Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Cyberataki wymierzone w systemy sterowania przemysłowego wodociągów należą do najpoważniejszych zagrożeń dla infrastruktury krytycznej. W przeciwieństwie do typowych incydentów IT, skutki takich naruszeń mogą wyjść poza sferę cyfrową i bezpośrednio wpłynąć na ciągłość dostaw wody, działanie usług komunalnych oraz bezpieczeństwo mieszkańców.
Polskie przypadki pokazują, że skuteczny atak na środowiska OT i ICS nie zawsze wymaga zaawansowanych exploitów. Często wystarczają podstawowe zaniedbania, takie jak słabe hasła, niewłaściwa segmentacja sieci oraz udostępnienie interfejsów administracyjnych do internetu.
W skrócie
W 2025 roku odnotowano naruszenia bezpieczeństwa w pięciu polskich obiektach związanych z uzdatnianiem i dostarczaniem wody. Z ujawnionych informacji wynika, że atakujący uzyskali dostęp do systemów sterowania przemysłowego, a w części przypadków także możliwość modyfikacji parametrów pracy urządzeń.
- celem były obiekty infrastruktury wodnej w różnych lokalizacjach,
- atakujący przeniknęli do środowisk OT i ICS,
- wskazano możliwość wpływu na procesy technologiczne,
- głównymi przyczynami skuteczności włamań były podstawowe błędy bezpieczeństwa.
Kontekst / historia
Ataki na infrastrukturę wodną wpisują się w szerszy trend działań hybrydowych wymierzonych w państwa europejskie. Wodociągi, oczyszczalnie, przepompownie i systemy dystrybucji mediów są szczególnie atrakcyjnymi celami, ponieważ odpowiadają za usługi niezbędne dla codziennego funkcjonowania społeczeństwa.
Dodatkowym problemem jest fakt, że wiele środowisk przemysłowych korzysta z długo eksploatowanych rozwiązań automatyki, które nie były projektowane z myślą o współczesnym krajobrazie zagrożeń. Operatorzy komunalni często działają także pod presją ograniczonych budżetów i niedoborów kadrowych, co utrudnia wdrażanie dojrzałych praktyk ochrony OT.
Rozproszenie incydentów pomiędzy różne lokalizacje sugeruje, że nie chodziło o pojedyncze, przypadkowe włamania, lecz o działanie ukierunkowane na konkretny sektor usług publicznych. Tego rodzaju kampanie mogą służyć zarówno rozpoznaniu środowiska, jak i testowaniu poziomu odporności państwa.
Analiza techniczna
Najważniejszym elementem technicznym tych incydentów jest przejście z warstwy IT do środowisk OT i ICS. Taki scenariusz oznacza, że napastnicy zdołali przełamać lub ominąć granicę pomiędzy siecią biznesową a systemami odpowiedzialnymi za proces technologiczny.
W praktyce dostęp mógł obejmować panele HMI, systemy SCADA, stacje operatorskie, serwery inżynierskie lub komponenty wykorzystywane do zdalnego zarządzania. Szczególnie niepokojąca była możliwość zmiany parametrów pracy urządzeń, co w środowisku wodociągowym może oznaczać ingerencję w harmonogramy pomp, ustawienia ciśnienia, progi alarmowe, parametry dozowania lub logikę sterowania.
Wskazane wektory wejścia były relatywnie proste. Kluczową rolę odegrały słabe hasła oraz publicznie dostępne interfejsy zarządcze. To sugeruje, że atakujący mogli prowadzić skanowanie ekspozycji, identyfikować dostępne usługi zdalne, a następnie wykorzystywać niewystarczające mechanizmy uwierzytelniania.
Istotnym problemem pozostaje także ograniczona widoczność operacyjna w wielu środowiskach OT. Organizacje są często w stanie wykryć nietypowe logowanie, ale znacznie trudniej jest im szybko ustalić, że ktoś zmienił konfigurację urządzenia, zmodyfikował parametr sterownika lub wykonał polecenie administracyjne poza standardowym oknem serwisowym.
Konsekwencje / ryzyko
Ryzyko związane z podobnymi incydentami ma kilka poziomów. Najbardziej oczywisty dotyczy zakłócenia ciągłości dostaw wody. Problemy operacyjne w obiekcie wodociągowym mogą uderzyć nie tylko w mieszkańców, ale także w szpitale, instytucje publiczne i przedsiębiorstwa zależne od stabilnych dostaw mediów.
Druga warstwa ryzyka obejmuje bezpieczeństwo operacyjne. Manipulacja parametrami pracy może prowadzić do przeciążenia urządzeń, awarii pomocniczych systemów sterowania lub destabilizacji całego procesu technologicznego. Nawet jeśli nie dochodzi do fizycznego uszkodzenia infrastruktury, sama możliwość takiej ingerencji oznacza bardzo wysoki poziom zagrożenia.
Trzecim wymiarem jest efekt psychologiczny i strategiczny. Ataki na wodociągi mogą wywoływać silny niepokój społeczny, ponieważ dotyczą usług postrzeganych jako podstawowe. W działaniach hybrydowych taki efekt bywa równie istotny jak bezpośrednia szkoda techniczna.
Nie można też wykluczyć, że uzyskany dostęp do środowiska OT stanowi przyczółek do dalszych operacji. Pozornie ograniczone włamanie może zostać wykorzystane później do sabotażu, wymuszeń, kampanii dezinformacyjnych lub skoordynowanych działań przeciwko większej liczbie obiektów.
Rekomendacje
Operatorzy infrastruktury wodnej powinni traktować bezpieczeństwo OT jako odrębną i wyspecjalizowaną domenę. Pierwszym krokiem powinna być pełna inwentaryzacja zasobów, obejmująca urządzenia automatyki, stacje operatorskie, połączenia zdalne, konta uprzywilejowane i wszystkie interfejsy wystawione poza sieć lokalną.
- usunąć publiczną ekspozycję systemów zarządzania,
- ograniczyć zdalny dostęp do kontrolowanych kanałów,
- wdrożyć silne hasła i uwierzytelnianie wieloskładnikowe tam, gdzie to możliwe,
- rozdzielić konta serwisowe od codziennej administracji,
- wzmocnić segmentację pomiędzy IT i OT,
- monitorować zmiany konfiguracji oraz nietypowe komendy,
- opracować procedury reagowania na incydenty specyficzne dla ICS,
- regularnie prowadzić audyty, testy konfiguracji i ćwiczenia typu tabletop.
W praktyce wiele organizacji może znacząco poprawić poziom bezpieczeństwa nie poprzez kosztowne inwestycje, lecz przez eliminację prostych zaniedbań. Dotyczy to domyślnych ustawień, nadmiernych uprawnień, niekontrolowanych połączeń serwisowych i nieudokumentowanych ścieżek zdalnego dostępu.
Podsumowanie
Incydenty dotyczące polskich wodociągów pokazują, że infrastruktura krytyczna pozostaje podatna nawet na ataki wykorzystujące podstawowe błędy organizacyjne i techniczne. W środowisku OT relatywnie nieskomplikowane włamanie może prowadzić do skutków fizycznych, społecznych i strategicznych.
Najważniejszy wniosek jest jednoznaczny: zdolność napastnika do ingerencji w parametry pracy urządzeń nie może być traktowana wyłącznie jako problem informatyczny. To realne zagrożenie dla ciągłości usług publicznych, bezpieczeństwa mieszkańców oraz odporności państwa na działania hybrydowe.