590 milionów złotych na bezpieczeństwo wody
Konkurs Cyberbezpieczne Wodociągi został rozstrzygnięty. 688 projektów otrzymało dofinansowanie o łącznej wartości przekraczającej 590 mln zł — niemal dwukrotnie więcej niż pierwotna alokacja 313 mln zł, którą Ministerstwo Cyfryzacji zdecydowało się podnieść wobec skali zainteresowania sektora wodno-kanalizacyjnego. Centrum Projektów Polska Cyfrowa opublikowało listę rankingową, a grantobiorcy powoli podpisują umowy.
Dla 688 spółek komunalnych, gmin i samorządowych jednostek organizacyjnych zaczyna się teraz najtrudniejsza część — przełożenie wniosku grantowego na rzeczywistą zmianę w sposobie zarządzania cyberbezpieczeństwem. Bo napisać wniosek to jedno. Wdrożyć to, co się w nim obiecało — to zupełnie inna historia.
Dlaczego wodociągi to infrastruktura krytyczna
Zanim przejdziemy do konkretów wdrożeniowych, warto poświęcić chwilę na kontekst. Przedsiębiorstwa wodociągowo-kanalizacyjne nie są zwykłymi firmami komunalnymi. To operatorzy infrastruktury krytycznej — ich systemy sterują procesami, od których zależy ciągłość dostaw wody pitnej dla milionów mieszkańców.
Współczesna stacja uzdatniania wody to nie pompa i filtr. To sieć systemów SCADA sterujących procesami technologicznymi, sterowniki PLC zarządzające pompami i zaworami, systemy telemetrii monitorujące parametry wody w czasie rzeczywistym, sieci OT (Operational Technology) często połączone z sieciami IT. Atak na te systemy to nie wyciek danych — to potencjalne zagrożenie dla zdrowia i życia ludzi.
Przypadki z ostatnich lat pokazują, że to nie jest teoria. W 2021 roku w Oldsmar na Florydzie nieautoryzowana osoba uzyskała zdalny dostęp do systemu sterowania stacją uzdatniania wody i próbowała stukrotnie zwiększyć stężenie wodorotlenku sodu. Operator zauważył zmianę parametrów i zdążył zareagować. W Polsce skala zagrożeń jest proporcjonalnie mniejsza, ale infrastruktura często starsza i gorzej zabezpieczona.
Program Cyberbezpieczne Wodociągi to odpowiedź na ten stan rzeczy — finansowana z Krajowego Planu Odbudowy inwestycja w odporność cyfrową podmiotów, które dotychczas często traktowały cyberbezpieczeństwo jako temat odległy od ich codziennej działalności.
Cztery obszary dofinansowania — i cztery obszary, w których łatwo popełnić błąd
Zgodnie z regulaminem konkursu, dofinansowanie obejmuje działania w czterech obszarach. Każdy z nich kryje w sobie pułapki, o których warto wiedzieć, zanim zacznie się wydawać pieniądze.
Obszar organizacyjny
Wdrożenie i audyt Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) oraz wszystkie aspekty organizacyjne bezpieczeństwa systemów teleinformatycznych IT i OT. To fundament całego projektu — bez solidnych ram organizacyjnych inwestycje techniczne są jak instalacja alarmu w domu bez drzwi.
W praktyce oznacza to opracowanie polityki bezpieczeństwa informacji, procedur zarządzania incydentami, analizy ryzyka obejmującej zarówno systemy IT, jak i OT, planu ciągłości działania, rejestru aktywów informacyjnych i deklaracji stosowania. Dla przedsiębiorstw wodociągowych specyficznym wyzwaniem jest objęcie analizą ryzyka nie tylko klasycznych systemów informatycznych, ale również systemów sterowania przemysłowego — SCADA, PLC, RTU, sieci telemetrycznych.
Błąd, który widzimy najczęściej: traktowanie SZBI jako odrębnego „projektu IT", zamiast jako systemu zarządzania obejmującego całą organizację. SZBI w wodociągach musi uwzględniać specyfikę środowiska OT — inne cykle aktualizacji, inne okna serwisowe, inną tolerancję na przestoje.
Obszar kompetencyjny
Szkolenia podnoszące świadomość, wiedzę i umiejętności pracowników na trzech poziomach: podstawowym (wszyscy pracownicy), kierowniczym (zarząd, dyrektorzy) i specjalistycznym (administratorzy IT/OT, osoby odpowiedzialne za bezpieczeństwo).
Tutaj kluczowe jest dopasowanie treści do specyfiki branży. Szkolenie z cyberbezpieczeństwa dla operatora stacji uzdatniania wody powinno wyglądać inaczej niż szkolenie dla księgowej. Operator musi wiedzieć, jak rozpoznać nieprawidłowe zachowanie systemu SCADA. Księgowa musi wiedzieć, jak rozpoznać phishing. Zarząd musi rozumieć, za co odpowiada prawnie i jakie decyzje powinien podejmować w przypadku incydentu.
Obszar techniczny IT
Zabezpieczenie i utrzymanie bezpieczeństwa środowiska teleinformatycznego IT — serwery, macierze dyskowe, systemy kopii zapasowych, oprogramowanie zabezpieczające, systemy SIEM do monitorowania zdarzeń, urządzenia sieciowe (firewalle, przełączniki zarządzalne), zasilanie awaryjne (UPS, agregaty).
Pułapka: kupowanie sprzętu bez planu jego utrzymania i obsługi. System SIEM, którego nikt nie monitoruje, jest bezużyteczny. Firewall z domyślną konfiguracją daje fałszywe poczucie bezpieczeństwa. Każde rozwiązanie techniczne wymaga ludzi, którzy potrafią je obsługiwać, procedur określających sposób reagowania na alerty i budżetu na utrzymanie po zakończeniu projektu grantowego.
Obszar techniczny OT
To jest element, który odróżnia Cyberbezpieczne Wodociągi od programów skierowanych do typowych organizacji biurowych. Systemy OT rządzą się własnymi prawami — mają inne cykle życia niż systemy IT (sterownik PLC może pracować dwadzieścia lat), inną tolerancję na aktualizacje (restart sterownika pompy głównej to nie to samo co restart serwera pocztowego) i inne wektory ataku.
Zabezpieczenie środowiska OT wymaga przede wszystkim segmentacji sieci — fizycznego lub logicznego oddzielenia sieci sterowania przemysłowego od sieci korporacyjnej IT i od internetu. Wymaga również monitorowania ruchu sieciowego w sieciach OT, zarządzania dostępem zdalnym do systemów sterowania (VPN z silnym uwierzytelnianiem, a najlepiej dedykowane rozwiązania typu jump server) i procedur aktualizacji firmware'u sterowników, które uwzględniają okna serwisowe i testowanie na środowisku nieprodukcyjnym.
Od podpisania umowy do pierwszego efektu — jak zaplanować projekt
Podpisanie umowy grantowej to dopiero początek. Przed grantobiorcami stoją miesiące intensywnej pracy, a termin realizacji projektów upływa z końcem 2026 roku. Dobry plan wdrożenia rozkłada działania w czasie i uwzględnia zależności między nimi.
Miesiąc pierwszy i drugi: diagnoza i planowanie. Inwentaryzacja aktywów IT i OT, ocena aktualnego stanu bezpieczeństwa (gap analysis), analiza ryzyka, opracowanie harmonogramu zakupów i wdrożeń. Na tym etapie warto zaangażować zewnętrznych ekspertów, którzy wniosą perspektywę i doświadczenie z podobnych projektów.
Miesiąc trzeci i czwarty: dokumentacja SZBI i zamówienia. Opracowanie polityk i procedur bezpieczeństwa, deklaracji stosowania, planu postępowania z ryzykiem. Równolegle — procedury zakupowe na sprzęt i oprogramowanie (z uwzględnieniem wymogów KPO dotyczących zamówień).
Miesiąc piąty do ósmego: wdrożenia techniczne. Instalacja i konfiguracja zakupionego sprzętu i oprogramowania — zarówno w warstwie IT, jak i OT. Segmentacja sieci, uruchomienie systemów monitorowania, konfiguracja kopii zapasowych, wdrożenie zarządzania tożsamością i dostępem.
Miesiąc dziewiąty i dziesiąty: szkolenia. Cykl szkoleń na trzech poziomach — podstawowym, kierowniczym i specjalistycznym. Szkolenia praktyczne, z elementami symulacji incydentów, dostosowane do realiów branży wodno-kanalizacyjnej.
Miesiąc jedenasty: audyt wewnętrzny. Niezależna ocena skuteczności wdrożonych zabezpieczeń i zgodności SZBI z przyjętymi politykami. Raport z audytu z ustaleniami i zaleceniami — dokument potwierdzający dojrzałość systemu.
Miesiąc dwunasty: przegląd zarządzania i rozliczenie. Spotkanie zarządu, na którym omawia się wyniki audytu, stan SZBI, skuteczność zabezpieczeń i plan na kolejny okres. Zamknięcie dokumentacji projektowej i rozliczenie grantu.
Co po grancie — SZBI to nie projekt, to sposób działania
Najważniejsze pytanie, jakie powinien sobie postawić każdy grantobiorca, brzmi: co się stanie z cyberbezpieczeństwem naszej organizacji, gdy pieniądze z grantu się skończą?
SZBI nie jest projektem z datą zakończenia. To system zarządzania, który wymaga ciągłego utrzymania — regularnych przeglądów polityk, aktualizacji analizy ryzyka, szkoleń nowych pracowników, monitorowania skuteczności zabezpieczeń, reagowania na incydenty, dostosowywania się do nowych zagrożeń i wymogów prawnych.
Przedsiębiorstwa wodociągowe, które podejdą do projektu strategicznie, wyjdą z niego z realną zmianą — z ludźmi, którzy wiedzą, co robić, z procedurami, które działają, i z technologią, która chroni. Te, które potraktują go jako jednorazową inwestycję do rozliczenia, wrócą do punktu wyjścia szybciej, niż im się wydaje.
Pełne wsparcie Fib.Code — od diagnozy po audyt
Fib.Code od lat pracuje z operatorami infrastruktury krytycznej i spółkami komunalnymi. Znamy specyfikę środowisk, w których systemy IT współistnieją z systemami OT, gdzie sterownik PLC z 2008 roku stoi obok nowoczesnego serwera wirtualizacji, a operator stacji pomp musi jednocześnie pilnować ciśnienia w sieci i nie klikać w podejrzane załączniki.
Dla grantobiorców programu Cyberbezpieczne Wodociągi oferujemy wsparcie obejmujące cały cykl projektu.
Diagnoza i gap analysis — ocena aktualnego stanu bezpieczeństwa IT i OT, identyfikacja luk, rekomendacje priorytetów.
Wdrożenie SZBI — opracowanie pełnej dokumentacji systemowej: polityki, procedury, analiza ryzyka, deklaracja stosowania, plan ciągłości działania. Dokumentacja dopasowana do realiów branży wodno-kanalizacyjnej, nie uniwersalny szablon.
Wsparcie przy zabezpieczeniach technicznych — specyfikacja wymagań, wsparcie w wyborze rozwiązań, nadzór nad wdrożeniem. Segmentacja sieci IT/OT, konfiguracja systemów monitorowania, polityki dostępu do systemów SCADA.
Szkolenia — programy szkoleniowe dostosowane do trzech poziomów kompetencji, z naciskiem na specyfikę branżową. Symulacje incydentów, warsztaty praktyczne, materiały referencyjne.
Audyt wewnętrzny — niezależna ocena zgodności i skuteczności SZBI, przeprowadzona przez audytorów z doświadczeniem w sektorze komunalnym i infrastrukturze krytycznej.
Pełnomocnik ds. bezpieczeństwa informacji — outsourcing funkcji Pełnomocnika SZBI na czas trwania projektu i po jego zakończeniu. Ciągły nadzór, reagowanie na incydenty, raportowanie dla zarządu.
Ponad 590 milionów złotych trafia właśnie do sektora wodno-kanalizacyjnego. To bezprecedensowa szansa na podniesienie poziomu cyberbezpieczeństwa infrastruktury, od której zależy codzienne życie milionów ludzi. Warto tę szansę wykorzystać mądrze.
Umów konsultację: l.grabowski@fibcode.com | www.fibcode.com
