To już nie są ćwiczenia. Cyberwojna w Polsce uderza w kopalnie i elektrownie

 W Szczyrku od 10 do 12 czerwca podczas ATI – Industrial Evolution 2026 | XII CyberRANGE – ATI – ISAC SIG przedstawiciele przemysłu, energetyki, górnictwa, administracji, wojska i środowiska cyberbezpieczeństwa próbowali odpowiedzieć na pytanie: co stanie się, gdy kolejny atak nie będzie wymierzony tylko w skrzynkę mailową, lecz w proces technologiczny odpowiedzialny za produkcję, bezpieczeństwo ludzi i funkcjonowanie państwa?

To już nie są ćwiczenia. Po ataku na sektor energii przemysł i górnictwo spotykają się na zamkniętym CyberRANGE 2026 PŚ po to, żeby sprawdzić, czy sektor jest gotowy na atak. 29 grudnia 2025 r. zaatakowano elementy polskiego sektora energetycznego. Według informacji CERT Polska celem nie były pieniądze ani okup. Celem było zakłócenie pracy infrastruktury krytycznej.

Dla górnictwa, energetyki i przemysłu oznacza to jedno: wojna w cyberprzestrzeni już trwa. Pytanie nie brzmi, czy dojdzie do kolejnego ataku, ale czy będziemy gotowi, gdy uderzy w kopalnię, elektrownię, dyspozytornię lub systemy odpowiedzialne za bezpieczeństwo ludzi. Dla spółek energetycznych oraz przedsiębiorstw takich jak KGHM, PGE, Enea, Azoty, Orlen czy Gaz System, stawką jest nie tylko produkcja, ale bezpieczeństwo całych regionów i milionów odbiorców energii.

Celem destrukcja

Po opublikowaniu raportu CERT Polska, dotyczącego skoordynowanych ataków na polski sektor energii, organizatorzy ATI – Industrial Evolution 2026 | XII CyberRANGE – ATI – ISAC SIG stawiają sprawę jasno: cyberbezpieczeństwo przemysłu, górnictwa i energetyki nie jest już wyłącznie problemem działów IT. To kwestia ciągłości ruchu zakładów, bezpieczeństwa infrastruktury krytycznej i odporności państwa.

Raport CERT Polska opisuje serię skoordynowanych ataków z 29 grudnia 2025 r., wymierzonych m.in. w farmy wiatrowe i fotowoltaiczne, przedsiębiorstwo produkcyjne oraz elektrociepłownię dostarczającą ciepło dla prawie pół miliona odbiorców. Według NASK działania miały charakter destrukcyjny, a nie finansowy. Ich celem było zakłócenie pracy infrastruktury, a nie wymuszenie okupu. 

W górnictwie taki scenariusz trzeba czytać bardzo konkretnie. Jeżeli cyberatak uderza w zasilanie, łączność, dyspozytornię, systemy SCADA, automatykę, monitoring, backup, systemy gazometryczne, odwadnianie albo transmisję danych, przestaje być incydentem informatycznym. Staje się zdarzeniem mogącym wpływać na ruch zakładu.

Dlatego czerwcowe ATI – Industrial Evolution 2026 | XII CyberRANGE – ATI – ISAC SIG nie było klasyczną konferencją. Było zamkniętym, roboczym spotkaniem środowiska odpowiedzialnego za cyberodporność infrastruktury krytycznej, bezpieczeństwo OT/ICS, energetykę, górnictwo, automatykę przemysłową i ciągłość działania. Program wydarzenia obejmował sesję plenarną, praktyczny CyberRANGE, warsztaty techniczne oraz ścieżkę poświęconą systemom świadomości sytuacyjnej w nowoczesnej kopalni. 

— Nie spotykamy się po to, żeby kolejny raz powiedzieć, że cyberbezpieczeństwo jest ważne. Spotykamy się po to, żeby sprawdzić, czy sektor jest gotowy na atak, który nie zatrzyma się na skrzynce mailowej, ale pójdzie w stronę systemów odpowiedzialnych za ruch, produkcję i bezpieczeństwo ludzi — podkreśla mgr inż. Piotr Toś z Wyższego Urzędu Górniczego i Politechniki Śląskiej, przewodniczący Komitetu Organizacyjnego wydarzenia. 

Szczególne znaczenie miał udział NASK. W programie wydarzenia znalazły się warsztaty „Cyberbezpieczeństwo w sektorze energetycznym i górniczym”, prowadzone przez Piotra Kota z NASK, obejmujące techniczną analizę ataków opisanych w raporcie CERT Polska oraz przełożenie wniosków na środowiska górnicze.

Nie chodzi o teorię

— To, że NASK przygotował dla uczestników warsztat będący praktycznym uzupełnieniem raportu po ataku na sektor energii, traktujemy jako oznakę zaufania. To wiedza, którą trzeba przełożyć na decyzje techniczne, organizacyjne i ruchowe w zakładach. Nie chodzi o teorię. Chodzi o to, czy wiemy, kto ma zdalny dostęp, gdzie są konta serwisowe, czy działa MFA, czy kopie zapasowe są odtwarzalne i kto podejmuje decyzje w pierwszej godzinie incydentu — zaznacza Piotr Toś.

Wydarzenie zgromadziło przedstawicieli nauki, przemysłu, administracji, sektora cyberbezpieczeństwa oraz środowiska wojskowego. W programie i komitetach obecni są eksperci m.in. z Politechniki Śląskiej, PIG-PIB, WUG, NASK, WAT, Akademii Marynarki Wojennej, GIG-PIB oraz partnerów przemysłowych. W Komitecie Naukowym uczestniczą m.in. płk prof. dr hab. inż. Anna Borucka z Wojskowej Akademii Technicznej, dr Paweł Kawalerski z WAT oraz dr inż. Jakub Syta z Morskiego Centrum Cyberbezpieczeństwa Akademii Marynarki Wojennej. 

Centralnym punktem wydarzenia było XII CyberRANGE – Industrial Defense League w formule Red vs Blue: kompromitacja środowiska, analiza śladów ataku, threat hunting, wnioski dla OT/IT i infrastruktury przemysłowej. Program obejmuje również ścieżkę dotyczącą systemów świadomości sytuacyjnej w nowoczesnej kopalni oraz wizytę techniczną poświęconą serwerowni, bezpieczeństwu fizycznemu, monitoringowi usług, backupowi i procedurom ciągłości działania. 

Organizatorzy podkreślają, że celem wydarzenia nie było budowanie atmosfery strachu, lecz przełamanie fałszywego poczucia bezpieczeństwa. Raport CERT Polska pokazał, że atakujący interesują się nie tylko pocztą elektroniczną i systemami biurowymi, ale również zdalnym dostępem, urządzeniami brzegowymi, konfiguracjami, poświadczeniami, systemami automatyki, SCADA i zdolnością organizacji do odtworzenia działania po incydencie.

– Jeżeli ktoś nie ćwiczy, nie wymienia informacji i nie sprawdza swojej odporności, może stać się najsłabszym ogniwem całego łańcucha. A w infrastrukturze krytycznej najsłabsze ogniwo to ryzyko dla wszystkich — dodaje Piotr Toś.