Dlaczego polskie kopalnie i elektrownie są zagrożone? Kulisy sabotażu, który mógł pozbawić ciepła pół miliona osób

Europejskie i krajowe regulacje cyberbezpieczeństwa wymuszają na sektorze energetycznym, wydobywczym i surowcowym wdrożenie standardów ochrony, które do tej pory były traktowane jako opcjonalne – podkreślono w raporcie. Jednocześnie eksperci od cyberbezpieczeństwa ostrzegają: „czas na dobrowolność minął – nadchodzą twarde wymagania i realne sankcje”.

Atak w środku sezonu

Autorzy raportu przywołują zdarzenie z 29 grudnia 2025 r. Doszło wówczas do skoordynowanego, wielowątkowego cyberataku sabotażowego wymierzonego w infrastrukturę energetyczną w Polsce. Atak miał charakter czysto destrukcyjny – analitycy porównują go do cyfrowego podpalenia. W odróżnieniu od typowych ataków ransomware, sprawcy – jak wskazują specjaliści – nie żądali okupu. Celem było trwałe uszkodzenie systemów sterowania oraz blokowanie urządzeń OT i IT. Atak nastąpił w środku sezonu grzewczego, kiedy zapotrzebowanie na energię i ciepło jest najwyższe. Timing nie był przypadkowy – uderzenie w elektrociepłownię mogło pozbawić ciepła setki tysięcy odbiorców w warunkach zimowych i tylko dzięki szybkim reakcjom obronnym operatorów nie doszło do przerw w dostawach energii ani ciepła dla odbiorców końcowych. Co najmniej 30 farm wiatrowych i fotowoltaicznych stało się bezpośrednim celem ataku, a także duża elektrociepłownia dostarczająca ciepło sieciowe do około 500 000 odbiorców. Sprawcy wykorzystali internet – dostępne urządzenia brzegowe – bramy VPN i firewalle – zabezpieczone domyślnymi lub słabymi poświadczeniami. Po uzyskaniu przyczółka przeprowadzili eskalację uprawnień i poruszali się lateralnie w sieci, docierając do warstwy OT. Kluczowym elementem było przeprogramowanie firmware’u sterowników przemysłowych. Po zbadaniu śladów ataku nie było cienia wątpliwości, że za incydentem stali hakerzy powiązani ze służbami wywiadowczymi obcego państwa.

Autorzy raportu o cyberbezpieczeństwie wręcz alarmują, że sektor surowcowy, wydobywczy i energetyczny stoi przed bezprecedensowym wyzwaniem: koniecznością zbudowania odporności cyfrowej w środowiskach, które nie były projektowane z myślą o cyberbezpieczeństwie. Jednocześnie wskazali oni najsłabsze ogniwa infrastruktury krytycznej. To brak wieloskładnikowego uwierzytelniania (MFA), błędy konfiguracji uprawnień (Privilege Misconfiguration), a także konta uprzywilejowane bez nadzoru (PAM). W raporcie podkreślono, że pojedyncze hasło to niewystarczająca ochrona. Ataki phishingowe, wycieki danych z innych serwisów i techniki brute force pozwalają atakującym przejąć konta uprzywilejowane w ciągu minut. MFA redukuje to ryzyko o ponad 99 proc. dla ataków opartych na skradzionych danych logowania. Administratorom wytknięto także nadmierne uprawnienia kont serwisowych, nieusunięte konta byłych pracowników i błędnie skonfigurowane grupy Active Directory tworzące ukryte ścieżki eskalacji uprawnień – często niewidoczne dla zespołów SOC bez specjalistycznych narzędzi IAM. Ponadto – jak wskazano w raporcie – konta administratorów systemów SCADA, inżynierów OT i zewnętrznych dostawców serwisu często działają poza zakresem standardowych polityk bezpieczeństwa. Brak rozwiązań Privileged Access Management (PAM) czyni je łatwym celem.

Najpierw obserwacja, później uderzenie

Przypomniano jednocześnie, że systemy OT w energetyce i górnictwie były projektowane z myślą o niezawodności i ciągłości pracy – nie o cyberbezpieczeństwie. Wiele z nich działa na przestarzałych protokołach (Modbus, DNP3) bez możliwości szyfrowania ani uwierzytelniania.

W opinii ekspertów od cyberbezpieczeństwa atakujący grupy APT przebywają średnio od dziewięciu do osiemnastu miesięcy w sieciach przemysłowych przed pierwszym widocznym uderzeniem. Prowadzą systematyczny, cichy rekonesans – bez generowania alertów i bez zakłócania pracy systemów. Uderzają zaś w sposób skoordynowany w dogodnej sytuacji.

Eksperci uczulają: krajobraz zagrożeń ewoluuje w niepokojącym kierunku: ataki przestają mieć charakter wyłącznie finansowy. O ile ransomware nadal stanowi realne ryzyko, grupy APT (Advanced Persistent Threat) powiązane z państwami coraz częściej sięgają po narzędzia destrukcyjne. Złośliwe oprogramowanie zaprojektowane do trwałego niszczenia danych i systemów bez możliwości odzyskania – infrastruktura zostaje unieruchomiona na tygodnie. Warto o tym wiedzieć i dmuchać na zimne. W górnictwie i energetyce bowiem utrata kontroli nad procesami przemysłowymi bezpośrednio zagraża bezpieczeństwu publicznemu i życiu pracowników oraz okolicznych mieszkańców.

W kontekście cyberataków na infrastrukturę kopalnianą wciąż przywoływany jest incydent sprzed siedmiu lat, kiedy to hakerzy zakłócili funkcjonowanie sieci i wszystkich serwerów czeskiej spółki OKD. Musiano na kilka dni wstrzymać wydobywanie węgla we wszystkich działających wówczas kopalniach. Dlatego GIG-PIB, Jastrzębska Spółka Węglowa, KGHM Polska Miedź, Tauron Polska Energia, Polska Grupa Górnicza, Lubelski Węgiel Bogdanka, Politechnika Śląska oraz ITG Komag połączyły swe siły w ramach Centrum Wymiany i Analizy Informacji ISAC-GIG.

Warto wiedzieć, że Wyższy Urząd Górniczy uczestniczy w projekcie Cyberbezpieczny Rząd. Ma on na celu wsparcie centralnych i naczelnych organów administracji państwowej w zakresie cyberbezpieczeństwa. Celem działań podjętych w trzech obszarach projektu: organizacyjnym, kompetencyjnym oraz technologicznym, jest m.in. wzmocnienie odporności urzędów górniczych na cyberzagrożenia, zwiększenie poziomu bezpieczeństwa w nadzorze górniczym oraz podniesienie kompetencji pracowników w zakresie zabezpieczeń i cyberhigieny.

Raport o cyberbezpieczeństwie zaprezentowano podczas XXXV Szkoły Eksploatacji Podziemnej.