Moje konto Zaloguj się
Moje konto Zaloguj się
Nowy użytkownik
Nie masz konta w Elmarku? Stwórz nowe konto i czerp korzyści:
    Załóż konto
  • Kupuj z rabatem
  • Sprawdzaj stany magazynowe
  • Zamawiaj szybciej
  • Śledź status zamówień
  • Przeglądaj historię zakupów
  • Jedno konto do innych systemów Elmark
22 773 79 37 elmark@elmark.com.pl
Przełącznik Nav
Szukaj
Wszystko Advantech Anybus Digilent Durabook Elmatic Getac MEAN WELL MOXA Milestone Systems Neousys Technology RTA RealWear Rockwell Automation - Allen Bradley UNITRONICS Universal Robots Lenze
Koszyk

Koszyk

Panel konta Dane konta Książka adresowa Moje zamówienia Nierozliczone faktury VAT Oferty Zgody formalne Reklamacje Cennik
Wyloguj się
 
Niższe ceny
 
Informacje o stanach magazynowych
 
Historia zakupów
Załóż konto

Cyberbezpieczne Wodociągi – Kompleksowy przewodnik po bezpieczeństwie IT/OT

20.05.2025 Informacje produktowe
cyberbezpieczne wodociągi
Wizerunek autora
Paulina Łapińska
Producent: UNITRONICS, MOXA, TXOne Networks
  • Woda i ścieki

Program „Cyberbezpieczne Wodociągi” to nie tylko dofinansowanie. To pierwszy, realny krok ku bezpiecznej i nowoczesnej infrastrukturze wodno-kanalizacyjnej. Dzięki niemu setki przedsiębiorstw w całej Polsce mogą nie tylko wymienić sprzęt, ale przede wszystkim uporządkować sposób, w jaki działają ich systemy sterowania i komunikacji. To ważne, bo de facto ta decyzja wpływa na ciągłość dostaw wody i niezawodność oczyszczania ścieków.

W wielu zakładach do dziś pracują sterowniki PLC bez haseł, niepodłączone do żadnej archiwizacji, dostępne dla każdego, kto podejdzie do szafy.
Rejestrowanie działań użytkowników? Brak.
Automatyczny backup danych? Brak.
Bezpieczny zdalny dostęp również często nie istnieje.

Brak ochrony infrastruktury krytycznej nie tylko zwiększają ryzyko incydentu, ale też mogą – zgodnie z przepisami NIS2 – skutkować bardzo wysokimi karami pieniężnymi.  

W tym artykule poruszymy następujące tematy:

  • O programie „Cyberbezpieczne wodociągi”;
  • Jak wygląda dziś typowa sieć IT/OT w zakładzie wod-kan i dlaczego warto ją modernizować
  • Referencyjne topologie sieci – jak powinno to wyglądać w praktyce;
  • Scenariusz wdrożenia – od czego zacząć; 

Spis treści

Program Cyberbezpieczne Wodociągi - najważniejsze informacje

To rządowy program wsparcia mający na celu zwiększenie poziomu cyberbezpieczeństwa przedsiębiorstw wodociągowo-kanalizacyjnych. Inicjatywa realizowana jest w ramach Krajowego Planu Odbudowy i Zwiększania Odporności (KPO) i współfinansowana ze środków Unii Europejskiej. Środki przeznaczone na przedsięwzięcie wyniosą ok. 300 000 000 zł (szczegółowa wartość zostanie określona w regulaminie konkursu).

Kto może ubiegać się o dofinansowanie w programie Cyberbezpieczne Wodociągi? 

Z grantu może skorzystać przedsiębiorstwo wodociągowo-kanalizacyjne, prowadzące działalność gospodarczą w zakresie zbiorowego zaopatrzenia w wodę wykorzystujące technologie operacyjne w przemysłowych systemach sterowania, które jest:

  • operatorem usług kluczowych w rozumieniu art. 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2024 r. poz. 1077 i 1222) lub, 
  • spółką prawa handlowego wykonującą zadania o charakterze użyteczności publicznej w rozumieniu przepisów ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2021 r. poz. 679) lub,
  • jednostką sektora finansów publicznych w rozumieniu art. 9 pkt 2–4 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2024 r. poz. 1530, 1572, 1717, 1756, i 1907 oraz z 2025 r. poz. 39).

Ile wynosi wartość dofinansowania? 

W ramach programu „Cyberbezpieczne wodociągi” można otrzymać dofinansowanie w wysokości do 300 000 euro na jeden projekt. Jest to maksymalny limit wynikający z tzw. pomocy de minimis, czyli formy wsparcia publicznego dostępnej dla przedsiębiorstw.

To oznacza, że:

  • jeśli Twoja firma nie korzystała wcześniej z pomocy de minimis w ostatnich 3 latach – możesz ubiegać się o pełną kwotę 300 000 euro,
  • jeśli wcześniej otrzymałeś już jakąś pomoc tego typu musisz to uwzględnić i obniżyć maksymalną kwotę grantu, tak, by łącznie nie przekroczyć limitu. Swój aktualny limit można sprawdzić w bazie SUDOP: sudop.uokik.gov.pl

Na co można przeznaczyć środki? 

Kategoria kosztów Koszty kwalifikowane
Systemy zarządzania bezpieczeństwem informacji
  • Przegląd, aktualizacja lub opracowanie i wdrożenie systemu zarządzania bezpieczeństwem informacji
  • Audyt przeprowadzony przez wykwalifikowanego audytora
Polityki i procedury bezpieczeństwa
  • Polityka analizy ryzyka i bezpieczeństwa systemów IT/OT
  • Obsługa incydentów, ciągłość działania, zarządzanie kryzysowe
  • Polityki kryptografii, kontroli dostępu, MFA
Rozwiązania techniczne i infrastruktura
  • Zakup i wdrożenie systemów teleinformatycznych i usług zapewniających prewencję, detekcję i reakcję
  • Zakup systemów dla operacyjnych centrów bezpieczeństwa
  • Zakup lub rozwój systemów zarządzania podatnościami i skanerów
Usługi wdrożeniowe i doradcze
  • Wdrożenie i konfiguracja urządzeń i oprogramowania
  • Wsparcie eksperckie w zakresie cyberbezpieczeństwa
  • Usługi doradcze w zakresie cyberbezpieczeństwa
Szkolenia i kompetencje
  • Szkolenia dla kadry w zakresie wdrażanych rozwiązań
  • Szkolenia dla informatyków, kierownictwa i pracowników (w tym symulowane cyberataki)

Program obejmuje zarówno zakupy sprzętowe (np. sterowniki PLC, urządzenia sieciowe), jak i działania strategiczne, co pozwala kompleksowo podnieść poziom ochrony infrastruktury krytycznej. 

Szczegółowy katalog wydatków kwalifikowanych oraz niekwalifikowanych zostanie opublikowany w regulaminie konkursu grantowego. 

Do kiedy można wydatkować środki?

Środki w programie „Cyberbezpieczne wodociągi” muszą zostać wydatkowane najpóźniej do 30 czerwca 2026 roku.

Kiedy rusza nabór wniosków? 

Rozpoczęcie naboru wniosków w programie „Cyberbezpieczne wodociągi” planowane jest na czerwiec lub lipiec 2025 roku. Dokładna data ogłoszenia konkursu będzie zależała od momentu wejścia w życie rozporządzenia Ministra Cyfryzacji, które określa zasady przyznawania pomocy de minimis dla przedsiębiorstw wodociągowo-kanalizacyjnych.

Czas trwania naboru ma wynosić 30 dni kalendarzowych od dnia ogłoszenia.

Jak można złożyć wniosek? 

Składanie wniosków będzie odbywać się za pośrednictwem systemu teleinformatycznego CPPC. 

Jak wygląda typowa sieć IT/OT, a jak powinna wyglądać?

Sieć IT/OT w wodociągach będzie w głównej mierze zależała od wielkości zakładu. Do tej pory większość z nich przez lata rozwijała się bez spójnej strategii – były kolejne „odnogi” topologii, pomijając temat segmentacji. 

Poniżej przedstawimy dwie perspektywy: 

  • Jak wyglądają obecne sieci IT/OT w zakładach wod-kan;
  • Jak powinna wyglądać taka sieć według dobrych praktyk oraz wytycznych (np. dyrektywy NIS2)

Stan obecny sieci IT/OT - typowe błędy i zagrożenia

W typowej konfiguracji spotykanej w wielu zakładach wodociągowo-kanalizacyjnych cała sieć automatyki i monitoringu działa jako jedna, wspólna całość — bez wyraźnego podziału i bez odpowiednich zabezpieczeń komunikacji.

Schematy sieci możemy podzielić na dwa rodzaje uzależnione od wielkości przedsiębiorstwa: 

  • małe, np. przepompownie, gdzie systemem zarządza jeden sterownik PLC,
  • duże, np. wodno-kanalizacyjny, gdzie sterowanie jest rozbudowane o kilka/kilkanaście sterowników.

Przykłady tych dwóch rodzajów topologii zostały przedstawione na zdjęciach poniżej.

Topologia sieci małego przedsiębiorstwa przed modernizacjąTopologia sieci małego przedsiębiorstwa przed modernizacją Topologia sieci dużego przedsiębiorstwa przed modernizacjąTopologia sieci dużego przedsiębiorstwa przed modernizacją

Choć sieci te na co dzień funkcjonują poprawnie, ich konfiguracja często zawiera poważne luki bezpieczeństwa – najważniejsze z nich opisujemy poniżej.

Bezpośrednie wystawienie routera do sieci publicznej

Obecnie router RUT1, który łączy się z Internetem przez kartę SIM z publicznym adresem IP jest dostępny z sieci publicznej. Oznacza to, że każda osoba w Internecie może „zobaczyć” ten router i próbować się do niego dostać. To naraża system na skanowanie, próby łamania haseł oraz wykorzystanie znanych błędów w oprogramowaniu urządzenia. Brak pośredniego zabezpieczenia, takiego jak VPN czy zapora sieciowa, znacznie zwiększa ryzyko włamania do systemu sterowania.

Niewystarczająca segmentacja sieci

Kamery, rejestrator wideo, sterowniki, falowniki, czujniki i stacja sterowania działają obecnie w jednej wspólnej sieci. Jeśli ktoś przejmie kontrolę nad jednym z tych urządzeń (np. przez lukę w zabezpieczeniach kamery), może łatwo dostać się do pozostałych — np. sterownika PLC sterującego pompami. Brakuje tu segmentacji, czyli logicznego podziału sieci na mniejsze, bezpieczne strefy.

Czytaj więcej o skutkach braku segmentacji sieci

Sterowniki PLC bez zabezpieczeń i bez kontroli

W wielu zakładach wod-kan sterowniki PLC pracują w trybie „pełnego zaufania” – każdy, kto ma fizyczny dostęp do szafy sterowniczej lub połączenie z siecią, może wprowadzać zmiany w ich konfiguracji. Nie są stosowane mechanizmy logowania użytkowników, nie ma przypisanych ról ani poziomów uprawnień. Zmiana nastaw, wgranie programu, a nawet całkowita modyfikacja logiki działania może odbyć się bez żadnego śladu.

Brakuje zarówno historii operacji, jak i ograniczenia dostępu przez hasło. W razie incydentu nie da się ustalić, kto i kiedy dokonał zmian – co nie tylko narusza podstawowe zasady rozliczalności, ale też uniemożliwia szybką reakcję na zagrożenie.

Poznaj inne zagrożenia starszych sterowników PLC

Brak systemu, który wykrywa ataki i na nie reaguje

W sieci nie działa obecnie żaden system, który wykrywa nietypowe zdarzenia (np. nieautoryzowane komendy do sterowników PLC, próby zmiany ustawień). Bez takiej ochrony atak może pozostać niewykryty przez wiele dni lub tygodni, a osoba atakująca może w tym czasie rozpoznać całą strukturę i przygotować się do sparaliżowania działania zakładu.

Stan docelowy – Jak powinna wyglądać sieć przemysłowa

Rozwiązaniem problemów opisanych wcześniej nie są pojedyncze poprawki, ale kompleksowe podejście do całej struktury sieciowej i systemów sterowania. Stan docelowy to sieć zaprojektowana z myślą o ochronie infrastruktury krytycznej, kontroli dostępu i odporności na zagrożenia cybernetyczne – zgodnie z wytycznymi programu Cyberbezpieczne Wodociągi oraz wymaganiami dyrektywy NIS2.

Poniżej przedstawiamy topologie zmodernizowanych sieci – mniejszą i większą. Obie po modyfikacjach spełniają założenia, których brakowało w poprzednich sieciach – od segmentacji, przez inspekcję ruchu, aż po zabezpieczenie sterowników PLC.

Topologia sieci małego przedsiębiorstwa po modernizacjiTopologia sieci małego przedsiębiorstwa po modernizacji Topologia sieci dużego przedsiębiorstwa po modernizacjiTopologia sieci dużego przedsiębiorstwa po modernizacji

Nowoczesna sieć IT/OT powinna być zaprojektowana nie tylko z myślą o działaniu, ale przede wszystkim z myślą o bezpieczeństwie, odporności na ataki i możliwości szybkiego reagowania. Poniżej przedstawiamy najważniejsze elementy, które powinny być uwzględnione w prawidłowo zaprojektowanym systemie.

Filtrowanie i ochrona ruchu sieciowego

Za routerem dostępowym umieszczono przemysłową sondę IPS od TXOne – EdgeIPS 102. Urządzenie analizuje cały ruch sieciowy w czasie rzeczywistym, wykrywając próby ataku, nadużycia protokołów przemysłowych (np. Modbus/TCP, Profinet) oraz znane zagrożenia cybernetyczne. Nawet jeśli urządzenie końcowe (np. sterownik PLC) nie ma najnowszej aktualizacji, system ten chroni je przed wykorzystaniem luk (virtual patching).

Dzięki temu nawet przy publicznym dostępie do routera, sieć OT jest chroniona na wejściu.

Podział sieci na strefy (segmentacja)

Wszystkie urządzenia zostały logicznie rozdzielone – np. kamery wideo, sterowniki PLC, czujniki i system SCADA pracują w osobnych strefach (tzw. VLAN).

Wdrożenie pełnej izolacji logicznej urządzeń poprzez konfigurację odrębnych VLANów umożliwia, np. zarządzalny switch przemysłowy Moxa EDS-4012

  • VLAN 20 obsługuje tylko system monitoringu (kamery i rejestrator),
  • VLAN 10 obejmuje wyłącznie automatykę (sterownik, falowniki, SCADA).

Dzięki temu nawet jeśli dojdzie do przejęcia jednej z kamer – atak nie rozprzestrzeni się na system sterowania.

Dodatkowo zastosowano zabezpieczenie na poziomie portów – każdy port w switchu akceptuje tylko konkretne, zaufane urządzenia (na podstawie adresu MAC/IP). To uniemożliwia nieautoryzowane podłączanie laptopów czy innych nieznanych elementów.

Zobacz rozwiązanie do segmentacji sieci

Nowoczesne sterowniki PLC z ochroną dostępu

W przykładzie zastosowano sterowniki PLC UniStream od Unitronics, które oferują wszystkie funkcje niezbędne do bezpiecznego zarządzania automatyką:

  • logowanie użytkowników i kontrolę ról (np. operator, administrator, serwis),
  • rejestrację wszystkich działań (audit trail) – każda zmiana programu, parametru czy logowania jest zapisywana,
  • zabezpieczenie dostępu do programu PLC – nie da się wgrać ani pobrać aplikacji bez hasła,
  • wbudowane szyfrowane protokoły, np. OPC UA, MQTT, SFTP, 
  • możliwość automatycznych kopii zapasowych danych.

Dzięki temu nawet w przypadku incydentu wiadomo dokładnie, kto co zrobił, kiedy, i można błyskawicznie przywrócić system do działania.

Poznaj wszystkie funkcje bezpiecznych sterowników PLC

Przykładowy scenariusz wdrożenia zabezpieczeń sieci IT/OT 

Modernizacja infrastruktury sieci IT/OT w przedsiębiorstwie wodociągowo-kanalizacyjnym powinna być prowadzona w sposób etapowy i zgodny z najlepszymi praktykami zarządzania ryzykiem. Poniższy scenariusz jest zbiorem najważniejszych punktów, które należy uwzględnić w planowanej sekwencji działań. Należy go dostosować do wielkości przedsiębiorstwa. 

  1. Analiza ryzyka i audyt infrastruktury OT
  • Przeprowadzenie kompleksowego audytu stanu obecnego sieci automatyki (OT) i jej punktów styku z siecią IT.
  • Inwentaryzacja komponentów i identyfikacja zasobów krytycznych – sterowników PLC, paneli HMI, systemów SCADA, urządzeń sieciowych.
  • Wskazanie luk w zabezpieczeniach, błędów konfiguracyjnych oraz nieautoryzowanych punktów dostępowych.
  1. Opracowanie strategii oraz planu wdrożenia
  • Określenie priorytetów na podstawie poziomu ryzyka i wpływu potencjalnych incydentów na ciągłość działania zakładu.
  • Zdefiniowanie celów projektu, jego zakresu oraz harmonogramu wdrożenia wraz z podziałem na etapy
  • Przygotowanie planu zarządzania zmianami i oceny skutków wdrożenia dla istniejących procesów operacyjnych.
  1. Wybór rozwiązań technicznych, pilotaż i testy
  • Dobór urządzeń i systemów spełniających dobre praktyki cyberbezpieczeństwa OT oraz wymagania programu.
  • Implementacja rozwiązań w wybranym obszarze infrastruktury jako pilotaż.
  • Testy obciążeniowe, sprawdzenie skuteczności zabezpieczeń oraz stabilności wdrożonych komponentów.
  1. Pełne wdrożenie i integracja z istniejącym środowiskiem
  • Rozszerzenie zakresu wdrożenia na całą sieć OT.
  • Integracja z istniejącymi systemami i procesami operacyjnymi.
  • Weryfikacja spójności z polityką bezpieczeństwa i planem ciągłości działania.
  1. Szkolenia personelu i rozwój kompetencji
  • Szkolenia techniczne dla operatorów, administratorów OT oraz zespołu utrzymania ruchu w zakresie wdrożonych funkcjonalności.
  • Opracowanie dokumentacji technicznej, procedur oraz materiałów szkoleniowych.
  1. Monitorowanie, optymalizacja i utrzymanie systemu
  • Wdrożenie ciągłego monitoringu bezpieczeństwa i działania systemów automatyki.
  • Regularne testy penetracyjne, aktualizacje oprogramowania i przeglądy zabezpieczeń.
  • Utrzymywanie kopii zapasowych konfiguracji, logów i danych operacyjnych w sposób zgodny z wytycznymi polityki bezpieczeństwa.

Webinar i materiały do pobrania

6 maja 2025 roku przeprowadziliśmy webinar poświęcony programowi „Cyberbezpieczne wodociągi”, w którym omówiliśmy najważniejsze założenia, wymagania i możliwości, jakie daje dofinansowanie dla sektora wod-kan. Podczas spotkania odpowiedzieliśmy na pytania uczestników.

Szczególną uwagę poświęciliśmy bezpieczeństwu sieci IT/OT — pokazaliśmy topologie „przed” i „po” modernizacji, omówiliśmy najczęstsze zagrożenia oraz zaprezentowaliśmy, jak powinna wyglądać poprawnie zaprojektowana i odporna na ataki struktura sieciowa.

Na zakończenie udostępniliśmy gotowe materiały wspierające przygotowanie wniosku, oparte na sprawdzonych rozwiązaniach Unitronics, Moxa i TXOne Networks, które odpowiadają na wymagania nowoczesnej, cyberbezpiecznej infrastruktury wodociągowo-kanalizacyjnej.

Obejrzyj webinar i pobierz materiały do wniosku 

Podsumowanie

W dobie rosnących zagrożeń cybernetycznych i zaostrzających się przepisów, takich jak dyrektywa NIS2, modernizacja infrastruktury OT w sektorze wod-kan przestaje być opcją — staje się koniecznością. Przestarzałe sterowniki PLC, brak segmentacji sieci, publiczny dostęp do urządzeń czy brak rejestru zdarzeń to problemy, które realnie zagrażają ciągłości działania zakładów.

Dobrze zaprojektowana sieć IT/OT, nowoczesne sterowniki z kontrolą dostępu, systemy monitoringu i audytu, a także regularne backupy i ochrona przed atakami — to kluczowe elementy bezpiecznej infrastruktury.

Program Cyberbezpieczne Wodociągi daje nie tylko możliwość sfinansowania takich zmian, ale przede wszystkim szansę na zbudowanie odpornego i zgodnego z przepisami systemu sterowania. Skorzystaj z niej, zanim będzie za późno.

 

Źródła:

Produkty powiązane

USC-B5-T24

Promocja
USC-B5-T24

UniStream B5 - Sterownik PLC z wirtualnym HMI w wersji Standard - 10DI, 2AI, 12TO

Cena od 1 100,00 zł netto
Przy złożeniu zamówienia do godziny 15:00 paczka zostanie wysłana jeszcze tego samego dnia W magazynie
Pokaż 2 modele
TXOne Networks | EdgeIPS 103

Polecane
TXOne Networks | EdgeIPS 103

Przemysłowy system IPS z DPI dla protokołów przemysłowych oraz ochroną przed znanymi podatnościami na bazie sygnatur. Konfigurowalny tryb pracy bypass

Na zamówienie
EDS-G4012
EDS-G4012

12 portowy switch full gigabit, opcjonalnie 4 porty 2.5G SFP, opcjonalnie 8 portów PoE

Cena od 10 194,00 zł netto
Przy złożeniu zamówienia do godziny 15:00 paczka zostanie wysłana jeszcze tego samego dnia W magazynie
Pokaż 8 modeli
US15-B10-B1
US15-B10-B1

UniStream B15 - sterownik PLC z wbudowanym wyświetlaczem HMI w wersji PRO o przekątnej 15,6" bez I/O

Cena od 9 524,00 zł netto
Przy złożeniu zamówienia do godziny 15:00 paczka zostanie wysłana jeszcze tego samego dnia W magazynie
Pokaż 1 model

Więcej na temat

Skontaktuj się ze specjalistą Elmark

Masz pytania? Potrzebujesz porady? Zadzwoń lub napisz do nas!

Skontaktuj się z nami

elmark@elmark.com.pl +48 22 541 84 60
Formularz kontaktowy