Wzrost cyberataków na Polskę w 2025 roku. Destrukcyjny incydent w energetyce podnosi poziom alarmowy

Wprowadzenie do problemu / definicja

Polska odnotowała w 2025 roku wyraźny wzrost aktywności wrogich podmiotów w cyberprzestrzeni, a jednym z najpoważniejszych zdarzeń był skoordynowany, destrukcyjny atak wymierzony w infrastrukturę energetyczną. Tego typu incydenty są szczególnie niebezpieczne, ponieważ wykraczają poza klasyczne kampanie szpiegowskie lub ransomware i mogą bezpośrednio wpływać na ciągłość działania usług krytycznych, bezpieczeństwo publiczne oraz stabilność państwa.

Ataki na sektor energetyczny należą do najbardziej wrażliwych kategorii zagrożeń cybernetycznych, ponieważ łączą świat systemów IT z technologiami operacyjnymi OT i środowiskami przemysłowymi. W praktyce oznacza to, iż skutki incydentu mogą dotyczyć nie tylko danych i systemów administracyjnych, ale również procesów fizycznych odpowiedzialnych za dostawy energii i ciepła.

W skrócie

W 2025 roku liczba cyberataków wymierzonych w Polskę wzrosła około 2,5-krotnie rok do roku. Według przekazanych informacji kraj miał stać się celem około 270 tys. incydentów. Najpoważniejszym przypadkiem był grudniowy atak na systemy energetyczne, obejmujący elektrociepłownię obsługującą blisko 500 tys. odbiorców oraz kilka farm wiatrowych i słonecznych.

Choć atak nie doprowadził do przerwy w dostawach energii, jego charakter został oceniony jako destrukcyjny i bezprecedensowy w kontekście państw NATO i Unii Europejskiej. Analiza śladów infrastrukturalnych oraz użytego złośliwego systemu wskazała na możliwe powiązania z rosyjskimi aktorami państwowymi.

• około 270 tys. incydentów cybernetycznych wymierzonych w Polskę w 2025 roku,
• wzrost skali zagrożeń o około 2,5 raza rok do roku,
• atak z 29 grudnia 2025 roku objął elektrociepłownię i źródła OZE,
• nie odnotowano przerw w dostawach energii, ale incydent miał charakter destrukcyjny.

Kontekst / historia

Rosnąca presja na polską cyberprzestrzeń jest analizowana w szerszym kontekście geopolitycznym, przede wszystkim po rozpoczęciu pełnoskalowej inwazji Rosji na Ukrainę 24 lutego 2022 roku. Od tego momentu Polska, jako państwo graniczne NATO i istotny hub logistyczny, pozostaje pod zwiększoną presją operacji hybrydowych, w tym cyberataków.

W poprzednich latach incydenty wymierzone w infrastrukturę krytyczną w regionie miały najczęściej charakter szpiegowski, zakłócający lub finansowy. W opisywanym przypadku kluczowa była jednak intencja destrukcji, a nie wymuszenia okupu czy kradzieży informacji. To istotnie odróżnia ten incydent od wielu wcześniejszych kampanii i wskazuje na rosnącą gotowość przeciwników do prowadzenia operacji o potencjalnie fizycznych lub systemowych skutkach.

Znaczenie tego zdarzenia wzmacnia fakt, iż ataki destrukcyjne na sektor energetyczny w państwach NATO i UE pozostają relatywnie rzadkie. Z tego względu incydent w Polsce został odebrany jako sygnał eskalacji i możliwy nowy próg agresywności w działaniach przeciwko europejskiej infrastrukturze krytycznej.

Analiza techniczna

Do ataku doszło 29 grudnia 2025 roku. Według ujawnionych informacji operacja była skoordynowana i objęła jednocześnie elektrociepłownię oraz rozproszone źródła energii odnawialnej. Sam fakt objęcia wielu obiektów sugeruje wcześniejsze rozpoznanie środowiska, znajomość architektury operacyjnej oraz przygotowanie działań umożliwiających równoległe oddziaływanie na różne elementy infrastruktury.

Jednym z kluczowych elementów analizy był brak motywu finansowego. Zamiast typowego modelu ransomware lub sabotażu nastawionego na wymuszenie, zaobserwowano użycie narzędzi i technik ukierunkowanych na niszczenie danych oraz destabilizację środowiska. Taki wzorzec jest charakterystyczny dla operacji państwowych lub sponsorowanych przez państwo, szczególnie w obszarze ICS i OT, gdzie celem nie musi być eksfiltracja danych, ale degradacja zdolności operacyjnych.

Polskie służby i eksperci analizowali infrastrukturę sieciową wykorzystaną w kampanii, w tym domeny i adresy IP. Ślady te miały wcześniej pojawiać się w aktywności przypisywanej grupie określanej jako Dragonfly, znanej także pod nazwami Static Tundra lub Berserk Bear. Równolegle analiza złośliwego systemu wskazała podobieństwa do metod stosowanych przez Sandworm, czyli aktora kojarzonego z destrukcyjnymi operacjami przeciwko infrastrukturze, zwłaszcza w Ukrainie.

Z perspektywy technicznej szczególnie istotne są dwa wnioski. Po pierwsze, użycie malware typu data wiper oznacza przejście od prostego kompromitowania systemów do aktywnego niszczenia ich integralności. Po drugie, atak na sektor energetyczny pokazał, iż przeciwnik posiada lub rozwija kompetencje umożliwiające działanie w środowiskach przemysłowych, gdzie granica między IT i OT staje się coraz mniej wyraźna.

Konsekwencje / ryzyko

Choć w analizowanym przypadku nie doszło do przerwania dostaw energii elektrycznej, skala ryzyka była znacząca. Atak objął obiekty mające wpływ na dostawy ciepła i funkcjonowanie źródeł energii, a według ekspertów uderzenie w większe jednostki mogłoby potencjalnie zagrozić stabilności krajowej sieci energetycznej.

Ryzyko należy rozpatrywać na kilku poziomach. Operacyjnie oznacza ono możliwość zakłócenia pracy zakładów, utraty widoczności nad procesami przemysłowymi, uszkodzenia danych konfiguracyjnych i wydłużonego czasu odtworzenia systemów. Biznesowo przekłada się na przestoje, wzrost kosztów przywracania działania, utratę zaufania i możliwe skutki regulacyjne. Strategicznie zaś wskazuje na podatność państwa na cyberoperacje o charakterze hybrydowym, których celem może być testowanie odporności infrastruktury krytycznej przed szerszym kryzysem.

To także wyraźne ostrzeżenie dla operatorów usług kluczowych. choćby jeżeli bezpośredni efekt incydentu został ograniczony, sam fakt skutecznego przeprowadzenia skoordynowanej operacji przeciwko obiektom energetycznym pokazuje, iż przeciwnicy są gotowi testować granice odporności systemów krytycznych.

Rekomendacje

Organizacje z sektora energetycznego, przemysłowego i publicznego powinny potraktować ten incydent jako sygnał do przeglądu realnej odporności środowisk IT i OT. W praktyce oznacza to konieczność wdrożenia zarówno środków technicznych, jak i procedur organizacyjnych.

• Segmentacja sieci i ścisłe rozdzielenie środowisk IT, OT oraz systemów administracyjnych.
• Ograniczenie dostępu zdalnego do systemów przemysłowych, w tym wdrożenie MFA, bastionów oraz ścisłej kontroli sesji uprzywilejowanych.
• Monitorowanie anomalii w sieciach OT z wykorzystaniem telemetrii dostosowanej do protokołów przemysłowych.
• Regularne kopie zapasowe offline oraz testowanie procedur odtworzeniowych pod kątem scenariuszy destrukcyjnych, a nie wyłącznie ransomware.
• Inwentaryzacja zasobów i zależności między systemami sterowania, stacjami operatorskimi, serwerami historycznymi i warstwą biznesową.
• Aktualizacja planów reagowania na incydenty o scenariusze obejmujące data wipery, sabotaż procesów oraz utratę integralności konfiguracji.
• Wymiana informacji z krajowymi zespołami reagowania, sektorowymi ISAC-ami oraz dostawcami technologii przemysłowych.
• Przegląd łańcucha dostaw i połączeń serwisowych, które często stanowią wektor wejścia do infrastruktury krytycznej.

Z perspektywy obrony państwowej najważniejsze pozostaje również rozwijanie umiejętności szybkiej atrybucji technicznej, korelacji incydentów międzysektorowych oraz organizowania ćwiczeń obejmujących współpracę operatorów infrastruktury krytycznej z administracją i służbami.

Podsumowanie

Wzrost liczby cyberataków na Polskę w 2025 roku potwierdza, iż cyberprzestrzeń stała się pełnoprawnym obszarem presji strategicznej. Grudniowy incydent w sektorze energetycznym wyróżnia się nie tylko skalą i doborem celu, ale przede wszystkim destrukcyjnym charakterem. To istotny sygnał ostrzegawczy dla operatorów infrastruktury krytycznej, iż zagrożenie nie ogranicza się już do kradzieży danych czy wymuszeń finansowych.

W praktyce oznacza to konieczność budowy odporności operacyjnej, głębszej integracji bezpieczeństwa IT i OT oraz przygotowania na scenariusze, w których cyberatak staje się elementem szerszej destabilizacji. Dla Polski i całego regionu jest to wyraźny sygnał, iż ochrona energetyki musi pozostawać jednym z najważniejszych priorytetów cyberbezpieczeństwa.

Źródła

• SecurityWeek — Poland Faced a Surge in Cyberattacks in 2025, Including a Major Assault on the Energy Sector
• Associated Press — Poland faced a surge in cyberattacks in 2025, including a major assault on the energy sector
• CERT Polska — publikacje i komunikaty dotyczące incydentów cyberbezpieczeństwa
• ESET Research — analizy zagrożeń i kampanii wymierzonych w infrastrukturę krytyczną
• FBI — publiczne alerty i komunikaty o zagrożeniach cybernetycznych