energetyka-rozproszona.pl
2 lutego 2026 11:18 - Polska
Skoordynowany cyberatak na polską infrastrukturę energetyczną – raport CERT Polska

Pod koniec 2025 roku polska infrastruktura energetyczna znalazła się na celowniku skoordynowanego cyberataku o charakterze sabotażowym. W jednym dniu  (29 grudnia) uderzono jednocześnie w dziesiątki farm OZE, prywatną spółkę produkcyjną oraz elektrociepłownię ogrzewającą niemal pół miliona odbiorców, w samym środku zimowej fali mrozów. Choć system elektroenergetyczny zachował stabilność i nie doszło do przerw w dostawach energii, skala i charakter działań stanowiły bezprecedensową eskalację zagrożeń w polskiej cyberprzestrzeni.

Opublikowany raport CERT Polska szczegółowo rekonstruuje przebieg incydentu, ujawnia zastosowane techniki ataku i pokazuje, jak wygląda współczesna dywersja cyfrowa wymierzona jednocześnie w systemy IT i fizyczne urządzenia przemysłowe. To lektura obowiązkowa dla wszystkich, którzy chcą zrozumieć realne ryzyko cyberataków na infrastrukturę krytyczną oraz wnioski, które mogą zadecydować o bezpieczeństwie w przyszłości.

 

Polska infrastruktura energetyczna celem skoordynowanego cyberataku

Zgodnie z ustaleniami, atak miał charakter destrukcyjny i nie był motywowany finansowo. Wykorzystano specjalistyczne złośliwe oprogramowanie, którego celem było trwałe niszczenie danych i blokowanie pracy urządzeń przemysłowych. Zdarzenia dotknęły zarówno systemy informatyczne, jak i fizyczne urządzenia przemysłowe. Zebrane informacje techniczne pozwalają wiązać ten atak z działaniami prowadzonymi przez klastry aktywności znane pod nazwami: Static Tundra, Berserk Bear, Ghost Blizzard oraz Dragonfly.
 

Ataki na kluczowe elementy sterowania

Atak na farmy OZE był wymierzony w stacje elektroenergetyczne GPO – kluczowe punkty łączące instalacje wiatrowe i fotowoltaiczne z siecią dystrybucyjną, zarządzane zdalnie. Sprawca wykorzystałwy podatności oraz słabe zabezpieczenia  urządzeń VPN i firewalli, uzyskał uprawnienia administracyjne i przeprowadził zautomatyzowane działania destrukcyjne, w tym reset urządzeń do ustawień fabrycznych. Skutkiem było zerwanie łączności z operatorem sieci dystrybucyjnej i utrata możliwości zdalnego sterowania, bez bezpośredniego wpływu na bieżącą produkcję energii.

W przypadku cyberataku na elektrociepłownię celem było zniszczenie danych w sieci wewnętrznej przy użyciu złośliwego oprogramowania typu wiper (oprogramowanie niszczące pliki lub wymazujące dyski). Atak poprzedzony był wielomiesięczną infiltracją systemów i kradzieżą wrażliwych informacji. Analiza wskazuje na długofalową aktywność aktora o spójnym profilu, choć nie udało się jednoznacznie potwierdzić, że wszystkie etapy ataku przeprowadziła ta sama grupa.

Odnotowano również próbę cyberataku na firmę z sektora produkcyjnego. Sprawca uzyskał dostęp przez podatne urządzenie brzegowe Fortinet, którego konfiguracja została wcześniej wykradziona i upubliczniona w środowiskach przestępczych. Następnie wprowadził zmiany zapewniające trwały dostęp do systemu, wykorzystując wbudowany mechanizm skryptów do cyklicznej kradzieży poświadczeń oraz osłabiania ustawień bezpieczeństwa.

Wnioski istotne dla całego sektora

Odnawialne źródła energii coraz częściej pełnią rolę filaru stabilności systemów elektroenergetycznych, jednak ich rosnąca skala i głęboka integracja z siecią sprawiają, że stają się również atrakcyjnym celem dla coraz bardziej zaawansowanych cyberzagrożeń. W obliczu gwałtownego wzrostu instalacji solarnych i wiatrowych, postępującej elektryfikacji gospodarki oraz narastających napięć geopolitycznych, odporność cyfrowa infrastruktury OZE przestaje być zagadnieniem teoretycznym i staje się kluczowa dla zapewnienia przyszłego bezpieczeństwa energetycznego.

Opisywane incydenty pokazują nową skalę zagrożeń w cyberprzestrzeni, obejmujących zarówno systemy IT, jak i fizyczne elementy infrastruktury przemysłowej. Publikowany raport ma na celu nie tylko przedstawienie przebiegu ataków, zastosowanych technik, ale także wsparcie podmiotów w lepszym rozpoznawaniu i ograniczaniu podobnych zagrożeń. Zdarzenia z 29 grudnia 2025 roku stanowią wyraźną eskalację w porównaniu z dotychczas obserwowaną aktywnością.

Szczegółowe informacje techniczne, wnioski i rekomendacje zostały zawarte w pełnej treści raportu.

 

 

Źródło: https://cert.pl/

CERT Polska to zespół działający w strukturach NASK - Państwowego Instytutu Badawczego, powołany w 1996 roku do reagowania na incydenty bezpieczeństwa komputerowego. Realizuje zadania CSIRT NASK, jednego z trzech takich zespołów działających na poziomie krajowym w ramach krajowego systemu cyberbezpieczeństwa.

Polecamy
Główni interesariusze transformacji energetycznej spotkali się na AGH w Krakowie [Wideorelacja z IKER]
Podziękowanie za udział w Kongresie Energetyki Rozproszonej
Energetyka-rozproszona.pl – nowy szyld dla znanych kanałów komunikacyjnych
Najbliższe wydarzenie
Jaka przyszłość lokalnej energetyki? - konferencja podsumowująca KER3

26 listopada 2025 10:00

Dołącz do wydarzenia
FAQ
Najczęściej zadawane pytania
Mapa społeczności energetycznych
Sprawdź lokalizację
Zobacz materiały z wydarzeń
Śledź nasze relacje
Zadaj pytanie ekspertowi
Rozwiejemy Twoje wątpliwości