Do 2023 r. nie odnotowano publicznie potwierdzonych incydentów dotyczących bezpośrednio systemów wodociągowych lub oczyszczalni ścieków w Polsce. Raporty CERT Polska i NASK z tamtego okresu wskazywały ogólnie na rozwój zagrożeń wobec infrastruktury krytycznej (ICS/OT), lecz bez konkretnych przykładów z branży wod-kan. To nie oznacza, że takich incydentów nie było — mogą być nieupublicznione lub opisane tylko w dokumentach wewnętrznych operatorów lub służb, ewentualnie – publikowane jako ogólne komunikaty bez szczegółów. Przełom nastąpił w 2024 r., kiedy pojawiły się pierwsze udokumentowane próby ingerencji w systemy sterowania oczyszczalni i stacji uzdatniania wody, a w 2025 r. fala takich ataków objęła kilka województw.
Zestawienie incydentów
| Data | Lokalizacja / obiekt | Opis incydentu | Skutki / reakcja | Przypisanie (jeśli znane) | Źródło |
| październik 2025 | Chodaczów (woj. podkarpackie) | Grupa prorosyjska opublikowała nagranie z panelu SCADA/HMI oczyszczalni, pokazujące zmienione parametry (np. obroty pomp, temperatury). | Incydent propagandowy; brak potwierdzonych szkód; sprawa badana przez CSIRT NASK i służby. | Grupa prorosyjska (haktywiści powiązani z Rosją). | CyberDefence24, Radio Rzeszów. |
| sierpień 2025 | Nieujawnione duże miasto | Służby rządowe poinformowały o udaremnieniu poważnego ataku na miejski system wodociągowy; możliwe przejęcie zdalnego dostępu. | Udaremniony; wzmożone alerty CSIRT. | Brak jawnego przypisania; prawdopodobne źródła prorosyjskie. | Reuters, media PL. |
| marzec–wrzesień 2025 | Tolkmicko, Małdyty, Sierakowo, Szczytno, Wydminy, Kuźnica | Seria prób uzyskania dostępu do paneli SCADA w oczyszczalniach i SUW; manipulacje parametrami; część udaremniona przez operatorów. | Zakłócenia minimalne; czasowe przejście na tryb manualny. | Grupy prorosyjskie / kampanie APT. | Rzeczpospolita, CyberDefence24. |
| wrzesień 2025 | Polska (raport NASK) | Raport CSIRT NASK o wzmożonej aktywności wobec sektora wod-kan i programie 300 mln zł wsparcia na cyberbezpieczeństwo. | Zapowiedź programów ochronnych. | — | NASK – komunikat. |
| październik 2024 | Kuźnica (k. Sokółki) | Opublikowane wideo z panelu oczyszczalni pokazujące zmianę parametrów przez haktywistów. | Brak szkód; pierwszy znany przypadek w PL. | Prorosyjscy haktywiści. | CyberDefence24 (2024). |
| kwiecień 2024 | Wydminy (woj. warmińsko-mazurskie) | Próba włamania do systemu sterowania oczyszczalni; bez skutku. | Udaremniony. | Nieznany. | Raporty branżowe, NASK. |
Trendy i wzorce
- Eskalacja 2024 → 2025 — coraz więcej incydentów w małych gminach i średnich miastach.
- Wektory ataku: zdalny dostęp (RDP, VNC, TeamViewer), słabe hasła, brak segmentacji IT/OT.
- Motywacje: działania propagandowe, demonstracja możliwości, testy obrony (często bez faktycznego sabotażu).
- Cechy wspólne: podobne nagrania z paneli HMI publikowane w mediach prorosyjskich; w części przypadków brak trwałego wpływu na procesy technologiczne.
Wnioski krajowe
- Polska stała się celem kampanii niskopoziomowych ataków na infrastrukturę wod-kan, głównie o charakterze propagandowo-demonstracyjnym, lecz z realnym potencjałem sabotażu.
- CSIRT NASK i CERT Polska od 2024 r. stale komunikują wzrost liczby incydentów wobec ICS/OT, zwłaszcza w małych samorządach.
- Powstały krajowe programy finansowania modernizacji cyberbezpieczeństwa infrastruktury wod-kan (2025: ~300 mln zł).
Lata 2010 – 2023
- Nie ma publicznych raportów o atakach bezpośrednio wymierzonych w polskie wodociągi/oczyszczalnie.
- Raporty CERT Polska z lat 2018–2023 wymieniają incydenty w energetyce, administracji i służbie zdrowia, ale nie branżę wod-kan.
- Możliwe, że występowały pojedyncze przypadki niejawne (wewnętrzne zgłoszenia do CSIRT GOV), lecz nie zostały one upublicznione.
Podsumowanie
Od 2024 r. Polska doświadcza pierwszej fali ukierunkowanych cyberataków na infrastrukturę wod-kan — głównie na poziomie gminnym.
Ataki te charakteryzują się:
- demonstracyjnym charakterem (publikowanie nagrań z paneli SCADA),
- realnym ryzykiem zakłóceń procesów technologicznych,
- powiązaniami z haktywistami prorosyjskimi.
Brak incydentów przed 2024 r. sugeruje, że to nowy trend w wojnie hybrydowej i operacjach informacyjnych skierowany w infrastrukturę krytyczną.