Granty dla wodociągów. Miliony na wzmocnienie ochrony

Podmioty dostarczające wodę są kluczowe z punktu widzenia funkcjonowania całego państwa. Nieprzerwane i bezpieczne zaopatrzenie w wodę stanowi fundament codziennego życia obywateli, prawidłowego funkcjonowania gospodarki oraz ochrony zdrowia publicznego. 

Systemy zarządzające infrastrukturą wodociągową stają się jednak coraz częściej narażone na cyberataki, które mogą prowadzić do paraliżu dostaw, skażenia wody czy kradzieży danych. Pisaliśmy o tym problemie szerzej na naszych łamach. 

W odpowiedzi na rosnące zagrożenia Ministerstwo Cyfryzacji uruchomiło program grantowy dla podmiotów odpowiedzialnych za dostarczanie wody. 

Środki z KPO

Finansowanie przewidziane w rozporządzeniu pochodzi ze środków Krajowego Planu Odbudowy i Zwiększania Odporności (KPO), w ramach inwestycji C3.1.1 „Cyberbezpieczeństwo - CyberPL”. 

Celem tej inwestycji jest m.in. wzmocnienie cyberodporności systemów informatycznych (IT) oraz technologii operacyjnych (OT), wykorzystywanych w podmiotach krajowego systemu cyberbezpieczeństwa. 

Alokacja na wsparcie cyberbezpieczeństwa dla około 430 przedsiębiorstw wodociągowych w ramach KPO szacowana jest na blisko 70 milionów euro (ok. 300 mln zł).

Warunki udzielania pomocy

Instytucją odpowiedzialną za udzielanie pomocy jest Centrum Projektów Polska Cyfrowa (CPPC).

Wsparcie przybiera formę bezzwrotnego wsparcia finansowego (grantu) i może pokryć do 100% poniesionych i udokumentowanych kosztów kwalifikowalnych projektu.

Kto może dostać wsparcie?

Pomoc finansowa jest skierowana do specyficznej grupy podmiotów. Muszą one prowadzić działalność w zakresie zbiorowego zaopatrzenia w wodę, być objęte krajowym systemem cyberbezpieczeństwa oraz - co istotne - wykorzystywać w swojej działalności technologie operacyjne (OT) w przemysłowych systemach sterowania. 

Rozporządzenie precyzuje trzy kategorie kwalifikujących się podmiotów:

• przedsiębiorstwa wodociągowo-kanalizacyjne, które są operatorem usług kluczowych,
• spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu przepisów ustawy o gospodarce komunalnej,
• jednostki sektora finansów publicznych. 

Cele Projektów Grantowych

Pomoc może zostać udzielona na realizację projektu grantowego, który przyczynia się do osiągnięcia co najmniej jednego z celów wymienionych w rozporządzeniu:

1. Wdrożenie środków organizacyjnych służących zapewnieniu cyberbezpieczeństwa.
2. Zakup lub modernizacja środków technicznych służących zapewnieniu cyberbezpieczeństwa.
3. Rozwój kompetencji personelu w zakresie cyberbezpieczeństwa.

Na co mogą zostać wydane otrzymane środki?

Katalog kosztów kwalifikowalnych określony w rozporządzeniu obejmuje szeroki wachlarz wydatków niezbędnych do realizacji projektu grantowego. W tym gronie znajdują się: 

• przegląd, opracowanie, wdrożenie lub aktualizacja systemu zarządzania bezpieczeństwem informacji (SZBI),
• analiza ryzyka, polityki bezpieczeństwa, zarządzanie incydentami, plany ciągłości działania, kryptografia, kontrola dostępu,
• zakup i wdrożenie sprzętu, oprogramowania i usług (prewencja, detekcja, reakcja),
• zakup i wdrożenie systemów lub usług operacyjnych centrów bezpieczeństwa (SOC),
• systemy lub usługi zarządzania podatnościami, skanery podatności,
• specjalistyczne szkolenia,
• doradztwo w zakresie cyberbezpieczeństwa.  

Dlaczego wsparcie dla wodociągów?

Wraz z postępem technologicznym, systemy zarządzania wodociągami stają się coraz bardziej zautomatyzowane i zinformatyzowane. Wykorzystuje się w nich zaawansowane technologie operacyjne (OT), w tym systemy sterowania i akwizycji danych (SCADA), które umożliwiają zdalne monitorowanie i zarządzanie procesami uzdatniania i dystrybucji wody. 

Przynosi to wiele korzyści, takich jak większa efektywność czy szybsze reagowanie na awarie. Pojawiają się również nowe, poważne ryzyka. Systemy te, często projektowane wiele lat temu bez należytego uwzględnienia kwestii cyberbezpieczeństwa, lub po prostu przestarzałe, mogą być podatne na ataki hakerskie.

Różne rodzaje zagrożeń

Wodociągi narażone są m.in. na ataki typu ransomware, polegające na zaszyfrowaniu systemów i żądaniu okupu za ich odblokowanie. W efekcie może dojść do sparaliżowania ich funkcjonowania. 

Możliwe są również bezpośrednie ataki na systemy sterowania, mające na celu manipulację procesami technologicznymi, np. zmianę parametrów chemicznych uzdatniania wody. Mogłoby to doprowadzić do jej skażenia. Istnieje także ryzyko kradzieży danych operacyjnych lub danych klientów.

Możliwe poważne konsekwencje

Cyberatak wymierzony w systemy sterowania wodociągami może mieć natychmiastowy i wielowymiarowy wpływ na funkcjonowanie państwa, gospodarki oraz codzienne życie obywateli:

• Zakłócenie pracy systemów odpowiedzialnych za uzdatnianie i dystrybucję wody, może skutkować całkowitym zatrzymaniem dostaw wody pitnej. Taki scenariusz prowadzi do bezpośrednich zagrożeń - mieszkańcy pozbawieni są możliwości zaspokajania podstawowych potrzeb życiowych, szpitale i placówki medyczne nie są w stanie utrzymać standardów higieny. 
• Manipulacja parametrami chemicznymi wody (np. zaburzenie dawkowania chloru) lub skażenie mikrobiologiczne mogą spowodować masowe zatrucia. Ponadto, jej brak uniemożliwia funkcjonowanie wielu gałęzi gospodarki – od przemysłu spożywczego, przez rolnictwo, po sektor usług. Zakłócenia w działalności produkcyjnej i łańcuchach dostaw prowadzą do strat finansowych.

Reakcja na cyberatak wymaga znacznych nakładów finansowych i organizacyjnych - od przywracania sprawności systemów IT, przez dystrybucję wody zastępczej, po komunikację kryzysową. Samorządy i operatorzy infrastruktury mogą ponieść wielomilionowe straty.

Czym jest pomoc de mimisis?

Pomoc de minimis to szczególna kategoria wsparcia, którego udziela państwo. Całkowita kwota pomocy, którą przyznaje państwo jednemu przedsiębiorstwu, nie może przekroczyć 300 000 EUR w ciągu 3 lat kalendarzowych (wcześniej wynosiła 200 000 EUR). 

Kluczową cechą tej formy pomocy jest jej stosunkowo niewielka wartość. Zgodnie z zasadami Unii Europejskiej, uznaje się, że tak niewielkie kwoty wsparcia nie są w stanie zakłócić konkurencji na wspólnym rynku ani wpłynąć na wymianę handlową między państwami członkowskimi. 

Dzięki temu pomoc de minimis nie wymaga skomplikowanej i czasochłonnej procedury zgłaszania do Komisji Europejskiej oraz uzyskiwania jej zgody, co znacząco upraszcza i przyspiesza proces jej udzielania. Państwo może więc szybciej reagować na zidentyfikowane potrzeby, takie jak nagła konieczność wzmocnienia cyberbezpieczeństwa w strategicznie ważnym sektorze.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].