W branży ciepłowniczej i energetyce, podobnie jak w innych sektorach usług strategicznych, tradycyjne systemy ustępują nowym rozwiązaniom technologicznym opartym o rozwiązania Przemysłu 4.0. Niestety za dynamicznie postępującą cyfryzacją nie zawsze podąża w parze odpowiednia strategia bezpieczeństwa. Jak wskazuje ekspert Stormshield wydajniejsza praca, lepsze zarządzanie oraz optymalizacja procesów to pozytywny efekt cyfryzacji, jednak nie można zapominać o szeregu cyberzagrożeń z nią związanych. Ofiarą ataku było już jedno z polskich przedsiębiorstw ciepłowniczych.

Chmura, analiza danych i rozwiązania oparte na sztucznej inteligencji są w coraz większym stopniu wykorzystywane w sektorach o strategicznym znaczeniu, takich jak energetyka, ciepłownictwo, transport czy ochrona zdrowia. Większa otwartość infrastruktury krytycznej na nowoczesne technologie, choć w znaczny sposób ułatwia funkcjonowanie przedsiębiorstwa, to równocześnie może stanowić furtkę dla grup cyberprzestępczych.

Otwartość na komunikację ze światem zewnętrznym zwiększa podatność na cyberataki. Aspekt ten dotyczy także infrastruktury przemysłowej. Przy tym wiele przedsiębiorstw wciąż nie jest świadomych konieczności ochrony własnych systemów. Pamiętajmy, że cyberprzestępczość to zjawisko będące „efektem ubocznym” cyfrowego rozwoju. Staje się ona coraz bardziej opłacalna. Zwłaszcza w przypadku dużych ataków wykorzystujących oprogramowanie ransomware, a takie prowadzone są wobec operatorów usług strategicznych, do których zaliczają się energetyka i ciepłownictwo – mówi Aleksander Kostuch, inżynier Stormshield, wytwórcy rozwiązań z obszaru cyberbezpieczeństwa.

Cyberataki na ciepłownictwo w Finlandii i w Polsce

Grupy cyberprzestępcze to dobrze zorganizowane quasi przedsiębiorstwa, często dysponujące budżetem przeznaczonym na badania i rozwój, co ma skutkować zwiększeniem skuteczności potencjalnych ataków. Również w ich działalności coraz większą rolę odgrywają profesjonalizacja i wykorzystanie zaawansowanych narzędzi – sztucznej inteligencji (AI) i automatyzacji. Stosowane formy ataków, takie jak np. ransomware czy phishing stają się bardziej wyrafinowane. Dotykają one również przedsiębiorstw z sektora ciepłownictwa.


Takim przypadkiem był atak DDoS z 2016 roku, który odciął ogrzewanie mieszkańcom Lappeenranta we wschodniej Finlandii. Chociaż efekty działań cyberprzestępców nie były rozległe – odczuli je mieszkańcy jedynie dwóch budynków, to usunięcie awarii nie należało do najprostszych. Podobna sytuacja wydarzyła się także w Polsce. W 2022 roku ofiarą cyberataku padło Przedsiębiorstwo Energetyki Cieplnej w Elblągu, którego sieć informatyczną zainfekowano złośliwym oprogramowaniem. W tym przypadku celem nie było uniemożliwienie dostarczania energii cieplnej, a przejęcie danych niektórych klientów.


Firmy dystrybuujące energię cieplną wychodzą naprzeciw klientom tworząc dla nich platformy i aplikacje ułatwiające podgląd rachunków i aktualnego zużycia mediów. Nie inaczej jest w przypadku dystrybutorów energii elektrycznej. Tauron rozpoczął operację montażu inteligentnych liczników u odbiorców na Śląsku. Te urządzenia mają podobną funkcjonalność. W rzeczywistości generują potężne zasoby danych klientów, a chęć ich przejęcia jest jednym z czynników motywujących cyberprzestępców do ataków.

Wrogie działania wymierzone w energetykę często inspirowane są także czynnikami geopolitycznymi. System dostaw energii elektrycznej stanowi strategiczny cel, ponieważ wpływa na działalność gospodarczą i funkcjonowanie państwa, które w wyniku skutecznego cyberataku można szybko sparaliżować. Dobitnym przykładem są powtarzające się od lat ataki na ukraińską sieć energetyczna. Atak na elektrownię w Zaporożu (2015), spowodował sześciogodzinną przerwę w dostawie elektryczności dla około 700 tys. gospodarstw domowych.

– Te przykłady dobitnie wskazują, że podobnie jak w innych sektorach infrastruktury krytycznej, również branże ciepłownicza i energetyczna są przez grupy cyberprzestępcze traktowane jako cel. Działania te mogą mieć poważne konsekwencje, co sprawia, że przedsiębiorcy powinni się mieć na baczności. Impulsem, aby obszar IT traktować jeszcze bardziej poważnie jest przyjęcie Dyrektywy NIS2. Narzuca ona podmiotom z sektorów krytycznych szereg obowiązków – komentuje Aleksander Kostuch.

Założenia dyrektywy NIS2 obejmują obowiązki takie jak zgłaszanie incydentów i zagrożeń, zarządzania kryzysowego, opracowania odpowiednich polityk oraz procedur testowania i audytów, a także stosowanie rozwiązań technologicznych adekwatnych do ryzyka. Ekspert wskazuje, że wobec skali wyzwania warto myśleć o wprowadzaniu odpowiednich mechanizmów już teraz.

Cały proces będzie czasochłonny i nawet uwzględnienie vacatio legis może nie gwarantować, że czas jaki będzie do dyspozycji okaże się wystarczający. Oczywiście wiąże się to z inwestycjami, jednak zawsze lepiej przeciwdziałać zagrożeniom niż odczuwać skutki udanego ataku. Można przy tym myśleć o częściowej automatyzacji bezpieczeństwa IT – ocenia Aleksander Kostuch.

Automatyzacja działań w branży bezpieczeństwa IT i wdrażanie rozwiązań zapobiegających atakom, nawet takim które jeszcze się nie wydarzyły, jest możliwe.

Wprowadzania systemów automatycznego czuwania i monitorowania, które będą analizować informacje o każdym potencjalnie niebezpiecznym i niestandardowym zdarzeniu w sieci, można się spodziewać w większych przedsiębiorstwach. A do takich należą w większości podmioty działające w energetyce i ciepłownictwie. Ten trend będzie związany właśnie ze stopniowym wprowadzaniem rozwiązań narzucanych w dyrektywie NIS2 – dodaje ekspert Stormshield.

Nowe technologie w służbie klientów… i cyberprzestępców

Funkcjonowanie rozwiązań Internetu Rzeczy (IoT), będących w stałej łączności on-line oznacza, że tworzy się nowa przestrzeń ataku. W tym kontekście szczególnego znaczenia nabiera segmentacja systemów IT i OT. Niezabezpieczony element systemu IT, działający w niesegmentowanej sieci, może stać się bramą umożliwiającą wniknięcie przez przestępców do zasobów firmy. Segmentacja zapewnia możliwość zablokowania rozprzestrzeniania ataku, czyniąc bardziej złożonym wykrywanie sieci operacyjnej.

Sieci IT należy separować od elementów infrastruktury przemysłowej. W skutecznym oddzieleniu wszystkich obiektów operacyjnych i kontroli przepływu między nimi komunikacji i danych pomoże na przykład instalacja niedrogich firewalli, na przykład urządzenia SNi20 – dodaje Aleksander Kostuch.

Część infrastruktury energetycznej została zaprojektowana z myślą o długim, ponad 50-letnim okresie użytkowania. Dlatego energetyka wciąż korzysta z przestarzałych systemów operacyjnych, a przez to wrażliwych pod względem bezpieczeństwa technologiach. Takich, które cyberprzestępcom łatwiej zaatakować.

Kolejną kwestią wymagającą uwagi są komunikaty operacyjne wymieniane między urządzeniami elektrycznymi, urządzeniami IED i stacjami monitorującymi. Jeśli napastnikowi uda się nawiązać zdalne połączenie z fizycznym urządzeniem lub stacją obsługi zdalnej, to będzie mógł analizować sieć, rozumieć jej strukturę i wysyłać złośliwe wiadomości. Najlepszym sposobem radzenia sobie z tym rodzajem ryzyka jest wdrożenie sond przemysłowych, zabezpieczenia z wyspecjalizowanym rozwiązaniem inline z IPS i głęboką analizą protokołów przemysłowych w celu kontrolowania wiadomości wymienianych z najbardziej wrażliwym sprzętem.

Z perspektywy bezpieczeństwa znaczenie ma kwestia połączeń na potrzeby zdalnej konserwacji, szczególnie na poziomie podstacji. Wymagają one wdrożenia tuneli typu VPN lub bezpiecznych i monitorowanych oraz rejestrowanych połączeń w celu zapewnienia poufności danych.

Zintegrowane podejście, które uwzględnia wszystkie wymagane podstawy i opiera się na kilku poziomach ochrony, jest niezbędne do skutecznego zabezpieczenia korporacyjnych systemów produkcyjnych w sektorze energetycznym i ciepłownictwie – podsumowuje ekspert Stormshield.