„Na dziś polskie OT jest tykającą bombą, której detonator pozostaje w rękach przestępców”

• „Rosnąca na poziomie państwa świadomość ryzyk wynikających z cyberprzestępczości kaskadowo przekłada się na wzrost świadomości zarządów przedsiębiorstw, które wciąż jednak nie są systemowo przygotowane na skalę wyzwań i tempo z jakim się one zmieniają" - mówi Aleksander Kostuch ze Stormshield.
• „W mojej ocenie, na dziś polskie OT jest tykającą bombą, której detonator pozostaje w rękach przestępców" - ocenia Piotr Zielaskiewicz z DAGMA Bezpieczeństwo IT.
• Eksperci na podstawie analizy niedawnych incydentów wskazują rekomendacje przy zabezpieczaniu krytycznego obszaru tj. brzegu firmowej sieci. Wnioski z ataków na polską energetykę są przydatne dla specjalistów cyberbezpieczeństwa z innych branż i warto wziąć je pod uwagę pamiętając, że obszar zainteresowań cyberprzestępców obejmuje każdy sektor gospodarki.

Materiał sponsorowany

Nie wszystkie ataki udało się powstrzymać

Za sprawą cyfryzacji pojawia się ryzyko, związane z możliwością wystąpienia incydentu bezpieczeństwa IT. Takie jak grudniowy atak na polski system energetyczny, który mógł wywołać blackout o ogromnej skali. W ostatnich miesiącach podobne incydenty miały miejsce również w przedsiębiorstwach ciepłowniczych czy wodociągowych. Dla przykładu w ciepłowni w Rucianem Nida przestępcy po przeniknięciu do systemów przedsiębiorstwa wyłączyli jeden z dwóch pieców kotłowni. W pełni bezpieczna nie może czuć się również branża wod-kan. Tolkmicko, Małdyty, Sierakowo, Wydminy, Szczytno, a także Rzeszów i nie wymienione z nazwy inne duże polskie miasto. W tych lokalizacjach na przestrzeni ostatnich kilkunastu miesięcy mieliśmy do czynienia z próbami przejęcia dostępu do paneli SCADA/SUW zakładów wodociągowych i kanalizacyjnych. Efektem działań były, na szczęście nieudane, próby manipulacji parametrami np. stężeniem chloru, obrotami pomp czy temperaturami.

„Powyższe przykłady pokazują z jednej strony, że dobrze przygotowana na ryzyko organizacja da odpór atakom, a w konsekwencji obsługiwani przez nią mieszkańcy są bezpieczniejsi. Z drugiej, skuteczne przełamanie zabezpieczeń ciepłowni w Rucianem-Nida każe postawić pytanie, czy bezpieczeństwo infrastruktury krytycznej jest na maksymalnym poziomie” – mówi Aleksander Kostuch, inżynier Stormshield, europejskiego producenta technologii bezpieczeństwa IT. 

Tym co łączy przedsiębiorstwa energetyczne, wodno-kanalizacyjne, a także tysiące działających w innych branżach jest wykorzystanie przez nie technologii operacyjnej do obsługi kluczowych procesów i związane z tym ryzyko. OT wykorzystywana jest wszędzie tam, gdzie mamy do czynienia choćby z produkcją przemysłową, którą przecież polska gospodarka stoi. Sektor przemysłowy generuje 20 proc. polskiego PKB. Wrogie nam państwa przy wyszukiwaniu podatności w polskim cyfrowym ekosystemie nie koncentrują się tylko na energetyce, a obszar zainteresowań właściwie jest nieograniczony. Potwierdzają to statystyki, gdyż praktycznie każdy branżowy raport określa odsetek przedsiębiorstw lub instytucji, które miały do czynienia z incydentem naruszenia bezpieczeństwa na wysokim poziomie grubo powyżej 50 proc. A to oznacza, że obiektem ataku są przedsiębiorstwa i instytucje z każdej branży.

Jakie wnioski mogą wyciągnąć dla siebie firmy z niedawnych cyberataków na energetykę?

Przygotowanie podmiotów sektora energetycznego zaatakowanych pod koniec roku nie było idealne, jednak udało się uniknąć poważnego paraliżu. Bo potencjalny blackout objąłby kilkaset tysięcy odbiorców i przyniósł skutki, jak miało to miejsce w 2015 roku w Ukrainie, gdzie w praktyce zrealizował się podobny scenariusz.

Analiza ataku pozwala stwierdzić, że zaniedbania na brzegu sieci mogą prowadzić do incydentów o dużej skali. Kluczowe dla skutecznego powstrzymania intruzów okazują się następujące kwestie:

• Stosowanie firewalli przemysłowych instalowanych możliwie blisko sterowników PLC/RTU zgodnie z ISA/IEC 62443
• Certyfikacja EAL4+ dla firewalli
• Centralne zarządzanie flotą firewalli
• Weryfikacja łańcucha dostaw
• Fizyczna i logiczna separacja sieci IT i OT
• Wydzielone strefy DMZ dla komunikacji OT z systemami SCADA, IT i zdalnym dostępem
• Wysoka dostępność transmisji (HA dla firewalli, zdublowane zasilanie, bypass)
• Monitoring i zabezpieczenie przed anomaliami w ruchu w protokołach przemysłowych (np. Modbus, Profinet, S7)
• Autoryzacja użytkowników
• Obowiązkowe One Time Password dla zdalnego dostępu, kont administracyjnych i dostępu serwisowego
• Aktualizacja w bezpiecznym środowisku 
• Monitorowanie komunikatów producentów (CVE, advisory)
• Centralny system zbierania logów (SIEM/SOC) i reagowania na incydenty

Dwugłos ekspertów – czy polskie OT jest gotowe na wyzwania współczesności?

Aleksander Kostuch, Stormshield: „Praktyka podpowiada mi, że wciąż na tym polu jest wiele do poprawy. Co prawda rosnąca na poziomie państwa świadomość ryzyk wynikających z cyberprzestępczości kaskadowo przekłada się na wzrost świadomości zarządów przedsiębiorstw, jednakże te wciąż nie są systemowo przygotowane na skalę współczesnych wyzwań i tempo z jakim się one zmieniają. Przy czym problemem nie jest brak dostępu do technologii. Zakup firewalli przemysłowych czy systemów detekcji to pierwszy krok, którego naturalną konsekwencją powinno być odpowiednie wdrożenie sprzętu, zapewnienie ciągłych aktualizacji, monitoringu, testów bezpieczeństwa i skutecznego reagowania w środowisku, które nie toleruje przestojów. Niedociągnięcia z tym związane są poważnym obciążeniem bezpieczeństwa. W warunkach rosnącej konwergencji IT/OT oraz zwiększającej się powierzchni ataku kluczowe stają się inwentaryzacja zasobów, segmentacja i stały monitoring oraz automatyzacja reakcji. Niestety, z tym wciąż mamy problem, a istotną barierą w tym kontekście pozostaje również niedobór specjalistów łączących kompetencje IT i automatyki. W związku z tym, choć moja opinia na temat gotowości polskiego OT nie jest negatywna, to nie mogę określić, że systemy przemysłowe, które zapewniają nam bezpieczeństwo są w pełni bezpieczne.

Piotr Zielaskiewicz, DAGMA Bezpieczeństwo IT: „Niestety, w mojej ocenie, na dziś polskie OT jest tykającą bombą, której detonator pozostaje w rękach przestępców. Potwierdzeniem braków w zabezpieczeniach jest choćby skuteczny atak na infrastrukturę krytyczną, opisany w raporcie CERT Polska z 30 stycznia 2026 roku. Świadczy o tym również tworzenie celowych programów, obejmujących dofinansowanie zabezpieczeń specyficznych obszarów technologii operacyjnych. Właśnie rozstrzygnięto program dla sektora wodociągowego, a minister Gawkowski zapowiedział wsparcie dla firm energetycznych. Takie programy nie powstają bez potrzeby. Kluczową kwestią przy ich realizacji, obok wyboru optymalnych urządzeń i technologii, pozostaje również ich odpowiednia konfiguracja i utrzymanie sprawności. Stała konserwacja, audyty, pentesty i licencje mogą być większym wyzwaniem niż sam zakup. Ten aspekt, powiązany z barierami finansowymi, brakiem specjalistów z odpowiednim know-how oraz świadomości na ten temat, jest kolejnym argumentem na poparcie mojego stanowiska.