Dania oficjalnie obwinia Rosję o cyberataki na infrastrukturę krytyczną i serwisy wyborcze: co wiemy i jak się przygotować - Security Bez Tabu

Dania oficjalnie obwinia Rosję o cyberataki na infrastrukturę krytyczną i serwisy wyborcze: co wiemy i jak się przygotować

Wprowadzenie do problemu / definicja luki

Dania po raz pierwszy publicznie przypisała Rosji konkretne, „destrukcyjne i zakłócające” cyberataki: jeden wymierzony w infrastrukturę wodociągową, drugi – w serwisy internetowe związane z wyborami samorządowymi i regionalnymi. To ważny sygnał dla całej Europy: operacje w cyberprzestrzeni coraz częściej mają charakter hybrydowy (łączą presję polityczną, dezinformację, incydenty sabotażowe i cyberataki), a celami są nie tylko „duże” instytucje państwowe, ale też lokalne podmioty odpowiedzialne za ciągłość usług publicznych.

W skrócie

  • Duński wywiad wojskowy (FE/DDIS) ocenia, że pro-rosyjskie grupy Z-Pentest oraz NoName057(16) mają powiązania z państwem rosyjskim.
  • Atak na wodociągi (2024) miał charakter destrukcyjny: według doniesień doprowadził do problemów z dostawą wody (m.in. pęknięcia rur i czasowe braki u ok. 500 gospodarstw).
  • Osobno odnotowano DDoS przeciw duńskim serwisom w okresie poprzedzającym wybory samorządowe i regionalne (2025), przypisywany NoName057(16).
  • Władze traktują incydenty jako element rosyjskiej strategii destabilizacji państw wspierających Ukrainę.

Kontekst / historia / powiązania

Publiczne przypisanie odpowiedzialności (atrybucja) ma znaczenie operacyjne i polityczne. Z perspektywy bezpieczeństwa to „zamknięcie pętli”: państwo nie tylko obsługuje incydent, ale wskazuje sprawcę, opisuje modus operandi i stawia to w kontekście szerszej kampanii.

FE/DDIS wskazał, że:

  • Z-Pentest stał za destrukcyjnym atakiem na duński obiekt wodociągowy (2024),
  • a NoName057(16) za przeciążeniowymi atakami DDoS na duńskie witryny w okresie przedwyborczym (2025).

Na poziomie strategicznym Dania wpisuje te zdarzenia w rosyjną „wojnę hybrydową” przeciw państwom Zachodu.

Analiza techniczna / szczegóły luki

Atak na wodociągi: dlaczego to jest „destrukcyjne”

Incydent w sektorze wodnym jest szczególnie niebezpieczny, bo dotyka OT/ICS (systemów sterowania przemysłowego). Według relacji medialnych atak na obiekt wodociągowy w rejonie Kopenhagi doprowadził do anomalii pracy infrastruktury (m.in. wzrostu ciśnienia / uszkodzeń), co przełożyło się na awarie i przerwy w dostawach.

To typowy scenariusz, w którym:

  • atakujący szuka dostępu do paneli/sterowników,
  • zmienia parametry procesu (np. ciśnienie, tryby pracy pomp),
  • wywołuje awarię fizyczną lub kontrolowany chaos eksploatacyjny.

Nawet jeśli skala była ograniczona, „progiem sukcesu” jest tu pokazanie możliwości: że da się naruszyć ciągłość usługi publicznej.

DDoS przed wyborami: atak prosty, ale skuteczny w przekazie

Druga część historii dotyczy przeciążeniowych ataków DDoS na serwisy internetowe w okolicach wyborów samorządowych i regionalnych (2025). DDoS zwykle nie oznacza włamania ani kradzieży danych – jego celem jest czasowa niedostępność usług (przeciążenie ruchem). Ale politycznie i społecznie potrafi być bardzo dotkliwy: w dniu głosowania lub tuż przed nim uderza w informację, komunikację i zaufanie.

Atrybucja do Rosji: co faktycznie oznacza

Warto odróżnić trzy poziomy:

  1. „grupa pro-rosyjska” (deklaracje, narracja, cele),
  2. „powiązania z państwem” (wsparcie, koordynacja, zadania, zasoby),
  3. „operacja państwowa” (pełne sterowanie).

FE/DDIS publicznie ocenił powiązania obu grup z państwem rosyjskim – to mocny komunikat, ale nadal „ocena wywiadowcza”, nie ujawnienie całego materiału dowodowego (co jest standardem w takich sprawach).

Praktyczne konsekwencje / ryzyko

Dla infrastruktury krytycznej (woda, energia, transport)

  • Ryzyko realnych szkód fizycznych (awarie, przestoje, koszty napraw, odpowiedzialność regulatora).
  • Efekt mrożący: operatorzy mogą przechodzić w tryb „ręcznego sterowania” i ograniczać usługi, by odzyskać kontrolę.
  • Najsłabsze ogniwo to często styki IT–OT (zdalny dostęp, dostawcy utrzymania, nieaktualne systemy, brak segmentacji).

Dla procesów demokratycznych

  • DDoS może ograniczać dostęp do informacji (strony urzędów, komisji, mediów) i wzmacniać narrację o „państwie, które nie działa”.
  • Nawet jeśli głosowanie nie zostaje przerwane, koszt ponosi zaufanie publiczne.

AP odnotowuje, że podobne działania są elementem szerszego wzorca incydentów przypisywanych Rosji w Europie po 2022 r., obejmującego również sabotaż i cyberoperacje.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „tu i teraz” – szczególnie dla operatorów usług kluczowych (water/wastewater), samorządów i podmiotów okołowyborczych.

Ochrona OT/ICS (wodociągi, zakłady komunalne)

  • Segmentacja IT/OT i twarde reguły ruchu (allow-list), z kontrolą połączeń do strefy OT.
  • Zdalny dostęp tylko przez bastion (MFA, PAM, rejestrowanie sesji, czasowe uprawnienia).
  • Monitoring anomalii procesowych: alerty na nietypowe parametry (np. skoki ciśnienia, częstotliwość załączeń pomp).
  • Kopie zapasowe konfiguracji PLC/SCADA + procedury odtworzeniowe testowane w praktyce.
  • Audyt kont serwisowych i dostawców utrzymania (to częsty wektor wejścia).

Odporność na DDoS (wybory, administracja, media lokalne)

  • Włączenie ochrony na poziomie CDN/WAF i usług anty-DDoS (przynajmniej dla kluczowych domen).
  • Przygotowanie „trybu awaryjnego”: statyczne strony informacyjne, mirror, komunikaty w kanałach alternatywnych.
  • Testy obciążeniowe przed wydarzeniami wysokiego ryzyka (wybory, kryzysy).
  • Logika komunikacji kryzysowej: kto ogłasza, gdzie ogłasza, jak szybko.

Zarządzanie incydentem i „gotowość organizacyjna”

  • Scenariusze tabletop: „atak na OT” i „DDoS w dzień głosowania”.
  • Jasny podział odpowiedzialności IT/OT/PR/prawny oraz kontakty do CERT/CSIRT.
  • Retencja logów i synchronizacja czasu (NTP) – bez tego analiza incydentu bywa fikcją.

Różnice / porównania z innymi przypadkami

  • OT vs IT: atak na wodociągi pokazuje przejście od „samej niedostępności” do ryzyka oddziaływania na proces fizyczny. To inna klasa incydentu niż typowe DDoS-y.
  • Skala szkód vs efekt strategiczny: nawet ograniczony incydent (np. kilkaset gospodarstw bez wody) może mieć wysoką wartość propagandową i testową: sprawdza czas reakcji, komunikację, poziom przygotowania.
  • DDoS jako broń informacyjna: technicznie bywa „low effort”, ale świetnie działa jako element kampanii hybrydowej – zwłaszcza w momentach społecznie wrażliwych (wybory).

Podsumowanie / kluczowe wnioski

  1. Dania oficjalnie wskazała Rosję jako odpowiedzialną za konkretne cyberataki na wodociągi i infrastrukturę internetową wokół wyborów.
  2. Incydent w sektorze wodnym to ostrzeżenie: OT/ICS nie jest „za nudne, by atakować” – wręcz przeciwnie, jest idealne do działań destabilizacyjnych.
  3. DDoS nadal pozostaje prostym narzędziem o dużym wpływie społecznym.
  4. Najbardziej opłacalne kroki obronne to: segmentacja IT/OT, kontrola zdalnego dostępu, monitoring anomalii procesowych oraz przygotowane playbooki na DDoS i incydenty wyborcze.

Źródła / bibliografia

  1. FE/DDIS (Forsvarets Efterretningstjeneste) – komunikat o przypisaniu ataków grupom Z-Pentest i NoName057(16) oraz ich powiązaniach z państwem rosyjskim. (Forsvarets Efterretningstjeneste)
  2. Associated Press – opis incydentu wodociągowego, skali zakłóceń i kontekstu „hybrydowej” presji. (AP News)
  3. The Guardian – informacje o charakterze ataków, wskazanych grupach i reakcji władz. (The Guardian)
  4. Euronews – potwierdzenie publicznej atrybucji i wątku ataków na serwisy wyborcze. (euronews)
  5. SecurityWeek (reprint AP) – syntetyczne ujęcie tematu w kontekście cyberbezpieczeństwa. (SecurityWeek)