– Jeszcze dziesięć lat temu żyliśmy w rzeczywistości, która się wydawała bardzo bezpieczna. Teraz, szczególnie po pełnoskalowej inwazji Rosji na Ukrainę, cyberataki stały się jednym ze sposobów prowadzenia wojny – mówi Leszek Mróz, partner w firmie doradczej EY, odpowiedzialny za usługi cyberbezpieczeństwa w Polsce
Zarządzający energetyką w pełni zdali sobie sprawę z ogromu zagrożenia, jakie niosą cyberataki, dopiero kilkanaście lat temu. Jednym z powodów był amerykańsko-izraelski atak hakerski na irańskie wirówki do wzbogacania uranu, ujawniony w 2011 r. W kolejnych latach doszło do podobnych incydentów, na przykład w 2015 r. we wschodniej części Ukrainy atak hakerski spowodował awarię zasilania.
Zdarzenia te pokazały, że atakujący potrafią zdalnie sterować systemami i zakłócać procesy technologiczne. Ryzyko poważnych zakłóceń dostrzegają również polscy energetycy. Wyłączenie dostawy prądu lokalnie lub na poziomie kraju to niestety realny scenariusz.
– Bierzemy pod uwagę ryzyko blackoutu w wyniku cyberataku. Nie istnieją zabezpieczenia, których nie da się przełamać – mówi Kamil Wąsowicz, zastępca dyrektora departamentu teleinformatyki w Polskich Sieciach Elektroenergetycznych (PSE).
Rośnie zaangażowanie państw w cyberataki
Leszek Mróz dodaje, że Polska, obok Ukrainy i Wielkiej Brytanii, jest jednym z krajów, które są w największym stopniu atakowane w sieci przez grupy wspierane przez państwa.
– Sektor elektroenergetyczny i paliwowy są w centrum infrastruktury krytycznej i stanowią jedne z głównych celów ataków – mówi ekspert EY.
Według niego w zależności od źródła można mówić o wzroście liczby cyberataków o kilka lub kilkanaście procent w 2024 r.
– W 2025 r. też możemy spodziewać się wzrostu. Przy czym warto wskazać, że wykrywamy więcej ataków, bo rośnie stopień przygotowania operatorów infrastruktury energetycznej – dodaje Leszek Mróz.
Wzrost liczby zagrożeń potwierdza też Kamil Wąsowicz. Wskazuje, że hakerzy mogą uderzyć na trzy sposoby - poprzez ludzi, procesy lub technologie.
– Najbardziej narażeni są ludzie, którzy mogą czegoś nie dopilnować, choćby ze zmęczenia. Atakujący mogą też wykorzystywać argumenty ekonomiczne lub groźby dotyczące bezpieczeństwa ich rodzin. Dlatego wciąż łatwiej jest dotrzeć do systemu przez człowieka niż przez bariery techniczne – mówi specjalista z PSE.
Podkreśla też, że procedury i kultura organizacyjna firmy są równie ważne co technologia.
Energetycy rozwijają zabezpieczenia
Sektor energetyczny był jednym z pierwszych, które zaczęły świadomie inwestować w bezpieczeństwo informatyczne.
– Firmy zwykle mają rozwiązania techniczne, i to z najwyższej półki. Skupiają się teraz na wyciągnięciu z nich jak największej wartości, na przykład poprzez automatyzację, integrację systemów czy skuteczną analizę danych – mówi Leszek Mróz.
Wyjaśnia, że narzędzia ochrony skupiają się na obszarach zarządzania dostępem do sieci informatycznej, wykrywania anomalii w systemie, obserwowania korelacji zdarzeń, by dostrzec wzorce potencjalnych ataków. Są też narzędzia, które pozwalają szybko zareagować na atak, na przykład ograniczając jego obszar.
– W energetyce koncentrujemy się obecnie na silnym odseparowaniu technologii operacyjnych (OT) od technologii informatycznych (IT) – mówi natomiast Kamil Wąsowicz.
PSE robi to na przykład poprzez instalację diod danych, czyli urządzeń blokujących przepływ danych w wybranym kierunku. Tam, gdzie to możliwe, energetycy utrzymują osobne systemy, serwery, sieci i podsieci oraz wydzielone kampusy. OT i IT zajmują się też osobne zespoły pracowników.
– Jednocześnie musimy zapewnić specjalistom bezpieczne, kontrolowane narzędzia dostępu do tych środowisk – dodaje Kamil Wąsowicz.
Podkreśla, że cyberbezpieczeństwo to nie tylko zapobieganie atakom, lecz także świadomość, że atak może się udać nawet przy bardzo silnych zabezpieczeniach. Kluczowa jest zdolność organizacji do szybkiego powrotu do prawidłowego działania po incydencie.
PSE współpracuje z zespołami do spraw reagowania na incydenty dotyczące bezpieczeństwa informatycznego. Spółka podpisała też porozumienie z wojskiem, by wspólnie ćwiczyć reagowanie na cyberzagrożenia.
Sztuczna inteligencja gra w obu drużynach
Stosowane w energetyce narzędzia do wykrywania anomalii wykorzystują dziś sztuczną inteligencję. Kamil Wąsowicz zaznacza, że technologia stosowana w tym celu mocno się rozwinęła w ostatnich latach. Jednocześnie za jedno z głównych wyzwań na 2026 r. uważa coraz szersze wykorzystanie sztucznej inteligencji przez atakujących.
– Ataki są coraz lepiej przygotowane, bardziej złożone i wieloetapowe – mówi specjalista z PSE.
Podobne zdanie ma Leszek Mróz.
– Nie ma pewności, czy w 2026 r. będzie więcej incydentów niż w tym roku, ale spodziewam się, że będą lepiej przygotowane i będą łączyły różne techniki – mówi ekspert EY.
Z obserwacji w PSE wynika, że obecnie najsilniej eksploatowanym narzędziem jest phishing, czyli podszywanie się pod zaufaną instytucję, by wyłudzić poufne dane. Coraz częściej phishing jest precyzyjnie ukierunkowany na konkretne osoby.
– Atakujący korzystają z narzędzi sztucznej inteligencji zarówno do zbierania informacji o swoich celach, jak i do automatyzacji samych ataków – tłumaczy Kamil Wąsowicz.
Hakerzy wykorzystują słabość, zmęczenie i nieuwagę użytkownika.
– Nikt, nawet specjaliści od bezpieczeństwa teleinformatycznego, nie może powiedzieć, że nie jest na to wrażliwy – podkreśla Leszek Mróz.
Dostawcy sprzętu i domowa fotowoltaika na celowniku
Według eksperta EY, bardziej niż same firmy energetyczne narażone są firmy, które są dostawcami energetyki. Ich budżety na ten cel są znacznie mniejsze.
Na inne ryzyko zwraca uwagę Kamil Wąsowicz. W Polsce jest około 13 GW prosumenckich instalacji fotowoltaicznych. Część z nich wykorzystuje falowniki zagranicznych producentów, o nie w pełni znanym poziomie zabezpieczeń.
– Można sobie łatwo wyobrazić scenariusz ataku, w którym ktoś nie tyle wyłącza te instalacje, ile cyklicznie zmienia ich parametry pracy, powodując wahania napięć i częstotliwości aż do destabilizacji krajowego, a potencjalnie nawet europejskiego systemu elektroenergetycznego – tłumaczy specjalista z PSE.
Polskie Sieci Elektroenergetyczne nie sterują tymi instalacjami i nie mają pełnych możliwości obserwowania oraz prognozowania ich pracy.
– Dobrze byłoby, aby przynajmniej operatorzy sieci dystrybucyjnych mieli taki wgląd. Jest też wiele do zrobienia we współpracy z dostawcami sprzętu oraz firmami instalującymi te systemy, aby podnieść świadomość w obszarze bezpieczeństwa informatycznego i podstawowych zasad cyberhigieny – dodaje Kamil Wąsowicz.
To odsetek ataków phishingowych w ogólnej liczbie ataków cybernetycznych na polskie przedsiębiorstwa według raportu "Cyberportret polskiego biznesu 2025" firmy Eset. Jest to najczęściej spotykany rodzaj ataku.