typu ataki nie są łatwe do przeprowadzenia. Systemy infrastruktury krytycznej, w tym wodociągowe, są zazwyczaj projektowane warstwowo - tak, aby pojedyncze naruszenie nie powodowało efektu domina i nie prowadziło do poważnych konsekwencji w całym systemie.
Na ile taki scenariusz jest dziś realny?
- Realizacja byłaby bardzo trudna i wymagałaby dużych zasobów oraz zaawansowania po stronie atakujących. To wręcz ekstremalne przedsięwzięcie. Warto też pamiętać, że cyberprzestępcy zazwyczaj szukają prostszych celów i łatwiejszych metod działania.
Dlaczego ekstremalne?
- Przykład masowego skażenia wody to scenariusz skrajny i bardzo wymagający, ponieważ celem byłoby zatrucie części społeczeństwa. Trudno wskazać realne przypadki na świecie, które faktycznie zmierzałyby w tym kierunku. Znacznie bardziej prawdopodobne są ataki wymierzone w zakłócenie ciągłości dostaw usług niż w bezpośrednie zagrożenie zdrowia czy życia na dużą skalę.
- Wyobraźmy sobie sytuację, w której w średniej wielkości mieście w Polsce przez trzy dni brakuje wody. Skala chaosu, który by to wywołało - zarówno organizacyjnego, jak i społecznego - byłaby ogromna. Dochodzą do tego poważne konsekwencje wizerunkowe oraz zachwianie poczucia stabilności i bezpieczeństwa.
Zobacz również:
- I to właśnie jest istotą działań w ramach wojny hybrydowej - wywoływanie chaosu, generowanie szumu medialnego i osłabianie zaufania obywateli do państwa. Celem cyberataków nie są bezpośrednio ofiary w ludziach, lecz destabilizacja funkcjonowania infrastruktury i całego systemu.
Jak wygląda typowy cyberatak na infrastrukturę - krok po kroku?
- Infrastruktura wodociągowa składa się z dwóch głównych części: IT, czyli klasycznej infrastruktury informatycznej, oraz OT, odpowiadającej za systemy przemysłowe - np. pracę pomp czy stacji uzdatniania wody. Oba te obszary są ze sobą połączone.
- Infrastruktura jest rozproszona i opiera się na komunikacji między obiektami, często przez urządzenia sieciowe, np. routery LTE. To właśnie one stanowią najczęstszy punkt wejścia dla atakujących. W praktyce wykorzystują oni proste słabości, takie jak niezmienione domyślne hasła. Kolejnym problemem bywa brak odpowiedniej separacji między środowiskami IT i OT. Jeśli jej nie ma, atakujący po uzyskaniu dostępu może stosunkowo łatwo przejść do systemów sterujących procesami technologicznymi.
Jak szybko atak może przełożyć się na realne zagrożenie, również dla ludzi ?
- Wszystko zależy od wiedzy i celu atakującego. W prostszych przypadkach może to być np. ręczne sterowanie urządzeniami, widoczne niemal od razu. W bardziej zaawansowanych scenariuszach atakujący mogą działać w ukryciu przez dłuższy czas i uderzyć w wybranym momencie. Dlatego czas od infiltracji do realnego wpływu na system może być bardzo różny - od natychmiastowego efektu po działania rozłożone na wiele miesięcy.
Polska jest dziś przygotowana na duże cyberataki? Gdyby miał pan wskazać największe luki w systemie ochrony wodociągów, które wymagają pilnego zasypania, co by to było?
- Jeśli chodzi o ogólną gotowość Polski, trudno o jednoznaczną ocenę - sektor jest bardzo zróżnicowany i poziom dojrzałości poszczególnych podmiotów bywa różny. Widać jednak wyraźnie, że kierunek jest właściwy: pojawiają się programy wsparcia, inicjatywy wymiany informacji o zagrożeniach oraz rosną wymagania regulacyjne, które wymuszają podnoszenie poziomu bezpieczeństwa.
- Trzeba zacząć od przygotowania checklisty - listy kluczowych obszarów do sprawdzenia, obejmujących IT, OT, organizację i reagowanie na incydenty. W praktyce oznacza to weryfikację podstawowych zabezpieczeń (zmiana domyślnych haseł, MFA, dostęp przez VPN), kontrolę kont serwisowych, inwentaryzację zasobów i przypisanie odpowiedzialności, wykonywanie i testowanie kopii zapasowych, a także sprawdzenie, czy systemy OT nie są dostępne z internetu i czy są odpowiednio odseparowane od IT. Równie ważne jest przećwiczenie scenariuszy awaryjnych, np. działania w sytuacji utraty dostępu do systemów IT.
- Polska zmierza w dobrą stronę, ale wciąż wiele zależy od konkretnych organizacji i ich podejścia do cyberbezpieczeństwa. Nawet duże i dobrze przygotowane podmioty na świecie padają ofiarą ataków, więc nie jest to wyzwanie wyłącznie lokalne.
Na co te około 600 mln zł z rządowego programu "Cyberbezpieczne Wodociągi" powinno zostać wydane w pierwszej kolejności, aby realnie poprawić bezpieczeństwo sektora? W końcu kwota jest dwukrotnie wyższa niż pierwotnie zakładano, co chyba samo w sobie świadczy o skali problemu.
- Środki z programu powinny być wydatkowane przede wszystkim tam, gdzie świat OT styka się ze światem zewnętrznym, bo tam zaczyna się większość zagrożeń. Konkretne rozwiązania będą zależały od sytuacji w poszczególnych jednostkach, ale priorytetem jest zabezpieczenie punktów styku systemów z internetem i światem zewnętrznym. W mniejszych lub mniej dojrzałych jednostkach czasem wystarczy zakupienie podstawowego sprzętu i stworzenie odpowiednich procedur, w bardziej rozwiniętych można inwestować w zaawansowane systemy ochrony.
Jak szybko te pieniądze mogą zostać zainwestowane i zacząć działać? W tym przypadku czasu raczej nie ma zbyt wiele i działa on na niekorzyść bezpieczeństwa stacji wodociągów.
- Środki można wykorzystać szybko. Trzeba skoncentrować się na eliminacji najprostszych wektorów ataku. To daje natychmiastowy efekt poprawy bezpieczeństwa.
Skoro liczba ataków wciąż rośnie, czy wzrost poziomu zabezpieczeń może w końcu sprawić, że skala ataków cyberprzestępców spadnie, czy zawsze znajdą nowe luki?
- Liczba ataków będzie rosła w każdym sektorze. Trend jest jasny - tak jak życie społeczne przenosi się coraz bardziej do świata wirtualnego, tak samo przenosi się przestępczość. Nie da się tego łatwo zatrzymać, bo tam, gdzie jest cyfrowa przestrzeń, pojawiają się nowe możliwości dla atakujących.
Z pana słów wyłania się obraz, że rosnącą liczbę cyberataków należy traktować jako coś naturalnego, niemal wpisanego w cyfrową rzeczywistość, a nie jako powód do nadmiernego niepokoju.
- Cyberprzestępczość powinniśmy traktować podobnie jak tradycyjną przestępczość, z którą mamy do czynienia na co dzień - kieszonkowców, kradzieże samochodów itp. To zjawisko znane od lat, wiemy, jak się chronić i czego się wystrzegać. Podobnie w świecie wirtualnym.
Zobacz również:
- Cyberprzestępczość nie zniknie - będzie się rozwijać i przenosić do coraz bardziej cyfrowych obszarów naszego życia. Tak jak nikt nie zostawia otwartej bramy do stacji uzdatniania wody czy przepompowni, tak nie wolno zostawiać "otwartych drzwi" w sieci. To powinno stać się dla nas naturalnym odruchem, bo te zagrożenia będą nadal obecne.
Czyli nie każdy cyberatak należy od razu interpretować jako działanie obcego państwa lub akt terroryzmu?
- Większość ataków to po prostu przestępczość finansowa - chodzi głównie o zdobycie pieniędzy. Nie są one skierowane przeciwko sektorowi krytycznemu jako takiemu i nie mają charakteru państwowego ani terrorystycznego.
Rozmawiał Sebastian Tałach
