„Biała Księga rosyjskich aktów sabotażu i dywersji wobec członków Rady Państw Morza Bałtyckiego”, opublikowana w maju 2026 roku przez Polski Instytut Spraw Międzynarodowych, jest przede wszystkim dokumentem strategicznym i analitycznym. Opisuje rosyjską kampanię dywersyjno-sabotażową z perspektywy państwa jako zjawisko geopolityczne, problem wywiadowczy i wyzwanie dla sojuszniczej koordynacji. Ale zebrane w nim dane mają również bardzo konkretne przełożenie na codzienną pracę operatorów infrastruktury krytycznej. Poniżej pięć wniosków, które z tego raportu wynikają, nie dla decydentów politycznych, ale dla tych, którzy odpowiadają za funkcjonowanie obiektów.
Zagrożenie hybrydowe ma konkretną postać
Jednym z częstych problemów w dyskusji o bezpieczeństwie hybrydowym jest jej abstrakcyjność. Pojęcia takie jak „wrogie oddziaływanie” czy „operacje poniżej progu wojny” brzmią jak kategorie z raportu analitycznego i trudno przełożyć je na decyzje operacyjne. Wielokrotnie na szkoleniach z operatorami IK, gdy mówiłam o zagrożeniach hybrydowych, słyszałam zdanie „Pani strasz, takie rzeczy to nie u nas”. Ostatnio słyszę je coraz rzadziej…
Raport PISM ten problem rozwiązuje, bo jest katalogiem konkretnych zdarzeń. Zagrożenie hybrydowe to statek ciągnący kotwicę nad podmorskim kablem energetycznym. To człowiek zwerbowany przez komunikator Telegram, który fotografuje infrastrukturę i przekazuje zdjęcia za kryptowalutę. To balon meteorologiczny wlatujący w przestrzeń powietrzną w seriach po kilkadziesiąt sztuk, testujący systemy obrony. To materiał wybuchowy umieszczony na torach kolejowych, poprzedzony kampanią dezinformacyjną, która miesiąc wcześniej przygotowała narrację o rzekomej prowokacji ze strony Ukrainy. Każdy z tych elementów może dotyczyć obiektu infrastruktury krytycznej: morskiej, lądowej lub powietrznej. Raport pokazuje, że żaden sektor nie jest poza zasięgiem: atakowano gazociągi, kable telekomunikacyjne, linie kolejowe, zajezdnie autobusowe, magazyny, stocznie, systemy wodociągowe i lotniska. Ochrona infrastruktury krytycznej przestała być domeną wyłącznie wojska i służb specjalnych, stała się zadaniem, które zaczyna się na poziomie operatora konkretnego obiektu.
Schematy są powtarzalne — a to oznacza, że można się do nich przygotować
Jednym z najważniejszych wniosków raportu jest powtarzalność rosyjskich metod działania. Autorzy dokumentują to wyraźnie: Rosja nie improwizuje. Stosuje te same techniki, taktyki i procedury w różnych państwach i domenach, dostosowując je do lokalnych warunków, ale nie zmieniając fundamentalnego schematu. W domenie morskiej schemat jest zawsze podobny: cywilna jednostka, nieprzejrzysta własność, operacja rozpoznawcza wyprzedzająca sabotaż, utrudniona atrybucja. W domenie lądowej: werbunek przez media społecznościowe, stopniowa eskalacja zadań od drobnych do poważnych, płatność w kryptowalutach, brak świadomości agenta co do prawdziwego zleceniodawcy. W domenie powietrznej: stałe zakłócenia GNSS jako tło, incydenty z dronami jako testowanie reakcji, naruszenia przestrzeni powietrznej jako demonstracja.
Powtarzalność schematów to informacja operacyjna. Oznacza, że planowanie scenariuszy bezpieczeństwa nie musi opierać się na spekulacji, może opierać się na udokumentowanych przypadkach. Scenariusz zakłóceń GNSS w pobliżu obiektu, scenariusz pojawienia się nieznanych osób fotografujących infrastrukturę, scenariusz podejrzanej jednostki pływającej w pobliżu instalacji morskiej — to nie są ćwiczenia teoretyczne. To zdarzenia, które miały miejsce i których przebieg jest opisany.
Procedury wymagają przeglądu, nie tylko te dotyczące ochrony fizycznej
Powtarzalność rosyjskich schematów operacyjnych ma jeszcze jeden wymiar praktyczny: pozwala weryfikować, czy istniejące procedury bezpieczeństwa były projektowane z myślą o tego rodzaju zagrożeniach, czy o zagrożeniach sprzed dekady. Wiele planów ochrony obiektów infrastruktury krytycznej powstało w czasie, gdy głównym scenariuszem był atak fizyczny z zewnątrz: intruz na terenie obiektu, sabotaż urządzeń przez osobę z bezpośrednim dostępem, awaria wywołana działaniem celowym. To scenariusze nadal aktualne, ale niewystarczające. Raport PISM pokazuje, że Rosja działa inaczej: atak na Estlink 2 został przeprowadzony przez statek płynący w odległości kilkudziesięciu metrów nad kablem, bez wchodzenia na żaden chroniony teren. Sabotaż torów kolejowych pod Warszawą nie wymagał dostępu do infrastruktury kolejowej w tradycyjnym sensie, wymagał znajomości rozkładu jazdy i kilku godzin pracy w nocy na otwartym terenie.
Przegląd procedur powinien obejmować kilka warstw. Pierwsza to ochrona fizyczna w rozszerzonym rozumieniu: nie tylko perymetr obiektu, ale też infrastruktura w jego otoczeniu: linie przesyłowe, rurociągi, kable, drogi dojazdowe, akweny w pobliżu instalacji morskich. Czy są monitorowane? Kto reaguje i w jakim czasie, gdy dzieje się tam coś nieoczekiwanego?
Druga warstwa to ciągłość działania. Procedury ciągłości działania (Business Continuity Planning) zazwyczaj projektuje się pod kątem awarii technicznej lub katastrofy naturalnej. Warto sprawdzić, jak zachowują się w scenariuszach hybrydowych: co się dzieje, gdy zakłócenia GNSS uniemożliwiają precyzyjną nawigację statków obsługujących instalację morską? Co gdy jednoczesna utrata łączności i awaria zasilania nie jest przypadkowa? Co gdy kluczowy poddostawca okazuje się powiązany z podmiotem objętym sankcjami? Takie scenariusze nie są spekulatywne, wszystkie mają swoje odpowiedniki w dokumentacji raportu.
Trzecia warstwa to procedury weryfikacji, zarówno personelu, jak i podmiotów zewnętrznych. Raport opisuje przypadki, w których dostęp do wrażliwych obiektów lub informacji o ich funkcjonowaniu uzyskiwały osoby rekrutowane przez rosyjski wywiad. Łotwa w 2025 roku ograniczyła dostęp obywateli Rosji i Białorusi do obiektów infrastruktury krytycznej właśnie dlatego, że VDD zidentyfikowała konkretne przypadki wykorzystania takich powiązań. Regularne przeglądy uprawnień dostępu, zasady dotyczące podwykonawców i firm serwisowych, procedury postępowania z osobami, które straciły dostęp do obiektu – to elementy, które warto skonfrontować z tym, co wiemy o metodach rosyjskiego werbunku.
Czwarta warstwa to reagowanie na incydenty. Procedury powinny precyzyjnie określać, co dzieje się od momentu wykrycia anomalii do momentu powiadomienia właściwych służb: kto decyduje, kto informuje, co dokumentuje się na bieżąco, a co może poczekać. Raport pokazuje, że czas reakcji ma znaczenie: w 2025 roku dwa akty sabotażu na Morzu Bałtyckim zostały udaremnione właśnie dlatego, że podejrzane statki były monitorowane i służby zareagowały wystarczająco szybko.
Model jednorazowych agentów zmienia myślenie o zagrożeniu wewnętrznym
Raport szczegółowo opisuje mechanizm werbunku tzw. jednorazowych agentów. To osoby rekrutowane przez Telegram i inne platformy, które początkowo wykonują proste zadania: rozdawanie ulotek, malowanie graffiti, fotografowanie obiektów. Z czasem zadania stają się poważniejsze: instalowanie urządzeń obserwacyjnych przy infrastrukturze, zakup materiałów do sabotażu, wreszcie podpalenia i ataki fizyczne. Wynagrodzenie trafia w kryptowalutach. W 58% przypadków zwerbowane osoby nie wiedzą, że działają na rzecz rosyjskiego wywiadu.
Dla operatora infrastruktury krytycznej wynika z tego kilka praktycznych wniosków. Po pierwsze, zagrożenie może przyjść od strony, która nie wygląda jak zagrożenie – od osoby bez formalnych powiązań z obcym wywiadem, bez doświadczenia wywiadowczego, bez ideologicznej motywacji. Po drugie, pierwsze sygnały mogą być niegroźne: ktoś fotografuje obiekt ze znacznej odległości, ktoś pyta o harmonogram zmian, ktoś pojawia się regularnie w pobliżu infrastruktury bez wyraźnego powodu. Po trzecie, zasięg terytorialny tych operacji jest szeroki: ci sami agenci działają w kilku państwach, co dokumentuje sprawa ataków na sklepy IKEA w Wilnie i Rydze oraz obiekty handlowe w Warszawie.
Procedury weryfikacji personelu, zasady dostępu do obiektów, protokoły reagowania na podejrzane zachowania w otoczeniu infrastruktury – wszystkie te elementy nabierają nowego znaczenia, gdy rozumie się, jak wygląda rosyjski model werbunkowy. Nie chodzi o paranoję, ale o świadomość, że zagrożenie może przyjść z nieoczekiwanego kierunku i nie będzie wyglądało jak klasyczny szpieg.
Pracownicy są pierwszą linią, ale tylko wtedy, gdy wiedzą, czego szukać
Procedury i plany ciągłości działania są bezużyteczne, jeśli osoby, które pracują w obiekcie na co dzień, nie wiedzą, że istnieją, nie rozumieją ich sensu albo boją się zgłaszać to, co zauważają. Pracownicy mają coś, czego nie ma żaden system monitoringu: znajomość obiektu i ludzi w nim. Wiedzą, który samochód zazwyczaj parkuje przy bramie, który dostawca przyjeżdża o stałej porze, który serwisant był tu rok temu i dlaczego pojawia się znowu. Anomalie, które kamera może zarejestrować jako zdarzenie bez kontekstu, pracownik może rozpoznać jako coś, co nie pasuje, pod warunkiem, że wie, że warto zwrócić na to uwagę i że zgłoszenie tego nie skończy się dla niego problemami. Raport PISM opisuje przypadek, który dobrze ilustruje tę zasadę od drugiej strony. Rosjanie prowadzący w Polsce działania rekrutacyjne do Grupy Wagnera zostali zatrzymani, gdy przypadkowa osoba poinformowała policję o dystrybucji materiałów rekrutacyjnych. Jedna obserwacja, jedno zgłoszenie i siatka została rozbita. To nie jest wyjątek. To jest model, który działa.
Szkolenie pracowników w kontekście zagrożeń hybrydowych nie musi być rozbudowanym programem z elementami kontrwywiadowczymi. Powinno być przede wszystkim praktyczne i odpowiadać na trzy pytania: czego szukać, jak to zgłaszać i co się stanie po zgłoszeniu.
Pierwsza kwestia: czego szukać oznacza uświadomienie pracownikom, jak wygląda wczesna faza rozpoznania prowadzonego przez rosyjskie służby. Raport pokazuje, że poprzedza ona każdą poważniejszą operację. Fotografowanie obiektu lub jego otoczenia przez osoby, które nie mają tu oczywistego powodu. Pytania o harmonogramy, obsadę zmian, procedury awaryjne zadawane przez osoby, które nie powinny ich znać. Pojazdy parkujące regularnie w pobliżu infrastruktury bez widocznego celu. Nieznane drony w pobliżu obiektu. Każdy z tych sygnałów osobno może być niczym. Razem lub w połączeniu z podobnymi zdarzeniami w innych lokalizacjach mogą być czymś bardzo konkretnym.
Druga kwestia: jak zgłaszać wymaga jasnej i prostej ścieżki. Jeśli pracownik nie wie, do kogo się zwrócić, albo ścieżka jest skomplikowana, zgłoszenie po prostu nie nastąpi. Wewnętrzna linia zgłoszeń, konkretna osoba lub dział odpowiedzialny za bezpieczeństwo, jasna instrukcja co i jak dokumentować to minimum, które powinno być znane każdemu pracownikowi obiektu, nie tylko ochronie.
Trzecia kwestia: co się stanie po zgłoszeniu jest często pomijanym, ale krytycznym elementem. Jeśli pracownicy widzieli wcześniej, że zgłoszenia są ignorowane, bagatelizowane lub że osoba zgłaszająca trafia na kłopoty, następna anomalia nie zostanie zgłoszona. Kultura organizacyjna, w której pracownik czuje się bezpiecznie sygnalizując coś podejrzanego, nie powstaje przez plakaty i szkolenia BHP powstaje przez konkretne zachowania przełożonych i przez to, co dzieje się po zgłoszeniu. Warto sprawdzić, czy w organizacji istnieje mechanizm informowania zgłaszającego o tym, że jego sygnał dotarł i co z nim zrobiono. Brak takiej informacji zwrotnej jest jednym z głównych powodów, dla których systemy wczesnego ostrzegania nie działają w praktyce.
Zgłaszanie incydentów jest częścią systemu, nie przyznaniem się do słabości
Raport PISM zawiera jednoznaczną rekomendację: brak atrybucji rosyjskich operacji utrudnia skoordynowaną odpowiedź. To samo dotyczy poziomu operatora. Pojedynczy incydent: podejrzana jednostka pływająca w pobliżu instalacji, nieznany dron nad obiektem, uszkodzenie kabla, zakłócenia łączności może wyglądać na przypadek lub awarię techniczną. Dopiero zestawiony z innymi zdarzeniami, zgłoszony właściwym służbom i włączony w szerszy obraz sytuacyjny, staje się użyteczną informacją.
Raport pokazuje, jak ta zasada działa w praktyce. Polska ABW w marcu 2023 roku rozbiła 30-osobową grupę dywersyjno-rozpoznawczą, której zadaniem było mapowanie szlaków transportu uzbrojenia dla Ukrainy. Łotewska VDD w październiku 2025 roku zatrzymała cztery osoby prowadzące rozpoznanie obiektów infrastruktury obronnej między innymi dlatego, że dysponowała informacją o wcześniejszych zdarzeniach w tym środowisku. W październiku 2024 roku operacja przerzutu materiałów wybuchowych drogą lotniczą do USA i Kanady została zdekonspirowała przez przedwczesne zapłony w centrach logistycznych w Lipsku i Birmingham i właśnie ta informacja pozwoliła połączyć rozproszony obraz w całość.
Operator infrastruktury, który zauważa coś niepokojącego i nie zgłasza tego, ponieważ wydaje mu się to nieistotne, ponieważ nie chce tworzyć problemów, ponieważ nie ma procedury działa na niekorzyść systemu, który ma go chronić. Zgłoszenie podejrzanego zdarzenia właściwym organom i służbom jest elementem świadomości sytuacyjnej, której raport PISM stawia jako jeden z kluczowych warunków skutecznej obrony.
Dezinformacja jest częścią ataku, nie jego następstwem
Przypadek ataku na linie kolejowe w Polsce w listopadzie 2025 roku dokumentuje mechanizm, który powinien być brany pod uwagę przy planowaniu reagowania kryzysowego. Rosyjska Służba Wywiadu Zagranicznego już w końcu września 2025 roku (niemal dwa miesiące przed atakiem) opublikowała komunikat sugerujący, że to Ukraina i polskie służby specjalne planują prowokację na torach kolejowych. Gdy do ataku doszło, narracja była już gotowa i szeroko obecna w przestrzeni informacyjnej. Według danych cytowanych w raporcie, 42% z 14 tysięcy przeanalizowanych komentarzy dotyczących incydentu wskazywało na winę Ukrainy. To nie jest wyjątek, to element strategii. Raport dokumentuje szereg podobnych przypadków: podpalenia sklepów opisywane w rosyjskich kanałach dezinformacyjnych jako zniszczenie zachodnich zakładów zbrojeniowych, akty wandalizmu przy miejscach pamięci przedstawiane jako działania ukraińskich nacjonalistów, zamach na kolei opisany z wyprzedzeniem jako operacja pod fałszywą flagą.
Dla operatora infrastruktury krytycznej wynika z tego konkretny wniosek: w razie poważnego incydentu np. sabotażu, włamania, uszkodzenia obiektu pojawi się nie tylko zdarzenie fizyczne, ale również walka o jego interpretację. Komunikacja kryzysowa nie jest kwestią wizerunkową, jest częścią reagowania na incydent. Warto wiedzieć wcześniej, kto w organizacji odpowiada za kontakt z mediami i służbami, jakie informacje mogą być ujawnione, a jakie nie, i w jakiej kolejności działają procedury informowania właściwych organów. Im wolniejsza i bardziej chaotyczna odpowiedź operatora, tym więcej przestrzeni dla narracji, która może nie mieć nic wspólnego z tym, co faktycznie się wydarzyło.
Raport PISM nie jest instrukcją obsługi dla operatorów infrastruktury krytycznej. Jest analizą strategiczną, która dokumentuje cztery lata systematycznej kampanii dywersyjno-sabotażowej. Ale wnioski z niej wynikające są bardzo konkretne: zagrożenie jest realne, schematy są znane, a przygotowanie proceduralne, szkoleniowe i komunikacyjne jest możliwe. Pytanie nie brzmi, czy takie zdarzenia mogą się wydarzyć. Brzmi, czy organizacja jest na nie gotowa, gdy do nich dojdzie.
Polecamy lekturę przywołanego Raportu: Filip Bryjka, Anna Maria Dyner, Aleksandra Kozioł, „Biała Księga rosyjskich aktów sabotażu i dywersji wobec członków Rady Państw Morza Bałtyckiego”, Polski Instytut Spraw Międzynarodowych, maj 2026 r.