Cyberatak w wodociągach? To już nie scenariusz z filmu, tylko codzienne ryzyko branży komunalnej

Cyfryzacja usług komunalnych wydarzyła się po cichu. Dziś za każdym odkręceniem kranu, każdą fakturą za wodę czy ciepło, stoją serwery, aplikacje, systemy sterowania i zdalne odczyty. Wodociągi, ciepłownie i zakłady gospodarki odpadami stały się w praktyce organizacjami mocno „informatycznymi”, chociaż często nikt tak o nich nie myśli. To sprawia, że cyberatak przestaje być abstrakcją: zamiast scenariusza z filmu mamy bardzo realne ryzyko dla każdej gminy.

Dla cyberprzestępców sektor komunalny jest celem idealnym. Po pierwsze – odpowiada za usługi absolutnie krytyczne społecznie. Po drugie – ma zwykle mniej rozbudowane działy IT i mniej dojrzałe standardy bezpieczeństwa niż duże firmy prywatne. Po trzecie – jest pod ogromną presją, by po awarii jak najszybciej przywrócić normalne działanie. To wszystko razem oznacza, że nawet niewielka jednostka samorządowa może stać się łakomym kąskiem: łatwiejszym do sparaliżowania niż duży koncern, a jednocześnie na tyle ważnym, by było warto ją szantażować.

Ataki coraz rzadziej są dziełem przypadku. Przestępcy potrafią przejrzeć Biuletyny Informacji Publicznej, dokumentację przetargów, materiały z sesji rad gmin. Na tej podstawie dowiadują się, jakie systemy są używane, jakie firmy je wdrażają, jak wygląda struktura spółki. To daje im mapę potencjalnych słabości – zarówno technologicznych, jak i organizacyjnych.

Typowa spółka komunalna żyje dziś na styku dwóch światów. Z jednej strony ma systemy biurowe (księgowość, kadry, billing, e‑BOK, pocztę, portale klienta), z drugiej systemy sterowania i nadzoru (SCADA, sterowniki pomp, stacji uzdatniania, kotłów, czujniki w sieciach). Te światy są już ze sobą połączone, bo musi być wygodnie i efektywnie – technik ma dostęp zdalny, dane z terenu spływają online, obsługa klientów odbywa się przez internet. Na tym połączeniu pojawia się jednak największe ryzyko – ATAK, który zaczyna się od „zwykłego” komputera biurowego, a skończyć się może zakłóceniem pracy infrastruktury krytycznej.

W wielu rozmowach z przedstawicielami branży wciąż słychać zdanie: „Mamy antywirusa, firewalla i kopie zapasowe, więc jesteśmy zabezpieczeni”. To dobre minimum, ale w obecnych realiach zdecydowanie niewystarczające. Często okazuje się, że nikt formalnie nie odpowiada za obszar cyber na poziomie zarządu, dostępy zdalne są słabo kontrolowane, stare systemy sterowania „nie mają aktualizacji, więc nikt ich nie dotyka”, pracownicy nigdy nie mieli porządnego szkolenia z rozpoznawania phishingu, procedury na wypadek ataku istnieją co najwyżej w głowach kilku osób.

Dopóki nic się nie dzieje, ten stan jest wygodny. Problem zaczyna się w momencie incydentu. Zaszyfrowany system billingowy potrafi unieruchomić rozliczenia na tygodnie. Awaria sterowania przepompowni może doprowadzić do zrzutów ścieków i interwencji inspekcji środowiskowych. Wykradzione dane osobowe klientów stają się źródłem poważnych kłopotów prawnych i wizerunkowych. Obok kosztów czysto technicznych pojawia się presja mieszkańców, mediów, regulatorów, a w tle pytanie o to, czy organizacja dochowała należytej staranności.

Na tym tle rośnie znaczenie ubezpieczeń cyber. W Polsce od kilku lat dostępne są rozwiązania, które mogą pokrywać koszty reakcji na incydent, odtworzenia danych, utraconych przychodów, wsparcia prawnego czy PR‑owego, a także odpowiedzialności wobec osób, których dane wyciekły. Wciąż jednak w wielu gminach i spółkach komunalnych takie polisy są rzadkością albo są kupowane „przy okazji”, bez głębszej refleksji nad zakresem.

Najczęściej spotykam się z trzema mitami. Pierwszy: „Mamy OC, więc cyber nas nie dotyczy”. Standardowe ubezpieczenie odpowiedzialności cywilnej zwykle nie obejmuje kluczowych skutków ataku: wsparcia specjalistów IT, kosztów odzyskiwania danych, zarządzania kryzysem czy okupów. Drugi: „Taka polisa będzie za droga”. Tymczasem przy sensownie opisanym ryzyku i dobranych limitach składka bywa znacznie niższa niż koszt jednego poważniejszego incydentu. Trzeci mit jest szczególnie groźny: „Ubezpieczenie załatwi nam temat bezpieczeństwa”. Jest dokładnie odwrotnie – to poziom zabezpieczeń i organizacji decyduje, czy w ogóle uda się kupić polisę cyber na sensownych warunkach.

Z perspektywy rynku ubezpieczeniowego cyber staje się więc pewnego rodzaju testem dojrzałości. Ankiety i rozmowy z ubezpieczycielami dotyczą kwestii, które i tak powinny być uregulowane: aktualizacji systemów, kopii zapasowych, kontroli dostępu, szkoleń, segmentacji sieci, procedur reagowania. Tam, gdzie jest porządek, łatwiej o szeroki zakres i akceptowalną składkę. Tam, gdzie panuje chaos, pojawia się problem: wyłączenia, ograniczenia, a czasem po prostu brak oferty.

Co zatem powinna zrobić gmina czy spółka komunalna, która chce potraktować temat poważnie? Zacząć od policzenia, na czym opiera się jej działalność – które systemy i procesy są naprawdę krytyczne. Wyznaczyć osobę odpowiedzialną za obszar cyber w wymiarze strategicznym, nie tylko „informatycznym”. Uszczelnić podstawy: dostęp zdalny, uwierzytelnianie, kopie zapasowe, segmentację sieci. Zainwestować w proste, praktyczne szkolenia dla ludzi (bo to oni najczęściej „otwierają drzwi” napastnikom), a równolegle przejrzeć obecne polisy i zadać sobie kilka szczerych pytań: czy rzeczywiście mamy jakąkolwiek realną ochronę na wypadek cyberataku, czy raczej iluzję bezpieczeństwa?

Dobrze przygotowana organizacja może wykorzystać proces zakupu ubezpieczenia cyber jako okazję do uporządkowania wielu kwestii. Wspólnie z brokerem warto przedstawić ubezpieczycielowi rzetelny obraz – nie tylko listę systemów, ale też istniejące zabezpieczenia, doświadczenia z dotychczasowych incydentów, plany rozwoju. W zamian można oczekiwać nie tylko polisy, ale też konkretnej informacji zwrotnej: gdzie są najsłabsze punkty i jakie działania zwiększą szanse na lepsze warunki.

Branża komunalna znalazła się w miejscu, w którym nie da się już oddzielić rur, pomp i śmieciarek od serwerów, sieci i aplikacji. Cyberbezpieczeństwo przestaje być „sprawą informatyków”, a staje się jednym z filarów ciągłości działania. Ubezpieczenie cyber nie rozwiąże wszystkich problemów, ale może zdecydować o tym, czy po ataku wrócimy do normalności w kontrolowanym trybie, czy będziemy przez miesiące gasić pożar organizacyjny, finansowy i wizerunkowy.

W świecie, w którym cyfrowe są już nie tylko banki, ale i wodociągi, pytanie nie brzmi, czy atak nastąpi, lecz kiedy i w jakim stopniu będziemy na niego przygotowani – technicznie, organizacyjnie i ubezpieczeniowo.

Kinga Kubaszewska, Broker Ekspert, Dyrektor Regionalny, PIB Broker S.A.