Tematyka zagrożeń hybrydowych gościła na tym portalu nie raz i niestety czasy są takie, że gościć będzie często. Ostatni tydzień minął pod znakiem zakłóceń w ruchu lotniczym.
W zeszłym tygodniu doszło do dwóch poważnych zdarzeń wpływających na funkcjonowanie ruchu lotniczego w Europie: cyberataku na systemy odpraw oraz serii incydentów z udziałem dronów w Danii i Norwegii. Najpierw, w dniach 19–21 września 2025 r., sparaliżowany został system odpraw obsługiwany przez Collins Aerospace. Atak typu ransomware wymierzony w zewnętrznego dostawcę usług informatycznych spowodował niedostępność automatycznych stanowisk odprawy i kontroli boardingowej. Konieczne było przejście na procedury manualne, co przełożyło się na duże opóźnienia i odwołania wielu lotów. Zakłócenia wystąpiły m.in. na lotniskach w Londynie-Heathrow, Berlinie (BER) oraz w Brukseli, gdzie część lotów została odwołana.
Równolegle, w Danii miała miejsce seria incydentów związanych z nielegalnym wykorzystaniem dronów, które pojawiały się nad lotniskami skutecznie paraliżując ruch lotniczy. 22 września czasowo wstrzymano operacje lotnicze w Kopenhadze, a w kolejnych dniach dochodziło do powtarzających się zakłóceń na innych lotniskach. Władze odnotowały również loty dronów w pobliżu instalacji wojskowych. Jak informuje „The Gaurdian”, duński minister obrony Troels Lund Poulsen nazwał zdarzenia „profesjonalnym atakiem hybrydowym”, wskazując na systematyczne i skoordynowane działania w wielu lokalizacjach jednocześnie. W debacie publicznej pojawiły się podejrzenia, ze ataki powiązane są z działaniami Federacji Rosjskiej, jednakże brak jest jednoznacznych dowodów. We wrześniu 2025 r. również Norwegia doświadczyła poważnych zakłóceń ruchu lotniczego spowodowanych przez drony. 22 września lotnisko pod Oslo zostało zamknięte na około trzy godziny po zauważeniu drona w strefie kontrolowanej, co doprowadziło do opóźnień i przekierowań rejsów. Norweskie władze traktują te zdarzenia jako poważne naruszenia bezpieczeństwa przestrzeni powietrznej, jednak na tym etapie nie potwierdzono bezpośredniego związku z równoległymi incydentami w Danii. Wzorzec jednak jest coraz bardziej widoczny: drony pojawiają się nad wojskowymi i cywilnymi obiektami lotniczymi, powodując zakłócenia, opóźnienia i nerwową atmosferę.
Według strony duńskiej drony mogły być wypuszczane ze statków należących do tzw. floty cieni powiązanej z Rosją, ale nie wyklucza się również, że uruchamiały je osoby zwerbowane za pośrednictwem np. portalu Telegram, działające za niewielkie wynagrodzenie. Nierzadko są to ludzie związani ze środowiskiem przestępczym, przebywający na terenie państwa, w którym dochodzi do takiego ataku.
Zamknięte fora w darknecie, czy komunikatory typu Telegram są kanałem werbunkowym dla wykonawców różnego typu działań sabotażowych. Stawki, które się im oferuje nie są imponujące, ale też wykonawcami zleceń nie są wykwalifikowani specjaliści. Werbuje się przypadkowe osoby, czasem związane ze światem międzynarodowej przestępczości zorganizowanej, ale to nie jest reguła, czasem to po prostu migranci, którzy wezmą każde zlecenie, byleby przetrwać. Po rozpoczęciu wojny w Ukrainie, znacznie uszczupliły się zasoby kadrowe i finansowe rosyjskich służb specjalnych działających w krajach UE i NATO. Kilkuset funkcjonariuszy tych służb działających pod przykryciem przedsiębiorców, pracowników naukowych lub jako etatowi dyplomaci czy pracownicy instytucji kulturalnych musiało opuścić teren UE. Powstała tymczasowa luka, bo zabrakło wyszkolonych ludzi do zadań specjalnych więc sięgnięto po sabotażystów z Telegrama, przeświadczonych o tym, że w sieci panuje pełna anonimowość. Bardzo często zleceniodawca to tylko awatar, a gdy taki sabotażysta amator wpada w ręce służb nie jest w stanie określić jednoznacznie na czyje zlecenia działał. Zwykle tego typu przestępcy muszą wykonać zdjęcia i filmy dokumentujące swoje działania, bo zleceniodawca tego wymaga, więc służby specjalne lub Policja mają szansę zebrać do śledztwa twardy materiał obciążający. Anonimizujący swoją aktywność zleceniodawca (korzystający z zasobów wrogiego państwa) nie ponosi konsekwencji, dalej rekrutuje ludzi, którzy najczęściej nie zdają sobie sprawy, że za czynności, za które mają obiecane paręset dolarów mogą pójść do więzienia na długie lata. Problem dostrzegli Niemcy i rozpoczęli społeczną kampanie pod hasłem, w wolnym tłumaczeniu,: „Nie bądź agentem jednorazowego użytku”. Dotknęli sedna: osoba działająca na zlecenie rosyjskiego wywiadu poniesie pełnię konsekwencji, a w przypadku wpadki zleceniodawca potraktuje ją jak zużytą chusteczkę.
Celem takich działań jest destabilizacjia państwa, osłabienie go, sprawienie, by społeczeństwo przestało wierzyć w sprawczość demokratycznie wybranych władz, w zdolność do ochrony granicy, dóbr czy stabilności ekonomicznej (np. poprzez zachwianie łańcuch dostaw – drogowego, kolejowego czy lotniczego). Przestoje na kolei, chaos na lotniskach, wstrzymanie obsługi przesyłek kurierskich, ataki na wodociągi oraz linie energetyczne czy stacje łączności komórkowej – nic tak dobrze nie podgrzewa palnika społecznego oburzenia jako niedziałająca infrastruktura krytyczna. Od tego już blisko do zamieszek, populizmu i trwałej destabilizacji porządku publicznego. To znacznie tańsze niż wysyłanie wojska, a bardzo skuteczne działanie, gdy celem jest osłabienie naszej wiary w konstytucyjny obowiązek państwa do zapewnienia nam bezpieczeństwa. Na tym polegają działania hybrydowe od lat prowadzona przez Federacje Rosyjską w naszej części Europy, jak również, co ważne, wobec interesów RP poza granicami państwa. Gdy na to spojrzeć w szerszym kontekście, aż prosi się, by zacytować słowa prezydenta Finlandii, który przypomina, że udzielając Ukrainie gwarancji bezpieczeństwa Zachód powinien być gotowy na wojnę z Rosją. Wojna hybrydowa już trwa punktowo na terenie krajów UE, a pełnoskalowo w ich cyberprzestrzeni. Tak się ją prowadzi.
Zaczęłam od przykładów ze Skandynawii, ale na polskim podwórku niestety także rekrutuje się agentów jednorazowego użytku. Jeśli chodzi o wykorzystanie mniej lub bardziej świadomych, ale przede wszystkim słabo wyszkolonych „jednorazowych” amatorów do działań sabotażowych, to proceder już się dzieje. Na Telegramie i w darknecie znajdziemy ogłoszenia dla osób poszukujących szybkiego zarobku. Na początku współpracy zadania są łatwe i nie wymagają większego wysiłku – dystrybucja rosyjskiej propagandy, naklejanie ulotek, tworzenie wpisów w mediach społecznościowych, wykonywanie obraźliwych graffiti, dewastacja wrażliwych społecznie pomników czy historycznych miejsc pamięci. Gdy zleceniodawca nabiera zaufania, zadania stają się bardziej skomplikowane, obrazowo rzecz ujmując wchodzimy na inny poziom gry: fotografowanie obiektów wojskowych i fabryk produkujących na rzecz wojska, nagrywanie z powietrza obiektów IK, obserwacja i wideo dokumentowanie funkcjonowania systemów ochrony strategicznych obiektów, obserwacja ruchów transportów z pomocą humanitarną i wojskową dla Ukrainy – słowem czynności wywiadowcze, gromadzenie informacji przydatnych do przeprowadzenia sabotażu przy wykorzystaniu metod terrorystycznych, niekoniecznie w bliskiej perspektywie czasowej. Ale anonimowi zleceniodawcy szukają nie tylko informacji zwiadowczych, poszukują też ludzi do działań sabotażowych – podpalania obiektów, włamania i dewastacji dyspozytorni z systemami sterowania przemysłowego czy przecięcia kabli elektrycznych oraz łączy światłowodowych. Słowem, wszystko, co może zakłócić działanie infrastruktury krytycznej w dotkliwy dla społeczeństwa sposób. W oficjalnych komunikatach ABW co kilka tygodni czytam o zatrzymaniu osób prowadzących tego typu aktywność przestępczą na ternie Polski i krajów ościennych. Warto podkreślić, że tym osobom Prokuratura stawia najczęściej zarzuty o szpiegostwo, terroryzm czy udział w zorganizowanej grupie przestępczej, której celem jest wywołanie destabilizacji w działaniu konstytucyjnych organów państwowych. Gdy mówię te słowa zapewne jakaś anonimowa osoba z Telegrama zleca komuś kolejne podpalenie, wykonanie zdjęć, nagrań czy zakłócenie działania transportu lotniczego osobowego i CARGO np. za pomocą komercyjnego drona lub takiego, który został wykonany w warunkach domowych na drukarce 3D, z części kupionych na internetowych aukcjach w krajach Dalekiego Wschodu.
Kwestia zasadnicza – jak się przed nimi chronić? Pamiętajmy, że działania prowadzone w ramach wojny hybrydowej są nieprzejrzyste, trudne do sklasyfikowania i szybkiego wykrycia, w dodatku nie zawsze mamy pewność, czy to rzeczywiście sabotaż, czy może wypadek bądź typowa sezonowa awaria np. casus palących się transformatorów energetycznych w szczycie wakacyjnego zapotrzebowania na moc w Polsce. Najważniejszym zadaniem jest zbudowanie świadomości sytuacyjnej przez operatorów IK w ramach tworzenia organizacyjnej kultury bezpieczeństwa na wzór standardów obowiązujących w sektorze lotniczym w krajach UE. Mówię to z perspektywy osoby, która przewodniczyła grupie roboczej PROCIV CER w trakcie polskiej Prezydencji w Radzie UE oraz jako członek unijnej inicjatywy ds. budowania odporności na zagrożenia, czyli EU PSA (Protective Security Advisors), stworzonej przez Komisję Europejską (DG HOME). W opinii krajów UE oraz ich ekspertów z EU PSA najlepsza obrona przed zagrożeniami hybrydowymi to wielowarstwowa kultura bezpieczeństwa z silnym filarem świadomości sytuacyjnej. To pracownicy obiektu mogą jako pierwsi zauważyć, że ktoś nieuprawniony kręci się wokół budynków czy instalacji, wraca, robi zdjęcia, nagrywa wykorzystując telefon lub rejestrator obrazu w aucie, kamerę sportową na rowerze, drona komercyjnego lub zbudowanego amatorsko, czy próbuje się dostać się w sposób nieautoryzowany na teren zakładu. Od tego, co zrobią z tą informacją lub jak szybko przekażą swoje ustalenia do organów sciągania, zależy wszystko co może nastąpić później. Ale żeby zareagowali właściwie potrzebna jest świadomość znaczenia tego elementu dla całej układanki, to taka cześć puzzli, od której można zacząć układać całość. Nie zbudujemy tego w miesiąc. Chodzi o to, by mówić o zagrożeniach hybrydowych tak, by nie straszyć, ale też nie bagatelizować, tylko tłumaczyć, jak poprzez cyberhigienę, kulturę bezpieczeństwa czy sprawną ochronę fizyczna jesteśmy w stanie zbudować wielowarstwową odporność IK.
A na koniec przykład z Holandii, który zrobił na mnie ostatnio największe wrażenie. Dwójka 17-latków została zatrzymana pod zarzutem udziału w akcji szpiegowskiej zleconej przez prorosyjskiego hakera. Jeden z nastolatków miał w sierpniu przejść trasę wokół budynków instytucji takich jak Europol, Eurojust i ambasada Kanady, używając tzw. wifi-sniffera — urządzenia lub aplikacji do mapowania sieci i przechwytywania sygnałów bezprzewodowych. Chłopcy zostali zwerbowani przez Telegram. Jeden z nastolatków został zatrzymany po południu, gdy odrabiał lekcje. W jego miejscu zamieszkania zjawiło się ośmiu funkcjonariuszy. Najlepiej podsumował sytuację ojciec jednego z nastolatków, mówiąc, że przeprowadzał z synem rozmowy na temat niebezpieczeństw takich jak alkohol, narkotyki, czy przypadkowy sex, ale nie sądził, że jego dziecko może stać się częścią rosyjskiej operacji wywiadowczej. Wniosek z tego taki, że adwersarze sięgają po coraz młodszych „jednorazowych agentów”, a rozmowy uświadamiające z nastolatkami należy poszerzyć o wątek typu: „Jeśli anonimowa osoba z Internetu chce Ci zapłacić za zbieranie informacji, robienie zdjęć, czy latanie dronem w konkretnej lokalizacji, nie daj się namówić, bo zamiast owocowych czwartków w wymarzonej korporacji, czekają się kakaowe czwartki w zakładzie karnym”.