W Polsce coraz częściej dochodzi do fizycznych oraz cybernetycznych ataków na infrastrukturę krytyczną. W ubiegłym roku głośnym echem odbiły się informacje o dywersji na torach kolejowych, której skutkiem był wybuch powodujący duży ubytek w szynie. Banki, firmy energetyczne i ciepłownicze alarmują, że niemal codziennie są poddawane atakom cybernetycznym. W bardzo trudnej sytuacji są też firmy wodno-kanalizacyjne, w których zdarzają się zarówno incydenty fizyczne, jak też cybernetyczne.
Liczba ataków rośnie
W ubiegłym roku np. dwóch cudzoziemców przeskoczyło ogrodzenie Zakładu Uzdatniania Wody Bielany zaopatrującego w wodę mieszkańców Krakowa. Monitoring wykazał, że przez pewien czas przebywali na jego terenie i wykonywali zdjęcia. Intruzów zatrzymała ochrona i przekazała policji.
Z rządowych statystyk wynika też, że liczba ataków cybernetycznych na zakłady wodno-kanalizacyjne rośnie dynamicznie. Resort cyfryzacji poinformował PB, że „w 2025 r. zespół CSIRT NASK obsłużył 94 incydenty cyberbezpieczeństwa w branży wodociągowej, podczas gdy w 2024 było ich 59”.
Jednym z groźnych zdarzeń było przejęcie panelu sterowania w oczyszczalni ścieków Chodaczów, a nagranie tego incydentu opublikowała prorosyjska grupa hakerska. Podczas ataku zostały zmienione parametry technologiczne instalacji, np. poziom ścieków w reaktorach. Na szczęście pracownicy szybko przywrócili standardowe ustawienia.
Do manipulowania parametrami stacji uzdatniania wody dochodziło np. w Małdytach, Sierakowie i Tolmicku.
— To poważny problem. Bez energii czy usług bankowych ludzie są w stanie żyć, ale bez wody nie — podkreśla Bartosz Pastuszka, prezes firmy NaviRisk, którą wiele firm wodno-kanalizacyjnych poprosiło o przeprowadzenie audytów oceniających bezpieczeństwo.
Audyty wypadły fatalnie
Wypadły one bardzo źle zarówno w obszarze zabezpieczeń fizycznych, jak też cyfrowych.
— W wielu zakładach wodno-kanalizacyjnych teoretycznie obowiązują procedury dotyczące bezpieczeństwa, ale w praktyce główną osobą, która ma je zapewnić, jest pracownik portierni. W niektórych firmach były kamery zainstalowane w latach 90. XX wieku, a jakość obrazu z nich była bardzo słaba. Część kamer była źle umiejscowiona, więc nagrania nie pozwalały na identyfikację osób. Gdyby na teren zakładu wszedł ktoś nieuprawniony, policja czy prokuratora nie miałaby z tych nagrań żadnego pożytku — mówi Bartosz Pastuszka.
Pozytywne natomiast ocenia rozproszenie ujęć wody w wielu zakładach, bo w razie skażenia jednego można korzystać z innych. Duży problem widzi jednak w niewystarczającym zabezpieczeniu oczyszczalni ścieków, w których często są otwarte zbiorniki, a te łatwo zaatakować.
— Wystarczy wypuścić drona z ładunkiem — może to być słoik cyjanku — i zrzucić go do zbiornika, by zabić bakterie rozkładające ścieki. Taki atak może wywołać katastrofę ekologiczną i na długo wyłączyć instalację z użytku, bo odbudowa flory bakteryjnej zajmuje kilka miesięcy — mówi Bartosz Pastuszka.
Kiepskie zabezpieczenia fizyczne i cybernetyczne
Magdalena Jaczewska-Hawryluk, która nadzorowała audyty prowadzone przez NaviRisk, podkreśla, że poziom zabezpieczeń przed cyberatakami w zakładach wodno-kanalizacyjnych jest bardzo niski. W wielu przypadkach klienci mogą swobodnie przechodzić obok serwerowni, do których dostęp jest słabo chroniony. Zdarza się również, że pracownicy posiadają uprawnienia administratorów, co daje im możliwość samodzielnego wprowadzania zmian w systemach informatycznych. Dodatkowym problemem jest korzystanie z przestarzałego oprogramowania, często pochodzącego od firm, które już nie istnieją. W jednym przypadku system SCADA nie był aktualizowany przez dwa lata, natomiast niektóre audytowane podmioty miały wprawdzie dobrze zabezpieczone systemy, ale hasła dostępu były zapisane i przypięte na tablicy korkowej, co oznaczało, że każdy mógł z nich skorzystać.
Pieniądze z KPO na poprawę cyberbezpieczeństwa
Problemy firm wodno-kanalizacyjnych z niskim stanem zabezpieczeń sieci ma rozwiązać wdrażany przez rząd projekt Cyberbezpieczne wodociąciągi realizowany w ramach KPO. Początkowa pula na inwestycje firm przekraczała nieco 300 mln zł, ale ostatecznie rząd zwiększył ją do 625 mln zł, przyznając finansowanie na 688 projektów. Beneficjenci złożyli projekty warte w sumie 724 mln zł — na 71 wniosków pozytywnie ocenionych w konkursie nie wystarczyło pieniędzy.
Bartosz Pastuszka podkreśla, że pieniądze z programu umożliwią zakładom wodno-kanalizacyjnym wykonać wiele inwestycji zwiększających zabezpieczenia systemów, ale będą to działania doraźne. Przedsiębiorcy powinni także zatrudnić specjalistów, którzy stale będą dbać o bezpieczeństwo, a przede wszystkim szkolić pracowników i reagować na pojawiające się w sieci nieprawidłowości.
Cyberataki są coraz bardziej dotkliwe dla firm wodno-kanalizacyjnych. Na tle innych państw Unii Europejskiej wypadamy jednak całkiem nieźle pod względem kontroli i dbania o bezpieczeństwo. Może to wynikać z tego, że ze względu na położenie geograficzne i narażenie na ataki zza wschodniej granicy polskie firmy mają większą świadomość zagrożeń. W dużych zakładach zabezpieczenia są na wysokim poziomie, sporo do zrobienia jest w małych i średnich.