Cyberatak na polską sieć elektroenergetyczną: ok. 30 obiektów DER z naruszoną łącznością i automatyką (grudzień 2025) - Security Bez Tabu

Cyberatak na polską sieć elektroenergetyczną: ok. 30 obiektów DER z naruszoną łącznością i automatyką (grudzień 2025)

Wprowadzenie do problemu / definicja luki

Pod koniec 2025 r. doszło do skoordynowanego cyberataku wymierzonego w polską infrastrukturę energetyczną – konkretnie w rozproszone źródła energii (DER), takie jak farmy wiatrowe, instalacje PV oraz obiekty kogeneracyjne (CHP). W przeciwieństwie do klasycznych incydentów „IT-only”, tutaj celem były elementy OT (Operational Technology), czyli systemy sterowania, telemetrii i łączności używane do nadzoru oraz zdalnego zarządzania pracą instalacji.

Kluczowy aspekt: mimo że nie doszło do przerw w dostawach prądu, atakujący mieli uzyskać dostęp do krytycznych komponentów sterowania i łączności w około 30 lokalizacjach, a część urządzeń została unieruchomiona „ponad możliwość naprawy”.

W skrócie

  • Atak miał miejsce 29 grudnia 2025 (wątek ataków 29–30 grudnia pojawia się też w komunikacie rządowym).
  • Dotknięte były systemy komunikacji i sterowania w obiektach DER (CHP + OZE), ok. 30 lokalizacji.
  • Rząd RP informował o skutecznej obronie i braku blackout’u; jednocześnie wskazywał na możliwe powiązania sprawców z Rosją.
  • Dragos ocenia z umiarkowaną pewnością udział grupy śledzonej jako ELECTRUM i podkreśla, że to pierwszy tak skoordynowany atak „na skalę” na DER.
  • Według opisu incydentu naruszono OT i uszkodzono kluczowe urządzenia, choć generacja i transmisja energii nie została przerwana.

Kontekst / historia / powiązania

W ostatnich latach energetyka szybko się „rozprasza”: zamiast kilku dużych, silnie regulowanych i segmentowanych obiektów, rośnie liczba małych i średnich instalacji podłączonych do sieci, często z szerokim dostępem zdalnym dla utrzymania i integracji z systemami dyspozytorskimi.

Dragos zwraca uwagę, że historycznie ataki na infrastrukturę elektroenergetyczną częściej koncentrowały się na scentralizowanych elementach (np. centra dystrybucyjne), natomiast w Polsce zaatakowano „krawędź” systemu – wiele mniejszych punktów poprzez powtarzalne wzorce łączności i konfiguracje.

Analiza techniczna / szczegóły incydentu

Z publicznych opisów wynika, że atakujący skupili się na warstwie, która spina DER z operatorami i systemami nadrzędnymi:

  1. RTU (Remote Terminal Units) i infrastruktura łączności
    RTU to urządzenia pośredniczące: zbierają telemetrię, umożliwiają sterowanie i często „tłumaczą” protokoły przemysłowe. W tym incydencie RTU miały zostać celowo unieruchomione i w części przypadków „zbrickowane” (niezdolne do przywrócenia).
  2. Dostęp operacyjny do OT na wielu obiektach równocześnie
    Skoordynowanie (wiele lokalizacji w krótkim czasie) jest tu najgroźniejsze: pokazuje nie tylko wejście w pojedynczy obiekt, ale możliwość „powielania” włamania w środowiskach o podobnej architekturze.
  3. Brak blackout’u ≠ brak szkód
    Atak nie musiał natychmiast wywołać wyłączeń. Samo odcięcie telemetrii i kanałów zdalnego sterowania ogranicza widoczność operatorów i utrudnia reagowanie, a przy sprzyjających warunkach (np. szczyt zimowy) może być elementem scenariusza eskalacyjnego.

Warto też odnotować, że w obiegu medialnym pojawiają się rozbieżności co do szczegółów wpływu na system: jedne opracowania podkreślają naruszenie i szkody sprzętowe, inne akcentują brak konsekwencji dla ciągłości dostaw. Ten rozdźwięk jest typowy dla incydentów OT, gdzie „operacyjny skutek” zależy od konfiguracji obiektów, redundancji i trybów pracy awaryjnej.

Praktyczne konsekwencje / ryzyko

Najważniejsza lekcja z perspektywy bezpieczeństwa energetyki brzmi: atak na DER jest sposobem na obejście „twardszego rdzenia” sieci.

Ryzyka, które ten incydent unaocznia:

  • Ryzyko skumulowane: pojedynczy obiekt DER ma ograniczony wpływ, ale 30 obiektów naraz może już zmieniać bilans mocy/sterowalności w regionach.
  • Utrata obserwowalności: brak telemetrii i zdalnego sterowania wydłuża czas wykrycia i reakcję (MTTD/MTTR) oraz utrudnia bezpieczne przełączenia.
  • Potencjał do działań destrukcyjnych: unieruchomienie urządzeń (RTU) to nie tylko incydent „cyfrowy”, ale koszt, czas i ryzyko operacyjne związane z odtworzeniem sterowania w terenie.
  • Aspekt geopolityczny i presja czasu: rząd RP wprost wskazywał na prawdopodobne związki sprawców z rosyjskimi służbami i zapowiadał wzmocnienie wymagań dla IT/OT.

Rekomendacje operacyjne / co zrobić teraz

Poniżej checklista „największy efekt za najszybszą pracę” dla operatorów DER, integratorów i podmiotów utrzymania ruchu (z podziałem IT/OT, ale wdrażana wspólnie):

1) Ogranicz powierzchnię zdalnego dostępu

  • Inwentaryzacja wszystkich ścieżek zdalnych (VPN, bramy serwisowe, zdalne pulpity, chmura SCADA/EMS).
  • MFA wszędzie, ale szczególnie dla kont serwisowych i dostawców.
  • Zasada: remote-by-need, nie remote-by-default.

2) Twarda segmentacja i „strefy”

  • Segmenty: IT / DMZ / OT / strefy urządzeń (RTU/PLC/IED).
  • Jednokierunkowe przepływy tam, gdzie możliwe (telemetria do góry, sterowanie wyłącznie z autoryzowanych stacji).

3) Ochrona RTU i urządzeń komunikacyjnych

  • Backup konfiguracji RTU, obrazów/firmware (jeśli dostawca umożliwia) + procedura szybkiej wymiany.
  • Kontrola integralności (baseline konfiguracji), ograniczenie możliwości zdalnego przeprogramowania.
  • Zapasy krytycznych egzemplarzy „na półce” (bo „beyond repair” oznacza realne przestoje logistyczne).

4) Detekcja OT i telemetria bezpieczeństwa

  • Monitoring anomalii w ruchu OT (nietypowe komendy, zmiany konfiguracji, skoki w łączności).
  • Korelacja zdarzeń IT↔OT (bo wejście często zaczyna się w IT, a skutki są w OT).

5) Ćwiczenia i gotowość operacyjna

  • Tabletop na scenariusz: „utrata łączności z X obiektami DER” + procedury ręczne.
  • Jasne playbooki: kiedy odcinać zdalny dostęp, jak przechodzić na tryb lokalny, jak komunikować incydent regulatorowi i CSIRT.

6) Zarządzanie dostawcami i integratorami

  • Wymogi bezpieczeństwa w umowach: logowanie działań serwisowych, rotacja poświadczeń, szybkie łatanie, minimalne uprawnienia.
  • Audyt „powtarzalnych konfiguracji” (to one umożliwiają atak „hurtowy” na wiele lokalizacji).

Różnice / porównania z innymi przypadkami

Najciekawsze porównanie, które podkreślają analitycy, to przesunięcie celu z rdzenia sieci na peryferia:

  • Ukraina 2015/2016: nacisk na bardziej scentralizowane elementy infrastruktury i operacyjny skutek w postaci zakłóceń.
  • Polska 2025: atak rozproszony na wiele punktów DER, uderzający w łączność i RTU – potencjalnie „przygotowujący grunt” (prepositioning) pod większy wpływ, nawet jeśli tym razem blackout’u nie było.

To ważny sygnał dla całej UE: wraz z transformacją energetyczną i rosnącą liczbą DER, „najłatwiejszym” celem stają się najsłabiej ustandaryzowane i najsłabiej chronione krańce systemu.

Podsumowanie / kluczowe wnioski

  • Incydent z 29–30 grudnia 2025 r. pokazuje, że ataki na energetykę nie muszą od razu wywoływać blackout’u, by były poważne.
  • Uderzenie w RTU i łączność w ~30 lokalizacjach to ostrzeżenie: DER są mnożnikiem ryzyka, jeśli powielamy architekturę i konfiguracje.
  • Priorytetem na 2026 r. powinny być: kontrola zdalnego dostępu, segmentacja OT, monitoring anomalii oraz gotowość operacyjna na „utratę widoczności” w wielu punktach naraz.

Źródła / bibliografia

  1. Dragos – analiza incydentu i atrybucja do ELECTRUM (28.01.2026). (dragos.com)
  2. Kancelaria Prezesa Rady Ministrów (gov.pl) – komunikat o cyberatakach na infrastrukturę energetyczną (15.01.2026). (gov.pl)
  3. The Record (Recorded Future News) – raport o ~30 obiektach i wpływie na OT (28.01.2026). (The Record from Recorded Future)
  4. BleepingComputer – omówienie incydentu i kontekstu OT/DER (28.01.2026). (BleepingComputer)
  5. Kim Zetter / Zero Day – opis skutków dla RTU i charakterystyka ataku (28.01.2026). (ZERO DAY)