Polska cyberprzestrzeń była celem serii skoordynowanych ataków, pochodzących z jednego źródła – wynika z „Raportu z incydentu w sektorze energii 29.12” działającego w ramach NASK CERT Polska. Atakujący uderzyli w sektor energetyczny. Zdarzenia objęły m.in. instalacje odnawialnych źródeł energii oraz infrastrukturę elektrociepłowniczą. Istniało realne ryzyko przerwania ciągłości dostaw ciepła dla pół miliona odbiorców.
Skoordynowany cyberatak na infrastrukturę energetyczną
Pod koniec grudnia 2025 roku doszło do serii skoordynowanych ataków w polskiej cyberprzestrzeni. Działania wymierzone były w liczne farmy wiatrowe i fotowoltaiczne, spółkę z sektora produkcyjnego oraz w elektrociepłownię dostarczającą ciepło dla prawie pół miliona odbiorców w Polsce. Grudniowe ataki można porównać do celowych podpaleń. Zawarta w raporcie dokładna analiza przeprowadzona po incydentach pozwala pokazać schemat działania atakujących oraz wykorzystane przez nich narzędzia.
Cel tego ataku był wyłącznie destrukcyjny. Niskie temperatury, intensywne opady śniegu – to był z perspektywy atakujących idealny moment, by działać. Zasiać niepokój i strach, odcinając Polaków od źródeł ciepła – podkreśla wicepremier, minister cyfryzacji Krzysztof Gawkowski.
Zaatakowano co najmniej 30 polskich farm wiatrowych i fotowoltaicznych. Spowodowało to zerwanie komunikacji między obiektami a operatorami sieci dystrybucyjnej. Choć nie doszło do przestoju produkcji energii elektrycznej, to istniało takie ryzyko – strona atakująca skutecznie złamała kilka poziomów zabezpieczeń. Należy podkreślić, że nawet, gdyby atak zakończył się powodzeniem, to taki scenariusz nie miałby wpływu na stabilność polskiego systemu elektroenergetycznego. Opublikowany przez CERT Polska raport pokazuje jednak skalę ataku.
Skoordynowana współpraca wielu polskich instytucji, w tym CERT Polska, przy badaniu tego incydentu, a także jakość opublikowanego dziś raportu, to dowód polskich kompetencji w obszarze cyberbezpieczeństwa – dodaje wicepremier Krzysztof Gawkowski.
Polecamy temat: CBŚP podsumowało działania w roku 2025 >>
Celem grudniowego ataku była również jedna z polskich elektrociepłowni. Agresor usiłował dokonać sabotażu, który miał nieodwracalnie uszkodzić dane w ramach sieci wewnętrznej. Atakujący przez długi czas infiltrowali infrastrukturę elektrociepłowni i wykradali wrażliwe informacje dotyczące jej działania. Ostatecznie udało im się uzyskać dostęp do systemów podmiotu, jednak atak został zatrzymany przez systemy bezpieczeństwa organizacji.
Zidentyfikowane działania pokazują, że ataki na infrastrukturę krytyczną stają się coraz bardziej złożone i niebezpieczne. Taki charakter incydentów wymaga stałego monitorowania zagrożeń, podnoszenia poziomu zabezpieczeń i szybkiej wymiany informacji pomiędzy podmiotami odpowiedzialnymi za cyberbezpieczeństwo – mówi Iwona Prószyńska z CERT Polska.
Na podstawie analizy technicznej można stwierdzić, że wszystkie opisane w raporcie ataki zostały przeprowadzone przez tego samego atakującego.
Cały „Raporcie z incydentu w sektorze energii 29.12” znajduje się na stronieCERT Polska.
Źródło informacji: NASK
