Cyberbezpieczeństwo, w szczególności w kontekście formalnego spełnienia wymogów dyrektywy NIS2 oraz nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC2), stało się w ostatnich miesiącach słowem odmienianym przez wszystkie przypadki. Osobiście wolę posługiwać się sformułowaniem „cyberodporność” (ang. cyber resilience). „Bezpieczeństwo” sugeruje stan binarny – jesteśmy bezpieczni lub nie, co w dobie dzisiejszych zagrożeń jest iluzją. Natomiast „cyberodporność” to zdolność organizacji do unikania, odpierania czy też ograniczenia skutków ataku, ale przede wszystkim jest to zdolność organizacji do zachowania krytycznych funkcji i szybkiego powrotu do działania po incydencie. Dla kadry zarządzającej to przejście od defensywy do strategicznego zarządzania ciągłością biznesu, z wkomponowaniem cyberodporności w DNA przedsiębiorstwa.
Choć cyberodporność dla wielu to wciąż mało widzialny aspekt życia codziennego, w branży usług użyteczności publicznej od jej skuteczności zależy bezpieczeństwo ciągłości dostaw mediów do gospodarstw domowych i przedsiębiorstw, a co za tym idzie, stabilne funkcjonowanie całej gospodarki państwa. Warto spojrzeć na sektor energetyczny, który proces głębokiej transformacji cyberbezpieczeństwa przeszedł kilka lat wcześniej. Wynikało to z konsolidacji sektora i świadomości, że paraliż sieci przesyłowej to natychmiastowy paraliż państwa, a być może i sieci międzynarodowej. Dziś branża wod-kan stoi w tym samym miejscu. Zamiast wyważać otwarte drzwi, możemy czerpać z doświadczeń energetyki, wiedząc, że regulacje NIS2 stawiają przed nami niemal identyczne cele. To, co w energetyce jest już standardem operacyjnym, w sektorze wod-kan staje się właśnie naszą nową rzeczywistością.
Dawniej zagrożenia związane z informatyzacją kojarzone były głównie z wirusami niszczącymi dane na dyskach twardych komputerów biurowych. Jeszcze zaledwie kilka lat temu bezpieczeństwo było nakierowane niemal wyłącznie na rozwiązania IT, obejmując znacznie więcej, ale wciąż nie docierając „w teren”. Dziś, w dobie wszechobecnej cyfryzacji i rosnącej świadomości, cyberbezpieczeństwo wykracza daleko poza ramy klasycznego działu IT. W systemach wod-kan dotyka ono bezpośrednio warstwy operacyjnej (dzisiaj modne staje się określenie OT, ale osobiście za nim nie przepadam), tj. systemów SCADA, sterowników PLC czy rozproszonych obiektów telemetrycznych, także z uwzględnieniem bezpieczeństwa fizycznego. Bo czy najlepsze systemy IT rozwiążą nam problem fizycznego i niezauważonego dostępu do stacji uzdatniania wody, przepompowni wody pitnej, albo nielegalnego poboru wody z hydrantów? Czy atak typu ransomware jest bardziej dotkliwy w skutkach niż intencjonalne zatrucie ujęcia wody pitnej? Bezwzględnie, bezpieczeństwo należy wdrażać w sposób adekwatny i zrównoważony.
Poza poruszonym aspektem technicznym, cyberbezpieczeństwo zostało silnie osadzone w ramach prawnych i regulacyjnych. Ponieważ doczekaliśmy się wreszcie krajowej implementacji dyrektywy NIS2, nie mamy innego wyjścia jak realnie podnieść poziom odporności naszej branży. Kolejnym kamieniem milowym będzie pełne wejście w życie rozporządzenia Cyber Resilience Act (CRA), które dotknie głównie producentów produktów z elementami cyfrowymi, ale odbije się to szerokim echem także po stronie odbiorców produktów, bo będą oni musieli zwracać szczególną uwagę, np. na to, czy dostawca i jego produkty spełniają wymagania tego rozporządzenia, jaki jest przewidywany czas życia produktu.

Wiemy już, że błędem jest utożsamianie cyberbezpieczeństwa wyłącznie z zakupem rozwiązań IT. Prawdziwa odporność zaczyna się znacznie wcześniej, na etapie projektowania Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). To proces, którego fundamentem jest rzetelna analiza ryzyka. To z niej powinno wynikać, co w danym przedsiębiorstwie stanowi realne zagrożenie i jakie środki (proporcjonalne do budżetu i skali zagrożeń) należy podjąć.
Jeśli przyjrzymy się normom takim jak ISO/IEC 27001 oraz ISO 22301, zauważymy, że nie narzucają one konkretnych rozwiązań technologicznych. Skupiają się za to na analizie ryzyka, procedurach i procesach, które jasno wytyczają role i ścieżki działania. Jest to szczególnie cenne w sytuacjach kryzysowych, gdy nie ma czasu na improwizację.
Zgodnie z dyrektywą NIS2, objęty nią podmiot ma zaledwie 24 godziny na wczesne zgłoszenie incydentu od momentu powzięcia o nim wiedzy i kolejne 48 godziny na dopełnienie zgłoszenia, razem to 72 godziny, które są liczone także w weekendy, święta. Wiedza o tym, kto, kiedy i co ma robić oraz do kogo ma „zadzwonić” w ciągu pierwszej godziny od wykrycia anomalii jest ważniejsza niż najdroższy sprzęt. Tutaj kluczowa staje się rola automatyzacji oraz posiadania rzetelnego partnera lub świetnie działającego własnego SOC (ang. Security Operations Center). Celem jest, aby brak znajomości procedur i walka z nieuchronną biurokracją raportowania nie zablokowały realnych działań inżynierskich zabezpieczających infrastrukturę w krytycznym momencie i nie naraziły przedsiębiorstwa i Zarządu na sankcje, których można uniknąć.
Skoro wiemy już, jak zarządzać procesami wewnątrz, musimy wyjrzeć także na zewnątrz, czyli zadbać o nasz łańcuch dostaw. W 2026 roku nie można już mówić o bezpieczeństwie produktu bez analizy jego pochodzenia. Łańcuch dostaw stał się jednym z kluczowych obszarów oceny ryzyka. Z perspektywy przedsiębiorstwa wod-kan, wybór dostawcy technologii to decyzja o spełnieniu wymagań NIS2, a także o utrzymaniu zgodności i bezpieczeństwa przez cały cykl życia projektu. Nie można zapominać także o szalenie istotnej i odpowiedzialnej roli wykwalifikowanych integratorów, ponieważ system składający się z wielu elementów jest tak bezpieczny jak jego najsłabszy element. Dopiero konfiguracja wszystkich produktów składowych w jeden konsystentny system może stanowić o cyberodporności całego rozwiązania.
Wspomniane rozporządzenie CRA wprowadza nową erę odpowiedzialności producentów i dystrybutorów „produktów z elementami cyfrowymi”. Pod tym hasłem kryją się zarówno oprogramowanie takie jak SCADA czy system billingowy, jak również urządzenia takie jak sterowniki PLC czy moduły telemetryczne, które nie będą już traktowane jako „zamknięte pudełka”. Będą wymagały wsparcia w zakresie łatek bezpieczeństwa w całym cyklu życia produktu, który będzie musiał być przez producentów jasno deklarowany przed dokonaniem zakupu. To w zasadzie wyeliminuje rozwiązania tworzone metodą in-house i do tego także należy się przygotować zawczasu.
Wybierając partnera technologicznego, zakład wodociągowy musi brać pod uwagę nie tylko cenę rozwiązania, ale także zgodność jego samego i jego produktów z regulacjami, „politykę trwałości” dostawcy i zachowania ciągłości łańcucha dostaw nawet w tych trudnych okresach, bo to są dwie strony tego samego medalu. Tragiczne w skutkach powodzie z 2024 roku pokazały dobitnie, że (nie tylko) branża wod-kan potrzebuje partnerów posiadających realne stany magazynowe i lokalne wsparcie. Producenci i dystrybutorzy unikający magazynowania produktów i części zamiennych w imię optymalizacji kosztów stają się w godzinie próby wąskim gardłem, którego nie rozwiąże żadna procedura prawna, a finalną odpowiedzialność ponosi podmiot działający w ramach NIS2. Uważam, że wartym rozważenia pomysłem jest współpraca zakładów, np. pod kątem stosowania wspólnych rozwiązań technologicznych, co oprócz wyższej dostępności, powinno wpłynąć na lepsze warunki handlowe. Sama UKSC2 wprost mówi o możliwości współpracy JST na poziomie gminnym i powiatowym.
Postępująca cyfryzacja sektora wod-kan to miecz obosieczny. Pozwala na optymalizację strat, kosztów pracy, zużycia energii czy szybką reakcję na awarie, ale jednocześnie otwiera nowe „furtki” do infrastruktury. Wiele incydentów nie wynika z wyrafinowanych działań hakerskich, lecz z zaniedbania podstawowej higieny cyfrowej, braku tzw. „niskich płotów”. Dzisiaj boty wykorzystujące technologie AI skanują sieć w poszukiwaniu słabych punktów i wykorzystują każdą możliwą podatność, więc liczenie, że ktoś nie zwróci uwagi na mniejszy zakład wodociągowy, jest mrzonką. CERT Polska publikuje co roku raport z działalności[1], w którym można sprawdzić statystyki dot. incydentów, jakie udało się wykryć. Rok do roku liczby te rosną w zastraszającym tempie, czemu nie sprzyja nasza lokalizacja geograficzna i rozkład sił geopolitycznych. A ilu incydentów nie udało się wykryć i nie trafiło do raportu? Nie chcę nawet podejmować próby oszacowania tej liczby.
Pytanie nie brzmi „czy”, ale „kiedy” staniemy się obiektem niecnych zainteresowań. W związku z tym, na poniższe obszary proponuję położyć szczególny nacisk w analizie ryzyka, bo doświadczenie pokazuje, że jest czym się zająć:

Wszystkie te techniczne i proceduralne aspekty mają swoją drugą stronę medalu – finansową. Jako kadra zarządzająca musimy przestać patrzeć na bezpieczeństwo przez pryzmat CAPEX (zakupu), a zacząć przez TCO (Total Cost of Ownership), czyli CAPEX + OPEX. Zakup urządzenia to najczęściej tylko początek kosztów. Prawdziwe koszty pojawiają się dopiero po uwzględnieniu kosztów niewidocznych w ofercie: np. przy konieczności dostosowania takiego rozwiązania do nowych wymogów bezpieczeństwa, przy wystąpieniu braku wsparcia technicznego, przy utrudnionej diagnostyce zdalnej i konieczności wysłania ekipy w teren, przy kosztach obsługi przez SOC czy cyklicznej aktualizacji firmware, która jest już wymogiem prawnym.
Wszystkie te aspekty należy brać pod uwagę, bo czas życia rozwiązań w sektorze przemysłowym nie zamyka się w krótkiej perspektywie.
Audyty czy pentesty to migawki z rzeczywistości. Dbanie o cyberbezpieczeństwo to film z fabułą. Nie da się jednorazowo i skutecznie „zabezpieczyć”, ale trzeba się „zabezpieczać”, bo zagrożenia ciągle się zmieniają. Każdy z nas gra jakąś rolę w tym filmie, więc powinien znać scenariusz.
Nawet najlepsze systemy i rozwiązania, tak pod kątem technicznym, jak i proceduralnym, mogą nie ochronić nas przed atakiem zdeterminowanego napastnika. Dlatego nasze działania mają prowadzić do zbudowania zasieków, które realizują trzy główne cele:

Cyberodporność przestała być technicznym dodatkiem do podstawowej działalności operacyjnej, a stała się jednym z głównych jej filarów. NIS2, UKSC2 czy CRA nie zmuszają nas do wdrażania technologii rodem z filmów science-fiction. Zmuszają nas do zaopiekowania się obszarem cyberbezpieczeństwa w sposób świadomy, adekwatny do ryzyka i ciągły. Inwestycja w cyberodporność w sektorze wod-kan to dziś nie tylko wymóg prawny, ale przede wszystkim wyraz odpowiedzialności. Budowanie bezpiecznej infrastruktury to proces długotrwały, ale niezbędny, by w świecie pełnym cyfrowych zagrożeń woda w naszych kranach płynęła bez zakłóceń.
Cyberbezpieczeństwo bywa rozumiane jako stan, w którym organizacja jest albo bezpieczna, albo nie. Cyberodporność oznacza natomiast zdolność organizacji do unikania, odpierania lub ograniczania skutków ataku, a przede wszystkim do zachowania krytycznych funkcji i szybkiego powrotu do działania po incydencie.
Nie. Cyberbezpieczeństwo obejmuje również warstwę operacyjną, w tym systemy SCADA, sterowniki PLC, rozproszone obiekty telemetryczne oraz bezpieczeństwo fizyczne infrastruktury.
Prawdziwa odporność zaczyna się od analizy ryzyka, procedur, procesów i jasno określonych ról. System Zarządzania Bezpieczeństwem Informacji pozwala ustalić, co stanowi realne zagrożenie dla organizacji i jakie środki należy wdrożyć proporcjonalnie do skali ryzyka oraz możliwości przedsiębiorstwa.
Nieprawidłowo zabezpieczony dostęp zdalny, na przykład przez usługi VNC/RDP lub przekierowanie portów bez bezpiecznych tuneli VPN, może stanowić zaproszenie dla intruza. Dostęp powinien być kontrolowany, uzasadniony i realizowany w sposób bezpieczny.
Nie. Dbanie o cyberbezpieczeństwo to proces ciągły. Zagrożenia stale się zmieniają, dlatego organizacja powinna regularnie analizować ryzyko, aktualizować procedury, edukować ludzi, wykrywać anomalie i przygotowywać się na minimalizację skutków ewentualnego incydentu.
Działania na rzecz cyberodporności powinny prowadzić do skutecznego zniechęcania potencjalnych napastników, wczesnej detekcji anomalii oraz minimalizacji skutków ataku, jeśli mimo zabezpieczeń dojdzie do naruszenia.


