W 2025 roku odnotowano 187 potwierdzonych ataków ransomware na sektor energii, wzrost o 80 proc. rok do roku. W Polsce zarejestrowano ponad 627 tys. incydentów cybernetycznych, a atak z grudnia 2025 roku groził blackoutem.
Infrastruktura krytyczna obejmuje systemy i ich wzajemne powiązania, których zakłócenie lub zniszczenie może zagrozić życiu i zdrowiu obywateli, bezpieczeństwu powszechnemu, mieniu w znacznych rozmiarach lub środowisku naturalnemu. W praktyce oznacza to przede wszystkim sektor energetyczny (elektrownie, sieci przesyłowe, farmy wiatrowe i słoneczne, ciepłownie), wodno-kanalizacyjny (stacje uzdatniania, pompownie, oczyszczalnie ścieków), transportowy (kolej, lotniska, porty, systemy zarządzania ruchem), telekomunikacyjny (sieci komórkowe i światłowodowe, centra danych) oraz ochronę zdrowia (szpitale, systemy ratownictwa, bazy danych pacjentów). Każdy z tych sektorów charakteryzuje się wysokim stopniem cyfryzacji i automatyzacji, co czyni je podatnymi na zakłócenia pochodzące z sieci internetowej.
Szczególną rolę odgrywają systemy OT (operational technology), czyli sterowniki i urządzenia odpowiedzialne za fizyczny przebieg procesów przemysłowych. Wielu z nich nie projektowano z myślą o bezpieczeństwie cybernetycznym – powstały one kilkadziesiąt lat temu, korzystają z przestarzałych protokołów komunikacyjnych (takich jak Modbus czy DNP3), nie mają wbudowanych mechanizmów autoryzacji i szyfrowania, a ich architektura często zakłada zaufanie do wszystkich podłączonych urządzeń. W miarę jak systemy OT łączone są z korporacyjnymi sieciami IT w celu zdalnego zarządzania i monitorowania, dotychczas odizolowane urządzenia stają się dostępne przez internet, co otwiera przed atakującymi nowe wektory penetracji. Jak wskazują eksperci, systemy OT zaprojektowano z myślą o niezawodności, a nie o cyberbezpieczeństwie, co pozostawia je bezbronnymi wobec współczesnych zagrożeń.
Rosnąca skala i częstotliwość ataków
Dane zebrane z całego świata nie pozostawiają złudzeń co do dynamiki zagrożeń. Według raportu Cyble Energy & Utilities Threat Landscape Report 2025, w samym sektorze energetycznym i komunalnym odnotowano w 2025 roku 187 potwierdzonych ataków ransomware, przy czym liczba ta nie obejmuje prób, które się nie powiodły. Badanie LevelBlue SpiderLabs wykazało z kolei oszałamiający 80-procentowy wzrost aktywności ransomware w sektorze energii rok do roku. W skali globalnej liczba incydentów związanych z ransomware w sektorze energetycznym i komunalnym w 2025 roku była wyższa od poprzednich lat, a głównymi sprawcami były grupy takie jak RansomHub (24 ataki, 12,8 procent), Akira (20 ataków, 10,7 procent) i Play (18 ataków, 9,6 procent).
Polska jest jednym z państw Unii Europejskiej najbardziej narażonych na cyberataki, co potwierdzają oficjalne statystyki. W 2024 roku zarejestrowano ponad 627 tysięcy incydentów cybernetycznych, co oznacza wzrost o 60 procent w stosunku do 2023 roku, a liczba potwierdzonych naruszeń bezpieczeństwa wyniosła 111 660, czyli o 23 procent więcej niż w roku poprzednim. W 2023 roku liczba incydentów wyniosła 80 267, co już wtedy oznaczało wzrost o 100 procent względem roku poprzedniego. Według słów wiceministra cyfryzacji Dariusza Standerskiego, Polska codziennie odpiera od 20 do 50 prób ataku na swoją infrastrukturę krytyczną, z których większość jest skutecznie neutralizowana, ale część – szczególnie te wymierzone w placówki ochrony zdrowia – kończy się sukcesem. W odpowiedzi na narastające zagrożenie, polski rząd zwiększył budżet na cyberbezpieczeństwo z 600 milionów euro w 2024 roku do 1 miliarda euro w 2025 roku, co stanowi wzrost o około 67 procent.
Różnorodność sprawców i motywacji
Spektrum podmiotów dokonujących ataków na infrastrukturę krytyczną jest szerokie, a ich motywacje są równie zróżnicowane. Najpoważniejsze zagrożenie stanowią sponsorowane przez państwa grupy hakerskie, które działają na zlecenie wywiadów wojskowych i służb specjalnych, realizując cele geopolityczne. W przypadku Polski głównym przeciwnikiem w cyberprzestrzeni jest Rosja, której agencje wywiadowcze – w tym GRU – od lat prowadzą operacje wymierzone w polskie sieci energetyczne, systemy wodociągowe, transport i administrację publiczną.
Potwierdza to raport polskiej Agencji Bezpieczeństwa Wewnętrznego, która wykazała, że cyberataki sponsorowane przez państwa na systemy przemysłowe i infrastrukturę publiczną gwałtownie eskalowały w latach 2024 i 2025. W szczególności państwowi aktorzy atakowali obiekty wojskowe, infrastrukturę krytyczną oraz cywilne lokalizacje w całej Polsce, w tym systemy regulujące dostawy wody, energii elektrycznej, transportu i innych usług niezbędnych do funkcjonowania państwa. W raporcie ABW podkreślono również, że obserwowany trend odchodzi od kradzieży danych w kierunku fizycznego zakłócania działania infrastruktury.
Obok działań państwowych rosnącą rolę odgrywają grupy przestępcze działające dla zysku finansowego, wykorzystujące oprogramowanie ransomware do szyfrowania danych i żądania okupu. W 2025 roku takie grupy odpowiadały za zdecydowaną większość głośnych ataków na sektor energetyczny. Nie można także pominąć tzw. hacktivistów, czyli aktywistów działających w imię celów politycznych, społecznych lub ideologicznych – pro‑rosyjskie kolektywy koordynowały ataki DDoS na europejską infrastrukturę za pośrednictwem platformy gamifikacyjnej, która zachęcała wolontariuszy do udziału w operacjach cybernetycznych. Coraz bardziej niepokojące staje się również wykorzystanie sztucznej inteligencji przez atakujących – AI pozwala na automatyzację ataków, szybsze wykrywanie podatności oraz tworzenie przekonujących kampanii phishingowych na niespotykaną wcześniej skalę.
Sposoby przeprowadzania ataków
Współczesne ataki na infrastrukturę krytyczną są starannie zaplanowanymi operacjami, które często trwają miesiącami i składają się z kilku etapów. Pierwszym krokiem jest zazwyczaj rozpoznanie i penetracja systemów korporacyjnych ofiary. Atakujący wykorzystują wyrafinowane techniki socjotechniczne – w 2026 roku szczególnie popularne stało się „quishing”, czyli phishing z wykorzystaniem kodów QR, które kierują ofiary na fałszywe strony logowania.
Atakujący przeprowadzają również kampanie spear‑phishingowe, w których wysyłają spreparowane wiadomości e-mail z załącznikami lub linkami do konkretnych pracowników posiadających dostęp do wrażliwych systemów. Celem tego etapu jest zdobycie poświadczeń (loginów i haseł) lub bezpośrednie zainstalowanie złośliwego oprogramowania na urządzeniach podłączonych do sieci korporacyjnej.
Kolejnym etapem jest ruch boczny (lateral movement) – przemieszczanie się po sieci w poszukiwaniu systemów OT i sterowników przemysłowych. Ponieważ coraz częściej sieci IT i OT są ze sobą połączone, atakujący po zdobyciu przyczółka w korporacyjnej infrastrukturze mogą przejść do systemów zarządzających elektrowniami, stacjami uzdatniania wody czy sieciami energetycznymi. Tutaj największym problemem jest niski poziom zabezpieczeń samych urządzeń OT – wiele z nich używa domyślnych haseł, nie wymaga uwierzytelniania wieloskładnikowego, a ich oprogramowanie nie jest aktualizowane od lat.
Jak wykazało śledztwo po ataku na polską sieć energetyczną, we wszystkich zaatakowanych obiektach wykorzystano urządzenia FortiGate pełniące rolę VPN i zapory sieciowej, które nie miały włączonego uwierzytelniania wieloskładnikowego. Atakujący nie musieli nawet zgadywać haseł – najprawdopodobniej kupili skradzione wcześniej dane logowania, a następnie „zwyczajnie weszli”.
Ostatnią fazą jest właściwy atak, który może przybierać różne formy. Najczęściej stosowane są ataki ransomware, polegające na zaszyfrowaniu danych i zażądaniu okupu. W przypadku Halliburton, jednej z największych firm usługowych dla sektora naftowego, atak ransomware w sierpniu 2025 roku przyniósł straty w wysokości 35 milionów dolarów. W niektórych przypadkach atakujący nie szyfrują danych, lecz wykorzystują tzw. wiper malware, czyli oprogramowanie służące do bezpowrotnego niszczenia danych, często poprzez nadpisywanie ich losowymi wartościami.
Do najgroźniejszych należy atak na polską infrastrukturę energetyczną, gdzie atakujący zainstalowali złośliwe oprogramowanie DynoWiper, które nadpisywało pliki, nie pozostawiając możliwości odzyskania informacji. Równolegle atakujący mogą przeprowadzać ataki typu DDoS (rozproszona odmowa usługi) na sieci telekomunikacyjne i serwisy internetowe, co dodatkowo utrudnia komunikację i reakcję na incydent. Badacze zauważyli również rosnącą liczbę przypadków, w których atakujący nie ograniczają się do cyberprzestrzeni, ale wykorzystują zdobyty dostęp do fizycznego uszkadzania urządzeń – w przypadku ataku na polską sieć, napastnicy załadowali na sterowniki RTU uszkodzone oprogramowanie układowe, które unieruchomiło urządzenia w pętli restartu, czyniąc je bezużytecznymi.
Konsekwencje fizyczne i operacyjne
Najpoważniejszym ryzykiem związanym z atakami na infrastrukturę krytyczną są skutki fizyczne, które mogą rozciągać się na dziesiątki i setki kilometrów, wpływając na życie milionów ludzi. Uszkodzenie lub wyłączenie elektrowni, podstacji transformatorowej lub linii przesyłowej może doprowadzić do blackoutu, czyli całkowitego zaniku napięcia na dużym obszarze. W grudniu 2025 roku polskie władze poinformowały o sytuacji, w której operatorzy stracili nadzór nad około jedną czwartą krajowego miksu energetycznego, co w warunkach temperatury sięgającej minus 15 stopni Celsjusza mogło doprowadzić do katastrofy humanitarnej na skalę niewyobrażalną – szacowano, że nawet pół miliona gospodarstw domowych mogło zostać pozbawionych ogrzewania. Choć atak został ostatecznie odparty, minister cyfryzacji Krzysztof Gawkowski przyznał, że Polska „znalazła się bardzo blisko blackoutu”, a samo zdarzenie było najbardziej poważnym atakiem na infrastrukturę energetyczną od lat. Węgierska grupa antywirusowa policji odkryła złośliwe oprogramowanie, które pozwoliłoby zdalnie manipulować elektrowniami węglowymi, a rumuńska elektrownia Oltenia padła ofiarą ataku ransomware Gentlemen tuż po świętach Bożego Narodzenia 2025 roku.
Zniszczenia mogą mieć również charakter długotrwały i kosztowny w odbudowie. W przypadku ataku na polskie instalacje OZE, atakujący nie tylko wyłączyli urządzenia, ale trwale je uszkodzili, wymagając wymiany sprzętu, co pociągnęło za sobą znaczne nakłady finansowe. W amerykańskiej elektrowni atomowej Atomica doszło do serii fizycznych i cyberataków na kluczowy personel operacyjny i ochronę.
W Polsce, w jednym z miast liczących co najmniej 150 tysięcy mieszkańców, rosyjsko wspierana operacja hakerska niemal doprowadziła do odcięcia miasta od wody pitnej, a w innych lokalizacjach hakerzy manipulowali parametrami stacji uzdatniania i tłoczni ścieków. W 2021 roku haker usiłował zwiększyć stężenie wodorotlenku sodu w wodzie pitnej w Oldsmar na Florydzie, co mogło doprowadzić do zatrucia mieszkańców. W Arkansas City w Kansas w 2025 roku atak hakerski zmusił zakład uzdatniania wody do przejścia na tryb ręczny. W grudniu 2024 roku grupa Cyber Av3ngers zhakowała co najmniej dziesięć obiektów wodociągowych w Stanach Zjednoczonych.
Ofiarą ataków pada także sektor ochrony zdrowia, z szczególnie poważnymi konsekwencjami. W Polsce w 2025 roku hakerzy zaatakowali szpital Ministerstwa Spraw Wewnętrznych i Administracji w Krakowie, blokując dostęp do kluczowych systemów informatycznych. W innych przypadkach cyberprzestępcy doprowadzili do tymczasowego zamknięcia placówek medycznych, uniemożliwiając przyjmowanie pacjentów i przeprowadzanie zabiegów. W marcu 2026 roku pro‑irańska grupa Handala zaatakowała Stryker Corporation, wiodącą firmę technologii medycznych, zmuszając ją do czasowego wstrzymania produkcji wyrobów medycznych. W skali globalnej, aż 146 ataków ransomware na sektor energetyczny i komunalny nie zostało ujawnionych publicznie.
Przykład ataku na Polskę
Atak z 29 grudnia 2025 roku na polską infrastrukturę energetyczną jest uznawany przez ekspertów za jeden z najbardziej zaawansowanych i destrukcyjnych ataków cybernetycznych na infrastrukturę krytyczną w historii Europy i stanowi doskonały materiał do analizy współczesnych zagrożeń. Zgodnie z raportem CERT Polska, atak był starannie zaplanowaną operacją, której przygotowania sięgały marca 2025 roku – dziewięć miesięcy przed właściwą datą ataku. Przez ten czas atakujący przeprowadzili szeroko zakrojone rozpoznanie, wykonując zrzuty ekranu z systemów przemysłowych, eksportując listy uruchomionych procesów i zbierając poświadczenia dostępu do różnych sieci. Aktywność ta była tak zakamuflowana, że przez wiele miesięcy pozostawała niezauważona – atakujący poruszali się powoli, starannie zacierając ślady i nie wzbudzając podejrzeń.
Kiedy nadszedł dzień ataku, jego skala i koordynacja były bezprecedensowe. Atakujący uderzyli równocześnie w co najmniej 30 lokalizacji rozsianych po całej Polsce, w tym farmy wiatrowe, instalacje fotowoltaiczne, podstacje elektroenergetyczne oraz dużą elektrociepłownię obsługującą około pół miliona klientów. Wybór celów nie był przypadkowy – atakujący skoncentrowali się na zdecentralizowanych źródłach energii, które są kluczowe dla stabilności systemu i często gorzej zabezpieczone niż duże, scentralizowane elektrownie. W wielu przypadkach wykorzystano internetowe bramy VPN, które były podłączone do sterowników RTU, a które nie wymagały uwierzytelniania wieloskładnikowego. Same sterowniki zabezpieczone były domyślnymi hasłami, których nigdy nie zmieniono, a w wielu obiektach hasła te były identyczne, co znacznie ułatwiło atakującym przemieszczanie się między lokalizacjami.
Atakujący wykorzystali mieszankę kilku technik. W przypadku sterowników RTU załadowali uszkodzone oprogramowanie układowe, które unieruchomiło urządzenia w pętli restartów. W głównej elektrociepłowni wykorzystali zdobyte uprawnienia administracyjne do włamania się na system aktualizacji oprogramowania, a następnie rozesłali za jego pośrednictwem szkodliwe archiwum zawierające oprogramowanie typu wiper, które nadpisywało dane w całej sieci. Gdyby nie szybka reakcja zespołów inżynieryjnych i odpowiednie procedury awaryjne, skutki mogły być katastrofalne – operatorzy straciliby kontrolę nad znaczną częścią sieci, co w warunkach zimowej aury mogło doprowadzić do przerw w dostawach ciepła i energii na dużą skalę. Polska energetyka pozostawała pod ciągłym ostrzałem: w ciągu tygodnia od 9 do 15 listopada 2025 roku odnotowano ponad 2500 ataków na sektor energetyczny i ponad 2200 na administrację publiczną.
Nowe zagrożenia
W miarę transformacji energetycznej i wzrostu udziału odnawialnych źródeł energii, nowym polem walki w cyberprzestrzeni stają się bateryjne systemy magazynowania energii (BESS). W przeciwieństwie do tradycyjnych elektrowni, które opierają się na fizycznych procesach spalania paliwa, nowoczesne magazyny energii są w istocie programowalnymi systemami informatycznymi – składają się z systemów zarządzania bateriami (BMS), programowalnych sterowników logicznych (PLC), oprogramowania do zarządzania energią, sieci komunikacyjnych do zdalnego nadzoru oraz zautomatyzowanych sygnałów dyspozytorskich powiązanych z częstotliwością sieci i warunkami rynkowymi. Ponieważ BESS reaguje na polecenia wydawane przez oprogramowanie, a oprogramowanie stanowi główny cel ataków, uzyskanie dostępu do systemów sterowania lub kanałów komunikacyjnych i celowa destabilizacja mechanizmów bilansowania sieci to zaledwie kwestia kilku naciśnięć klawiszy.
Specyficzne ryzyka związane z magazynami energii obejmują między innymi utratę nadzoru nad rozproszonymi aktywami – atak na systemy komunikacji łączące rozproszone jednostki magazynowania z operatorami sieci może pozbawić dyspozytorów możliwości monitorowania stanu systemu, co przy dużym udziale OZE czyni utrzymanie stabilności sieci praktycznie niemożliwym. Kolejnym ryzykiem jest manipulacja sygnałami dyspozytorskimi: systemy magazynowania reagują automatycznie na sygnały płynące z sieci (dane o częstotliwości, instrukcje dyspozytorskie, sygnały cenowe). Jeżeli te kanały komunikacyjne zostaną naruszone, atakujący może teoretycznie wywołać skoordynowane rozładowanie wielu magazynów w momencie, gdy sieć jest przeciążona, lub wymusić ich ładowanie, gdy system potrzebuje dodatkowej mocy, destabilizując częstotliwość i obciążając zabezpieczenia. Ponadto, ponieważ magazyny energii są często wdrażane w ramach rozproszonych systemów energetycznych, każda lokalizacja – często słabiej zabezpieczona – stanowi potencjalny punkt wejścia.
Systemowe wyzwania w ochronie infrastruktury krytycznej
Eksperci wskazują na szereg problemów strukturalnych, które sprawiają, że ochrona infrastruktury krytycznej przed cyberatakami jest wyjątkowo trudna. Po pierwsze, wiele systemów OT to tak zwane systemy dziedziczone (legacy), powstałe kilkadziesiąt lat temu, gdy bezpieczeństwo cybernetyczne nie było brane pod uwagę. Wymiana ich na nowoczesne odpowiedniki jest niezwykle kosztowna i często niemożliwa bez długotrwałych przestojów w działaniu całych zakładów przemysłowych. Po drugie, konwergencja IT i OT, czyli łączenie sieci korporacyjnych z przemysłowymi, zwiększa powierzchnię ataku, ale jest nieunikniona w dobie cyfryzacji i automatyzacji procesów. Po trzecie, wiele organizacji nie posiada wystarczających budżetów ani wykwalifikowanego personelu do wdrożenia zaawansowanych zabezpieczeń – w Polsce wzrost budżetu na cyberbezpieczeństwo z 600 milionów do 1 miliarda euro jest odpowiedzią na tę potrzebę. Po czwarte, rola ludzkiego błędu pozostaje kluczowa: kampanie phishingowe wciąż odnoszą sukcesy, a pracownicy często nieświadomie udostępniają swoje dane logowania lub instalują złośliwe oprogramowanie. Wreszcie, długie łańcuchy dostaw – oprogramowanie i urządzenia pochodzące od wielu dostawców mogą zawierać ukryte luki lub celowo umieszczone backdoory, co sprawia, że nawet najlepiej zabezpieczona organizacja może paść ofiarą ataku przez słabe ogniwo u swojego dostawcy.
Środki zaradcze i strategie ochrony
W odpowiedzi na narastające zagrożenia, instytucje rządowe i międzynarodowe opracowują strategie ochrony infrastruktury krytycznej. Jednym z kluczowych narzędzi na poziomie unijnym jest dyrektywa NIS2, która weszła w życie w Polsce 3 kwietnia 2026 roku wraz z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. NIS2 nakłada na podmioty kluczowe i ważne, w tym operatorów infrastruktury krytycznej, obowiązek wdrożenia kompleksowych systemów zarządzania bezpieczeństwem informacji, raportowania poważnych incydentów oraz regularnego poddawania się audytom. Za nieprzestrzeganie przepisów grożą wysokie kary administracyjne oraz odpowiedzialność osobista menedżerów. Równolegle opracowywane są mechanizmy zapewnienia bezpieczeństwa łańcucha dostaw ICT dla sektorów infrastruktury krytycznej objętych dyrektywą NIS2.
W Stanach Zjednoczonych Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury uruchomiła w maju 2026 roku inicjatywę „CI Fortify”, która zachęca operatorów do budowania solidnych zdolności izolacji i odtwarzania, zdolności planowania awaryjnego w celu utrzymania dostaw kluczowych usług, nawet jeśli złośliwi aktorzy naruszą komunikację i połączenia stron trzecich. W ramach inicjatywy zaleca się przyjęcie, że w scenariuszu konfliktowym połączenia stron trzecich będą zawodne, a atakujący będą mieli już pewien dostęp do sieci OT. Operatorzy powinni przygotować się na odizolowanie systemów na okres do trzech miesięcy, opracować i testować plany reagowania umożliwiające samodzielne działanie oraz planować odbudowę systemów po poważnych incydentach. Izolacja polega na proaktywnym odłączaniu się od zależności stron trzecich i działaniu bez niezawodnej telekomunikacji i internetu, a odzyskiwanie – na szybkim przywracaniu uszkodzonych systemów w stanie izolacji. Operatorzy infrastruktury krytycznej powinni w okresie izolacji priorytetowo traktować dostawy usług dla innych podmiotów infrastruktury krytycznej i rozważyć przejście na obsługę ręczną zamiast polegania na OT.
W dziedzinie technicznej eksperci rekomendują wdrożenie architektury Zero Trust, czyli modelu, w którym żadnemu urządzeniu, użytkownikowi ani aplikacji nie ufa się domyślnie, nawet jeśli znajdują się one w obrębie sieci wewnętrznej. W praktyce oznacza to konieczność każdorazowego uwierzytelniania i autoryzacji każdego żądania dostępu, niezależnie od jego źródła, oraz stosowanie mikro-segmentacji sieci, która uniemożliwia atakującym swobodne przemieszczanie się między systemami. Wdrożenie uwierzytelniania wieloskładnikowego (MFA) dla wszystkich zdalnych połączeń z systemami OT jest uważane za absolutne minimum, podobnie jak regularna wymiana domyślnych haseł i stosowanie unikalnych poświadczeń dla każdego urządzenia. Regularne testy penetracyjne, audyty bezpieczeństwa oraz ćwiczenia symulujące ataki pomagają identyfikować słabe punkty w zabezpieczeniach. Nie mniej ważne są szkolenia dla pracowników z zakresu bezpieczeństwa cybernetycznego, szczególnie w zakresie rozpoznawania prób phishingu – w wielu przypadkach to właśnie nieuwaga lub brak wiedzy pojedynczego pracownika otwiera drzwi do całej organizacji. Wreszcie, tworzenie kopii zapasowych danych w systemie niemożliwym do modyfikacji (immutable backup), które nie mogą być zaszyfrowane ani usunięte przez atakującego, pozwala na przywrócenie systemów po ataku ransomware bez płacenia okupu. Jak wskazują statystyki, zaledwie 32 procent firm, które zapłaciły okup w 2024 roku, odzyskało swoje dane – w pozostałych przypadkach atakujący nie dostarczyli kluczy deszyfrujących lub dane zostały nieodwracalnie zniszczone.
Fot. Unsplash