Sabotaż i celowe naruszenia bezpieczeństwa wymagają strategicznego podejścia. Hybrydowe konflikty zmuszają menedżerów do elastyczności i inwestowania w analitykę danych oraz technologie predykcyjne, by identyfikować zagrożenia. Atakowanie centrów handlowych, zakładów przemysłowych, ale także małych firm, a nawet wielskich sklepów (Estonia) pokazują nieprzewidywalność kryteriów wyboru celów przez sprawców.
REKLAMA
Zrozumienie dynamiki zagrożeń jest kluczowe dla zarządzania bezpieczeństwem. Ostrzeżenie NCSC dla amerykańskich firm w Europie wskazuje, że zagrożenia mają różne formy, a firmy muszą być na nie przygotowane. Publikacje instytucji europejskich, jak NPSA i SÄPO, również to potwierdzają. Incydent z 16 listopada 2025 roku na linii kolejowej Dęblin – Warszawa uwydatnia zagrożenia w transporcie publicznym, wpływające na życie społeczeństwa, ale i ciągłość łańcucha dostaw, a więc ingerencję w logistykę. Wprowadzenie stopnia Charlie dla linii kolejowych jest reakcją na rosnące zagrożenia. Zagrożenia te występują także w innych krajach, co skłania do refleksji nad bezpieczeństwem naszej infrastruktury kolejowej, kluczowej dla transportu i gospodarki w kontekście wojny w Ukrainie, w której formalnie Polska nie bierze udziału, ale dla nikogo nie jest tajemnicą, że produkcja naszego przemysłu w znaczniej mierze idzie właśnie do Ukrainy.
Często słyszę o nowych formach oddziaływania na infrastrukturę przedsiębiorstwa, z czym się nie zgadzam. Uważam, że zmieniły się jedynie narzędzia, np. z procy na drona, ale cel i skutek pozostały podobne. Niektóre narzędzia, jak wysadzanie torów kolejowych, wróciły do użycia, bo takie działania były przecież powszechne podczas II Wojny Światowej. Zanim jednak partyzanci zaczęli wysadzać tory, po prostu je rozkręcali. Można tu przywołać choćby przypadek sabotażu, do jakiego doszło 20 marca 2020 r. na linii KDP Frankfurt – Kolonia, kiedy to maszynistę prowadzącego pociąg zaniepokoił sposób, w jaki pociąg przejechał przez most Theisstal. Dochodzenie przeprowadzone w tej sprawie wykazało, iż „…na 80-metrowym odcinku trasy aż 254 śruby mocujące szyny zostały poluzowane. […]. Stopień poluzowania torów był tak wysoki, że jeden z kolejnych przejeżdżających trasą pociągów wykoleiłby się...”. Podobnym przykładem jest odłączenie wagonu kolejowego z października 2025 r., do jakiego doszło w Katowicach.
Można powiedzieć, że przykłady przedwojenne są obecne w naszej codzienności. Czy są one jeszcze przedwojenne, czy już wojenne? Na to pytanie odpowiedzą nasze prawnuki.
Innym przykładem są wodociągi. Używam tego słowa w szerokim znaczeniu, bo trzeba pamiętać, że te cuda infrastruktury współpracują z oczyszczalniami ścieków niczym zgrany duet. Być może takie ujęcie niektórych zaskoczy, ale przecież oczyszczalnia ścieków to tak naprawdę swego rodzaju producent czystej wody, która wędruje do rzeki, by kilka kilometrów dalej znów trafić do wodociągu. A obiekty te już obecnie podlegają zagrożeniom sabotażowym, dywersyjnym oraz szpiegowskim, materializującym się w postaci ujawnianych incydentów, o czym świadczą choćby ustalenia Najwyższej Izby Kontroli, zawarte np. w raporcie „Bezpieczeństwo zakładów, obiektów i urządzeń o istotnym znaczeniu dla funkcjonowania aglomeracji miejskich w województwie lubelskim” LLU.430.3.2024. Jak wynika z tych materiałów, nieautoryzowane wejście na teren obiektu oraz usiłowanie dotarcia do wrażliwych obiektów i urządzeń wewnętrznych jest coraz poważniejszym problemem, wymagającym proaktywnego podejścia do bezpieczeństwa.
Podobnie rzecz się ma w odniesieniu do energetyki i telekomunikacji. Najbardziej znanym przykładem ataku cybernetycznego w Polsce jest ten z 29 grudnia 2025 r., który dotknął 30 farm wiatrowych i fotowoltaicznych, firmę produkcyjną oraz dużą elektrociepłownię. Mimo zakłóceń w komunikacji z operatorami ataki nie wpłynęły na produkcję energii elektrycznej ani na dostawy ciepła. CERT ogłosił, że obroniliśmy się przed skutkami ataku.
Warto przypomnieć o ataku hakerskim, który miał miejsce w dniu rosyjskiej agresji na Ukrainę, skutkującym utratą kontroli nad 6 tys. turbin wiatrowych w Europie. Data ataku wydaje się nieprzypadkowa. Energetyka stała się celem ataków, co wymaga uwagi na proces usuwania awarii (DR&BC), który dotyczy nie tylko systemów IT i OT, ale również bezpieczeństwa fizycznego. Przykładem niech tutaj będzie incydent ze Szwecji. W ubiegłym roku w jednej z firm telekomunikacyjnych doszło do awarii niemal w tym samym czasie i na niezbyt dużym obszarze. Zarówno firma, jak i szwedzkie służby potraktowały to poważnie, przyjmując założenie, że celem jest obserwacja działań realizowanych w sytuacjach kryzowych. To bardzo ważna kwestia, bo może oznaczać, że metody doprowadzenia do incydentu i jego skutki są już wystarczająco dobrze znane adwersarzowi i teraz poszukuje on informacji, na temat algorytmów i procedur odtwarzania uszkodzonej infrastruktury, co może świadczyć że, adwersarz przygotowuje się do wywołania awarii rozległej i długotrwałej.
Last but not least
Czy mój obiekt jest IK i w związku z tym, czy podlega tym zagrożeniom?
To pytanie jest błędne, ale niestety wciąż często zadawane. Infrastruktura krytyczna ma ogromny wpływ na społeczeństwo, co widać w prawie, ale nie powinniśmy jej oceniać tylko według definicji ustawowej. Przykłady pożarów w sklepach pokazują, że takie podejście ogranicza nasze spojrzenie. Część obiektów w rozumieniu naszego przeciwnika jest infrastrukturą krytyczną, mimo że nie są takimi, patrząc na nie z ustawowego punktu widzenia. W analizie ryzyka kluczowa jest perspektywa adwersarza, który decyduje o atakach.
Jak może więc wyglądać obiekt, który nie jest infrastrukturą krytyczną w naszym rozumieniu, a jest w rozumieniu adwersarza. Z pomocą przychodzą nam informacje z Eurojust (European Union Agency for Criminal Justice Cooperation), który opublikował komunikat o skazaniu sprawców podpaleń realizowanych na zlecenie rosyjskich służb specjalnych. Podejrzani próbowali podpalić fabrykę produkującą materiały dla Sił Zbrojnych Ukrainy. Pierwsza próba nie powiodła się z powodu obecności świadków, a druga zakończyła się sukcesem, ale nie wyrządziła szkód z powodu użycia zbyt małej ilości materiałów łatwopalnych. To jednak dopiero początek…
Zwracają uwagę trzy elementy tego incydentu:
- Składowanie sprzętu na zewnątrz z powodu braku powierzchni magazynowej spowodowanego nadmiernym wzrostem produkcji.
- Ogrodzenie z paneli 3D służy głównie wydzieleniu terenu, a nie zabezpieczeniu przed wstępem.
- Wyroby gotowe są rozmieszczone w miejscach podatnych na ingerencję.
Każdy z tych elementów dotyczy zarządzania bezpieczeństwem, jednak często działają one w izolacji. Przykładowo, magazynierzy rzadko konsultują się z szefem bezpieczeństwa w kwestii lokalizacji wyrobów gotowych, co prowadzi do sytuacji, w której są one zbyt blisko ogrodzenia, co zwiększa ryzyko dewastacji.
Materiały z tego incydentu powinny być przeanalizowane wspólnie przez osobę zarządzającą bezpieczeństwem i osobę odpowiedzialną za usługi ochrony. Taka współpraca pozwoli na znalezienie synergii, a włączenie mądrego analityka ryzyka jako adwokata diabła zwiększy efektywność działań.
Analiza przypadku litewskiego skłania do refleksji nad motywacją sprawców. Ostatni przypadek z naszego podwórka dotyczy obywatela RP, Wiktora Ź., oskarżonego o szpiegostwo na rzecz Rosji, przekazującego informacje o zabezpieczeniach kluczowych obiektów w Bydgoszczy. Jego zawód muzyka i lingwisty pokazuje, że profil zawodowy szpiega nie jest kluczowy; ważniejsze są determinacja i umiejętność zdobywania informacji. Dlatego szkolenia dla pracowników ochrony w zakresie zagrożeń wewnętrznych, tzw. insiderów, są tak ważne i tak potrzebne.
Podsumowanie
Infrastruktura produkcyjna i logistyczna to naprawdę ważny zasób chroniony. Nie dziwi więc, że ich ochrona przechodzi obecnie duże zmiany. W ich jak najbardziej efektywnym wdrożeniu kluczowe jest dużo szersze spojrzenie na nasze obiekty, tak aby wyprzedzić targetowanie przez szpiegów i dywersantów.
