Cyfrowe podpalenie : atak na polską energetykę

Pod koniec 2025 roku, w okresie niskich temperatur i zamieci śnieżnych ¹, polska infrastruktura krytyczna stanęła w obliczu bezprecedensowego zagrożenia. 29 grudnia doszło do serii skoordynowanych cyberataków ², których celem nie była kradzież danych ani okup, lecz czysta destrukcja ³. Atakujący wzięli na celownik kluczowe elementy systemu energetycznego: od farm wiatrowych i fotowoltaicznych, po dużą elektrociepłownię zaopatrującą setki tysięcy Polaków ⁴.

CERT Polska opublikował szczegółowy raport techniczny, który pozwala zrekonstruować przebieg tych zdarzeń. Prześledzono go, by odpowiedzieć na kluczowe pytania: jak wyglądał atak, jakie były jego skutki i jakie lekcje płyną z niego dla całego polskiego sektora przemysłowego i infrastruktury krytycznej.

Najważniejsze liczby

Skala incydentu z 29 grudnia 2025 roku była znacząca i dotknęła wiele podmiotów jednocześnie. Na podstawie publicznych raportów identyfikujemy następujące cele:

• Co najmniej 30 farm wiatrowych i fotowoltaicznych ⁴.
• Jedna duża elektrociepłownia, która dostarcza ciepło dla blisko pół miliona odbiorców w Polsce ⁵.
• Jedna prywatna spółka z sektora produkcyjnego ⁴.

Metodologia

Metodyka. Niniejsza analiza opiera się w całości na publicznie dostępnych informacjach, przede wszystkim na raporcie technicznym opublikowanym przez zespół CERT Polska ², a także na komunikatach prasowych NASK ⁶. Nie posiadamy dostępu do danych niejawnych ani telemetrii z zaatakowanych podmiotów. Naszym celem jest synteza i kontekstualizacja publicznie znanych faktów, by stworzyć spójny obraz zagrożenia.

Sekcje analityczne

Scenariusz 1: Atak w sercu zimy

Data ataku nie była przypadkowa. Operatorzy wybrali 29 grudnia ², okres międzyświąteczny, charakteryzujący się często zmniejszoną obsadą w zespołach bezpieczeństwa i IT. Co więcej, w tym czasie Polska zmagała się z trudnymi warunkami atmosferycznymi, w tym niskimi temperaturami i zamieciami śnieżnymi ¹. Atak na infrastrukturę energetyczną w takim momencie maksymalizuje potencjalne szkody społeczne i gospodarcze. Uderzenie w elektrociepłownię mogło doprowadzić do przerw w dostawach ciepła dla prawie pół miliona odbiorców ⁵, co w warunkach zimowych stanowi bezpośrednie zagrożenie dla zdrowia i życia.

Skoordynowany charakter działań wskazuje na staranne planowanie i przygotowanie operacji. To nie był przypadkowy, pojedynczy incydent, lecz zorganizowana kampania wymierzona w fundamenty bezpieczeństwa energetycznego kraju.

Scenariusz 2: Cel – czysta destrukcja

Analiza CERT Polska jednoznacznie wskazuje, że ataki miały charakter wyłącznie destrukcyjny ³. Nie zaobserwowano prób kradzieży danych, szyfrowania systemów w celu wymuszenia okupu (ransomware) ani instalacji oprogramowania szpiegującego. Celem było uszkodzenie lub zniszczenie systemów sterowania i utrudnienie nadzoru nad procesami przemysłowymi ³.

CERT Polska używa mocnej analogii, porównując te działania do „celowych podpaleń” w świecie fizycznym ³. To trafne określenie, ponieważ intencją atakujących było wywołanie chaosu i fizycznej szkody za pomocą narzędzi cyfrowych. Taki model działania, określany jako „wiper” (od ang. wipe – wycierać), jest charakterystyczny dla operacji o podłożu państwowym lub grup motywowanych ideologicznie, gdzie celem jest sabotaż, a nie zysk finansowy.

Scenariusz 3: Uderzenie w IT i OT

Jednym z najrzadziej spotykanych i jednocześnie najbardziej niepokojących aspektów tej kampanii był jej zasięg, obejmujący zarówno systemy informatyczne (IT), jak i technologię operacyjną (OT — Operational Technology) ⁷. Ataki na świat IT (serwery, stacje robocze, sieci biurowe) są codziennością. Jednak skuteczne uderzenie w systemy OT, czyli oprogramowanie i sprzęt bezpośrednio kontrolujący procesy fizyczne (np. turbiny wiatrowe, zawory w elektrociepłowni), to incydent o znacznie wyższej wadze.

Przełamanie bariery między IT a OT jest świętym Graalem dla grup prowadzących działania sabotażowe. W przypadku farm odnawialnych źródeł energii (OZE) atakującym udało się zerwać komunikację między obiektami a operatorami sieci dystrybucyjnej ⁸. Oznacza to, że operatorzy stracili zdalny nadzór i możliwość sterowania produkcją energii. Chociaż w tym konkretnym przypadku nie doprowadziło to do przerwania produkcji ⁸, stworzyło ogromne ryzyko i zmusiło do interwencji w trybie awaryjnym.

Scenariusz 4: Obrona, która (częściowo) zadziałała

Pomimo zaawansowania i skali ataku, jego ostateczne skutki zostały w dużej mierze ograniczone. W przypadku farm OZE, mimo utraty komunikacji, produkcja energii była kontynuowana ⁸. To sugeruje, że systemy posiadały tryb autonomicznej pracy, który zadziałał w sytuacji awaryjnej.

Kluczowy moment nastąpił jednak w zaatakowanej elektrociepłowni. Atakujący dążyli do przerwania dostaw ciepła, co w środku zimy mogłoby być katastrofalne w skutkach ⁹. Ten cel nie został osiągnięty ⁹. Według jednego ze źródeł, próba aktywacji złośliwego oprogramowania została zablokowana przez wdrożone w firmie rozwiązania klasy EDR (Endpoint Detection and Response — systemy wykrywania i reagowania na punktach końcowych) ¹⁰. To pokazuje, jak kluczową rolę w obronie przed zaawansowanymi zagrożeniami odgrywa nowoczesny, proaktywny monitoring endpointów i serwerów, zdolny do wykrywania anomalii w czasie rzeczywistym.

Implikacje dla polskiego biznesu

Incydent z 29 grudnia 2025 roku to sygnał alarmowy dla całej polskiej gospodarki, nie tylko dla sektora energetycznego. Atak na styku światów IT i OT pokazuje, że cyfrowe zagrożenia mogą mieć bardzo realne, fizyczne konsekwencje. Każda firma produkcyjna, logistyczna czy użyteczności publicznej, która wykorzystuje systemy sterowania przemysłowego (SCADA, ICS), powinna traktować ten scenariusz jako realne zagrożenie.

Konwergencja IT/OT oznacza, że droga do najbardziej strzeżonych systemów przemysłowych może prowadzić przez pozornie nieistotny, słabo zabezpieczony laptop w sieci biurowej. Segmentacja sieci, monitorowanie i plany reagowania na incydenty muszą uwzględniać ten wektor.

Co więcej, udana obrona elektrociepłowni dzięki systemom EDR ¹⁰ jest twardym dowodem na to, że inwestycje w nowoczesne technologie bezpieczeństwa mogą przynosić wymierne rezultaty. Pasywna ochrona oparta na antywirusach sygnaturowych może być niewystarczająca wobec zagrożeń tej klasy.

Rekomendacje

Na podstawie analizy grudniowych wydarzeń, formułujemy następujące rekomendacje dla różnych ról w organizacji.

Dla CISO / Zarządu

1. Zweryfikuj mapę ryzyka: Upewnij się, że scenariusze ataków destrukcyjnych (wiper) i ataków na systemy OT są uwzględnione w analizie ryzyka i mają przypisany odpowiednio wysoki priorytet.
2. Inwestuj w widoczność: Przeanalizuj inwestycje w narzędzia klasy EDR/XDR. Incydent w elektrociepłowni pokazał, że to one mogą być ostatnią linią obrony.
3. Testuj plany ciągłości działania (BCP): Przeprowadź ćwiczenia symulujące utratę systemów IT i OT. Czy Twoja organizacja jest w stanie funkcjonować w trybie awaryjnym, manualnym? Jak szybko można przywrócić działanie z kopii zapasowych?

Dla zespołu SOC / IT Security

1. Wzmocnij segmentację sieci: Dokonaj przeglądu połączeń między sieciami IT i OT. Każdy punkt styku musi być ściśle monitorowany i ograniczony do absolutnego minimum.
2. Wdróż monitoring OT: Rozważ wdrożenie specjalizowanych narzędzi do monitorowania ruchu w sieciach przemysłowych, które potrafią wykrywać anomalie w protokołach takich jak Modbus czy S7.
3. Przygotuj playbooki na ataki destrukcyjne: Opracuj procedury reagowania specyficzne dla ataków typu wiper. Kluczowe kroki to szybka izolacja zainfekowanych segmentów i weryfikacja integralności kopii zapasowych.

Dla operatorów infrastruktury krytycznej

1. Zgłaszaj incydenty do CSIRT NASK: Każdy, nawet najmniejszy incydent bezpieczeństwa, powinien być zgłaszany do krajowego zespołu reagowania. Agregacja danych z wielu podmiotów pozwala na wczesne wykrywanie skoordynowanych kampanii.
2. Współpracuj w ramach sektorowych ISAC: Dzielenie się informacjami o zagrożeniach (IoC, TTP) z innymi firmami w branży jest kluczowe dla budowania odporności całego sektora.

Co zostawiamy nierozstrzygnięte

Publiczne raporty, choć szczegółowe, nie odpowiadają na wszystkie pytania. Kwestie, które pozostają otwarte, to:

• Wektor początkowego dostępu: W jaki sposób atakujący uzyskali pierwszy dostęp do sieci zaatakowanych firm? Czy był to phishing, wykorzystanie luki w oprogramowaniu, czy skompromitowany dostawca?
• Atrybucja: CERT Polska wskazał, że infrastruktura wykorzystana w ataku pokrywa się ze znanymi klastrami zagrożeń — w tym z grupą śledzoną przez Microsoft jako Ghost Blizzard. To pierwsza publicznie przypisana tej grupie operacja o charakterze destrukcyjnym. Otwarte pozostaje, jaki aktor państwowy stoi za tą grupą oraz jakie były pełne cele strategiczne kampanii.
• Pełna skala szkód: Jaki był koszt finansowy przywrócenia systemów do pełnej sprawności? Ile czasu zajęło odzyskanie pełnego nadzoru nad farmami OZE?

Źródła

Zobacz też

• Wycieki danych w polskich firmach 2026 [RAPORT]. Największe wpadki i kary UODO
• Anatomia ataku Fake CAPTCHA na polską firmę
• Koszt wycieku danych w polskiej firmie 2026 — raport redakcji

Footnotes

1. Ataki miały miejsce w okresie niskich temperatur i zamieci śnieżnych w Polsce, tuż przed Nowym Rokiem. — https://cert.pl/posts/2026/01/raport-incydent-sektor-energii-2025/ ↩ ↩²

2. 29 grudnia 2025 roku doszło do skoordynowanych ataków w polskiej cyberprzestrzeni. — https://cert.pl/posts/2026/01/raport-incydent-sektor-energii-2025/ ↩ ↩² ↩³

3. Wszystkie ataki miały cel wyłącznie destrukcyjny, porównywalny do celowych podpaleń. — https://cert.pl/posts/2026/01/raport-incydent-sektor-energii-2025/ ↩ ↩² ↩³ ↩⁴

4. Ataki były wymierzone w co najmniej 30 farm wiatrowych i fotowoltaicznych, spółkę prywatną z sektora produkcyjnego oraz dużą elektrociepłownię w Polsce. — https://cert.pl/posts/2026/01/raport-incydent-sektor-energii-2025/ ↩ ↩² ↩³

5. Jednym z celów ataku była duża elektrociepłownia dostarczająca ciepło dla blisko pół miliona odbiorców w Polsce. — https://cert.pl/posts/2026/01/raport-incydent-sektor-energii-2025/ ↩ ↩²

6. NASK opublikował komunikat prasowy dotyczący raportu technicznego CERT Polska o ataku na sektor energetyczny. — https://www.nask.pl/aktualnosci/atak-na-sektor-energetyczny-cert-polska-opublikowal-raport-techniczny ↩

7. Zdarzenia miały wpływ zarówno na systemy informatyczne (IT), jak i na fizyczne urządzenia przemysłowe (OT), co jest rzadko spotykane. — https://cert.pl/posts/2026/01/raport-incydent-sektor-energii-2025/ ↩

8. Ataki na farmy odnawialnych źródeł energii (OZE) spowodowały zerwanie komunikacji między nimi a operatorami sieci dystrybucyjnej, ale nie wpłynęły na bieżącą produkcję energii elektrycznej. — https://cert.pl/posts/2026/01/raport-incydent-sektor-energii-2025/ ↩ ↩² ↩³

9. Atak na elektrociepłownię nie spowodował przerw w dostawie ciepła dla odbiorców końcowych. — https://cert.pl/posts/2026/01/raport-incydent-sektor-energii-2025/ ↩ ↩²

10. W zaatakowanej elektrociepłowni próba uruchomienia złośliwego oprogramowania została zablokowana przez wdrożone w podmiocie oprogramowanie klasy EDR. — https://cert.pl/posts/2026/01/raport-incydent-sektor-energii-2025/ ↩ ↩²