Przejdź do treści
Baza wiedzy Zaktualizowano: 12 lutego 2026 25 min czytania

Cyberatak na polską energetykę (grudzień 2025): Lekcje dla zarządów firm

Atak na polską infrastrukturę energetyczną w grudniu 2025 ujawnił luki w sektorze. Dowiedz się, co się wydarzyło i jakie wnioski powinny wyciągnąć zarządy firm.

Grzegorz Gnych Grzegorz Gnych

29 grudnia 2025 roku, w środku sezonu grzewczego, ktoś nacisnął przycisk. Nie metaforycznie — dosłownie uruchomił destrukcyjne oprogramowanie, które jednocześnie zaatakowało ponad 30 farm wiatrowych i fotowoltaicznych, elektrociepłownię odpowiedzialną za ogrzewanie 500 tysięcy ludzi oraz zakład produkcyjny. Atak nie miał na celu wymuszenia okupu. Nie chodziło o kradzież danych. Celem było zniszczenie — trwałe uszkodzenie systemów, wymazanie danych, sparaliżowanie infrastruktury w najbardziej wrażliwym momencie roku.

CERT Polska porównał ten incydent do podpalenia. Premier potwierdził atak publicznie. Amerykańska CISA wydała ostrzeżenie dla własnych operatorów infrastruktury krytycznej. Służby przypisały operację rosyjskiemu wywiadowi. A prezesi firm energetycznych w całej Polsce po raz pierwszy musieli odpowiedzieć na pytanie, które do tej pory wydawało się teoretyczne: co zrobimy, gdy ktoś nie będzie chciał pieniędzy, tylko zniszczenia?

Co właściwie wydarzyło się 29 grudnia 2025 roku?

Atak był skoordynowany z precyzją, która wskazuje na miesięczne przygotowania. Według raportu CERT Polska opublikowanego w styczniu 2026 roku, atakujący uzyskali dostęp do infrastruktury ofiar znacznie wcześniej — najprawdopodobniej jesienią 2025 roku. Przez tygodnie prowadzili rekonesans, mapowali sieci wewnętrzne i przygotowywali się do jednoczesnego uderzenia.

29 grudnia, w niedzielę między świętami a Nowym Rokiem — gdy obsady kadrowe są minimalne, a czas reakcji naturalnie wydłużony — uruchomili destrukcyjne oprogramowanie nazwane później DynoWiper. Program nie szyfrował plików w oczekiwaniu na okup. Nadpisywał dane losowymi ciągami znaków, czyniąc je trwale nieczytelnymi. Atakujący wykorzystali mechanizmy zarządzania domeną Windows (Group Policy), żeby jednocześnie rozpropagować destrukcyjny kod na wszystkie podłączone stacje robocze i serwery.

Lista celów obejmowała ponad 30 farm wiatrowych i fotowoltaicznych rozsianych po całej Polsce, elektrociepłownię będącą jedynym źródłem ciepła dla pół miliona mieszkańców oraz zakład produkcyjny. Atak dotknął przede wszystkim systemy IT — stacje robocze, serwery, systemy zarządzania. W części przypadków atakujący dotarli również do systemów sterowania przemysłowego (OT), wykorzystując domyślne hasła w kontrolerach, których nigdy nie zmieniono po instalacji.

Dzięki szybkiej reakcji zespołów bezpieczeństwa i narzędziom ochrony endpoint, które wykryły i zablokowały część destrukcyjnego kodu, nie doszło do przerw w dostawach ciepła ani blackoutów energetycznych. Ale szkody w infrastrukturze IT były poważne — odtwarzanie systemów z kopii zapasowych trwało tygodnie. To, że atak nie osiągnął pełni swoich celów, zawdzięczamy w dużej mierze szczęściu i przygotowaniu nielicznych, a nie systemowej odporności sektora.

Dlaczego jeden dostawca VPN stał się furtką do ponad 30 organizacji?

To pytanie powinno spędzać sen z powiek każdemu prezesowi firmy operującej w sektorze infrastruktury krytycznej. Atakujący nie musieli łamać zabezpieczeń 30 organizacji osobno. Wystarczyło jedno słabe ogniwo — urządzenia VPN FortiGate, które były wystawione na internet bez wieloskładnikowego uwierzytelniania (MFA).

Co gorsza, te same dane logowania — te same hasła — były współdzielone pomiędzy wieloma lokalizacjami. Jeden komplet skradzionych poświadczeń otwierał drzwi do dziesiątek farm wiatrowych jednocześnie. To nie jest egzotyczny scenariusz ataków na łańcuch dostaw, o których czytamy w branżowych raportach. To jest codzienna rzeczywistość polskiego sektora energetycznego — centralizacja zarządzania wieloma rozproszonym obiektami przez jednego integratora, jednego dostawcę, jeden zestaw narzędzi.

Prowadzę rozmowy z firmami z sektora energetycznego od lat. Widzę ten sam wzorzec powtarzający się u dziesiątek klientów — firma inwestuje w zabezpieczenia centrali, ale zapomina o rozproszonych obiektach. Farmy wiatrowe, stacje transformatorowe, przepompownie — to wszystko działa na tym samym VPN, często z identycznymi hasłami ustawionymi podczas instalacji. A ponieważ “działa”, nikt nie widzi powodu, żeby to zmieniać. Dopóki ktoś nie wykorzysta tej luki w środku sezonu grzewczego.

Problem nie dotyczy wyłącznie energetyki. Każda organizacja, która zarządza rozproszoną infrastrukturą przez centralny punkt dostępowy, powinna zadać sobie pytanie: co się stanie, jeśli ktoś przejmie naszego dostawcę VPN? Ile lokalizacji zostanie skompromitowanych jednocześnie? Odpowiedź w grudniu 2025 roku brzmiała: ponad trzydzieści.

Ile kosztuje godzina przestoju elektrociepłowni obsługującej pół miliona odbiorców?

To pytanie zadaję prezesowi za każdym razem, gdy rozmowa schodzi na temat budżetu na cyberbezpieczeństwo. Odpowiedzi bywają zaskakujące — nie dlatego, że kwoty są niskie, ale dlatego, że wielu zarządów nigdy tego nie liczyło.

W przypadku grudniowego ataku nie doszło do pełnego zatrzymania dostaw ciepła. Ale scenariusz był realny — i warto policzyć, ile by kosztował. Elektrociepłownia obsługująca 500 tysięcy odbiorców w szczycie sezonu grzewczego to nie jest system, który można wyłączyć i włączyć jak komputer. Przerwanie pracy układów ciepłowniczych w temperaturach poniżej zera oznacza ryzyko zamarzania instalacji, uszkodzenia infrastruktury przesyłowej i — w skrajnym scenariuszu — zagrożenie zdrowia i życia ludzi.

Bezpośrednie koszty odtwarzania systemów IT po ataku wiperem są znacznie wyższe niż po typowym ransomware, gdzie istnieje przynajmniej teoretyczna możliwość odzyskania danych po zapłaceniu okupu. Przy ataku destrukcyjnym takiej opcji nie ma — jedyną drogą jest odtworzenie z kopii zapasowych, co przy dziesiątkach skompromitowanych lokalizacji zajmuje tygodnie. Do tego dochodzą koszty forensic investigation, konsultanci zewnętrzni, wymiana sprzętu z uszkodzonym firmware, kary regulacyjne i — coraz częściej — postępowania odszkodowawcze od kontrahentów dotkniętych przerwami w dostawach.

Raport IBM Cost of a Data Breach 2025 szacuje średni koszt naruszenia w sektorze energetycznym na 5,29 miliona dolarów. Ale to dotyczy naruszeń poufności danych. Atak destrukcyjny na infrastrukturę krytyczną to zupełnie inna kategoria kosztowa. Badania Ponemon Institute z 2024 roku wskazują, że średni koszt przestoju systemów OT w sektorze przemysłowym przekracza 500 tysięcy dolarów dziennie, a w energetyce kwoty te mogą być wielokrotnie wyższe ze względu na efekt kaskadowy i zobowiązania regulacyjne.

Paradoks polega na tym, że roczny budżet na cyberbezpieczeństwo, który mógłby zapobiec takiemu atakowi — wieloskładnikowe uwierzytelnianie, segmentacja sieci, monitoring 24/7, regularne audyty — to ułamek kosztów jednego poważnego incydentu. Z danych nFlo wynika, że organizacje, które wdrożyły monitoring 24/7 i regularne audyty, redukują średni czas wykrycia incydentu z tygodni do poniżej 15 minut — a to właśnie szybkość detekcji decyduje o tym, czy atak kończy się na jednej stacji roboczej, czy obejmuje całą infrastrukturę. Ale ta matematyka ma sens dopiero wtedy, gdy zarząd traktuje cyberbezpieczeństwo jako inwestycję w ciągłość działania, a nie jako koszt działu IT.

Czym atak destrukcyjny różni się od ransomware z perspektywy zarządu?

Większość zarządów firm ma już jakieś wyobrażenie o ransomware. Ktoś szyfruje dane, żąda okupu, negocjujemy lub odtwarzamy z backupów — scenariusz jest znany, a decyzje biznesowe względnie przewidywalne. Grudniowy atak na polską energetykę zmusza do zrewidowania tego modelu myślowego.

Atak destrukcyjny — wiper — nie zostawia opcji negocjacji. Nie ma drugiej strony, z którą można rozmawiać. Nie ma klucza deszyfrującego, który można kupić. Dane są trwale zniszczone. To jak różnica między porwaniem a zabójstwem — w pierwszym przypadku istnieje przestrzeń do działania, w drugim pozostaje tylko zarządzanie skutkami.

Z perspektywy zarządu ta różnica jest fundamentalna. Przy ransomware kluczowe pytanie brzmi: “płacimy czy nie?”. Przy wiperze pytanie brzmi: “jak szybko możemy wrócić do działania i czy w ogóle mamy z czego odtworzyć systemy?”. Plan ciągłości działania, który zakłada tylko scenariusz ransomware, jest w 2026 roku niewystarczający.

W ostatnich miesiącach obserwuję wyraźną zmianę w rozmowach z klientami. Jeszcze rok temu głównym tematem było: “jak się bronić przed ransomware?”. Dziś coraz częściej słyszę: “a co jeśli ktoś nie będzie chciał pieniędzy?”. Grudniowy atak sprawił, że ta obawa przestała być abstrakcyjna. Polskie firmy po raz pierwszy zobaczyły, że destrukcyjny cyberatak na dużą skalę to nie scenariusz z Ukrainy czy krajów bałtyckich — to coś, co może wydarzyć się u nas, w naszym sektorze, w naszym łańcuchu dostaw.

Dodatkowym problemem jest fakt, że ataki destrukcyjne coraz częściej maskują się pod ransomware. Oprogramowanie wyświetla żądanie okupu, ale klucz deszyfrujący nigdy nie istniał — to tylko opóźnienie, żeby ofiara zmarnowała krytyczne godziny na negocjacje zamiast natychmiastowego odtwarzania z kopii zapasowych. Takim dokładnie atakiem był WhisperGate uderzający w ukraińskie instytucje rządowe w styczniu 2022 roku — wyglądał jak ransomware, ale był czystym wiperem.

Dlaczego CERT Polska porównał ten incydent do podpalenia?

To porównanie jest celowe i precyzyjne. Kiedy CERT Polska w swoim raporcie ze stycznia 2026 roku opisał grudniowy atak jako cyfrowy odpowiednik podpalenia, chodziło o trzy rzeczy: intencję zniszczenia, brak motywu finansowego i skalę jednoczesnego uderzenia.

Podpalacz nie negocjuje. Nie zostawia numeru telefonu z żądaniem okupu. Jego celem jest zniszczenie — i dokładnie taki profil miał grudniowy atak. Destrukcyjne oprogramowanie DynoWiper nie zawierało żadnego mechanizmu kontaktu z ofiarą, żadnej infrastruktury do negocjacji, żadnego portfela kryptowalutowego. Jedyną funkcją programu było trwałe uszkodzenie jak największej liczby systemów w jak najkrótszym czasie.

Służby bezpieczeństwa przypisały atak grupie Static Tundra — jednostce rosyjskiego wywiadu FSB (Centrum 16), znanej również pod nazwami Berserk Bear i Dragonfly. ESET, niezależna firma zajmująca się bezpieczeństwem, powiązał operację z grupą Sandworm (GRU), która od 2015 roku specjalizuje się w atakach na infrastrukturę energetyczną — od blackoutu w Kijowie w grudniu 2015 roku, przez atak na ukraińską sieć energetyczną w 2016 roku, po serię ponad 19 różnych rodzin destrukcyjnego oprogramowania użytych od początku pełnoskalowej inwazji na Ukrainę w 2022 roku.

Dla zarządu firmy z sektora infrastruktury krytycznej atrybucja do służb wywiadowczych obcego państwa zmienia kalkulację ryzyka. Nie bronimy się przed grupą przestępczą szukającą zarobku — bronimy się przed operacją państwową, która ma nieograniczony budżet, wieloletni horyzont planowania i cele geopolityczne. To inny przeciwnik, inne narzędzia i zupełnie inna skala przygotowań.

Porównanie do podpalenia niesie jeszcze jedno przesłanie — podpalenia można próbować zapobiec. Systemy sygnalizacji pożaru, czujniki dymu, materiały ognioodporne, procedury ewakuacyjne. Analogicznie w cyberbezpieczeństwie: monitoring sieci, segmentacja, kopie zapasowe offline, plany odtwarzania. Grudniowy atak pokazał, które organizacje miały te “systemy przeciwpożarowe”, a które nie.

Co łańcuch dostaw ma wspólnego z bezpieczeństwem twojej firmy?

Grudniowy atak obnażył problem, o którym branża cyberbezpieczeństwa mówi od lat, ale który dla wielu zarządów wciąż pozostaje abstrakcją — ryzyko łańcucha dostaw. W praktyce oznacza to, że bezpieczeństwo twojej firmy jest tak silne, jak najsłabsze ogniwo wśród twoich dostawców, integratorów i partnerów technologicznych.

W przypadku ataku na polską energetykę tym najsłabszym ogniwem były urządzenia VPN jednego producenta, zarządzane przez jednego integratora, z tymi samymi poświadczeniami dla wielu lokalizacji. Atakujący nie musieli przełamywać zabezpieczeń każdej farmy wiatrowej z osobna. Wystarczyło skompromitować centralny punkt zarządzania, żeby uzyskać dostęp do całej sieci obiektów.

Ten model — jeden dostawca, jedno rozwiązanie, wiele lokalizacji — jest standardem w polskim sektorze energetycznym. I nie tylko w nim. Firmy produkcyjne, wodociągowe, transportowe — wszędzie tam, gdzie infrastruktura jest rozproszona, zarządzanie jest scentralizowane. To racjonalne z punktu widzenia kosztów operacyjnych. Ale z punktu widzenia bezpieczeństwa tworzy pojedynczy punkt awarii, którego kompromitacja natychmiast przenosi się na wszystkie zarządzane obiekty.

Dyrektywa NIS2, o której piszę więcej w dalszej części artykułu, wprost nakłada na operatorów infrastruktury krytycznej obowiązek zarządzania ryzykiem łańcucha dostaw. To nie jest już dobra praktyka — to wymóg prawny. Organizacje muszą przeprowadzać oceny bezpieczeństwa swoich dostawców, wymagać minimalnych standardów ochrony i monitorować, czy są one przestrzegane.

W rozmowach z klientami widzę trzy podejścia do tego problemu. Pierwsza grupa — tych, którzy po grudniowym ataku natychmiast przeprowadzili audyt swoich dostawców VPN i zaczęli wdrażać segmentację dostępu. Druga — tych, którzy “planują to zrobić w przyszłym budżecie”. I trzecia — tych, którzy uważają, że ich to nie dotyczy, bo “nie jesteśmy energetyką”. Ta trzecia grupa mnie najbardziej niepokoi, bo atak na łańcuch dostaw nie zna granic sektorowych.

Fiszka: Kluczowe wnioski dotyczące łańcucha dostaw

  • Jedno skompromitowane konto VPN dało dostęp do ponad 30 organizacji jednocześnie
  • Współdzielone poświadczenia między lokalizacjami multiplikują skutki każdego naruszenia
  • NIS2 nakłada prawny obowiązek zarządzania ryzykiem dostawców
  • Centralizacja zarządzania = efektywność operacyjna, ale też pojedynczy punkt awarii
  • Audyt dostawców to nie projekt jednorazowy — wymaga ciągłego monitoringu

Jak NIS2 zmienia odpowiedzialność zarządu za cyberataki na infrastrukturę krytyczną?

Dyrektywa NIS2, obowiązująca od 18 października 2024 roku, fundamentalnie zmieniła ramy odpowiedzialności za cyberbezpieczeństwo w sektorach infrastruktury krytycznej. I — co kluczowe — przeniosła tę odpowiedzialność z działu IT na zarząd.

W kontekście grudniowego ataku na polską energetykę regulacje NIS2 mają trzy bezpośrednie konsekwencje. Po pierwsze — obowiązki raportowe. Podmiot kluczowy (a operatorzy energetyczni bezspornie nimi są) musi zgłosić poważny incydent w ciągu 24 godzin od wykrycia, dostarczyć wstępną ocenę skutków w ciągu 72 godzin i pełny raport z analizą przyczyn źródłowych w ciągu miesiąca. Grudniowy atak dotknął ponad 30 organizacji jednocześnie — to ponad 30 równoległych procesów raportowych, wymagających koordynacji między wieloma podmiotami, ich dostawcami i CERT Polska.

Po drugie — kary finansowe. Dla podmiotów kluczowych maksymalna kara to 10 milionów euro lub 2% globalnego rocznego obrotu — w zależności od tego, która kwota jest wyższa. Dla podmiotów ważnych: 7 milionów euro lub 1,4% obrotu. Ale same kary to nie koniec.

Po trzecie — i to jest zmiana, którą obserwuję jako najbardziej transformacyjną w rozmowach z zarządami — osobista odpowiedzialność członków zarządu. NIS2 pozwala na nakładanie sankcji bezpośrednio na osoby zarządzające, włącznie z grzywnami osobistymi, postępowaniami prawnymi i — w skrajnych przypadkach — czasowym zakazem pełnienia funkcji zarządczych. To nie jest teoria. To jest prawo, które obowiązuje od ponad roku.

Widzę, jak ta zmiana wpływa na dynamikę rozmów o bezpieczeństwie w firmach. Jeszcze dwa lata temu musiałem przekonywać zarządy, że cyberbezpieczeństwo to istotny temat. Dziś coraz częściej to prezesi i CFO inicjują rozmowy — bo ich prawnicy powiedzieli im, że osobista odpowiedzialność za zaniedbania w cyberbezpieczeństwie to nie jest ryzyko, które można zignorować. NIS2 zmieniło fundamentalnie dynamikę tych rozmów. Budżet na bezpieczeństwo przestał być problemem — problemem stało się pytanie, czy wydajemy go we właściwy sposób.

Dla firm, które jeszcze nie dostosowały się do wymogów NIS2, grudniowy atak powinien być sygnałem alarmowym. Jeśli regulator zdecyduje się na egzekwowanie przepisów w oparciu o ten incydent — a presja polityczna po publicznym potwierdzeniu ataku przez premiera jest znaczna — konsekwencje mogą być dotkliwe nie tylko finansowo, ale i personalnie.

Dlaczego firmy energetyczne wciąż odkładają inwestycje w bezpieczeństwo OT?

W grudniowym ataku atakujący dotarli do systemów sterowania przemysłowego (OT) i wykorzystali domyślne hasła w kontrolerach — hasła, które nigdy nie zostały zmienione od momentu instalacji urządzeń. To nie jest wyjątek. To jest norma w polskim sektorze energetycznym i szerzej — w całym sektorze infrastruktury krytycznej.

Powody, dla których firmy odkładają inwestycje w bezpieczeństwo OT, są powtarzalne i słyszę je w rozmowach od lat. Pierwszy i najczęstszy: “system działa, nie ruszamy”. Wiele systemów OT w polskiej energetyce ma 15-20 lat i nigdy nie było projektowanych z myślą o cyberbezpieczeństwie. Ich operatorzy — słusznie — obawiają się, że aktualizacje lub zmiany konfiguracji mogą zaburzyć ciągłość procesów produkcyjnych. Paradoks polega na tym, że ta sama obawa przed zmianą prowadzi do utrzymywania domyślnych haseł i brak segmentacji sieci OT od IT — czyli dokładnie tych słabości, które wykorzystali atakujący w grudniu.

Drugi powód to struktura organizacyjna. W wielu firmach energetycznych za IT odpowiada dział informatyki, a za OT — dział utrzymania ruchu lub automatyki. Te dwa światy rzadko się komunikują, jeszcze rzadziej mają wspólną strategię bezpieczeństwa. Atakujący to wiedzą i wykorzystują — przechodzą z sieci IT (gdzie mogą być wykryci przez nowoczesne narzędzia bezpieczeństwa) do sieci OT (gdzie takich narzędzi często nie ma wcale).

Trzeci powód to koszty. Zabezpieczenie środowiska OT wymaga specjalistycznej wiedzy, dedykowanych narzędzi i — co najtrudniejsze — okien serwisowych, podczas których systemy muszą być wyłączone. Dla elektrociepłowni działającej w trybie ciągłym takie okno to operacja logistyczna wymagająca wielotygodniowego planowania. Ale — i tu wracamy do prostej matematyki — koszt zaplanowanego dwudniowego okna serwisowego na wdrożenie segmentacji i zmianę haseł jest niewspółmiernie niższy niż koszt wielotygodniowego odtwarzania po ataku destrukcyjnym.

Grudniowy incydent powinien być punktem zwrotnym. Domyślne hasła w systemach OT infrastruktury krytycznej to nie jest “dług technologiczny” — to jest zaproszenie dla każdego, kto potrafi przeprowadzić podstawowy skan sieci. CISA — amerykańska agencja ds. cyberbezpieczeństwa — w swoim ostrzeżeniu wydanym po polskim ataku wprost wskazała domyślne poświadczenia ICS jako krytyczną lukę do natychmiastowej eliminacji.

Jakie wzorce widzę w rozmowach z prezesami po grudniowym ataku?

Od stycznia 2026 roku prowadzę dziesiątki rozmów z zarządami firm z sektora energetycznego, produkcyjnego i utilities. Widzę trzy wyraźne wzorce reakcji na grudniowy incydent — i te wzorce mówią więcej o dojrzałości organizacji niż jakikolwiek audyt.

Pierwsza grupa to firmy, które zareagowały natychmiast. W ciągu pierwszych dwóch tygodni stycznia przeprowadziły emergency audit swoich połączeń VPN, wymusiły zmianę haseł na wszystkich urządzeniach dostępowych, wdrożyły lub przyspieszyły wdrożenie MFA i zleciły zewnętrzny przegląd segmentacji sieci IT/OT. Te firmy nie pytają mnie “czy to może nas dotknąć?”. Pytają “co jeszcze powinniśmy zrobić?”. To jest postawa, która buduje realną odporność.

Druga grupa to firmy, które potraktowały grudniowy atak jako argument w wewnętrznych negocjacjach budżetowych. Dyrektorzy IT i CISO wreszcie dostali twarde uzasadnienie dla inwestycji, które postulowali od miesięcy. Te rozmowy brzmią tak: “Mamy ten atak jako case study. Zarząd w końcu słucha. Potrzebujemy konkretnej oferty, żeby przepchnąć budżet na Q2”. To jest pozytywna dynamika, ale z ryzykiem — między “zarząd słucha” a “budżet zatwierdzony” mogą minąć miesiące, a atakujący nie czekają na koniec kwartału.

Trzecia grupa — i ta mnie niepokoi najbardziej — to firmy, które traktują grudniowy atak jako “problem energetyki”. Słyszę: “my nie jesteśmy infrastrukturą krytyczną”, “nasz sektor nie jest celem”, “to była operacja wywiadowcza, nas to nie dotyczy”. Ten sposób myślenia ignoruje fakt, że łańcuch dostaw nie zna granic sektorowych. Firma produkcyjna, która dostarcza komponenty dla energetyki, jest częścią tego samego ekosystemu. Firma logistyczna, która obsługuje transport paliw, jest potencjalnym wektorem ataku. Atak na łańcuch dostaw oznacza, że jeśli twój klient lub dostawca jest celem — ty też jesteś.

Widzę jeszcze jeden wzorzec, który pojawił się po raz pierwszy — firmy, które zaczęły traktować cyberbezpieczeństwo jako element negocjacji kontraktowych z partnerami. Wymagają certyfikatów ISO 27001, raportów z audytów, potwierdzenia zgodności z NIS2. To jest dojrzała reakcja, która zmienia cały ekosystem na lepsze. W nFlo obsługujemy klientów z sektora energetycznego od lat — w ponad 500 zrealizowanych projektach bezpieczeństwa widzimy, że firmy, które traktują audyt dostawców jako proces ciągły, a nie jednorazowy, są o rząd wielkości lepiej przygotowane na incydenty typu grudniowy atak.

Od czego powinien zacząć zarząd firmy z sektora infrastruktury krytycznej?

Nie jestem zwolennikiem list “10 kroków do bezpieczeństwa”. Każda organizacja jest inna i wymaga indywidualnego podejścia. Ale po grudniowym ataku kilka priorytetów jest uniwersalnych — i wynikają wprost z wektorów użytych w tym konkretnym incydencie.

Priorytet numer jeden: natychmiastowy przegląd wszystkich punktów zdalnego dostępu. VPN, RDP, pulpity zdalne, dostęp do konsol zarządzania — każde urządzenie wystawione na internet bez wieloskładnikowego uwierzytelniania jest otwartymi drzwiami. Grudniowy atak udowodnił to ponad wszelką wątpliwość. MFA nie jest “nice-to-have” — to minimum, bez którego nie powinno się wystawiać żadnej usługi na internet.

Priorytet numer dwa: eliminacja współdzielonych poświadczeń. Jeśli ten sam login i hasło otwierają dostęp do wielu lokalizacji — to nie jest infrastruktura zabezpieczona. To jest jeden zamek z jednym kluczem, którego kopia wisi na tablicy ogłoszeń. Każda lokalizacja, każde urządzenie, każdy administrator powinien mieć unikalne poświadczenia.

Priorytet numer trzy: segmentacja sieci IT i OT. Atakujący w grudniu przeszli z sieci IT do systemów sterowania przemysłowego. Gdyby te sieci były fizycznie lub logicznie odseparowane, dotarcie do OT wymagałoby przełamania dodatkowej warstwy zabezpieczeń. Segmentacja nie eliminuje ryzyka — ale drastycznie podnosi koszt i złożoność ataku.

Priorytet numer cztery: kopie zapasowe offline. Wiper niszczy wszystko, do czego ma dostęp — włącznie z kopiami zapasowymi, jeśli są podłączone do sieci. Jedyną gwarancją odtworzenia jest kopia, która fizycznie nie jest dostępna z zaatakowanej infrastruktury. Strategia 3-2-1-1 (trzy kopie, dwa nośniki, jedna kopia offsite, jedna kopia immutable) to standard, który po grudniu powinien być obowiązkowy.

Priorytet numer pięć: plan ciągłości działania uwzględniający scenariusz destrukcyjny. Większość planów BCP zakłada scenariusz ransomware — jest klucz, można odzyskać dane. Plan, który nie uwzględnia wariantu “wszystkie dane zniszczone, klucza nie ma”, jest po grudniu 2025 roku niekompletny.

Fiszka: Pięć priorytetów po grudniowym ataku

  • Przegląd i zabezpieczenie wszystkich punktów zdalnego dostępu (VPN, RDP) — MFA obowiązkowo
  • Eliminacja współdzielonych haseł między lokalizacjami
  • Segmentacja sieci IT/OT — oddzielenie systemów sterowania od infrastruktury biurowej
  • Kopie zapasowe offline (strategia 3-2-1-1) — niedostępne z sieci produkcyjnej
  • Aktualizacja planów BCP o scenariusz ataku destrukcyjnego (nie tylko ransomware)

Jak ocenić dojrzałość cyberbezpieczeństwa w kontekście ataków destrukcyjnych?

W rozmowach z zarządami firm często padają pytania o to, jak ich organizacja wypada na tle branży. Poniższa tabela to narzędzie, które pomaga szybko ocenić, na jakim etapie jest firma w kontekście odporności na ataki destrukcyjne — te same wektory, które wykorzystano w grudniu 2025 roku.

ObszarPoziom 1 — reaktywnyPoziom 2 — bazowyPoziom 3 — zarządzanyPoziom 4 — zaawansowany
Zdalny dostęp (VPN/RDP)Hasła statyczne, brak MFA, współdzielone kontaMFA wdrożone częściowo, nadal wspólne konta dla części lokalizacjiMFA na wszystkich punktach dostępu, unikalne konta, monitoring logowańZero trust network access, dostęp just-in-time, ciągły monitoring behawioralny
Segmentacja IT/OTPłaska sieć, IT i OT w jednym segmenciePodstawowa segmentacja VLAN, firewall między IT a OTDedykowane strefy DMZ dla OT, monitoring ruchu na styku, ograniczone uprawnieniaMikrosegmentacja, odseparowane domeny zarządzania, dedykowany SOC dla OT
Zarządzanie hasłami OTDomyślne hasła producenta, brak rotacjiHasła zmienione po instalacji, brak rotacjiRegularna rotacja, unikalne hasła per urządzenie, rejestr dostępówZarządzanie uprzywilejowanym dostępem (PAM), monitoring sesji, automatyczna rotacja
Kopie zapasoweBackup online, brak testów odtwarzaniaBackup online + offsite, testy raz do rokuStrategia 3-2-1-1, immutable storage, kwartalne testy odtwarzaniaAir-gapped backup, automatyczne testy integralności, RTO/RPO zweryfikowane dla scenariusza wiper
Plan ciągłości (BCP)Brak lub nieaktualnyPlan dla ransomware, nie uwzględnia ataku destrukcyjnegoPlan uwzględnia scenariusz wiper, roczne ćwiczeniaDedykowane playbooki dla ataków destrukcyjnych, ćwiczenia z udziałem zarządu, scenariusze łańcucha dostaw
Łańcuch dostawBrak oceny dostawcówUmowy z klauzulami bezpieczeństwa, brak weryfikacjiRegularne audyty dostawców, wymagania MFA i segmentacjiCiągły monitoring bezpieczeństwa dostawców, wspólne ćwiczenia incident response
Zgodność NIS2Brak świadomości lub na etapie analizy wymogówGap analysis wykonany, plan wdrożenia w przygotowaniuWiększość wymogów wdrożona, raportowanie incydentów ustalonePełna zgodność, regularne przeglądy, zarząd aktywnie zaangażowany w governance

Większość firm z sektora energetycznego, z którymi rozmawiam, plasuje się między poziomem 1 a 2. Grudniowy atak pokazał, że poziom 2 nie wystarczy, żeby przetrwać skoordynowaną operację państwową. Celem powinien być co najmniej poziom 3 w każdym z tych obszarów — i to nie w perspektywie “kiedyś”, ale w ciągu najbliższych 12 miesięcy.

Co grudniowy atak mówi o przyszłości cyberzagrożeń dla polskiego biznesu?

Grudniowy atak na polską energetykę nie był incydentem izolowanym. Wpisuje się w wyraźny trend eskalacji cyberoperacji wymierzonych w infrastrukturę krytyczną krajów NATO — trend, który od 2022 roku systematycznie się nasila.

Grupa Sandworm, której część badaczy przypisuje grudniowy atak, użyła od lutego 2022 roku ponad 19 różnych rodzin destrukcyjnego oprogramowania — głównie przeciwko Ukrainie. DynoWiper użyty w Polsce to pierwszy potwierdzony przypadek, gdy te same techniki i narzędzia zostały skierowane przeciwko krajowi członkowskiemu NATO. To jest zmiana jakościowa, nie ilościowa.

Raport Fortinet z 2023 roku wskazywał na 53-procentowy wzrost użycia malware destrukcyjnego w skali globalnej w samym tylko czwartym kwartale 2022 roku. W 2025 roku ESET zbadał ponad 10 incydentów z użyciem wiperów przypisanych Sandworm — niemal wszystkie na Ukrainie. Atak na Polskę sygnalizuje, że geografia tych operacji się poszerza.

Jednocześnie granica między ransomware a wiperami się zaciera. Nowe platformy przestępcze — jak Anubis RaaS, który pojawił się w grudniu 2024 roku — oferują “tryb wiper” jako opcję obok tradycyjnego szyfrowania. Jeśli ofiara nie płaci, dane są trwale niszczone. To oznacza, że nawet organizacje, które uważają się za “zbyt małe” na ataki państwowe, mogą paść ofiarą destrukcyjnego ataku przeprowadzonego przez grupę przestępczą.

Dla polskiego biznesu przekaz jest klarowny: era, w której cyberatak oznaczał “ktoś ukradnie nam dane klientów”, skończyła się. W 2026 roku cyberatak może oznaczać wielotygodniowe zatrzymanie produkcji, przerwanie dostaw energii, zniszczenie infrastruktury IT bez możliwości odzyskania. I — co pokazał grudzień — może to być celowy akt agresji ze strony obcego państwa, a nie działanie grupy przestępczej szukającej zarobku.

Podsumowanie

  • Skoordynowany atak destrukcyjny — 29 grudnia 2025 roku wiper DynoWiper jednocześnie uderzył w ponad 30 farm wiatrowych i fotowoltaicznych, elektrociepłownię obsługującą 500 tys. odbiorców ciepła i zakład produkcyjny, bez żądania okupu.
  • Jedno słabe ogniwo, 30+ ofiar — brak MFA na urządzeniach FortiGate VPN i współdzielone poświadczenia między lokalizacjami pozwoliły atakującym przejść z jednego skompromitowanego konta do dziesiątek obiektów jednocześnie.
  • Wiper vs ransomware z perspektywy zarządu — atak destrukcyjny nie zostawia opcji negocjacji ani klucza deszyfrującego; plan ciągłości działania zakładający wyłącznie scenariusz ransomware jest w 2026 roku niewystarczający.
  • Osobista odpowiedzialność zarządu pod NIS2 — dyrektywa nakłada kary do 10 mln euro lub 2% obrotu, terminy raportowania 24h/72h/30 dni oraz sankcje osobiste na członków zarządu, w tym grzywny i zakaz pełnienia funkcji kierowniczych.
  • Domyślne hasła ICS jako zaproszenie dla atakujących — sterowniki RTU, serwery portów szeregowych i interfejsy HMI zaatakowane przez niezmienione poświadczenia producenta; CISA wprost wskazała tę lukę do natychmiastowej eliminacji.
  • Pięć priorytetów po grudniowym ataku — MFA na wszystkich punktach zdalnego dostępu, eliminacja współdzielonych haseł, segmentacja IT/OT, kopie zapasowe offline (strategia 3-2-1-1) i plan BCP uwzględniający scenariusz pełnej destrukcji.
  • Ryzyko łańcucha dostaw nie zna granic sektorowych — centralizacja zarządzania rozproszoną infrastrukturą przez jednego integratora tworzy pojedynczy punkt awarii, a grudniowy incydent dotyczy nie tylko energetyki, lecz każdej organizacji w tym ekosystemie.

Jak nFlo wspiera organizacje z sektora infrastruktury krytycznej?

Grudniowy atak pokazał, że ochrona infrastruktury krytycznej wymaga połączenia monitoringu 24/7, regularnych testów odporności i gotowości do natychmiastowej reakcji. nFlo wspiera organizacje z sektora energetycznego, produkcyjnego i utilities na każdym z tych poziomów — ponieważ skuteczna obrona przed atakami destrukcyjnymi nie opiera się na jednej technologii, lecz na spójnym procesie.

Audyty bezpieczeństwa OT/IT — nFlo przeprowadza kompleksowe oceny środowisk przemysłowych, łącznie z identyfikacją domyślnych haseł w sterownikach ICS, oceną segmentacji sieci IT/OT i weryfikacją konfiguracji urządzeń VPN. W praktyce oznacza to dokładnie te kontrole, których brak umożliwił grudniowy atak.

  • Identyfikacja współdzielonych poświadczeń między lokalizacjami — słabość, która dała atakującym dostęp do ponad 30 obiektów
  • Weryfikacja konfiguracji FortiGate i innych koncentratorów VPN pod kątem MFA i segmentacji
  • Ocena gotowości kopii zapasowych na scenariusz wiper (strategia 3-2-1-1 z immutable storage)

Monitoring SOC 24/7 — zespół nFlo reaguje na incydenty w czasie poniżej 15 minut. W przypadku ataku typu wiper, gdzie destrukcja następuje w ciągu sekund od detonacji, szybkość detekcji decyduje o skali strat. Dlatego monitoring nFlo obejmuje korelację zdarzeń z warstwy IT i OT — dokładnie ten brak korelacji pozwolił atakującym w grudniu działać niezauważenie przez dziewięć miesięcy.

  • Detekcja anomalii w ruchu DNS i zmianach GPO — sygnały wczesnego ostrzegania przed dystrybucją wiperów
  • Monitoring sesji VPN i eskalacji uprawnień w Active Directory
  • Integracja z systemami OT (protokoły IEC 104, Modbus) dla pełnej widoczności

Wsparcie w zgodności z NIS2 — nFlo pomaga organizacjom przejść od gap analysis do pełnej zgodności, obejmującej procesy raportowania incydentów, zarządzanie ryzykiem łańcucha dostaw i dokumentację wymaganą przez regulatora. Doświadczenie z wdrożenia NIS2 w sektorze finansowym w 4 miesiące pozwala przenieść sprawdzone procesy na sektor energetyczny.

  • Przygotowanie procedur raportowania incydentów (24h / 72h / 30 dni)
  • Audyt dostawców i budowa rejestru ryzyka łańcucha dostaw
  • Szkolenia zarządu z zakresu osobistej odpowiedzialności za cyberbezpieczeństwo

Doświadczenie z ponad 500 projektów bezpieczeństwa i 98% retencja klientów potwierdzają, że podejście nFlo — łączące assessment, monitoring i wsparcie compliance — skutecznie podnosi odporność organizacji na ataki destrukcyjne.

Najczęściej zadawane pytania

Czy grudniowy atak na polską energetykę spowodował przerwy w dostawach ciepła lub energii?

Nie. Dzięki szybkiej reakcji zespołów bezpieczeństwa i narzędziom ochrony endpoint, które wykryły i częściowo zablokowały destrukcyjne oprogramowanie, nie doszło do przerw w dostawach ciepła ani blackoutów energetycznych. Szkody dotyczyły głównie infrastruktury IT — stacji roboczych, serwerów i systemów zarządzania, których odtwarzanie trwało tygodnie.

Kto stoi za atakiem?

CERT Polska przypisał atak grupie Static Tundra, powiązanej z rosyjskim FSB (Centrum 16). Firma ESET niezależnie powiązała użyte oprogramowanie DynoWiper z grupą Sandworm (GRU). Obie atrybucje wskazują na rosyjskie służby wywiadowcze, choć różnią się co do konkretnej jednostki odpowiedzialnej.

Czy moja firma jest zagrożona, jeśli nie jestem operatorem infrastruktury krytycznej?

Tak. Grudniowy atak pokazał, że kompromitacja jednego dostawcy technologicznego może jednocześnie dotknąć dziesiątki organizacji. Jeśli jesteś częścią łańcucha dostaw sektora energetycznego, produkcyjnego lub utilities — jako dostawca komponentów, integrator, firma logistyczna lub podwykonawca — ryzyko cię dotyczy.

Czym DynoWiper różni się od typowego ransomware?

DynoWiper to oprogramowanie destrukcyjne (wiper), którego jedynym celem jest trwałe zniszczenie danych. W przeciwieństwie do ransomware, nie szyfruje plików i nie żąda okupu. Nadpisuje dane losowymi ciągami znaków, czyniąc je nieodwracalnie nieczytelnymi. Nie ma klucza deszyfrującego, negocjacji ani możliwości odzyskania — jedyną opcją jest odtworzenie z kopii zapasowych.

Jakie są kary za niedostosowanie się do wymogów NIS2?

Dla podmiotów kluczowych (w tym operatorów energetycznych): do 10 milionów euro lub 2% globalnego rocznego obrotu. Dla podmiotów ważnych: do 7 milionów euro lub 1,4% obrotu. Dodatkowo NIS2 wprowadza możliwość nakładania sankcji osobistych na członków zarządu, włącznie z grzywnami i czasowym zakazem pełnienia funkcji zarządczych.

Od czego zacząć, jeśli nigdy nie mieliśmy audytu bezpieczeństwa OT?

Od identyfikacji tego, co macie. Inwentaryzacja urządzeń OT, mapowanie połączeń między sieciami IT i OT, sprawdzenie, czy domyślne hasła zostały zmienione. Brzmi banalnie, ale grudniowy atak udowodnił, że podstawowe zaniedbania — domyślne hasła, brak segmentacji, współdzielone konta VPN — są wystarczające, żeby umożliwić skoordynowany atak na dziesiątki lokalizacji jednocześnie.

Czy atak na polską energetykę może się powtórzyć?

Tak, i eksperci uważają to za prawdopodobne. Grupa Sandworm użyła od 2022 roku ponad 19 różnych rodzin destrukcyjnego oprogramowania. Grudniowy atak na Polskę to pierwszy potwierdzony przypadek użycia tych technik przeciwko krajowi NATO. Trend eskalacji — od Ukrainy przez kraje sąsiednie po członków NATO — wskazuje, że kolejne ataki na infrastrukturę krytyczną w regionie są kwestią czasu, nie możliwości.

Poznaj nasze produkty

Rozwiązania wspomniane w tym artykule, które mogą pomóc w ochronie Twojej organizacji:

Potrzebujesz wsparcia? Zespół nFlo pomoże zabezpieczyć Twoją organizację:

Tematy powiązane

Zobacz również:

Tagi:

cyberatak infrastruktura krytyczna energetyka DynoWiper cyberbezpieczeństwo NIS2 zarząd

Udostępnij:

Porozmawiaj z ekspertem

Masz pytania dotyczące tego tematu? Skontaktuj się z naszym opiekunem.

Opiekun handlowy
Grzegorz Gnych

Grzegorz Gnych

Opiekun handlowy

+48 664 003 003grzegorz.gnych@nflo.pl
Odpowiedź w ciągu 24 godzin
Bezpłatna konsultacja
Indywidualne podejście

Podanie numeru telefonu przyspieszy kontakt.

Chcesz obniżyć ryzyko i koszty IT?

Umów bezpłatną konsultację - odpowiemy w ciągu 24h

Odpowiedź w 24h Bezpłatna wycena Bez zobowiązań
Umów rozmowę +48 22 487 86 36

Lub pobierz bezpłatny przewodnik:

Pobierz checklistę NIS2