550 polskich wodociągów inwestuje w cyberbezpieczeństwo. Problemem są rosnące ceny sprzętu IT

Ponad 550 przedsiębiorstw wodociągowo-kanalizacyjnych podpisało już umowy w ramach programu „Cyberbezpieczne Wodociągi”. Problem w tym, że w czasie gdy ruszają wdrożenia, gwałtownie rosną ceny serwerów, pamięci i nośników danych. Eksperci ostrzegają, że beneficjenci mogą stanąć przed koniecznością modyfikacji planów zakupowych, ale bez kompromisów w obszarze bezpieczeństwa.

Program „Cyberbezpieczne Wodociągi” cieszy się ogromnym zainteresowaniem. Złożono blisko 900 wniosków o łącznej wartości przekraczającej 730 mln zł, a według danych z kwietnia 2026 roku ponad 550 podmiotów podpisało już umowy na dofinansowanie projektów cyberbezpieczeństwa. Wdrażanie inwestycji przypada jednak na trudny moment. Rynek mierzy się z dynamicznym wzrostem cen kluczowych komponentów wykorzystywanych w serwerach, macierzach i systemach pamięci masowej. Według TrendForce, w drugim kwartale 2026 roku ceny pamięci DRAM wzrosły o 58-63% kwartał do kwartału, a NAND Flash o 70-75%.

„Jeszcze kilka lat temu zakładano względnie stabilną dostępność komponentów oraz przewidywalność cen. Obecnie musimy brać pod uwagę zarówno ryzyko zakłóceń w globalnych łańcuchach dostaw, jak i dynamiczne zmiany cen podzespołów wykorzystywanych w urządzeniach bezpieczeństwa czy serwerach a przede wszystkich nośnikach i pamięci dla danych. W praktyce oznacza to konieczność budowania większych buforów magazynowych oraz wcześniejszego planowania zakupów infrastruktury dla projektów strategicznych. To wszystko sprawia, że coraz mocniej premiowani będą dostawcy, którzy poza samą technologią są w stanie zapewnić przewidywalność dostaw, stabilne wsparcie techniczne oraz transparentną politykę cenową” – komentuje Aleksander Kostuch, inżynier Stormshield.

Rosnące koszty mogą wymusić korekty projektów

Wzrost cen sprzętu może szczególnie dotknąć projekty obejmujące zakup serwerów, macierzy, pamięci oraz infrastruktury niezbędnej do uruchomienia systemów bezpieczeństwa, takich jak SIEM, SOAR, EDR czy platformy centralnego zarządzania. Zdaniem ekspertów, organizacje mogą być zmuszone do weryfikacji pierwotnych założeń, jednak kluczowe pozostaje zachowanie zakładanego poziomu ochrony.

„Wyższe koszty zakupu, czy ograniczona dostępność określonych komponentów może utrudniać wdrożenie. Jednocześnie muszę podkreślić, że w obecnych warunkach szczególnie ważne jest, aby patrzeć nie tylko na listę urządzeń, lecz na funkcję, jaką mają pełnić w całym systemie bezpieczeństwa” – wyjaśnia Piotr Zielaskiewicz, menadżer w DAGMA Bezpieczeństwo IT. „Nie chodzi o to, aby za wszelką cenę kupić dokładnie ten sam zestaw sprzętu, który został wpisany na wczesnym etapie planowania. Chodzi o zachowanie celu projektu, a tym jest bezpieczeństwo” – podkreśla.

Beneficjenci mogą oczywiście występować do NASK o zmiany w projektach, o ile nie wpływają one negatywnie na deklarowany poziom zabezpieczeń. Każda taka korekta oznacza jednak dodatkowy czas i ryzyko opóźnień.

„Cała sytuacja pokazuje, że budżety na obsługę cyberbezpieczenstwa wciąż pozostają niewystarczające. Można przy tym zakładać, że problem w większym stopniu dotyczy małych samorządów. W tym kontekście słowa wicepremiera Gawkowskiego o miękkim podbrzuszu naszego systemu bezpieczeństwa nabierają nowego wymiaru” – dodaje Aleksander Kostuch.

Cyberbezpieczeństwo wodociągów zaczyna się od OT

Sektor wodociągowo-kanalizacyjny należy do infrastruktury krytycznej. Oprócz klasycznych systemów IT wykorzystuje także środowiska OT, w tym systemy sterowania przemysłowego, rozwiązania SCADA oraz urządzenia zarządzające procesami uzdatniania i dystrybucji wody. W takich środowiskach cyberatak może prowadzić nie tylko do utraty danych, ale również do zakłócenia działania usług kluczowych dla mieszkańców.

Dlatego specjaliści wskazują, że priorytetem powinny być segmentacja sieci, oddzielenie środowisk IT i OT, bezpieczny dostęp zdalny, monitoring zdarzeń oraz zdolność szybkiego reagowania na incydenty.

„W środowisku OT firewall nie powinien być jedynie urządzeniem na brzegu sieci. Powinien pomagać w precyzyjnej kontroli komunikacji pomiędzy systemami sterowania, SCADA i siecią biurową. Szczególnie ważna jest głęboka analiza protokołów przemysłowych, bo dopiero ona pozwala odróżnić zwykły ruch technologiczny od działań, które mogą prowadzić do manipulacji procesem. W wodociągach nie mówimy o abstrakcyjnym ryzyku. Mówimy o infrastrukturze, od której zależy ciągłość usług dla mieszkańców” – wskazuje Aleksander Kostuch.

Zdaniem ekspertów, dostępność urządzeń zabezpieczających nie musi być największą przeszkodą dla beneficjentów programu. Kluczowe okaże się właściwe określenie priorytetów i wybór tych inwestycji, które realnie zwiększą odporność organizacji.

„Dla sektora wod-kan, z uwagi na realizację dofinansowań, najbliższe miesiące będą testem praktycznego podejścia do cyberbezpieczeństwa. Podobnie będzie w przypadku innych sektorów krytycznych. Dostępność urządzeń zabezpieczających nie musi być główną barierą. Większym wyzwaniem może okazać się właściwe określenie priorytetów: które systemy trzeba chronić w pierwszej kolejności, jak zbudować bezpieczny zdalny dostęp, jak oddzielić IT od OT, zapewnić monitoring oraz reagowanie na incydenty. To od tych decyzji będzie zależało, czy projekt rzeczywiście zwiększy odporność organizacji” – podsumowuje Piotr Zielaskiewicz.