Eksperci CISO Poland, Stormshield i DAGMA Bezpieczeństwo komentują roczny raport CERT Polska nt. cyberzagrożeń wskazując 5 kluczowych aspektów

W minionych miesiącach cyberprzestępcy atakowali podmioty działające w kluczowych dla ciągłości funkcjonowania państwa obszarach m.in. energetyce, ciepłownictwie i sektorze wodno-kanalizacyjnym. W ciepłowni w Rucianem Nida wyłączyli jeden z dwóch pieców tamtejszej kotłowni, a w przedsiębiorstwach wodociągowych byli w stanie manipulować parametrami sieci.

Intensyfikacja działań grup hakerskich, także sponsorowanych przez państwa, każe postawić pytanie o stan zabezpieczeń elementów infrastruktury krytycznej. Tym bardziej zasadne, że wyszukiwanie podatności w polskim cyfrowym ekosystemie nie kończy się na energetyce i wodociągach, a technologia operacyjna pozostaje istotnym elementem ryzyka w znacznie szerszym wymiarze.

W oparciu o nią funkcjonuje cały sektor przemysłowo-produkcyjny odpowiadający za ok. 20 proc. polskiego PKB. Czy polskie przedsiębiorstwa są gotowe na wyzwania współczesności?

– W wielu podmiotach – szczególnie w sektorze wod-kan i ciepłownictwie – nadal funkcjonują systemy projektowane kilkanaście czy kilkadziesiąt lat temu, które zostały podłączone do sieci szybciej, niż zbudowano wokół nich adekwatne mechanizmy ochrony. Tam, gdzie wdrożono monitoring, segmentację i procedury reagowania, ataki udało się wykryć i powstrzymać. Największe ryzyko dotyczy organizacji, które wciąż działają reaktywnie, zamiast systemowo zarządzać cyberzagrożeniami. – Piotr Combik, CISO Poland.

– Niestety, w mojej ocenie, na dziś polskie OT jest tykającą bombą, której detonator pozostaje w rękach przestępców. Potwierdzeniem braków w zabezpieczeniach jest choćby skuteczny atak na infrastrukturę krytyczną, opisany w raporcie CERT Polska z 30 stycznia 2026 roku. Świadczy o tym również tworzenie celowych programów, obejmujących dofinansowanie zabezpieczeń specyficznych obszarów technologii operacyjnych. Właśnie rozstrzygnięto program dla sektora wodociągowego, a minister Gawkowski zapowiedział wsparcie dla firm energetycznych. Takie programy nie powstają bez potrzeby. – Piotr Zielaskiewicz, DAGMA Bezpieczeństwo IT.

– Rosnąca na poziomie państwa świadomość ryzyk wynikających z cyberprzestępczości kaskadowo przekłada się na wzrost świadomości zarządów przedsiębiorstw, które, jednakże wciąż nie są systemowo przygotowane na skalę współczesnych wyzwań i tempo z jakim się one zmieniają. Przy czym problemem nie jest brak dostępu do technologii. W warunkach rosnącej konwergencji IT/OT kluczowe stają się inwentaryzacja zasobów, segmentacja i stały monitoring oraz automatyzacja reakcji. Niestety, z tym wciąż mamy problem, a istotną barierą pozostaje również niedobór specjalistów łączących kompetencje IT i automatyki. – Aleksander Kostuch, Stormshield.

Co więcej eksperci CISO Poland, DAGMA Bezpieczeństwo i Stormshield dzielą się wnioskami, jakie z niedawnych cyberataków na polską energetykę mogą wyciągnąć dla siebie firmy z innych branż.

Nie wszystkie ataki udało się powstrzymać

Systemy, urządzenia i technologie służące do monitorowania, sterowania i automatyzacji procesów fizycznych, które komunikują się przez Internet odgrywają istotną rolę w sprawnym zarządzaniu funkcjonowaniem przedsiębiorstw. Jednak za sprawą cyfryzacji pojawia się ryzyko, związane z możliwością wystąpienia incydentu bezpieczeństwa IT. Takiego jak grudniowy atak na polski system energetyczny, który mógł wywołać blakcout o ogromnej skali.

W ostatnich miesiącach podobne incydenty miały miejsce również w przedsiębiorstwach ciepłowniczych czy wodociągowych. W ciepłowni w Rucianem Nida przestępcy wyłączyli jeden z dwóch pieców kotłowni. W pełni bezpieczna nie może czuć się również branża wod-kan. Tolkmicko, Małdyty, Sierakowo, Wydminy, Szczytno, a także Rzeszów i nie wymienione z nazwy inne duże polskie miasto. W tych lokalizacjach na przestrzeni ostatnich kilkunastu miesięcy mieliśmy do czynienia z próbami przejęcia dostępu do paneli SCADA/SUW zakładów wodociągowych i kanalizacyjnych. Efektem działań były, na szczęście nieudane, próby manipulacji parametrami np. stężeniem chloru, obrotami pomp czy temperaturami.

Powyższe przykłady pokazują z jednej strony, że dobrze przygotowana na ryzyko organizacja da odpór atakom, a w konsekwencji obsługiwani przez nią mieszkańcy są bezpieczniejsi. Z drugiej, skuteczne przełamanie zabezpieczeń ciepłowni w Rucianem-Nida każe postawić pytanie, czy bezpieczeństwo infrastruktury krytycznej jest na maksymalnym poziomie. A to co łączy przedsiębiorstwa energetyczne, wodno-kanalizacyjne, a także tysiące działających w innych branżach jest wykorzystanie przez nie technologii operacyjnej do obsługi kluczowych procesów i związane z tym ryzyko. OT wykorzystywana jest wszędzie tam, gdzie mamy do czynienia choćby z produkcją przemysłową, którą przecież nasza gospodarka stoi.

– Nie ma wątpliwości, że wydatki ponoszone przez wrogie nam państwa na wyszukiwanie podatności w polskim cyfrowym ekosystemie nie kończą się na energetyce, a obszar zainteresowań właściwie jest nieograniczony. Potwierdzają to statystyki, gdyż praktycznie każdy branżowy raport określa odsetek przedsiębiorstw lub instytucji, w których miał miejsc incydent naruszenia bezpieczeństwa na bardzo wysokim poziomie, rzędu grubo powyżej 50 proc. – podkreśla Piotr Zielaskiewicz z DAGMA Bezpieczeństwo IT.

Jakie wnioski mogą wyciągnąć dla siebie firmy z niedawnych cyberataków na energetykę?

Dobre przygotowanie podmiotów sektora energetycznego zaatakowanych pod koniec roku, na wyzwania związane z cyberprzestępczością pozwoliły nam uniknąć poważnego paraliżu. Bo blackout, który objąłby kilkaset tysięcy odbiorców przyniósłby właśnie takie skutki. I podobnych można się spodziewać, gdyby cyberatak spowodował brak dostępności ciepła lub problemy z normalnym funkcjonowaniem zakładów pracy. Taki scenariusz w praktyce zrealizował się w 2015 roku w Ukrainie.

Kluczowe aspekty, na jakie powinni zwrócić uwagę zarządzający przedsiębiorstwami komunalnymi:

• Inwentaryzacja i właścicielstwo OT. Kto odpowiada za zasoby OT, ich stan, aktualność dokumentacji i model dostępu. Bez jasnego właścicielstwa firma zarządza wycinkami, a nie ryzykiem.
• Separacja i segmentacja IT i OT jako standard. Fizyczna i logiczna separacja sieci IT i OT oraz segmentacja środowiska ograniczają skutki incydentu i utrudniają poruszanie się intruza. Z perspektywy firm produkcyjnych ważnym wsparciem może być stosowanie rozwiązań potrafiących rozpoznawać protokoły przemysłowe DPI.
• Zdalny dostęp pod pełną kontrolą. Dostęp serwisowy i administracyjny wymaga restrykcyjnych zasad. Chodzi o silną autoryzację, polityki kont uprzywilejowanych i pełny audyt działań, ponieważ to zwykle jeden z najbardziej wrażliwych punktów. Najwyższym poziomem zabezpieczeń jest sprawdzanie stanu stacji roboczych z użyciem ZTNA i wykorzystywanie jednorazowych haseł OTP.
• Ochrona przed wykorzystywaniem podatności. OT często nie toleruje przestojów, dlatego aktualizacje wymagają planowania, w tym okien serwisowych, testów i scenariuszy awaryjnych. Nie zmienia to faktu, że brak aktualizacji nie może być domyślną strategią.
• Łańcuch dostaw i partnerzy. Weryfikacja dostawców pod kątem dostosowania do standardów EAL4+, ISA/IEC 62443 a także dbałość o bezpieczne aktualizacje. W tym obszarze można korzystać ze wsparcia technicznego polskich firm – wytwórców technologii i przedstawicieli producentów zagranicznych. W kontekście geopolitycznej niepewności wskazana jest ich dywersyfikacja, w tym w oparciu o europejskie technologie.