Ataki na wodociągi. Szef CERT Polska o realnych skutkach

Ataki na obiekty z sektora wodno-kanalizacyjnego zdarzały się wielokrotnie na przestrzeni ostatnich kilkunastu miesięcy. Na celowniku cyberprzestępców znalazły się m.in.:

• stacja uzdatniania wody Szczytno (nie dotyczy miasta w woj. warmińsko-mazurskim - przyp. red., 05.2025);
• SUW Małdyty, Tolkmicko, Sierakowo (04.2025);
• SUW Jabłonna Lacka (09.2025);
• oczyszczalnie ścieków w Witkowie i Kuźnicy.

Obecnie nie mamy żadnych potwierdzonych przesłanek ku temu, że którykolwiek z incydentów miał faktyczne negatywne skutki na funkcjonowanie mieszkańców Polski. Widzimy jednak, że zagrożenie jest poważne. NASK w komunikacie z września br. stwierdził, że:

Rosyjska agresja w cyberprzestrzeni nie zna granic. W ostatnim czasie odnotowano przypadki prób włamań do systemów uzdatniania wody oraz oczyszczalni ścieków w różnych częściach Polski, m.in. w Wydminach, Kuźnicy, Tolkmicku czy Małdytach. Cyberataki często prowadziły do manipulowania parametrami technicznymi urządzeń i stwarzały realne zagrożenie dla zdrowia i życia mieszkańców.
NASK

Ataki na polski sektor wodno-kanalizacyjny

Marcin Dudek, kierownik CERT Polska, podkreślił brak wzrostu liczby urządzeń automatyki przemysłowej widocznych z poziomu sieci. Dodał jednak ważny element, widoczny w Raporcie Rocznym CERT Polska za 2024 rok: incydenty polegają na przełamaniu zabezpieczeń w postaci prostych haseł, takich jak np. „111111” czy „123456”.

Szef CSIRT-u poziomu krajowego przekazał, że działania haktywistów zazwyczaj polegają na losowej zmianie parametrów. Wyraźnie zaznaczył, że robią to głównie w celach propagandowych.

„Przekaz medialny idzie taki, że oni mogli np. skazić wodę, a to nie jest prawda, bo często w takich instalacjach są dodatkowe zabezpieczenia, które nie pozwalają zmienić parametrów powyżej jakieś wartości albo są dodatkowe systemy bezpieczeństwa, które są odseparowane od systemów sterowania automatyką przemysłową” – przekazał Dudek.

To do czego nie dochodzi?

Monika Blandyna Lewkowicz (PAP) w rozmowie przytoczyła nasz artykuł dotyczący niedawnego postawienia przez władze USA zarzutów obywatelce Ukrainy działającej na zlecenie prorosyjskich haktywistów. Wówczas dowiedzieliśmy się, że cyberprzestępcy doprowadzili m.in. do poniższych incydentów (na terenie USA):

• przelanie się nieustalonej ilości wody pitnej wskutek uruchomienia 22 zbiorników;
• przelanie się ok. 757 tys. litrów wody;
• zepsucie ok. 900 kg mięsa wskutek wyłączenia zamrażarek oraz wywołanie wycieku amoniaku.

Ponownie pragniemy przypomnieć, że obecnie nic nie wskazuje na to, że do podobnych zdarzeń doszło w Polsce. Potwierdził to również Dudek w rozmowie z PAP, wskazując, że dzięki działaniu systemów bezpieczeństwa udaje się zapobiec jakimkolwiek poważnym konsekwencjom potencjalnych incydentów tego typu.

„W Polsce nie było dotychczas ataku, który spowodowałby fizyczny efekt wpływający na środowisko” – zaznaczył, odnosząc się głównie do manipulowania parametrami oczyszczalni ścieków.

Realne skutki

„Mieliśmy przypadki, gdzie atak doprowadził do chwilowej przerwy w działaniu stacji uzdatniania wody, co spowodowało, że przez krótki okres czasu ludzie nie mieli wody. (…) Nie miało to wpływu na zdrowie i życie ludzi” – przekazał szef CERT Polska.

Jest to bardzo ważne stanowisko, ponieważ widzimy jednocześnie realne skutki działania prorosyjskich haktywistów wraz z zapewnieniem, że nie wpłynęły one negatywnie na funkcje życiowe.

Wynika z tego, że manipulowanie parametrami stacji uzdatniania wody przez prorosyjską grupę haktywistów, inspirowanych przez rosyjskie służby specjalne, miało realny wpływ na funkcjonowanie SUW-ów oraz faktycznie tymczasowo odcięło niewielką liczbę osób od dostępu do wody.

Jak temu zaradzić?

Dudek poinformował, że w ramach skanowania polskich adresów IP uzyskiwane są informacje o panelach sterowania widocznych z poziomu sieci. „To jest łatwiejsza część” – stwierdził.

Kierownik CERT Polska przekazał, że wciąż zdarzają się obiekty widoczne z poziomu sieci poprzez routery z kartami SIM, przez co są one niezmiernie trudne do zlokalizowania, o czym CERT pisał już w maju 2024 roku.

„Niestety często jest tak, że jest jakiś przetarg, ktoś zbudował oczyszczalnie ścieków, ale np. umowa utrzymaniowa już nie obowiązuje albo nie ma w niej nic związanego z cyberbezpieczeństwem. Firma, która to wdrażała, chce znaczne pieniądze, aby zmienić konfigurację tych urządzeń, a miasto nie ma tych pieniędzy w budżecie na dany rok” – poinformował Dudek, przywołując program „Cyberbezpieczny wodociąg” jako realną pomoc dla gmin.

Co dalej?

Widzimy, że CERT Polska dokonuje wszelkich starań w celu zabezpieczenia polskiej automatyki przemysłowej, wykorzystywanej w sektorze wodno-kanalizacyjnym. Stanowisko Marcina Dudka jest bardzo ważne z punktu widzenia transparentności komunikacji w zakresie incydentów.

Warto podkreślić rolę odpowiedzialności podmiotów publicznych i mediów odnośnie informowania o cyberatakach. Apelujemy o spokojne i rozważne podejście do tematu, bez generowania nadmiernego strachu.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.