Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Cyberataki wymierzone w instalacje uzdatniania i dostarczania wody należą do najpoważniejszych incydentów dotyczących infrastruktury krytycznej. W odróżnieniu od klasycznych naruszeń systemów IT, kompromitacja środowisk OT i ICS może przełożyć się nie tylko na utratę poufności informacji, ale również na zakłócenie procesów technologicznych, przerwy w świadczeniu usług komunalnych oraz realny wpływ na bezpieczeństwo publiczne.
Przypadki opisane w Polsce pokazują, że sektor wodny staje się atrakcyjnym celem dla napastników zainteresowanych zarówno rozpoznaniem infrastruktury, jak i potencjalną ingerencją w procesy operacyjne. To oznacza, że bezpieczeństwo systemów sterowania przemysłowego powinno być traktowane na równi z ochroną innych strategicznych obszarów państwa.
W skrócie
W 2025 roku odnotowano incydenty bezpieczeństwa w pięciu polskich obiektach związanych z gospodarką wodną. Według publicznie przedstawionych ustaleń napastnicy uzyskali dostęp do systemów sterowania przemysłowego, a w części przypadków także możliwość wpływu na parametry pracy urządzeń.
- Za cel obrano lokalne obiekty wodociągowe i związane z gospodarką wodną.
- Kluczowymi problemami były słabe hasła oraz ekspozycja interfejsów administracyjnych do Internetu.
- Najpoważniejsze ryzyko dotyczyło możliwości ingerencji w działanie urządzeń i procesów.
- Incydenty wpisują się w szerszą debatę o odporności infrastruktury krytycznej na działania hybrydowe.
Kontekst / historia
Ataki na systemy ICS i SCADA od lat stanowią jeden z najbardziej wymagających obszarów cyberbezpieczeństwa. Przez długi czas kojarzono je głównie z wysoce zaawansowanymi operacjami przeciwko sektorowi energetycznemu, przemysłowi ciężkiemu lub administracji państwowej. Obecnie coraz wyraźniej widać jednak, że również usługi komunalne są postrzegane jako cele o dużej wartości operacyjnej i psychologicznej.
W polskim kontekście wskazano obiekty zlokalizowane w Jabłonnie Lackiej, Szczytnie, Małdytach, Tolkmicku i Sierakowie. Charakter tych incydentów sugeruje, że nie chodzi wyłącznie o oportunistyczne próby włamania, lecz o działania wpisujące się w szerszy model presji na infrastrukturę państwa. W publicznych analizach pojawiają się odniesienia do grup powiązanych z rosyjskim i białoruskim ekosystemem operacji cybernetycznych, co dodatkowo wzmacnia znaczenie tych zdarzeń z perspektywy bezpieczeństwa narodowego.
Analiza techniczna
Z technicznego punktu widzenia szczególnie alarmujące jest to, że atakujący nie musieli polegać wyłącznie na wyrafinowanych podatnościach. W wielu przypadkach kluczową rolę odegrały podstawowe błędy architektoniczne i organizacyjne, takie jak bezpośrednie wystawienie interfejsów zarządzających do sieci publicznej oraz niewystarczająca ochrona mechanizmów uwierzytelniania.
Taki scenariusz otwiera kilka etapów potencjalnego ataku. Najpierw możliwa jest enumeracja urządzeń, usług i kont administracyjnych. Następnie, po uzyskaniu dostępu, napastnik może próbować przejść do strefy OT, gdzie znajdują się sterowniki PLC, panele HMI, stacje inżynierskie i systemy nadzoru procesu. Jeżeli segmentacja między IT a OT jest niewystarczająca, droga do środowiska przemysłowego może okazać się zaskakująco krótka.
Najpoważniejszym elementem incydentów jest możliwość modyfikacji parametrów pracy urządzeń. W sektorze wodnym może to oznaczać wpływ na harmonogramy działania pomp, ustawienia automatyki, wartości zadane wybranych elementów procesu albo zatrzymanie części infrastruktury. Nawet jeśli nie dochodzi do trwałego uszkodzenia sprzętu, sama utrata integralności procesu technologicznego stanowi krytyczne zagrożenie dla operatora i odbiorców usług.
Opisane przypadki uwypuklają również problem konwergencji IT i OT. Systemy przemysłowe często działają przez wiele lat, mają ograniczone możliwości aktualizacji, słabsze mechanizmy logowania i dużą tolerancję na wyjątki konfiguracyjne. W praktyce sprawia to, że proste zaniedbania, takie jak przewidywalne hasła czy pozostawione domyślne konta, mogą stać się punktem wejścia do infrastruktury o strategicznym znaczeniu.
Konsekwencje / ryzyko
Najbardziej bezpośrednim skutkiem takich incydentów jest ryzyko zakłócenia ciągłości dostaw wody. To może oznaczać przerwy w usługach, awarie urządzeń, konieczność kosztownego przywracania środowiska do bezpiecznego stanu oraz spadek zaufania mieszkańców do operatora infrastruktury.
Drugi wymiar dotyczy bezpieczeństwa państwa. Infrastruktura wodna, choć często zarządzana lokalnie, ma kluczowe znaczenie dla funkcjonowania administracji, placówek ochrony zdrowia, służb ratunkowych i gospodarki. Ataki na takie obiekty mogą służyć jako test odporności, element presji politycznej lub komponent szerszych operacji destabilizacyjnych.
Nie mniej istotne jest ryzyko związane z detekcją. W środowisku OT nieautoryzowany dostęp nie zawsze powoduje natychmiastowe zakłócenie działania. Napastnik może przez dłuższy czas prowadzić rozpoznanie, analizować reakcje operatorów i przygotowywać dalsze działania. Brak widocznych skutków nie powinien więc być interpretowany jako dowód niskiej wagi incydentu.
Rekomendacje
Podstawą ochrony powinno być wyeliminowanie nieuzasadnionej ekspozycji systemów OT do Internetu. Interfejsy administracyjne, urządzenia zdalnego dostępu, panele HMI i stacje inżynierskie powinny być odseparowane od sieci publicznej, a zdalny dostęp musi odbywać się wyłącznie przez kontrolowane kanały z silnym uwierzytelnianiem i pełnym rejestrowaniem sesji.
- Wdrożenie rygorystycznej polityki haseł oraz MFA tam, gdzie jest to technicznie możliwe.
- Przegląd kont serwisowych, współdzielonych i domyślnych pozostawionych przez dostawców lub integratorów.
- Segmentacja sieci IT i OT z ograniczeniem komunikacji do ściśle zdefiniowanych relacji.
- Monitoring ruchu przemysłowego i detekcja anomalii na poziomie protokołów automatyki.
- Regularne audyty architektury, testy bezpieczeństwa oraz przeglądy ekspozycji usług z perspektywy Internetu.
- Przygotowanie procedur reagowania dla OT, w tym scenariuszy sterowania ręcznego i kopii konfiguracji systemów.
Organizacje odpowiedzialne za gospodarkę wodną powinny rozwijać zdolności reagowania incydentowego z uwzględnieniem specyfiki środowisk przemysłowych. Obejmuje to ćwiczenia tabletop, procedury izolacji segmentów, kopie konfiguracji sterowników oraz ścisłą współpracę z krajowymi instytucjami odpowiedzialnymi za cyberbezpieczeństwo.
Podsumowanie
Incydenty w polskich obiektach wodociągowych pokazują, że zagrożenie dla infrastruktury krytycznej nie musi zaczynać się od zaawansowanych exploitów. W wielu przypadkach wystarczają słabe hasła, błędna ekspozycja usług i niewłaściwa separacja środowisk, aby napastnik uzyskał dostęp do systemów mających realny wpływ na codzienne życie mieszkańców.
Najważniejszy wniosek jest jednoznaczny: bezpieczeństwo OT powinno być traktowane jako element odporności państwa i ciągłości usług publicznych. Sektor wodny potrzebuje nie tylko inwestycji technologicznych, ale również konsekwentnej poprawy podstawowej higieny bezpieczeństwa, która w praktyce eliminuje wiele najbardziej prawdopodobnych ścieżek ataku.
Źródła
- https://securityaffairs.com/191868/security/cyberattacks-on-polands-water-plants-a-blueprint-for-hybrid-warfare.html
- https://www.abw.gov.pl/pl/aktualnosci/2815,Agencja-Bezpieczenstwa-Wewnetrznego-2024-2025-Wybrane-aktywnosci.html