Hakerzy zmienili skład wody w polskich rurach. Wystarczyło im hasło na 4 cyfry

Polski sektor wodno-kanalizacyjny coraz częściej trafia na listę celów ataków fizycznych i cybernetycznych. Z danych przekazanych przez Ministerstwo Cyfryzacji wynika, że w 2025 r. CSIRT NASK obsłużył 94 incydenty cyberbezpieczeństwa w branży wodociągowej, podczas gdy rok wcześniej było ich 59. To wzrost o ponad połowę w ciągu roku. Problem polega na tym, że w części zakładów poziom ochrony nadal pozostaje niski, a skutki udanego ataku mogą oznaczać nie tylko przerwę w dostawach wody, lecz także manipulację parametrami oczyszczania ścieków i duże ryzyko skażenia środowiska. Wodociągi nie są zwykłą infrastrukturą Systemy wodociągowe i kanalizacyjne należą do infrastruktury krytycznej, czyli tej części infrastruktury, która jest niezbędna do minimalnego funkcjonowania gospodarki i państwa oraz do bezpieczeństwa obywateli. Do tej kategorii należą zarówno obiekty fizyczne, jak i systemy cybernetyczne. Rządowe rekomendacje cyberbezpieczeństwa dla sektora wodno-kanalizacyjnego wskazują wprost, że w różnych częściach świata obserwowano wzrost liczby incydentów wymierzonych właśnie w te obiekty. W przypadku banków, kolei czy energetyki opinia publiczna łatwo dostrzega wagę zakłóceń. Wodociągi długo pozostawały na drugim planie, choć ich znaczenie jest równie ważne. Minister cyfryzacji Krzysztof Gawkowski mówił jesienią 2025 r., że wystarczy jeden skuteczny atak, by odciąć wodę i sparaliżować codzienne życie w całym mieście. – Skala cyberataków na polskie podmioty stale rośnie. 99% z nich odpieramy, ale wystarczy jeden, skuteczny, by odciąć wodę i sparaliżować życie w całym mieście. Naszym obowiązkiem jest chronić systemy i dane, a przede wszystkim zapewnić obywatelom bezpieczeństwo i ciągłość dostępu do kluczowych usług – powiedział wicepremier, minister cyfryzacji Krzysztof Gawkowski. Liczba incydentów rośnie, a ataki nie są już tylko teoretyczne Najbardziej dosadna liczba, jaka pojawia się dziś w obiegu publicznym, to 94 incydenty cyberbezpieczeństwa obsłużone w 2025 r. przez CSIRT NASK w branży wodociągowej. Rok wcześniej było ich 59. Tę informację Ministerstwo Cyfryzacji przekazało "Pulsowi Biznesu". Sama różnica nie przesądza jeszcze, jak ciężkie były wszystkie te incydenty, ale pokazuje, że sektor wodno-kanalizacyjny staje się coraz częstszym celem działań wymierzonych w jego systemy. Przypomnijmy, że w październiku 2025 r. odnotowano atak na oczyszczalnię ścieków w Chodaczowie. Prorosyjska grupa opublikowała nagranie pokazujące przejęcie panelu sterowania i zmianę parametrów pracy instalacji. Na nagraniu widać było m.in. manipulację poziomem ścieków w reaktorach biologicznych oraz bardzo proste, czterocyfrowe zabezpieczenie dostępu. Wójt gminy potwierdził wtedy, że incydent miał miejsce. To tylko jeden z bardziej obrazowych przykładów. Można wymienić tu też wcześniejsze ataki na stacje uzdatniania wody i oczyszczalnie ścieków w Małdytach, Tolkmicku, Sierakowie, Szczytnie, Jabłonnie Lackiej, Witkowie i Kuźnicy. W części z tych przypadków napastnicy manipulowali parametrami technicznymi instalacji, a NASK ostrzegał, że takie działania mogą tworzyć zagrożenie dla zdrowia i życia mieszkańców. Problem nie ogranicza się do cyberprzestrzeni Sektor nie mierzy się wyłącznie z atakami zdalnymi. Warto tutaj wspomnieć także incydent z ubiegłego roku w Zakładzie Uzdatniania Wody Bielany w Krakowie, który zaopatruje mieszkańców miasta w wodę. Dwóch cudzoziemców miało przeskoczyć ogrodzenie, wejść na teren zakładu i wykonywać zdjęcia. Zostali zatrzymani przez ochronę i przekazani policji. Część infrastruktury jest narażona więc jednocześnie na rozpoznanie fizyczne i działania w cyberprzestrzeni. – W ostatnim czasie mieliśmy ingerencję w nasze najważniejsze obiekty wodociągów, które na co dzień dostarczają wodę obywatelom miasta Krakowa. Mieliśmy wizytę pseudoturystów ze wschodu, którzy zostali zatrzymani i oddani do dyspozycji organów ścigania – relacjonował wtedy stacji TVN24 gen. Marcian Janicki, były szef Biura Ochrony Rządu. Z kolei Bartosz Pastuszka z NaviRisk mówił gazecie "Puls Biznesu", że w wielu zakładach formalnie istnieją procedury bezpieczeństwa, ale ich ciężar tak naprawdę spada na pojedynczych pracowników, a systemy monitoringu bywają po prostu przestarzałe. – W wielu zakładach wodno-kanalizacyjnych teoretycznie obowiązują procedury dotyczące bezpieczeństwa, ale w praktyce główną osobą, która ma je zapewnić, jest pracownik portierni. W niektórych firmach kamery zostały zainstalowane jeszcze w latach 90. ubiegłego wieku i jakość obrazu była bardzo słaba. Część kamer była źle umiejscowiona, więc nagrania nie pozwalały na identyfikację osób. Gdyby na teren zakładu wszedł ktoś nieuprawniony, policja czy prokuratura nie miałaby z tych nagrań żadnego pożytku – komentował Bartosz Pastuszka, prezes firmy NaviRisk. Opisywał przypadki kamer z lat 90., słabej jakości obrazu i ustawień, które nie pozwalały na identyfikację osób wchodzących na teren obiektu. W części przedsiębiorstw problemem nie jest tylko brak zaawansowanych narzędzi cyberochrony, lecz także zwykła słabość podstawowego zabezpieczenia fizycznego. Państwo uruchomiło duży program, ale zainteresowanie okazało się przytłaczające W odpowiedzi na rosnące ryzyko rząd uruchomił program "Cyberbezpieczne Wodociągi", finansowany z KPO i realizowany przez Centrum Projektów Polska Cyfrowa we współpracy z NASK. Program ma wzmacniać bezpieczeństwo systemów IT i OT, czyli zarówno klasycznej infrastruktury informatycznej, jak i przemysłowych systemów sterowania wykorzystywanych przy uzdatnianiu wody i odprowadzaniu ścieków. Wsparcie obejmuje też obszar organizacyjny i szkoleniowy. Skala naboru pokazuje, że sektor sam dobrze rozumie wagę problemu. Do konkursu wpłynęło 896 wniosków, których łączna wartość przekroczyła 724 mln zł. Pozytywnie oceniono 759 projektów o wartości 624,68 mln zł. Przy obecnej alokacji dofinansowanie przyznano 688 projektom o łącznej wartości 590,26 mln zł, choć początkowo budżet programu wynosił 313 mln zł. Ministerstwo Cyfryzacji i CPPC podkreślają, że uzyskano zgodę na dalsze zwiększenie środków o 40 mln zł, tak aby docelowo objąć wsparciem także wnioski pozytywnie ocenione, które dziś pozostają poza obecną pulą. Taka sytuacja dotyczy 71 projektów. Problemem nie są już tylko pieniądze, ale też czas i kompetencje Same granty nie zamykają jednak sprawy. Celem programu jest jednoczesne wzmacnianie technologii, procedur i kompetencji pracowników. Ataki na wodociągi często dotyczą systemów OT, czyli przemysłowych paneli sterowania, które przez lata projektowano z myślą o ciągłości pracy, a nie o odpieraniu nowoczesnych ataków. Jeśli w zakładzie działa przestarzały monitoring, proste hasła albo brak segmentacji między siecią biurową a technologiczną, samo kupienie nowego sprzętu nie rozwiąże problemu. Do tego dochodzi także sama presja czasu. CPPC zapowiada prace nad wydłużeniem okresu realizacji projektów do 31 grudnia 2026 r. Część przedsiębiorstw musi równocześnie modernizować systemy, szkolić ludzi, przechodzić procedury zakupowe i utrzymywać ciągłość dostaw usług, które są krytyczne dla mieszkańców.