Cyberataki na polskie baseny i przepompownie wodne — co wiemy, jak się bronić

  • Home
  • Szczegóły artykułu
24 września 2025

TL;DR

W 2024–2025 r. odnotowano w Polsce serię incydentów wymierzonych w infrastrukturę wodno-kanalizacyjną i obiekty rekreacyjne (baseny). Część z nich miała charakter demonstracyjny (zmiany parametrów, publikacja nagrań), inne – próbę ingerencji w systemy uzdatniania i dystrybucji wody. W sierpniu br. rząd potwierdził udaremnienie ataku na system wodny dużego miasta; media branżowe wskazują także na natarczywe operacje prorosyjskich grup na SUW-ach, przepompowniach oraz… nawet prywatnych basenach zdalnie sterowanych automatyką. Polska zwiększa budżet cyber na ochronę infrastruktury krytycznej, w tym wodnej. Industrial Cyber+3Reuters+3Wydarzenia Interia+3

Co się wydarzyło? – przegląd incydentów

  • Udaremniony atak na system wodny dużego miasta (VIII 2025) – resort cyfryzacji potwierdził, że służby zareagowały „w ostatniej chwili”, aby zapobiec zakłóceniom dostaw. Szczegóły (miasto, wektor) nie zostały upublicznione. Reuters+1
  • Seria ataków na SUW/oczyszczalnie i przepompownie – media branżowe i komunalne opisywały przypadki manipulacji parametrami (ciśnienie, przepływ), resetów oraz publikacji materiałów wideo z interfejsów HMI m.in. dla SUW w Tolkmicku, Małdytach, Sierakowie oraz incydenty w Szczytnie i oczyszczalniach (Witkowo, Kuźnica). Skutki były ograniczone, ale ujawniły luki w zabezpieczeniach ICS/OT. PortalKomunalny.pl+1
  • Baseny i obiekty rekreacyjne – opisywano przypadki przejęcia sterowania automatyką basenową (w tym prywatną), co pokazało, że słabym ogniwem bywa nie tylko infrastruktura komunalna, ale i prywatne instalacje podłączone do sieci. cyberdefence24.pl
  • Kontekst międzynarodowy – branżowe serwisy podkreślają, że w ostatnich miesiącach rośnie presja na wodociągi i oczyszczalnie w wielu krajach; Polska – ze względu na położenie geopolityczne – jest częstym celem. Dark Reading

Rząd i media wskazują, że skala prób jest wysoka (20–50 poważnych dziennie względem infrastruktury krytycznej), a budżet na cyberobronę w 2025 r. ma sięgnąć rekordowych poziomów (ok. €1 mld), z częścią dedykowaną obronie systemów wodnych. Financial Times+1

Jak atakujący dostają się do basenów, SUW-ów i przepompowni?

Najczęstsze słabości i wektory (na podstawie ujawnionych przykładów i typologii ICS/OT):

  1. Publicznie wystawione HMI/SCADA (porty HTTP/HTTPS/VNC/RDP) bez filtracji adresów i MFA; czasem z domyślnymi hasłami.
  2. Dostępy „serwisowe” (modemy LTE, zdalne pulpity) nieobjęte polityką haseł i logowaniem zdarzeń.
  3. Brak segmentacji – urządzenia OT znajdują się w tej samej podsieci co biurowe IT lub mają trasę do Internetu.
  4. Niezałatane urządzenia peryferyjne – routery SOHO, bramki przemysłowe, stare firmware w PLC/HMI.
  5. Łańcuch dostaw – konta firm utrzymaniowych z szerokimi uprawnieniami, współdzielone hasła.
  6. Błędy procesowe – brak monitoringu zmian set-pointów, brak „dwóch par oczu” przy krytycznych modyfikacjach.

W skutkach widzieliśmy m.in. krótkotrwałe zmiany parametrów (bez trwałych szkód), resety i zablokowanie dostępu – często z towarzyszącą publikacją nagrań z interfejsów, co ma wymiar propagandowy. PortalKomunalny.pl+1

Jak to wykryto?

  • Nagły wzrost aktywności na HMI/SCADA – nietypowe logowania, szybka sekwencja zmian parametrów, alarmy procesowe (ciśnienie/przepływ).
  • Anomalia w sieci – ruch do/z nieznanych adresów (często przez tunel VPN bez MFA), skoki telemetryczne.
  • Ślady w systemach dzienników – zapisy o nieautoryzowanych komendach „WRITE”, eksportach konfiguracji, restartach urządzeń.
  • Zewnętrzne zgłoszenia – publikacje materiałów przez sprawców i korelacja z sygnałami z Downdetector/mediów.

Najsłabsze ogniwa

  1. Brak segmentacji IT/OT i brak stref (ISA/IEC 62443) – pojedyncze naruszenie otwiera drogę do PLC/HMI.
  2. Brak MFA i zasad kont uprzywilejowanych – jeden wyciek hasła = pełna kontrola.
  3. Shadow-IT w OT – prywatne baseny/sterowniki podłączone do Internetu przez „serwisowe” routery. cyberdefence24.pl
  4. Monitoring reaktywny, a nie proaktywny – brak detekcji zmian konfiguracyjnych i zdalnych sesji.
  5. Niskie budżety i niedobór kadr w wodociągach – infrastruktura bywa „łatwym celem”. wiadomosci.radiozet.pl

Jak się zabezpieczyć (check-list dla JST, spółek wodnych i operatorów basenów)

Architektura i dostęp

  • Wydziel strefę OT i DMZ dla SCADA; zablokuj ruch bezpośredni z Internetu.
  • Wymuś MFA oraz VPN z listą dozwolonych adresów (allowlist).
  • Usuń domyślne konta/hasła; wprowadź PAM/JIT dla dostawców (krótkotrwały dostęp na czas prac).

Twardnienie i aktualizacje

  • Inwentaryzuj zasoby OT (HMI/PLC/RTU/moduły I/O) i ich firmware; planuj aktualizacje.
  • Zastąp przestarzałe routery SOHO sprzętem przemysłowym; włącz ACL i blokady portów.
  • Wdróż WAF/VPN jump-host dla zdalnych serwisów zamiast publicznego RDP/VNC.

Monitoring i detekcja

  • SIEM/NDR z regułami pod ICS (detekcja nieautoryzowanych komend WRITE/STOP/SETPOINT).
  • Change-control: alerty na eksport/zmianę konfiguracji PLC/HMI.
  • „Dwie pary oczu” dla krytycznych zmian procesowych.

Kopie zapasowe i odtwarzanie

  • Backupy konfiguracji PLC/HMI i obrazów stacji inżynierskich (offline/immutable).
  • Ćwicz procedury DR: przywracanie parametrów, kontrola jakości wody po incydencie.

Szkolenia i procedury

  • Szkolenie operatorów z inżynierii społecznej i rozpoznawania nietypowych ekranów/komunikatów.
  • Plan komunikacji kryzysowej i współpraca z CSIRT/CERT (z kim i kiedy kontakt).

Jakie mogą być skutki (gdy zawiedzie obrona)?

  • Zakłócenie procesów – ryzyko podania wody o złych parametrach, przerwy w dostawach, zalania przy pompowniach.
  • Koszty operacyjne – przestój, badania jakości, audyt, naprawy.
  • Ryzyko reputacyjne i prawne – konieczność alertów/komunikatów, możliwe kary regulacyjne.
  • Efekt propagandowy – nagrania z HMI szerowane w sieci dla wywołania paniki. PortalKomunalny.pl

Ciekawostki i kontekst

  • Polska zwiększa budżet cyber (plan do ~€1 mld w 2025 r.), a część środków ma trafić na ochronę systemów wodnych. Financial Times
  • Baseny i fontanny bywają pierwszym „pokazowym” celem – łatwiejszym technicznie, ale medialnym. cyberdefence24.pl
  • Trend globalny: wodociągi i oczyszczalnie to obszar rosnącego zainteresowania grup APT i hacktywistów (także w Norwegii i USA), co potwierdzają analizy branżowe. Dark Reading

Podsumowanie

Ostatnie incydenty to ostrzeżenie: ICS/OT w wod-kan i obiektach rekreacyjnych musi być traktowane jak infrastruktura krytyczna – z segmentacją, MFA, monitoringiem ICS i jasnymi procedurami DR. Dobra wiadomość: większość prób można zablokować dzięki prostym, lecz konsekwentnie wdrożonym praktykom. Reszta to ćwiczenia i gotowość organizacyjna.

Źródła i lektury

  • Reuters / Interia: udaremniony atak na system wodny dużego miasta (VIII 2025). Reuters+1
  • Financial Times: budżet cyber, cele – szpitale i systemy wodne. Financial Times
  • CyberDefence24: ataki na SUW-y, oczyszczalnie, przepompownie, baseny (Tolkmicko, Małdyty, Sierakowo, Szczytno; prywatne instalacje). cyberdefence24.pl+1
  • Portal Komunalny: analiza zagrożeń dla wodociągów; przykłady zmian parametrów bez trwałych szkód. PortalKomunalny.pl
  • DarkReading / IndustrialCyber: kontekst ataków na wodociągi w Europie i wzrost presji aktorów państwowych. Dark Reading+1

Poprzedni Następny

Skomentuj

Dodając komentarz, wyrażasz zgodę na przetwarzanie danych osobowych (nazwa, e-mail, treść komentarza) w celu publikacji komentarza. Szczegóły znajdziesz w naszej Polityce prywatności.