Incydent w Chodaczowie unaocznił, że cyberatak może dotknąć nawet najmniejsze elementy infrastruktury krytycznej. To nie tylko kwestia technologii, ale przede wszystkim świadomości i konsekwentnego zarządzania bezpieczeństwem systemów OT.

Atak prorosyjskich haktywistów na oczyszczalnię ścieków w Chodaczowie pokazał, jak łatwo słabe zabezpieczenia w systemach automatyki przemysłowej mogą zostać wykorzystane do sabotażu. Choć tym razem udało się uniknąć poważnych skutków, incydent ten stanowi ostrzeżenie dla operatorów infrastruktury krytycznej w całej Polsce. Ekspert KIGC, Maciej Cieśla, analizuje przebieg ataku i wskazuje najważniejsze wnioski dotyczące ochrony systemów OT.

Do cyberataku prorosyjskiej grupy haktywistów na oczyszczalnię ścieków w Chodaczowie na Podkarpaciu doszło 14 października 2025 roku. Atak polegał na nieuprawnionym zdalnym dostępie do panelu sterowania (HMI) obiektu, który był zabezpieczony jedynie prostym, czterocyfrowym hasłem składającym się z cyfr. 

Cyberprzestępcy wykorzystali aplikację dostawcy sprzętu, umożliwiającą zdalny dostęp do systemów automatyki przemysłowej, co wskazuje logo widoczne na nagraniu z ataku. Technicznie, haktywiści manipulowali parametrami procesów oczyszczania ścieków, ustawiając wartości na skrajne poziomy – maksymalne lub minimalne. Przykładem była sytuacja, gdy poziom ścieków w reaktorze biologicznym spadł do zera, co wywołało liczne alarmy systemu. Takie działanie stanowi klasyczny przykład sabotażu cybernetycznego, mającego na celu zakłócenie pracy infrastruktury krytycznej bez jej fizycznego uszkodzenia. Manipulacja parametrami mogła prowadzić do poważnych zaburzeń procesu oczyszczania, potencjalnie zagrażając środowisku i zdrowiu publicznemu.

Schemat działania ataku obejmował:
1. Uzyskanie zdalnego dostępu przez lukę w zabezpieczeniach aplikacji zdalnego dostępu dostawcy sprzętu
2. Włamanie do panelu operatorskiego HMI za pomocą prostego hasła.
3. Zdalna manipulacja parametrami systemu sterowania, w tym reaktorów biologicznych.
4. Wywołanie alarmów i nieprawidłowości pracy systemu.
5. Upublicznienie nagrania przez haktywistów jako element propagandowy, mający wywołać strach i dezorientację.

Ten incydent uwidacznia główne słabości w ochronie systemów automatyki przemysłowej: zbyt proste hasła, nadmiarowe i nieodpowiednio zabezpieczone zdalne połączenia oraz brak skutecznego monitoringu i segmentacji sieci.

Zabezpieczenie tego typu systemów wymaga:
– Silnych, unikalnych haseł i uwierzytelniania dwuskładnikowego,
– Ograniczenia i kontroli dostępu do systemów zdalnych,
– Segmentacji sieci OT i wykorzystania firewalli do odizolowania krytycznych urządzeń,
– Stałego monitoringu zachowania systemu i szybkiego reagowania na anomalie (usługa SOC)
– Regularnych audytów bezpieczeństwa i szkoleń personelu.

Dzięki szybkiemu wykryciu i reakcji operatorów pomimo ataku udało się uniknąć bezpośrednich, poważnych skutków dla mieszkańców, lecz incydent ten wzmacnia potrzebę ciągłego wzmacniania cyberbezpieczeństwa infrastruktury krytycznej.

Autor:
Maciej Cieśla,
Ekspert ds. Cyberbezpieczeństwa i Zgodności

Inne aktualności