Czy polskie OT to rzeczywiście tykająca bomba?

3 marca, 2026

Systemy, urządzenia i technologie służące do monitorowania, sterowania i automatyzacji procesów fizycznych, które komunikują się przez Internet, odgrywają istotną rolę w sprawnym zarządzaniu funkcjonowaniem przedsiębiorstw. Jednak za sprawą cyfryzacji pojawia się ryzyko związane z możliwością wystąpienia incydentu bezpieczeństwa IT.

W ostatnich miesiącach podobne incydenty miały miejsce również w przedsiębiorstwach ciepłowniczych czy wodociągowych. Dla przykładu w ciepłowni w Ruciane-Nida przestępcy po przeniknięciu do systemów przedsiębiorstwa wyłączyli jeden z dwóch pieców kotłowni. W pełni bezpieczna nie może czuć się również branża wodno-kanalizacyjna. Tolkmicko, Małdyty, Sierakowo, Wydminy, Szczytno, a także Rzeszów.

W tych lokalizacjach na przestrzeni ostatnich kilkunastu miesięcy mieliśmy do czynienia z próbami przejęcia dostępu do paneli SCADA/SUW zakładów wodociągowych i kanalizacyjnych, ale niewykluczone, że było one po prostu zbyt słabo zabezpieczone – zwykle panel sterowania dostępny był z zewnątrz dla każdego, kto znał adres URL lub adres IP. W dobie narzędzi do skanowania Internetu nie jest trudno o wyszukanie takich „kwiatków” a sama próba logowania się do systemu już jest uznana za „atak”.

Powyższe przykłady pokazują z jednej strony, że dobrze przygotowana na ryzyko organizacja da odpór atakom, a w konsekwencji obsługiwani przez nią mieszkańcy są bezpieczniejsi. Z drugiej, skuteczne przełamywanie zabezpieczeń każe postawić pytanie, czy bezpieczeństwo infrastruktury krytycznej jest na wystarczającym wysokim poziomie?

Co łączy przedsiębiorstwa energetyczne, wodno-kanalizacyjne, a także tysiące działających w innych branżach? Wykorzystanie technologii do obsługi kluczowych procesów i związane z tym ryzyko. OT wykorzystywana jest wszędzie tam, gdzie mamy do czynienia choćby z produkcją przemysłową, którą przecież nasza gospodarka stoi.

Czy polskie OT jest gotowe na cyberataki?

W wielu podmiotach – szczególnie w sektorze wod-kan i ciepłownictwie – nadal funkcjonują systemy projektowane kilkanaście czy kilkadziesiąt lat temu, które zostały podłączone do sieci szybciej, niż zbudowano wokół nich adekwatne mechanizmy ochrony. Zdalny dostęp jest wygodny dla serwisantów automatyki, ale często nie towarzyszy mu dojrzałe zarządzanie ryzykiem ani właściwe przygotowanie organizacyjne i kompetencyjne. Kluczowe jest stałe, operacyjne zarządzanie cyberbezpieczeństwem oraz wprowadzenie restrykcyjnych wymagań wobec dostawców automatyki i firm utrzymaniowych. Bez tego nawet najlepszy firewall przemysłowy pozostaje jedynie urządzeniem, a nie elementem spójnego systemu bezpieczeństwa. Ostatnie incydenty należy traktować jako wyraźny sygnał ostrzegawczy. Tam, gdzie wdrożono monitoring, segmentację i procedury reagowania, ataki udało się wykryć i powstrzymać. Największe ryzyko dotyczy organizacji, które wciąż działają reaktywnie, zamiast systemowo zarządzać cyberzagrożeniami.

Niestety, w mojej ocenie, na dziś polskie OT jest tykającą bombą, której detonator pozostaje w rękach przestępców. Potwierdzeniem braków w zabezpieczeniach jest choćby skuteczny atak na infrastrukturę krytyczną, opisany w raporcie CERT Polska z 30 stycznia 2026 roku. Świadczy o tym również tworzenie celowych programów, obejmujących dofinansowanie zabezpieczeń specyficznych obszarów technologii operacyjnych. Właśnie rozstrzygnięto program dla sektora wodociągowego, a minister Gawkowski zapowiedział wsparcie dla firm energetycznych. Takie programy nie powstają bez potrzeby. Kluczową kwestią przy ich realizacji, obok wyboru optymalnych urządzeń i technologii, pozostaje również ich odpowiednia konfiguracja i utrzymanie sprawności. Stała konserwacja, audyty, pentesty i licencje mogą być większym wyzwaniem niż sam zakup. Ten aspekt, powiązany z barierami finansowymi, brakiem specjalistów z odpowiednim know-how oraz świadomości na ten temat, jest kolejnym argumentem na poparcie mojego stanowiska.

Jakie wnioski mogą wyciągnąć dla firmy z niedawnych cyberataków na energetykę?

Polskie OT wymaga pilnej standaryzacji i przejścia z modelu reaktywnego na zarządzanie oparte na mierzalnym ryzyku. Konkretnie oznacza to np. obowiązkową inwentaryzację wszystkich zasobów OT, pełną segmentację sieci IT/OT, wyłączenie bezpośredniej ekspozycji paneli sterowania do internetu, centralny monitoring logów (SOC/SIEM) oraz cykliczne testy penetracyjne środowisk przemysłowych.

Równolegle konieczne jest wprowadzenie wymagań bezpieczeństwa do umów z dostawcami automatyki, egzekwowanie aktualizacji i kontrola zdalnego dostępu (MFA, VPN, rejestrowanie sesji). Bez tych działań nawet finansowanie najlepszego sprzętu nie przełoży się na realne podniesienie odporności infrastruktury krytycznej.

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.