- Według Marcina Dudka pierwsze symptomy ingerencji w system bezpieczeństwa w zaatakowanej w grudniu 2025 r. polskiej elektrociepłowni miały miejsce na wiele miesięcy przed faktycznym atakiem.
- Modele zabezpieczeń przy dużych źródłach energii są bardziej zaawansowane niż przy rozproszonych OZE.
- W Polsce nie doszło jak dotąd do blackoutu spowodowanego cyberatakiem, ale szef CERT Polska przestrzega przed nadmiernym spokojem w tej kwestii.
- Cyberbezpieczeństwo infrastruktury energetycznej będzie ważnym tematem Europejskiego Kongresu Gospodarczego w Katowicach (22-24 kwietnia). Trwa rejestracja na to wydarzenie.
System zadziałał i oddalił ryzyko blackoutu w Polsce
Na przełomie 2025 i 2026 r. doszło w Polsce do skoordynowanej próby cyberataku na elektrociepłownię objętą Krajowym systemem cyberbezpiezeństwa (KSC) oraz rozproszone źródła OZE. Atak został skutecznie odparty.
Zarówno minister energii Miłosz Motyka, jak i minister cyfryzacji Krzysztof Gawkowski podkreślali wówczas dużą i niespotykaną od lat skalę ingerencji, co podgrzało spekulacje, co do ryzyka wystąpienia w Polsce blackoutu.
W rozmowie z WNP Marcin Dudek, szef CERT Polska wskazuje, że elektrociepłownia miała wdrożone narzędzia bezpieczeństwa i własny zespół IT. Co więcej, systemy wykrywały podejrzane zdarzenia już w marcu i kwietniu 2025 r., czyli na długo przed właściwym incydentem. Wszystko zadziałało więc poprawnie.
Pojawiały się bardzo głośne alerty informujące o obecności intruza w sieci z najwyższymi uprawnieniami, których nie dało się przeoczyć, jeśli ktoś by spojrzał do tego systemu. Problem nie leżał więc w technologii, tylko w obsłudze: narzędzia same z siebie nic nie dają, jeśli nikt nie reaguje na sygnały, nie prowadzi obsługi incydentu i nie wyciąga wniosków. To zjawisko widzimy nagminnie, tj. organizacje inwestują w rozwiązania bezpieczeństwa, ale nie zapewniają właściwej reakcji po stronie ludzi - mówi WNP Dudek.
Jak trudno jest zaatakować system energetyczny?
Kilkanaście dni po upublicznieniu informacji o cyberataku na polską energetykę, prezes Polskich Sieci Elektroenergetycznych (PSE) Grzegorz Onichimowski zapewnił, że do wieszczonego przez niektóre media blackoutu było daleko.
Gdyby tak łatwo było wyłączyć system energetycznym przy użyciu narzędzi cyber, to pewnie albo Ukrainie udałoby się to z Rosją, albo Rosji z Ukrainą. Nie udało się ani jednym, ani drugim - powiedział wówczas w rozmowie z WNP Onichimowski.
Marcin Dudek uważa jednak, że rzeczywistość obrony przed cyberatakami w infrastrukturze krytycznej jest bardziej złożona - czego można było doświadczyć na wspomnianej przez szefa PSE Ukrainie.
- Mamy przykłady, że całe regiony były okresowo odłączane od zasilania - stwierdził Dudek, dodając, że obecnie na Ukrainie regularnie wykrywa się próby ataków na stacje elektroenergetyczne i obiekty wytwarzające energię, ale wiele z nich jest blokowanych, zanim doprowadzą do realnych skutków.
- Wynika to z tego, że dla obu stron jest to oczywisty kierunek ataku i po stronie obrońców jest już tego świadomość. Dodatkowo w przypadku większych obiektów dotarcie przez atakującego do warstwy sterowania w sposób niezauważony jest dużym wyzwaniem - uważa ekspert.
Co zrobić, by poprawić bezpieczeństwo?
Jakie możliwości mają więc operatorzy infrastruktury energetycznej by jeszcze skuteczniej bronić się przed cyberatakami? Według szefa CERT Polska, kluczową rolę odgrywa architektura techniczna.
- Sieć OT, czyli przemysłowa sieć sterowania, jest zazwyczaj w osobnym segmencie, nie jest bezpośrednio eksponowana do internetu i chronią ją kolejne warstwy sieciowe. Droga do urządzeń, które faktycznie decydują o tym, czy prąd "płynie czy nie", jest długa i wymagająca dla atakującego - mówi Dudek. - W dużych elektrowniach, zwłaszcza stanowiących infrastrukturę krytyczną, ta architektura i model zabezpieczeń są znacznie dojrzalsze, więc atak taki jak na niewielkie obiekty OZE raczej by się tam - w tej samej formie - nie powiódł. To jednak nie oznacza, że takie ataki są technicznie niemożliwe, bo są. Po prostu ich przeprowadzenie jest dużo trudniejsze - dodaje.
Inaczej, zdaniem Marcina Dudka, wygląda sytuacja źródeł odnawialnych. Sektor OZE jest bowiem bardzo rozproszony i oparty na wielu małych instalacjach, często należących do prywatnych firm, które nie mają żadnych formalnych wymogów w zakresie cyberbezpieczeństwa i nierzadko nie inwestują w ochronę.
- To powoduje, że właśnie OZE, zarówno zawodowe, jak i konsumenckie, stanowi tzw. miękkie podbrzusze systemu energetycznego. Tego typu obiekty są po prostu łatwiejszym celem niż duże, dobrze chronione elektrownie węglowe czy gazowe - ocenia szef CERT Polska. - Nie ma jednego, uniwersalnego systemu, który byłby "podatnym miejscem" w całej energetyce. W przypadku dużych obiektów najbardziej wrażliwa jest sieć OT, głęboko ukryta wewnątrz infrastruktury. W przypadku OZE to w zasadzie suma wielu małych, słabo zabezpieczonych instalacji - dodaje.
W Polsce nie doszło jak dotąd do blackoutu spowodowanego cyberatakiem.
Nie oznacza to jednak, że taki scenariusz jest niemożliwy, bo gdyby udało się przejąć wystarczającą liczbę obiektów, efekty mogłyby być bardzo poważne. Dlatego absolutnie nie można bagatelizować cyberzagrożeń w energetyce, ani sprowadzać ich do prostego stwierdzenia, że "nie da się tego zrobić" - ostrzega Dudek.
Bezpieczeństwo infrastruktury wytwarzania, przesyłu i dystrybucji energii oraz podatność na kryzysy i agresję będzie tematem panelu dyskusyjnego Cyberzagrożenia - infrastruktura krytyczna oraz Energetyczna infrastruktura krytyczna podczas XVIII Europejskiego Kongresu Gospodarczego w Katowicach. Rejestracja na to wydarzenie wciąż trwa.
