Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Raport

Akty sabotażu na infrastrukturze krytycznej w Polsce

Autor/ka
Renata Davidson
ikona facebook
ikona linkedin

Ekspertka zarządzania ryzykiem i ciągłością działania

To już nie są amatorskie podpalenia. Czy jesteśmy gotowi na wojnę hybrydową nowej generacji?

Pełen raport dostępny będzie w kolejnym newsletterze – zapisz się już teraz.

Niedawny akt sabotażu na polskiej infrastrukturze kolejowej jest kluczowym studium przypadku w ramach nasilającej się wojny hybrydowej prowadzonej przeciwko Polsce i jej sojusznikom. Incydent ten, ze względu na swój profesjonalny charakter, precyzyjnie wybrany cel oraz strategiczny kontekst, wykracza daleko poza wcześniejsze, często amatorskie próby dywersji. Stanowi to wyraźny sygnał eskalacji zagrożeń i zmiany w modus operandi przeciwnika.

Strategicznym celem niniejszej analizy jest dekonstrukcja tego zdarzenia, aby na jego podstawie zidentyfikować metody działania sprawców, ocenić poziom zagrożenia dla bezpieczeństwa państwa oraz sformułować wnioski dotyczące niezbędnych działań adaptacyjnych. Poniższy raport przedstawia szczegółową analizę incydentu sabotażowego w regionie lubelskim, badając go jako symptom szerszych, wrogich operacji wymierzonych w Polskę.

Analiza incydentu sabotażowego w regionie Lubelskim

Szczegółowa dekonstrukcja ataku na infrastrukturę kolejową w rejonie Życzyna jest kluczowa dla zrozumienia obecnego poziomu zagrożenia. Analiza sposobu działania, użytych narzędzi i precyzji sprawców dostarcza cennych informacji na temat ich intencji, zaplecza technicznego oraz umiejętności.‍

Odtworzenie przebiegu zdarzeń pozwala nie tylko ocenić potencjalne skutki, którym udało się zapobiec, ale także zidentyfikować słabości i mocne strony w systemie reagowania kryzysowego.‍

Chronologia zdarzeń  

Rekonstrukcja zdarzeń wskazuje na starannie zaplanowaną i przeprowadzoną operację, której katastrofalnym skutkom zapobiegła jedynie czujność kolejarzy oraz lokalnego mieszkańca.‍

Sobota, 15.11.2025 r.‍


ok. godz. 20:00–21:00 – podłożenie ładunków.

  1. Sprawcy, prawdopodobnie wykorzystując zapadający zmrok i prognozowaną mgłę, umieścili na torach co najmniej dwa ładunki wybuchowe.
  2. Mieszkaniec pobliskiej miejscowości usłyszał huk i zgłosił go odpowiednim służbom.

ok. godz. 23:00‍

  1. Wezwany na miejsce patrol policyjny przeprowadził wizję lokalną, jednak w warunkach nocnych nie zidentyfikował bezpośredniego zagrożenia.
  2. Mimo eksplozji, przez uszkodzony odcinek torów zdołały przejechać trzy pociągi, w tym skład Intercity poruszający się ze znaczną prędkością (ok. 150 km/h).
  3. Maszynista pociągu Intercity, przejeżdżając przez miejsce sabotażu, wyczuł nieprawidłowości (stukot lub wstrząs) i zgłosił swoje obserwacje, co doprowadziło do wzmożenia czujności na szlaku.
  4. Maszynista pociągu Kolei Mazowieckich, jadący nad ranem ze znacznie mniejszą prędkością, dzięki wcześniejszemu ostrzeżeniu zdołał dostrzec uszkodzenie i zatrzymać skład, co bezpośrednio zapobiegło jego wykolejeniu.

Sekwencja ta ujawnia krytyczną lukę w systemie bezpieczeństwa, czyli rozpiętość czasową między wykryciem anomalii a operacyjną reakcją. Zagrożenie zostało zniwelowane wyłącznie dzięki świadomości personelu kolei.

Profesjonalna operacja dywersantów

Wybrane przez sprawców modus operandi wyraźnie odróżnia ten atak od wcześniejszych, amatorskich prób dywersji, takich jak podpalenia realizowane przez osoby rekrutowane przez internet. Poniższa tabela przedstawia kluczowe, taktyczne decyzje sabotażystów i ich strategiczne uzasadnienie.

Decyzje taktyczne Analiza i uzasadnienie strategiczne
Wybór lokalizacji Umieszczenie ładunku na zakręcie toru i jednocześnie na nasypie kolejowym jest podręcznikowym przykładem planowania sabotażu. Taka lokalizacja jest szczególnie niebezpieczna, zwiększa potencjalne skutki, prowadzi do wykolejenia, zsunięcia się składu z nasypu i zwielokrotnienia skali katastrofy.
Wybór czasu Działanie między godziną 20:00 a 21:00 w sobotę pozwoliło uniknąć podejrzeń i wzmożonej uwagi, jaka mogłaby towarzyszyć operacji prowadzonej w środku nocy – wieczór to czas, w którym obecność ludzi w tej okolicy nie zaskakuje. Prognozowana mgła stanowiła dodatkowy czynnik maskujący dla przeprowadzenia tajnej operacji.
Użycie wielu ładunków Zastosowanie dwóch lub trzech ładunków w niewielkiej odległości od siebie miało na celu zapewnienie „zdecydowanego efektu”. Nawet jeśli pierwsze uszkodzenie nie spowodowałoby wykolejenia, kolejne miało to zagwarantować (lub zostały pozostawione celowo, aby mogły stanowić sygnał dla polskich służb odnośnie do możliwości dywersantów).
Mechanizm uszkodzenia szyny Aktualna hipoteza śledcza zakłada, że celem eksplozji nie było wyrwanie fragmentu szyny, lecz jej pęknięcie. Dalszą destrukcję miały spowodować siły generowane przez przejeżdżające pociągi, które stopniowo kruszyłyby i wyrywały kolejne fragmenty osłabionego metalu. Stwarzało to skrajnie niebezpieczną sytuację, w której każdy kolejny przejazd zwiększał ryzyko katastrofy.

Zastosowane środki techniczne

Podczas oględzin miejsca zdarzeniaz identyfikowano środki techniczne świadczące o wysokim stopniu zaawansowania operacji.

Materiał wybuchowy:

  • Użyto materiału wybuchowego typu wojskowego C4,
  • Jego kluczowe właściwości to bardzo wysoka stabilność, odpornością na wstrząsy i wodę, a także duża prędkość  detonacji, co czyni go skutecznym do przecinania i niszczenia twardych celów, takich jak tory kolejowe.
  • Plastyczność, ładunku pozwala na precyzyjne ukształtowanie ładunku w celu kierunkowania fali uderzeniowej i zmaksymalizowania uszkodzeń w konkretnym punkcie.

Urządzenie rejestrujące:

  • W pobliżu miejsca zdarzenia znaleziono kamerę, co zostało pośrednio potwierdzone przez ministra koordynatora służb specjalnych Tomasza Siemoniaka. Instalacja takiego urządzenia mogła służyć co najmniej dwóm celom: zarejestrowaniu materiałudo wodowego na potrzeby potwierdzenia wykonania zadania oraz analizie czasu i sposobu reakcji polskich służb na incydent.

Poziom zaawansowania technicznego i taktycznego ataku wywołał reakcję ze strony Polski na bezprecedensową skalę.

Pełna część raportu zawiera kolejne punkty:

3. Reakcja Państwa

4. Znaczenie Celu

5. Kontekst Hybrydowy i Analiza

  • Ewolucja Zagrożeń
  • Dezinformacja
  • Krytyka OPSEC

6. Wnioski i Dalsze Kroki

Chcesz je poznać, zrozumieć, jak działa nowa fala sabotażu, dlaczego wybrano właśnie ten cel i jakie wnioski wyciąga państwo z „największego śledztwa od czasów wojny”? Zapisz się do newslettera, żeby przeczytać pełen raport.

Zapisz się już teraz! 

Subskrybując newsletter Davidson Consulting, otrzymujesz merytoryczne analizy z zakresu zarządzania ryzykiem, ciągłości działania, cyberbezpieczeństwa i compliance (m.in. DORA, NIS2), a także informacje o naszych usługach i produktach, które pomogą Ci skutecznie wdrożyć prezentowane strategie.  

Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.
* - Pole obowiązkowe
Dziękujemy za zapisanie się do Forum Ekspertów Odporności Operacyjnej.
Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.

Najnowsze artykuły:

Mobilizacja pracowników a obowiązki firmy
Rosyjskie drony nad Polską: Poradnik - Co powinna zrobić firma po odebraniu ostrzeżenia?
Cła Trumpa i chaos
Miejsce na schron - nowe rozporządzenie
ENISA 2025: wyzwania i zalecenia dla UE

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

ENISA 2025: wyzwania i zalecenia dla UE

Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) opublikowała raport Threat Landscape 2025, przedstawiający przegląd ekosystemu cyberzagrożeń w Europie wokresie od lipca 2024 do czerwca 2025 roku.
Czytaj dalej
Raport

ENISA 2025: wyzwania i zalecenia dla UE

Cyberbezpieczeństwo
Geopolityka a biznes
Bezpieczeństwo łańcucha dostaw
ENISA, raport, cyberbezpieczeństwo, threats
Administracja publiczna
IT i technologia

Globalna awaria Azure Front Door

Analiza incydentu i wnioski dla sektora finansowego (i nie tylko)
Czytaj dalej
Case Study

Globalna awaria Azure Front Door

Cyberbezpieczeństwo
Zarządzanie kryzysowe
Bezpieczeństwo łańcucha dostaw
Incydenty
awaria Microsoft Azure, awaria Azure Front Door, globalna awaria Microsoft, Azure Front Door outage, Microsoft Azure outage, awaria usług Microsoft, niedostępność usług Microsoft, Azure AD, Entra ID, App Service, Azure SQL Database, Azure Portal, Xbox, Minecraft, chmura Microsoft, awaria chmury, błąd konfiguracji Azure, konfiguracja tenant, software defect, wada oprogramowania, błąd ludzki Microsoft, human error Azure, efekt kaskadowy, przeciążenie węzłów Azure, awaria DNS, Azure DNS outage, rollback Azure, last known good configuration, LKGC, Site Reliability Engineering, SRE, defense in depth, automatyzacja wdrożeń, błąd walidacji konfiguracji, błędna konfiguracja, kontrola konfiguracji Azure, edge case Azure, control plane, data plane, failure in validation, awaria globalna, Microsoft incident report, Post Incident Report, PIR Microsoft, YKYN-BWZ, resilience Azure, cloud resilience, odporność operacyjna, operational resilience, DORA, Digital Operational Resilience Act, regulacje DORA, zgodność z DORA, compliance DORA, KNF, Komisja Nadzoru Finansowego, nadzór finansowy, ryzyko koncentracji, third party risk, ryzyko dostawcy chmury, cloud risk management, vendor lock-in, multicloud, multi-cloud, multi-region, geodywersyfikacja, architektura odporna, cloud architecture, disaster recovery, DRP, business continuity, BCP, cloud outage analysis, audyt chmurowy, cloud audit, SOC 2, cloud governance, SLA, RTO, RPO, czas odtworzenia Azure, Microsoft downtime, outage recovery, chaos engineering, testy negatywne, automatyczny rollback, Canary Deployment, phased deployment, failover Azure, critical third party provider, CCP, ESAs, EBA, EIOPA, ESMA, nadzór nad dostawcami chmury, resilience banking, odporność banków, ryzyko chmurowe w sektorze finansowym, ryzyko technologiczne, ciągłość działania, cloud compliance, architektura wielochmurowa, cloud diversification, multivendor strategy, strategia multicloud, optymalizacja kosztów chmury, cloud cost optimization, cloud latency, Azure performance, globalna infrastruktura Microsoft, awarie AWS, porównanie Azure AWS, cloud dependency, single point of failure, SPOF, cloud reliability, cloud security, błędy operacyjne Microsoft, analiza incydentu Azure, raport Microsoft Azure, zarządzanie ryzykiem ICT, cloud risk, infrastruktura krytyczna, cloud incident response, audyt poawaryjny, analiza PIR, Microsoft transparency report, cloud service disruption, krytyczne usługi ICT, chmura publiczna, odporność regulacyjna, zgodność z regulacjami UE, dyrektywa DORA, bezpieczeństwo chmury, cloud compliance EU, KNF DORA wytyczne, architektura bankowa, infrastruktura finansowa, cloud resilience strategy, zarządzanie ciągłością działania, ryzyko operacyjne, ryzyko ICT, cyberbezpieczeństwo sektora finansowego.
IT i technologia
Bankowość i rynki finansowe
Firmy w Polsce

Ataki na bankomaty Santander w Poznaniu

Analiza odpowiedzialności, zwrotu środków i wyzwań bezpieczeństwa.
Czytaj dalej
Case Study

Ataki na bankomaty Santander w Poznaniu

Incydenty
Zgodność
atak Santander, Santander bankomaty, zwrot środków po nieautoryzowanej transakcji, odpowiedzialność banku za straty klientów, skimming bankomatowy, zabezpieczenia bankomatów Santander, skradzione pieniądze Santander bank, umowy między bankiem a operatorem bankomatów, dyrektywa PSD2 w ochronie konsumentów, silne uwierzytelnianie klienta (SCA), monitoring bankomatów i wykrywanie oszustw, postępowanie prokuratorskie w sprawie skimmingu, odzyskiwanie pieniędzy przez bank, procedury bezpieczeństwa banku Santander, edukacja klientów w zakresie cyberbezpieczeństwa, System Bezpieczeństwa Danych Przemysłu Kart Płatniczych (PCI DSS), skimmery i kamery na bankomatach, operatorzy bankomatów Euronet i ITCARD, ryzyko prawne banku przy atakach na bankomaty, audyty i testy penetracyjne w sektorze bankowym, współpraca banku z organami ścigania w sprawach cyberprzestępczości.
Bankowość i rynki finansowe

Jak przygotowywać testy planów lub procedur awaryjnych

Incydent w Erding wyraźnie nas uczy: nie możemy sobie pozwolić na „uczenie się na błędach" w obszarach, gdzie stawką jest życie ludzkie.
Czytaj dalej
Case Study

Jak przygotowywać testy planów lub procedur awaryjnych

Komunikacja kryzysowa
Ochrona ludności
Zarządzanie kryzysowe
testy planów awaryjnych, testowanie procedur awaryjnych, zarządzanie ciągłością działania, plan reagowania kryzysowego, zarządzanie kryzysowe, analiza incydentu bezpieczeństwa, analiza incydentu Erding, incydent w Erding, Bundeswehra, ćwiczenia wojskowe Erding, strzelanina podczas ćwiczeń, błędy komunikacji między wojskiem a policją, zarządzanie ryzykiem operacyjnym, ćwiczenia międzyresortowe, komunikacja kryzysowa, błędy w komunikacji między służbami, unified command, testowanie odporności organizacji, analiza FMEA, zarządzanie incydentami, bezpieczeństwo infrastruktury krytycznej, planowanie testów bezpieczeństwa, kultura bezpieczeństwa, lessons learned, testowanie systemów łączności, dobre praktyki testowania procedur, kryzys w Bawarii, systemowe błędy bezpieczeństwa, koordynacja służb, komunikacja międzyresortowa, zarządzanie incydentami w czasie rzeczywistym
Administracja publiczna
Podmioty ważne i kluczowe
Przejdź do wszystkich wpisów