Fabryki są bezbronne. Dlaczego atak na przemysł jest tylko kwestią czasu?

Cyberatak na przemysł przestał być teorią. Raporty ENISA i Dragos pokazują lawinowy wzrost ataków na OT, które grożą blackoutami i paraliżem gospodarki.

Systemy OT i ICS są znacznie słabiej chronione niż sektor finansowy, a ich kompromitacja grozi fizycznymi zniszczeniami.
Raport ENISA 2025 analizuje blisko 4,9 tys. incydentów, z naciskiem na infrastrukturę krytyczną UE.
Dragos odnotował 87-procentowy wzrost ataków ransomware na przemysł oraz nowe malware dedykowane OT.
Polska doświadcza od 20 do 50 prób cyber-sabotażu dziennie, głównie ze strony Rosji.
Budżet cyberobrony Polski wzrósł do rekordowego poziomu 1 mld euro, czyniąc OT priorytetem bezpieczeństwa państwa.

Przemysłowe systemy sterowania, określane jako OT/ICS, odpowiadają za działanie m.in. sieci energetycznych, wodociągów, zakładów przemysłowych i infrastruktury transportowej. Z dostępnych danych wynika, że poziom ich zabezpieczenia jest niższy niż w sektorze finansowym. Jednocześnie skutki udanego ataku na tego typu systemy mogą obejmować przerwy w dostawach energii, zatrzymanie produkcji w zakładach przemysłowych lub zakłócenia w funkcjonowaniu infrastruktury krytycznej.

W 2025 roku zarówno Polska, jak i inne państwa europejskie odnotowują zwiększoną liczbę cyberataków wymierzonych w infrastrukturę przemysłową. W tekście źródłowym wskazano, że znacząca część tych działań jest powiązana z aktywnością sponsorowaną przez Rosję. W tym kontekście cyberbezpieczeństwo infrastruktury OT/ICS jest traktowane jako jeden z kluczowych obszarów bezpieczeństwa państwa.

Raport „ENISA Threat Landscape 2025” obejmuje analizę ponad 4800 incydentów cybernetycznych z okresu od lipca 2024 do czerwca 2025 roku. Dokument wskazuje na wzrost aktywności grup hacktywistycznych oraz podmiotów powiązanych z państwami, a jednym z głównych celów ich działań jest infrastruktura krytyczna. Analiza obejmuje m.in. ataki na systemy przemysłowe, sieci energetyczne i inne elementy kluczowe dla funkcjonowania gospodarki.

Podobne wnioski przedstawiono w raporcie „OT/ICS Cybersecurity Year in Review 2025”, przygotowanym przez firmę Dragos. Zawarte w nim dane wskazują na 87-procentowy wzrost liczby ataków ransomware skierowanych przeciwko organizacjom przemysłowym. W raporcie odnotowano również pojawienie się nowych rodzin złośliwego oprogramowania projektowanych specjalnie z myślą o środowiskach OT.

Sytuację w Polsce opisano na podstawie informacji przekazanych przez ministra cyfryzacji Krzysztofa Gawkowskiego. Według tych danych infrastruktura krytyczna w kraju jest celem od 20 do 50 prób sabotażu dziennie. Jednocześnie wskazano na rekordowy budżet przeznaczony na cyberobronę, który wynosi 1 miliard euro. Zebrane informacje dotyczące skali incydentów i działań ochronnych odnoszą się do sektorów energetycznego, wodnego oraz przemysłowego.

Rosnąca skala zagrożeń

Raport ENISA Threat Landscape 2025, opublikowany 1 października 2025 roku, obejmuje analizę 4875 incydentów cybernetycznych zarejestrowanych między 1 lipca 2024 a 30 czerwca 2025 roku. Dokument został przygotowany w oparciu o podejście skoncentrowane na zagrożeniach, z większym naciskiem na opis okoliczności i sposobów działania atakujących. W raporcie wskazano, że na obszarze Unii Europejskiej rośnie liczba ataków prowadzonych zarówno przez grupy hacktywistyczne, jak i podmioty powiązane z państwami. Działania te są wymierzone głównie w infrastrukturę krytyczną i obejmują operacje o charakterze szpiegowskim oraz działania powodujące realne szkody. W opisywanych incydentach wykorzystywane były znane podatności systemów oraz nieprawidłowo skonfigurowane mechanizmy zdalnego dostępu.

Równolegle firma Dragos przedstawiła ósme wydanie raportu OT/ICS Cybersecurity Year in Review 2025, poświęconego bezpieczeństwu środowisk przemysłowych. Z dokumentu wynika, że w analizowanym okresie nastąpił wyraźny wzrost aktywności ransomware wymierzonej w organizacje korzystające z systemów OT i ICS. Liczba grup prowadzących takie ataki wzrosła o 60 procent i osiągnęła poziom 80 podmiotów. W pierwszej połowie roku każda z tych grup atakowała średnio 34 cele tygodniowo, natomiast w drugiej połowie roku liczba ta uległa podwojeniu.

Najczęściej dotkniętym obszarem pozostaje sektor produkcyjny, który odpowiada za ponad połowę wszystkich odnotowanych ofiar ransomware. Analiza Dragos pokazuje, że w 25 procentach przypadków ataki prowadziły do całkowitego wyłączenia systemów OT, a w 75 procentach skutkowały częściowymi zakłóceniami procesów operacyjnych.

Nowe grupy zagrożeń

87 procent wzrostu ataków na przemysł

W 2024 roku odnotowano wyraźny wzrost liczby ataków ransomware wymierzonych w organizacje przemysłowe. Z danych firmy Dragos wynika, że w ujęciu rocznym liczba takich ataków wzrosła o 87 procent. W pierwszej połowie 2024 roku około 80 aktywnych grup ransomware prowadziło działania skierowane średnio przeciwko 34 celom tygodniowo. W drugiej połowie roku ta liczba wzrosła dwukrotnie.

Ataki były kierowane przede wszystkim przeciwko środowiskom OT, czyli systemom operacyjnym wykorzystywanym w przemyśle, energetyce, gospodarce wodnej i produkcji. Wśród podmiotów prowadzących tego typu działania wskazano również grupy określane jako hacktywistyczne. Wymieniono m.in. Handala, Kill Security oraz CyberVolk, które w swoich operacjach stosowały narzędzia ransomware. Zgodnie z informacjami Dragos, działania tych grup osiągały poziom Stage 2 w modelu ICS Cyber Kill Chain, co oznacza przejście od rozpoznania do aktywnych prób oddziaływania na systemy przemysłowe.

Polska odnotowuje bardzo dużą liczbę cyberataków wymierzonych w elementy infrastruktury krytycznej. Z dostępnych danych wynika, że każdego dnia dochodzi do kilkudziesięciu prób sabotażu w systemach informatycznych obsługujących kluczowe usługi publiczne. Skala tych działań obejmuje od 20 do 50 incydentów dziennie i dotyczy m.in. systemów odpowiedzialnych za ochronę zdrowia, dostawy wody oraz funkcjonowanie sektora energetycznego.

Według informacji przekazanych przez wiceministra cyfryzacji Dariusza Standerskiego, w pierwszych trzech kwartałach 2025 roku zidentyfikowano łącznie około 170 tysięcy incydentów cybernetycznych. Znaczna część z nich została przypisana podmiotom powiązanym z Rosją. Ataki te miały różny charakter, od prób zakłócenia działania systemów po próby uzyskania nieautoryzowanego dostępu do sieci informatycznych. W niektórych przypadkach, zwłaszcza w sektorze ochrony zdrowia, doszło do skutecznych naruszeń bezpieczeństwa, które spowodowały czasowe wstrzymanie pracy placówek medycznych i przerwy w realizacji zabiegów.

W sierpniu 2025 roku udaremniono atak wymierzony w system wodociągowy jednego z dziesięciu największych miast w Polsce. W tym przypadku osoby przeprowadzające atak zdołały uzyskać dostęp do sieci IT obsługującej infrastrukturę, jednak zostały powstrzymane przed wyłączeniem dostaw wody dla mieszkańców. Zdarzenie to było jednym z przykładów prób ingerencji w funkcjonowanie podstawowych usług komunalnych.

W odpowiedzi na rosnącą liczbę incydentów rząd przeznaczył dodatkowe środki finansowe na wzmocnienie zabezpieczeń. Na poprawę cyberbezpieczeństwa systemów wodnych zaplanowano 80 milionów euro. Jednocześnie całkowity budżet państwa na działania związane z cyberbezpieczeństwem w 2025 roku zwiększono do poziomu 1 miliarda euro. Środki te mają zostać wykorzystane na modernizację systemów, szkolenia oraz rozwój zdolności reagowania na incydenty.

Poza atakami na infrastrukturę informatyczną odnotowywane są również inne formy działań w przestrzeni cyfrowej i elektromagnetycznej. Wśród nich wymienia się zakłócanie sygnału GPS oraz operacje dezinformacyjne. Przykładem były działania po ataku dronowym we wrześniu 2025 roku, kiedy aktywowano wcześniej nieużywane konta automatyczne w sieci, wykorzystywane do rozpowszechniania fałszywych informacji dotyczących Ukrainy.

Zwrócono uwagę na rosnącą zbieżność działań grup hacktywistycznych i aktorów państwowych. Wskazano, że hacktywiści coraz częściej realizują cele zbieżne z interesami państw, działając jako pośrednicy w operacjach, które mogą być prowadzone z zachowaniem zaprzeczalności. Oznacza to, że ataki przedstawiane jako ideologiczne lub motywowane aktywizmem mogą jednocześnie wspierać cele strategiczne realizowane przez inne podmioty.

Zjawisko to dotyczy również Europy, w tym Polski. W tekście podkreślono, że ataki na infrastrukturę związaną z wodą, energią oraz produkcją mogą prowadzić do zakłóceń w dostawach lub przerw w funkcjonowaniu systemów. Wskazano, że tego typu incydenty mogą mieć bezpośredni wpływ na ciągłość działania usług i procesów przemysłowych.