"Na Linii Decyzji" - Zapisz się i dołącz do społeczności, która już teraz czerpie z wiedzy naszych ekspertów!
Ikona BIP Ikona rodo Ikona Portal Pracownika Ikona poczty EU Ikona Grupa JSW Twitter Linkedin Ikona szukania

Jak działają hakerzy? Metody cyberataków na infrastrukturę przemysłową

Systemy ICS (Industrial Control Systems) i OT (Operational Technology) stanowią podstawę działania infrastruktury krytycznej – od energetyki po wodociągi. Rosnąca integracja z sieciami IT, zdalny dostęp oraz automatyzacja procesów zwiększają ich podatność na cyberataki.

Współczesne zagrożenia są coraz bardziej zaawansowane: cyberprzestępcy łączą wiedzę o systemach sterowania z narzędziami opartymi na sztucznej inteligencji, a celem ataków staje się już nie tylko kradzież danych, lecz także sabotaż operacyjny czy wymuszenie okupu.

Współczesne techniki ataków na sieci OT

Phishing 2.0 – precyzyjne wejście do sieci

Ukierunkowany phishing wykorzystuje analizę danych i modele językowe AI do tworzenia spersonalizowanych wiadomości, które imitują komunikację wewnętrzną.
Przykład: Inżynier SCADA otrzymuje e-mail od „dyrektora technicznego” z prośbą o zalogowanie się do systemu. Strona logowania jest fałszywa, a dane trafiają bezpośrednio do napastników.
Efekt: Uzyskanie poświadczeń i wstępnego dostępu do sieci OT bez użycia exploitów.

Deepfake – socjotechnika wspierana AI

Deepfake umożliwia generowanie syntetycznych głosów i obrazów w czasie rzeczywistym. W środowiskach OT bywa wykorzystywany do manipulacji personelem operacyjnym.
Przykład: Operator odbiera połączenie wideo od „autoryzowanego serwisanta”, który instruuje go, by zmienił konfigurację pomp. Nagranie jest w całości wygenerowane.
Efekt: Nieautoryzowana ingerencja w parametry systemu lub umożliwienie zdalnego dostępu.

Ransomware-as-a-Service – automatyzacja wymuszeń

Model RaaS (Ransomware-as-a-Service) udostępnia gotowe narzędzia szyfrujące w modelu subskrypcyjnym. Pozwala to atakującym przeprowadzać złożone kampanie bez własnych zasobów developerskich.
Przykład: Wodociągi tracą dostęp do systemów SCADA i HMI po uruchomieniu złośliwego kodu rozprowadzanego jako „aktualizacja oprogramowania”.
Efekt: Zaszyfrowanie infrastruktury OT i paraliż procesów technologicznych do czasu zapłaty okupu.

Zero-day – eksploatacja nieznanych podatności

Luki typu „zero-day” w oprogramowaniu sterowników PLC czy aplikacjach HMI stanowią jedno z najgroźniejszych zagrożeń dla środowisk przemysłowych.
Przykład: Exploit wykorzystuje nieznaną podatność w firmware sterownika PLC, co umożliwia atakującemu zdalne wykonanie kodu.
Efekt: Nieautoryzowany dostęp i możliwość manipulacji logiką sterowania bez wykrycia przez systemy detekcji.

Techniki ukrywania obecności w środowisku OT

Living off the Land (LOLBins)

Atakujący wykorzystują legalne narzędzia systemowe (np. PowerShell, WMIC, certutil) w celu utrzymania kontroli i eksfiltracji danych.
Przykład: Skrypt PowerShell wykonuje transfer plików z sieci OT do serwera C2 z użyciem natywnych mechanizmów Windows.
Efekt: Brak detekcji przez systemy antywirusowe i trudność w identyfikacji źródła ataku.

Ataki na protokoły przemysłowe

Protokoły komunikacyjne, takie jak Modbus, DNP3 czy OPC DA, często działają bez autoryzacji i szyfrowania, co pozwala na manipulację ruchem w sieci.
Przykład: Atakujący przechwytuje i modyfikuje komunikację Modbus pomiędzy HMI a PLC, wstrzykując własne polecenia.
Efekt: Zakłócenie pracy urządzeń, zmiana parametrów procesowych lub celowy sabotaż.

Man-in-the-Middle (MITM)

MITM polega na przechwyceniu i modyfikacji danych wymienianych między systemami OT.
Przykład: Haker wprowadza fałszywe dane o poziomie wody w zbiorniku, które są następnie wizualizowane w SCADA jako poprawne.
Efekt: Operator podejmuje błędne decyzje operacyjne, co może doprowadzić do awarii fizycznych elementów infrastruktury.

IIoT jako wektor wejścia

Urządzenia Industrial IoT (np. kamery, sensory, rejestratory danych) często nie posiadają odpowiednich zabezpieczeń sieciowych ani aktualnego oprogramowania.
Przykład: Przejęta kamera IP zostaje wykorzystana jako punkt wejścia do segmentu OT poprzez niezaszyfrowany protokół transmisji.
Efekt: Uzyskanie trwałego dostępu do sieci przemysłowej i możliwość ruchu lateralnego.

Typowy przebieg cyberataku – kill chain na przykładzie sektora wodociągowego

Ataki na systemy przemysłowe przebiegają w sposób uporządkowany, zgodnie z klasycznym modelem cyber kill chain:

  1. Rekonesans – identyfikacja dostawców SCADA, typów PLC, struktur sieci i personelu technicznego (OSINT, Shodan, LinkedIn).
  2. Uzbrojenie – przygotowanie złośliwego kodu, exploitów lub dokumentów zawierających makra.
  3. Dostarczenie – phishing, zainfekowany nośnik USB, fałszywa aktualizacja.
  4. Eksploatacja – wykorzystanie luk w oprogramowaniu, słabe uwierzytelnienie, brak segmentacji.
  5. Instalacja – implementacja backdoora lub złośliwego modułu utrzymującego trwałość.
  6. Komunikacja C2 – zestawienie kanału zdalnego sterowania (np. DNS tunneling, HTTPS).
  7. Realizacja celu – zmiana parametrów pracy urządzeń, szyfrowanie systemów HMI, zakłócenie procesu technologicznego.

Cyberbezpieczeństwo jako integralna część zarządzania infrastrukturą wodną

Systemy wodociągowe wymagają szczególnego podejścia do bezpieczeństwa OT. Kluczowe elementy to segmentacja sieci, kontrola dostępu, bieżące monitorowanie komunikacji międzywarstwowej oraz rozwój kompetencji personelu technicznego.

Cyberbezpieczeństwo w sektorze wodnym przestaje być kwestią IT – staje się częścią utrzymania ciągłości działania i bezpieczeństwa dostaw.

15 października o godz. 10:00 odbędzie się bezpłatny webinar „Cyberbezpieczny wodociąg”, podczas którego Rafał Wowra, Dyrektor ds. Bezpieczeństwa i Infrastruktury JSW IT Systems, omówi doświadczenia z ponad 20 projektów zrealizowanych w sektorze wodociągowym w 2025 roku.

Rejestracja: https://event.jswits.pl/webinar-cyberbezpieczny-wodociag

Inne aktualności

Cyberbezpieczne Wodociągi w praktyce - dołącz do nas 15 października!

Zapraszamy na bezpłatny webinar "Cyberbezpieczne Wodociągi w praktyce: Lekcje z ocen bezpieczeństwa w 26 Wodociągach w 2025 roku". Już 15 października o 10:00 zgromadzimy spółki z sektora wod-kan w jednym miejscu i opowiemy o wnioskach ze kilkudzisięciu współprac, jakie…

 AITIS – wirtualny asystent JSW z nowymi funkcjami AI

ChatBot AITIS, autorskie rozwiązanie JSW IT Systems oraz Zespołu Redakcyjnego Strefy Sztygara, przeszedł istotną aktualizację i rozbudowę. Nowe funkcje znacząco zwiększają jego użyteczność dla pracowników Grupy Kapitałowej JSW. Odpowiadają na potrzeby cyfrowej…

 Wodociągi celem hakerów

Dostęp do czystej wody to nie tylko kwestia komfortu, ale bezpieczeństwa zdrowotnego i funkcjonowania całych społeczności. Dlatego wodociągi – jako element infrastruktury krytycznej – są atrakcyjnym celem dla cyberprzestępców, zwłaszcza w kontekście napięć…

 Cyfrowa transformacja oczyszczalni – jak automatyzacja i współpraca napędzają innowacje w sektorze wod-kan

Podczas IV Konferencji „Oczyszczalnie Przyszłości” zostaliśmy zaproszeni do wywiadu publicznego nt. wdrażania innowacji technologicznych w oczyszczalniach. Wraz z naszym klientem - Chorzowsko-Świętochłowickim Przedsiębiorstwem Wodociągów i Kanalizacji - pokazaliśmy, jak…

 Bezpłatne konsultacje w ramach programu „Cyberbezpieczny Wodociąg”

JSW IT Systems zaprasza przedstawicieli przedsiębiorstw wodociągowych do udziału w bezpłatnych konsultacjach w ramach programu „Cyberbezpieczny Wodociąg”. Celem inicjatywy jest wsparcie sektora w przygotowaniu wniosku grantowego, zgodnie z wymaganiami ustawy o Krajowym…

 cyberbezpieczenstwo OT Cyberbezpieczeństwo OT: Ochrona systemów przemysłowych przed zagrożeniami cyfrowymi

Jeszcze niedawno systemy sterowania w zakładach przemysłowych działały w odizolowanych środowiskach, bez bezpośredniego połączenia z Internetem. Dziś, w dobie Przemysłu 4.0, systemy ICS i SCADA są coraz częściej zintegrowane z sieciami IT, co otwiera drzwi dla…
Więcej aktualności
Aktualności
Publikacje
Filmy
Do pobrania
Kontakt dla prasy
Kopalnie JSW 360