Stabilny intermodal
28 kwietnia 2026
Porty morskie północnej Europy funkcjonują dziś w środowisku zagrożeń bezprecedensowym w swojej złożoności. Nałożenie się konfliktu na Ukrainie, destabilizacji Bliskiego Wschodu, aktywności państwowych grup APT ( ang. advanced persistent threat, zaawansowane trwałe zagrożenie), czyli wysoce wyspecjalizowanych zespołów hakerskich, zazwyczaj sponsorowanych przez państwa, które przeprowadzają długotrwałe, precyzyjnie ukierunkowane ataki szpiegowskie lub sabotażowe) tworzy sytuację, w której cyberbezpieczeństwo portów przestaje być zagadnieniem technicznym i staje się kwestią bezpieczeństwa narodowego.
Grupy APT nie atakują przypadkowo. Dobór celów w ich operacjach to proces metodyczny, prowadzony zgodnie z logiką wywiadowczą i wojskową. Zrozumienie tej logiki pozwala ocenić, jak atrakcyjnym celem dla tych grup są polskie porty. W praktyce grupy te stosują przy doborze celów rachunek oparty na kilku kryteriach, takich jak: wartość strategiczna celu, efekt kaskadowy, podatność i dostępność, możliwość długotrwałego ukrycia oraz możliwość zaprzeczenia.
Jak w tym rachunku wypadają polskie porty? Odpowiedź jest niepokojąca – spełniają praktycznie wszystkie kryteria atrakcyjności. Wartość strategiczna jest maksymalna. Polskie porty generują 10% dochodów budżetowych, są jedynym morskim szlakiem dostaw ropy do polskich i niemieckich rafinerii, pełnią funkcję hubu logistycznego NATO na flance wschodniej i obsługują dostawy wsparcia dla Ukrainy. Także efekt kaskadowy można uznać za bardzo wysoki. Zakłócenie pracy portów uderza jednocześnie w bezpieczeństwo energetyczne (Naftoport zaopatruje rafinerie w Polsce, Niemczech i w Czechach), handel kontenerowy (Baltic Hub obsługuje feedery do Skandynawii i państw bałtyckich), logistykę wojskową NATO i łańcuchy dostaw kilkunastu krajów. Podwyższona jest również podatność. Przestarzałe systemy IT i OT, ograniczone kompetencje kadry, fragmentacja odpowiedzialności między wieloma podmiotami (na terenie portu działają liczni operatorzy, z własnymi, często niedojrzałymi, systemami zarządzania cyberbezpieczeństwem), rosnąca powierzchnia ataku generowana przez dynamiczne inwestycje infrastrukturalne.
Atakujący ma niestety korzystną możliwość ukrycia. Ekosystem portowy jest złożony, obejmuje wiele podmiotów i systemów, monitoring segmentów OT jest zazwyczaj niewystarczający, brakuje sektorowego mechanizmu wymiany informacji o zagrożeniach. Ułatwiona jest także możliwość zaprzeczenia. Wielość podmiotów, nakładające się systemy IT i niejasne granice Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) oraz niedostateczny monitoring zdarzeń bezpieczeństwa utrudniają znalezienie sprawców ataku.
Skala problemu najlepiej uwidacznia się w konkretnych incydentach i ostrzeżeniach dotyczących bezpośrednio naszego regionu. W maju 2025 r. NATO i 21 agencji wywiadowczych z 11 państw sojuszniczych wydało wspólne ostrzeżenie, opisujące 2-letnią kampanię cyberszpiegowską APT28 wymierzoną w zachodnie firmy logistyczne i technologiczne koordynujące pomoc dla Ukrainy. Kampania objęła sektor morski, lotniczy, kolejowy i drogowy w co najmniej 13 krajach, w tym w Polsce. Ujawniono również, że APT28 celuje w kamery IP w obiektach logistycznych – ponad 80% atakowanych kamer znajdowało się na Ukrainie, reszta w Polsce i Rumunii, w pobliżu przejść granicznych i instalacji wojskowych. Na początku 2026 r. firma Trellix ujawniła kampanię APT28 wymierzoną bezpośrednio w podmioty sektora morskiego i transportowego – opisaną szczegółowo powyżej.
Dane branżowe za 2025 r. są alarmujące. Według raportu CYTUR liczba incydentów cybernetycznych w sektorze morskim wzrosła ze 408 w 2024 r. do 828 w 2025 r. – wzrost o 103%. Raport Cydome wskazuje na wzrost o 150% ataków na systemy OT w sektorze morskim, z czego 87% stanowił ransomware. Raport Dragos 2026 Year in Review wskazuje, że liczba grup ransomware atakujących organizacje przemysłowe wzrosła o 49% rok do roku, dotykając 3300 organizacji globalnie. Aktywne w regionie są nie tylko grupy APT, ale również prorosyjskie kolektywy haktywistyczne: NoName057(16), który przeprowadził ataki DDoS na porty Rotterdamu, Felixstowe i Gdyni, Cyber Army of Russia Reborn; Z-Alliance (potwierdzono manipulację norweską zaporą wodną), SECT0R16 – które coraz częściej deklarują włamania do sieci operacyjnych, zacierając granicę między cyberatakiem a sabotażem fizycznym.
Ponadto na terenie portu morskiego działa jednocześnie kilkanaście lub kilkadziesiąt podmiotów: zarząd portu, operatorzy terminali, agencje celne, spedytorzy, dostawcy usług IT i OT, służby państwowe. Każdy z nich posiada własne systemy informatyczne i własne – lub żadne – polityki bezpieczeństwa. Określenie granic SZBI w takim środowisku jest niezwykle trudne. Kto odpowiada za bezpieczeństwo interfejsu między systemem TOS operatora terminalu a platformą Port Community System zarządu portu? Kto monitoruje ruch sieciowy w strefie, gdzie infrastruktura IT kilku podmiotów współdzieli fizyczne okablowanie? Wiele systemów IT i OT w polskich portach było wdrażanych w czasach, gdy cyberbezpieczeństwo systemów przemysłowych nie było priorytetem. Aktualizacja tych systemów jest kosztowna i ryzykowna operacyjnie: wymaga przestojów, testów kompatybilności i często wymiany sprzętu. W rezultacie wiele portów funkcjonuje z systemami o znanych podatnościach, zabezpieczanymi jedynie segregacją sieciową – która bywa niewystarczająca.
Na to wszystko nakłada się jeszcze jedno wyzwanie dla polskich portów. Wchodzi właśnie w życie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, implementująca do polskiego prawa unijną dyrektywę NIS2. To dla wielu instytucji – także portów – duże wyzwanie, ponieważ wprowadza ona surowe wymogi w zakresie cyberbezpieczeństwa, zarządzania ryzykiem, incydentami i ciągłością działania, bezpieczeństwa łańcucha dostaw i zasobów ludzkich. Tej regulacji nie da się wdrożyć „na papierze” – konieczne jest konsekwentne podejmowanie realnych działań, monitorowanie ich skuteczności i weryfikowanie poprawności działania systemu przez niezależnych audytorów. Jest to jednak nie tylko wyzwanie, ale i szansa, ponieważ wdrożenie postanowień tej ustawy znacznie obniży ryzyka skutecznego ataku ze strony grup APT, awarii technicznych i błędów ludzkich.wanych z /do Ukrainy, a także dalszy rozwój połączeń intermodalnych. Inwestor zakłada uruchomienie terminalu do 2029 r.
Artykuł opracowany we współpracy z czasopismem „Namiary na Morze i Handel”.
