Wprowadzenie
Opublikowany w 2026 roku raport Agencji Bezpieczeństwa Wewnętrznego – pierwszy tego rodzaju od 2014 roku – przynosi szczegółowy obraz zagrożeń dla bezpieczeństwa Rzeczypospolitej. Raport dokumentuje bezprecedensowy wzrost aktywności wrogich służb specjalnych i grup hakerskich wymierzonych w polską infrastrukturę krytyczną, wyraźnie powiązany z pełnoskalową rosyjską inwazją na Ukrainę w 2022 roku. Poniższa analiza koncentruje się na tym, co raport mówi o charakterze tych zagrożeń, ich sprawcach, metodach działania oraz instytucjonalnej odpowiedzi państwa.
- Zakres monitorowanych projektów strategicznych
ABW obejmuje szczególnym nadzorem konkretne inwestycje infrastrukturalne o kluczowym znaczeniu dla bezpieczeństwa energetycznego i transportowego Polski. W latach 2024–2025 były to przede wszystkim:
- budowa pierwszej polskiej elektrowni jądrowej oraz rozbudowa sieci przesyłowej energii elektrycznej umożliwiającej jej podłączenie do krajowego systemu elektroenergetycznego,
- rozbudowa infrastruktury LNG w Świnoujściu,
- budowa morskich farm wiatrowych,
- terminal FSRU w Gdańsku,
- Port Polska – planowany hub transportowy integrujący lotnictwo, kolej i drogi.
W każdym z tych przypadków Agencja analizowała nie tylko ryzyka zewnętrznych ataków sabotażowych, ale też weryfikowała wiarygodność kontrahentów i wykonawców pod kątem powiązań z podmiotami mogącymi działać na szkodę polskich interesów.
- Rosja: od rozpoznania do dywersji fizycznej
Masowe rozpoznanie jako faza przygotowawcza
Raport precyzuje, że w minionych dwóch latach rosyjski wywiad prowadził w Polsce rozpoznanie na masową skalę – nie tylko wobec obiektów wojskowych i infrastruktury krytycznej, ale też sklepów wielkopowierzchniowych i innych miejsc użyteczności publicznej. Celem było przygotowanie gruntu pod akty dywersji. Szczególnie istotne jest sformułowanie użyte w raporcie: rosyjskie służby specjalne, eskalując swoje działania, akceptowały wystąpienie ofiar śmiertelnych. Raport wskazuje wprost, że część planowanych operacji mogła doprowadzić do katastrof lotniczych lub kolejowych.
Podział ról między GRU a FSB – i jego zatarcie
Tradycyjnie GRU koncentrowało się na celach wojskowych, FSB zaś na pozamilitarnej infrastrukturze krytycznej oraz obiektach cywilnych. W latach 2024–2025 ten podział przestał być ostry: obie służby prowadziły operacje zarówno wobec obiektów wojskowych, jak i cywilnych, zależnie od posiadanych możliwości operacyjnych. Raport opisuje to wprost jako konsekwencję totalnego charakteru rosyjskich działań hybrydowych.
Ewolucja metod werbunku i finansowania
W 2023 roku rosyjskie operacje dywersyjne opierały się głównie na tzw. jednorazowej agenturze – osobach werbowanych ad hoc za pośrednictwem komunikatorów internetowych, wabionymi obietnicą szybkiego zarobku za wykonanie pozornie błahych zadań. W latach 2024–2025 ABW odnotowała jakościową zmianę: coraz większy nacisk zaczęto kłaść na budowanie złożonych komórek dywersyjnych opartych na hermetycznych strukturach przestępczości zorganizowanej. Rosjanie preferują przy tym osoby z doświadczeniem nabytym w strukturach siłowych – byłych żołnierzy, milicjantów, najemników z Grupy Wagnera.
Komunikacja między zleceniodawcami a wykonawcami odbywa się wyłącznie online, a rozliczenia dokonywane są w kryptowalutach. ABW zidentyfikowała też proceder wykorzystywania technologii blockchain przez rosyjskie służby do omijania międzynarodowych reżimów sankcyjnych i anonimowego finansowania operacji dywersyjno-sabotażowych na terytorium państw NATO.
Równolegle rosyjskie służby zintensyfikowały szkolenia prowadzone na terytorium Federacji Rosyjskiej, których celem jest profesjonalne przygotowanie agentury do działań terrorystycznych – w tym posługiwania się bronią i materiałami wybuchowymi. W skład tak szkolonej agentury wchodzą głównie cudzoziemcy.
Konkretne przypadki – zatrzymania i akty oskarżenia
Raport wymienia szereg rezultatów działań ABW bezpośrednio związanych z zagrożeniami dla infrastruktury:
- Maj 2024 – zatrzymanie obywatela Polski Kamila K. oraz dwóch obywateli Białorusi (Stepana K. i Andreia B.) dokonujących podpaleń na zlecenie rosyjskich służb specjalnych.
- Listopad 2024 – zatrzymanie obywatela Białorusi Yaraslaua S., podejrzewanego o usiłowanie podpalenia obiektu w Gdańsku.
- Czerwiec 2025 – akt oskarżenia przeciwko obywatelce Ukrainy Kristinie S., której zarzucono planowanie działań sabotażowych i współudział w spowodowaniu bezpośredniego niebezpieczeństwa eksplozji materiałów wybuchowych.
- Sierpień 2025 – akt oskarżenia przeciwko sześciu osobom z zorganizowanej grupy przestępczej zajmującej się organizacją i dokonywaniem aktów dywersyjnych na terytorium RP.
- Październik 2025 – akt oskarżenia przeciwko obywatelom Rosji Igorowi R. i Irinie R., podejrzanym o spowodowanie bezpośredniego niebezpieczeństwa eksplozji oraz udział w działaniach obcego wywiadu na szkodę RP.
Łącznie, od momentu pełnoskalowej inwazji na Ukrainę, statusem podejrzanego w sprawach szpiegowskich i dywersyjnych objęto 91 osób, z czego 82 usłyszały zarzuty z art. 130 Kodeksu karnego (szpiegostwo), a 62 zostały zatrzymane. Liczba śledztw wzrosła z 6 w 2022 roku do 48 tylko w 2025 roku.
- Cyberataki na infrastrukturę krytyczną
Ataki na stacje uzdatniania wody
Jednym z najbardziej konkretnych i niepokojących ustaleń raportu jest dokumentacja ataków na komunalne systemy wodociągowe. W 2025 roku odnotowano incydenty naruszenia bezpieczeństwa stacji uzdatniania wody w miejscowościach: Jabłonna Lacka, Szczytno, Małdyty, Tolkmicko i Sierakowo. Atakujący uzyskali w niektórych przypadkach dostęp do przemysłowych systemów sterowania (ICS/SCADA), co dawało im możliwość zmiany parametrów technicznych urządzeń. Raport stwierdza wprost, że stwarzało to bezpośrednie ryzyko dla ciągłości funkcjonowania tych obiektów, a w konsekwencji – dla procesów zaopatrzenia ludności w wodę.
Ataki na łańcuchy dostaw
ABW odnotowuje też rosnącą liczbę ataków wymierzonych w łańcuchy dostaw – cyberprzestępcy uderzają w kontrahentów firm i instytucji, aby pozyskać dane dotyczące umów, dokumentację projektową oraz poświadczenia uwierzytelniające umożliwiające dostęp do systemów klientów końcowych. Pozyskane w ten sposób zasoby służą następnie do budowania szczegółowej wiedzy o architekturze i funkcjonowaniu kluczowych obiektów infrastruktury.
Grupy APT i ich metody
Raport wskazuje na systematyczną profesjonalizację działań grup APT (advanced persistent threat) – sponsorowanych przez wrogie rządy wyspecjalizowanych aktorów prowadzących zaawansowane operacje szpiegowskie i dywersyjne. Wśród grup aktywnych wobec Polski wymieniane są rosyjskie APT28 (Fancy Bear) i APT29 (Midnight Blizzard) oraz powiązana z białoruskim aparatem państwowym grupa UNC1151.
Hakerzy stale doskonalą metody unikania wykrycia, dążąc do niezauważalnej eksfiltracji danych z pominięciem systemów antywirusowych i innych mechanizmów obronnych. Wykorzystują przy tym przede wszystkim luki i podatności w użytkowanym oprogramowaniu i sprzęcie. Raport wskazuje też na zmianę sposobu dystrybucji złośliwego oprogramowania: sprawcy masowo migrują swoje zasoby – fałszywe formularze, zainfekowane dokumenty – do legalnie działających, publicznych chmur obliczeniowych, co pozwala ukryć ruch wewnątrz zaufanych domen i drastycznie obniża skuteczność standardowych systemów blokowania.
Dezinformacja jako element ataku na infrastrukturę
Raport traktuje dezinformację jako integralny element działań hybrydowych wymierzonych w infrastrukturę krytyczną – nie tylko w sensie fizycznym, ale też instytucjonalnym. Klasycznym przykładem jest incydent z maja 2024 roku: przejęcie konta pracowniczego w Polskiej Agencji Prasowej i opublikowanie fałszywej depeszy o ogłoszeniu w Polsce mobilizacji wojskowej, ze wskazaniem konkretnych grup zawodowych (m.in. górników i kierowców kategorii C i D). Tego typu działania mają na celu wywołanie paniki społecznej i podważenie zaufania do instytucji państwowych.
Skala zagrożeń – dane systemu ARAKIS GOV
Dane systemu wczesnego ostrzegania ARAKIS GOV dokumentują bezprecedensową intensyfikację działań w polskiej cyberprzestrzeni w latach 2024–2025:
- ponad 40 000 zgłoszeń o potencjalnych incydentach teleinformatycznych,
- 18-procentowy wzrost liczby zdarzeń rok do roku w 2025 r.,
- rekordowa liczba ponad 5,5 miliona alarmów bezpieczeństwa.
- Stopnie alarmowe – formalny barometr zagrożeń
Od 2022 roku na terytorium Polski oraz w odniesieniu do polskiej infrastruktury energetycznej poza granicami kraju obowiązuje drugi stopień alarmowy BRAVO. Jest to poziom utrzymywany nieprzerwanie od ponad trzech lat, co samo w sobie świadczy o trwałości zagrożenia.
19 listopada 2025 roku wprowadzono trzeci stopień alarmowy CHARLIE dla linii kolejowych zarządzanych przez PKP Polskie Linie Kolejowe S.A. i PKP Linia Hutnicza Szerokotorowa Sp. z o.o. – bezpośrednio w związku z odnotowanymi aktami dywersji na infrastrukturę kolejową. To istotny sygnał: CHARLIE oznacza potwierdzenie realnego, konkretnego zagrożenia, nie tylko jego prawdopodobieństwa.
Podwyższone stopnie alarmowe obejmują również cyberprzestrzeń (stopnie CRP).
- Odpowiedź instytucjonalna
Działania operacyjne i procesowe
W obszarze kontrwywiadu i zwalczania dywersji ABW prowadziła w latach 2024–2025 łącznie ponad 60 postępowań przygotowawczych dotyczących przestępstwa szpiegostwa, z czego 48 wszczęto w samym 2025 roku. Dla porównania – od lat 90. ubiegłego wieku do 2023 roku wszczynano maksymalnie 5 postępowań rocznie. Łącznie w latach 2024–2025 wszczęto 69 śledztw – tyle, ile łącznie w całym okresie 1991–2023.
W odpowiedzi na zagrożenia dywersyjne ABW uruchomiła chatbot @ABW_STOPdywersji_bot na komunikatorze Telegram, obsługiwany w czterech językach: polskim, angielskim, ukraińskim i rosyjskim. Narzędzie umożliwia anonimowe zgłaszanie przypadków nawiązania kontaktów przez obce służby, ofert dotyczących aktów dywersji oraz działań rozpoznawczych wobec obiektów.
Cyberbezpieczeństwo
Kluczowym ogniwem ochrony pozostaje CSIRT GOV – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający w strukturach ABW, odpowiedzialny za koordynację ochrony organów administracji publicznej i operatorów infrastruktury krytycznej. Uzupełnieniem jest system wczesnego ostrzegania ARAKIS GOV.
W analizowanym okresie wydano ponad 1000 świadectw akredytacji systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych oraz przeprowadzono blisko 80 kontroli w instytucjach publicznych i podmiotach komercyjnych – z czego ponad 70 stanowiły zaplanowane audyty systemowe.
Edukacja i prewencja
W latach 2024–2025 ABW przeprowadziła ponad 3000 szkoleń stacjonarnych obejmujących zagadnienia takie jak profilaktyka kontrwywiadowcza, ochrona infrastruktury krytycznej i cyberbezpieczeństwo. Procesem edukacyjnym objęto łącznie ponad 70 000 pracowników z kilkuset podmiotów, w tym kluczowych organów konstytucyjnych, ministerstw oraz instytucji strategicznych (m.in. Polskich Elektrowni Jądrowych, Urzędu Lotnictwa Cywilnego, Generalnej Dyrekcji Dróg Krajowych i Autostrad). Od uruchomienia w 2021 roku platforma e-learningowa ABW zgromadziła ponad 1,1 miliona dostępów.
- Wnioski
Raport ABW za lata 2024–2025 dokumentuje jakościową zmianę w charakterze zagrożeń dla polskiej infrastruktury krytycznej. Kilka ustaleń zasługuje na szczególną uwagę.
Granica między celami wojskowymi a cywilnymi przestała istnieć. Rosyjskie służby atakują wodociągi, dworce, sklepy i agencje prasowe z taką samą determinacją, z jaką angażują się w operacje przeciwko obiektom militarnym. Akceptacja ofiar śmiertelnych jako kosztu operacyjnego oznacza zasadniczą eskalację.
Profesjonalizacja siatek dywersyjnych jest procesem postępującym. Przejście od jednorazowych agentów werbowanych przez internet do hermetycznych komórek opartych na strukturach przestępczości zorganizowanej świadczy o tym, że Rosja traktuje destabilizację polskiej infrastruktury jako projekt długoterminowy, wymagający trwałych zdolności operacyjnych.
Ataki na systemy wodociągowe ujawniły lukę, która przez lata była niedoszacowana. Przemysłowe systemy sterowania (ICS/SCADA) odpowiedzialne za infrastrukturę komunalną były projektowane z myślą o niezawodności, nie o bezpieczeństwie cybernetycznym. Dostęp do parametrów technicznych stacji uzdatniania wody to realne zagrożenie dla zdrowia publicznego.
Wprowadzenie stopnia alarmowego CHARLIE dla infrastruktury kolejowej w listopadzie 2025 roku to sygnał, że opisywane zagrożenia nie są hipotetyczne. Polska infrastruktura krytyczna jest już dziś aktywnym polem działań hybrydowych.
Źródło: Agencja Bezpieczeństwa Wewnętrznego, Wybrane aktywności 2024–2025, Warszawa 2026 https://www.abw.gov.pl/pl/aktualnosci/2815,Agencja-Bezpieczenstwa-Wewnetrznego-2024-2025-Wybrane-aktywnosci.html