Realne zagrożenie dla infrastruktury krytycznej. Cyberataki na wodociągi w Polsce

Problem nie dotyczy już wyłącznie ataków na banki czy instytucje finansowe – infrastruktura krytyczna, a szczególnie systemy dostarczania wody i oczyszczania ścieków, stały się jednym z ulubionych celów cyberprzestępców.

Od „zabawy” po realne zagrożenie

Według danych Ministerstwa Cyfryzacji Polska mierzy się codziennie z 20–50 próbami uszkodzenia infrastruktury krytycznej. Równocześnie poszczególne spółki wodociągowe raportują nawet kilka tysięcy prób ataków miesięcznie. Prezes Wodociągów Białostockich przyznał, że w 2024 roku liczba takich zdarzeń wyniosła ponad 140 tysięcy – a to tylko w jednej spółce i tylko te incydenty, które udało się zarejestrować.

Część ataków kończy się jedynie zmianą parametrów w systemach sterowania – podniesieniem ciśnienia, zresetowaniem ustawień czy zablokowaniem PIN-ów dostępowych. Tak było m.in. w lutym 2025 roku, gdy rosyjscy hakerzy opublikowali nagrania z ataków na stacje uzdatniania wody w Tolkmicku, Małdytach i Sierakowie. Choć nie spowodowały one trwałych szkód, jasno pokazały słabości systemu.

Problem polega na tym, że w tej chwili część z tych ataków to „trening” albo sposób na zbudowanie reputacji grupy hakerskiej. Jednak każdy taki incydent jest testem zabezpieczeń i przygotowaniem do bardziej złożonych działań. Eksperci są zgodni: poważniejsza eskalacja jest tylko kwestią czasu.

Dlaczego wodociągi są łatwym celem?

Przedsiębiorstwa wodno-kanalizacyjne w Polsce są zróżnicowane. Mamy duże spółki komunalne, takie jak warszawski MPWiK czy poznański Aquanet, ale aż 70% rynku stanowią niewielkie zakłady obsługujące małe miasta i gminy. To właśnie one są najbardziej narażone, bo często zatrudniają jednego informatyka, który pełni kilka ról jednocześnie, a cyberbezpieczeństwo nie jest jego priorytetowym zadaniem.

Najczęstsze grzechy w zakresie ochrony systemów sterowania to:

• dostęp do urządzeń przez niezabezpieczony internet – dla wygody serwisantów, ale i hakerów,
• domyślne hasła i PIN-y – wciąż spotyka się kody typu 1234 lub 0000,
• brak segmentacji sieci – systemy sterowania (SCADA) i sieci biurowe są często ze sobą połączone,
• brak monitoringu incydentów – wiele prób włamań nie jest nawet zauważanych.

W praktyce oznacza to, że włamanie do niewielkiej oczyszczalni w małym miasteczku jest prostsze niż przejęcie konta w mediach społecznościowych. To tłumaczy, dlaczego hakerzy tak chętnie wybierają tę branżę jako „poligon doświadczalny”.

Konsekwencje ataku: więcej niż brak wody w kranie

Często mówi się, że najczarniejszym scenariuszem jest odcięcie dostaw wody. Rzeczywiście, przykład Otwocka z kwietnia 2025 roku, gdzie awaria magistrali spowodowała tygodniowe braki w dostawach, pokazał, jak paraliżujące dla miasta może być takie zdarzenie.

Cyberatak może jednak prowadzić również do innych, równie groźnych konsekwencji. Jednym z nich jest zanieczyszczenie wody pitnej poprzez zmianę parametrów jej uzdatniania, na przykład nadmierne dozowanie chloru. Innym – sparaliżowanie pracy oczyszczalni ścieków, co w krótkim czasie może przełożyć się na realną katastrofę ekologiczną. Atak może też zakłócić pracę pomp i przepompowni, powodując lokalne podtopienia i poważne straty materialne.

Nie mniej istotne są skutki związane z bezpieczeństwem danych – jak w przypadku Aquanetu, gdzie hakerzy przejęli dane ponad siedmiu tysięcy klientów. Każdy z tych scenariuszy ma nie tylko wymiar techniczny, ale również społeczny i psychologiczny, ponieważ podważa zaufanie mieszkańców do bezpieczeństwa usług podstawowych.

Sztuczna inteligencja: nowe narzędzie w rękach obu stron

Szczególnie niepokojącym zjawiskiem jest wykorzystanie sztucznej inteligencji w cyberatakach. Badania Carnegie Mellon University i firmy Anthropic wykazały, że AI potrafi samodzielnie przeprowadzić wieloetapowy atak, osiągając częściowy sukces w 90% prób, a pełny – w 50%.

Dla hakerów oznacza to możliwość prowadzenia bardziej zaawansowanych i spersonalizowanych działań. Dla obrońców – szansę na automatyczne wykrywanie nietypowych aktywności w sieci. W praktyce wyścig zbrojeń w cyberprzestrzeni już trwa, a branża wod-kan musi się do niego przyłączyć, jeśli chce uniknąć poważnych kryzysów.

Co można zrobić już teraz?

Na szczęście nie wszystkie działania wymagają ogromnych nakładów finansowych. Eksperci wskazują trzy podstawowe kroki, które mogą wdrożyć nawet małe przedsiębiorstwa:

1. Inwentaryzacja dostępu – wiedza o tym, kto i skąd może połączyć się z urządzeniami, oraz eliminacja zbędnych punktów dostępowych.
2. Segmentacja sieci – oddzielenie systemów biurowych od przemysłowych. Proste urządzenie za kilka tysięcy złotych potrafi znacząco ograniczyć ryzyko.
3. Plany awaryjne („what if”) – przygotowanie scenariuszy na wypadek ataku, by każdy pracownik wiedział, jakie kroki podjąć.

Takie działania nie wyeliminują wszystkich zagrożeń, ale mogą zadecydować o tym, czy incydent zakończy się chwilowym zakłóceniem, czy poważnym kryzysem.

Państwo i prawo – krok w dobrą stronę, ale niewystarczający

Rząd zapowiedział rekordowy budżet na cyberbezpieczeństwo – 1 mld euro w 2025 roku. Powstał też program „Cyberbezpieczne Wodociągi”, finansowany z Krajowego Planu Odbudowy. Problem w tym, że grantów przewidziano jedynie 552, podczas gdy w Polsce działa blisko 1900 przedsiębiorstw wodno-kanalizacyjnych.

Do tego dochodzi kwestia legislacji – unijna dyrektywa NIS2 nakłada obowiązek podniesienia standardów cyberbezpieczeństwa, ale w Polsce wciąż brakuje ustawy, która wprowadzi ją w życie.

Nie wystarczy wprowadzić regulacji – potrzebne są też szkolenia, dostęp do know-how oraz wsparcie w zakresie finansowania rozwiązań. Bez tego wiele mniejszych spółek nie poradzi sobie z nowymi wymaganiami.

Jak robią to najlepsi?

Dobrym przykładem jest Poznań, gdzie Aquanet, po doświadczeniach ukraińskich miast, wdrożył kompleksowe środki zabezpieczające. Obejmują one nie tylko wzmacnianie systemów informatycznych, ale również zabezpieczenia logistyczne – zapasy materiałów, agregaty prądotwórcze, beczkowozy i systemy butelkowania wody. To pokazuje, że podejście do cyberbezpieczeństwa musi być szerokie – obejmować zarówno warstwę cyfrową, jak i fizyczną.

Cyberataki na polskie wodociągi nie są już hipotetycznym zagrożeniem – to codzienność. Choć wiele z nich ma charakter „zabawowy” lub propagandowy, każdy taki incydent zwiększa ryzyko, że kolejne działania będą celowe i destrukcyjne. Bezpieczeństwo cyfrowe to dziś integralna część bezpieczeństwa dostaw wody. Brak świadomości, stosowanie prostych haseł czy łączenie sieci sterowania z internetem mogą w praktyce kosztować zdrowie, a nawet życie mieszkańców.

W obliczu rosnącego zagrożenia potrzebne są wspólne działania: spółek, państwa i regulatorów. Wodociągi to nie tylko rury i pompy – to system nerwowy miasta. A cyberprzestrzeń stała się jego nowym, nie mniej groźnym polem walki.