Prorosyjskie grupy atakują kraje NATO. Realne skutki dla wodociągów i żywności

• Podmioty blisko powiązane z Rosją, szczególnie GRU, próbują oddziaływać na automatykę przemysłową w krajach NATO.
• Niektóre z przeprowadzanych ataków mają realne skutki dla odbiorców usług.
• Incydenty łączą w sobie zarówno wydźwięk propagandowy i wpływ na pracę urządzeń.

„18 stycznia 2024 r. wrażliwy system zaopatrzenia w wodę w tym suchym, małym miasteczku zaczął się przelewać - woda wylewała się ze zbiorników, niezauważona i wbrew zautomatyzowanemu przemysłowemu oprogramowaniu, które informowało linie doprowadzające wodę, kiedy powinny się zamknąć. (…) ktoś zdalnie wyłączył czujnik, który przekazywał zbiornikom w Muleshoe informację, że są już pełne, dzięki czemu woda mogła dalej płynąć. Lokalne władze publicznie przyznały, że doszło do incydentu, dopiero po tym, jak CNN opisało sprawę trzy miesiące później” - czytamy w artykule Kyiv Independent, który opisał atak prorosyjskiej grupy na zbiornik z wodą w amerykańskim mieście Muleshoe (Teksas).

Należy przy tym pamiętać, że nie był to odosobniony incydent, choć ataki tego typu rzadko mają skutki widoczne gołym okiem.

Udane ataki

Zacznijmy od ważnego stwierdzenia, które powiedział Marcin Dudek (kierownik CERT Polska) w rozmowie z Polską Agencją Prasową:

Przekaz medialny idzie taki, że oni mogli np. skazić wodę, a to nie jest prawda, bo często w takich instalacjach są dodatkowe zabezpieczenia, które nie pozwalają zmienić parametrów powyżej jakieś wartości albo są dodatkowe systemy bezpieczeństwa, które są odseparowane od systemów sterowania automatyką przemysłową.
Marcin Dudek, Szef CERT Polska

Skupmy się jednak na tych „wyjątkach” – sytuacjach, gdzie złośliwe działanie miało realne skutki dla osób. W przypadku wspomnianego incydentu w Teksasie, woda ze zbiornika przelewała się w niekontrolowany sposób przez 45 minut. Jak wiemy z relacji KHOU 11, środowisko zostało odłączone od sieci oraz przeszło na sterowanie ręczne.

Inny ważny incydent miał miejsce w zakładzie związanym z obróbką mięsa. Departament Sprawiedliwości USA (DOJ) podaje, że grupie kierowanej przez GRU udało się doprowadzić do zepsucia tysięcy funtów mięsa (dokładnie 900kg) oraz spowodować wyciek amoniaku.

Nie tylko USA

W grudniu 2025 roku duńskie władze poinformowały, że pod koniec 2024 roku zaatakowano tamtejsze przedsiębiorstwo wodociągowe. Zmiana ciśnienia miała doprowadzić do pęknięcia przynajmniej trzech rur w Køge (ok. 35 kilometrów na południe od Kopenhagi).

„Około 50 gospodarstw domowych nie miało dostępu do wody przez siedem godzin, a 450 domów przez jedną godzinę” – czytamy na łamach Euronews.

Co ciekawe, wskazano również potencjalną przyczynę tego, że atak był możliwy do przeprowadzenia:

Jan Hansen, szef wodociągów Tureby Alkestrup, powiedział, że atak się powiódł, ponieważ zakład przeszedł na tańsze zabezpieczenia (z zakresu cyberbezpieczeństwa – przyp. red.), które były gorsze w porównaniu z poprzednim systemem.
Euronews

Warto też przywołać ubiegłoroczną awarię zapory wodnej w Norwegii, która także miała być spowodowana atakiem ze Wschodu.

„Zapora zaczęła w niekontrolowany sposób spuszczać wodę w tempie 500 litrów na sekundę. Usterkę udało się usunąć po czterech godzinach” – stwierdzono na łamach Energetyki24 (via PAP).

Polskie wodociągi i oczyszczalnie

W Polsce nie mamy potwierdzonego przypadku realnego wpływu na środowisko naturalne poprzez rosyjski cyberatak. Mieliśmy jednak wiele przypadków manipulowania parametrami technicznymi obiektów z sektora wodno-kanalizacyjnego. Na celowniku grup powiązanych z Federacją Rosyjską znalazły się m.in.:

• stacja uzdatniania wody Szczytno (nie dotyczy miasta w woj. warmińsko-mazurskim - przyp. red., 05.2025);
• SUW Małdyty, Tolkmicko, Sierakowo (04.2025);
• SUW Jabłonna Lacka (09.2025);
• oczyszczalnie ścieków w Witkowie, Kuźnicy i Chodaczowie;
• mała elektrownia wodna.

Jak wspomniano na początku artykułu, systemy posiadają odpowiednie zabezpieczenia, które zapobiegają wystąpieniu poważnych skutków w przypadku manipulowania parametrami technicznymi obiektów.

Należy przy tym dodać, że faktycznie w Polsce zdarzały się chwilowe przerwy w dostawach wody wskutek oddziaływania grup powiązanych z Rosją.

Mieliśmy przypadki, gdzie atak doprowadził do chwilowej przerwy w działaniu stacji uzdatniania wody, co spowodowało, że przez krótki okres czasu ludzie nie mieli wody. (…) Nie miało to wpływu na zdrowie i życie ludzi.
Marcin Dudek, Szef CERT Polska dla PAP

Ciekawy przypadek energetyki

Na przełomie 2025 i 2026 roku słyszeliśmy o dużym ataku na polską energetykę, który na szczęście był nieudany. CERT Polska wydał raport dotyczący tego incydentu – bardzo potrzebny i słuszny materiał pod kątem rzetelnego informowania o incydentach, uwzględniając w tym powstrzymane ataki. Zachęcamy do zapoznania się z omówieniem dokumentu.

Jednocześnie byliśmy świadkami innego incydentu, związanego z manipulowaniem parametrami elektrociepłowni – mowa o obiekcie w Rucianem-Nidzie. Grupie powiązanej z Rosją udało się manipulować parametrami kotła wodnego o mocy 1000 kW, lecz błyskawiczne działanie zarządcy obiektu uniemożliwiło wystąpienie poważnych skutków dla mieszkańców miasta.

Obsługa kotłowni przez system powiadomień dostała informacje o zmianie nastawień i natychmiast zareagowała, tj. wprowadziła w panelu sterowniczym kotła 1000 kW prawidłowe nastawienia pracy kotła.
PEC Ruciane-Nida

„Wyłączył się jeden piec. Zupełnie. Ale na tym piecu już wcześniej szwankował wyświetlacz. Człowiek, który wtedy pracował, sądził, że to awaria związana z tym wyświetlaczem. Wszystko na nowo poustawiał, piec włączył i wszystko działało” – przekazał prezes tamtejszego PEC w rozmowie z Polską Agencją Prasową, krótko po wszczęciu śledztwa przez prokuraturę.

Niezwłoczne reagowanie podstawą?

Wspólnym mianownikiem wielu incydentów jest niezwłoczna reakcja osób odpowiedzialnych za funkcjonowanie urządzeń. Podobna sytuacja miała miejsce w przypadku ataku na oczyszczalnie ścieków w Chodaczowie, gdzie według Radia Rzeszów - „pracownicy szybko przywrócili system do normy”.

W artykule „NASK zabezpieczy wodociągi. Ponad 300 milionów złotych na cyberochronę” z 3 września 2025 roku wskazano, że „cyberataki często prowadziły do manipulowania parametrami technicznymi urządzeń i stwarzały realne zagrożenie dla zdrowia i życia mieszkańców”.

Widzimy jednak, że prawdopodobnie dzięki zabezpieczeniom technicznym i pierwiastkowi ludzkiemu udaje się unikać takich sytuacji.

Pamiętajmy również o propagandowym podszyciu wspomnianych ataków. Nie powinniśmy jednak zapominać o tym, że:

• incydenty związane z sektorem wodno-kanalizacyjnym zdarzają się co jakiś czas w naszym kraju;
• nad naszym bezpieczeństwem nieustannie czuwają specjaliści;
• urządzenia często posiadają odpowiednie zabezpieczenia techniczne, uniemożliwiające wpłynięcie na życie i zdrowie ludzi.

Rekomendacje

Osoby odpowiedzialne za funkcjonowanie automatyki przemysłowej (szczególnie w sektorze energetyki i wodno-kanalizacyjnym) powinny wziąć do serca rekomendacje CERT Polska dotyczące urządzeń OT z maja 2024 roku.

Kluczowym problemem wciąż pozostaje widoczność urządzeń z poziomu Internetu przy nikłych zabezpieczeniach.

„(…) potencjalnie skompromitowane podmioty posiadały zasoby IT dostępne z publicznej sieci Internet, w tym panele HMI (ang. human machine interface – przyp. red.) sterujące procesami technologicznymi” – przekazało nam ABW w październiku ubiegłego roku.

Jednocześnie wciąż czekamy na listę rankingową w programie „Cyberbezpieczne Wodociągi”, która miała być opublikowana na przełomie stycznia i lutego br.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.