Wprowadzenie

 W ostatnich miesiącach sektor energetyczny w Polsce znalazł się w centrum zainteresowania zespołów reagowania na incydenty cyberbezpieczeństwa. Ataki na infrastrukturę krytyczną nie są już wyłącznie scenariuszem ćwiczeń — coraz częściej stają się realnym zagrożeniem dla ciągłości działania usług publicznych, stabilności gospodarki i bezpieczeństwa obywateli.

W niniejszym materiale przedstawiamy analizę incydentu cybernetycznego w sektorze energii, opartą na dostępnych raportach oraz dobrych praktykach reagowania na incydenty. Celem publikacji jest nie tylko omówienie przebiegu zdarzenia, ale również wyciągnięcie wniosków operacyjnych i strategicznych dla organizacji zarządzających systemami OT i IT.

 Podsumowanie incydentu

 Na podstawie dostępnych informacji doszło do naruszenia środowiska teleinformatycznego obsługującego elementy infrastruktury energetycznej. Atakujący uzyskali dostęp do zasobów sieciowych, co mogło skutkować:

• zakłóceniami w pracy systemów operacyjnych,
• ryzykiem utraty integralności danych,
• potencjalnym wpływem na ciągłość dostaw energii.

Choć nie potwierdzono trwałych skutków dla odbiorców końcowych, incydent pokazuje skalę wyzwań stojących przed operatorami infrastruktury krytycznej w kontekście cyberzagrożeń.

 Co wiemy o wektorze ataku

 Z dostępnych analiz wynika, że atak mógł obejmować:

• kompromitację kont uprzywilejowanych,
• wykorzystanie podatności w systemach zdalnego dostępu,
• możliwe działania typu lateral movement w sieci OT/IT.

Brak segmentacji sieci oraz niewystarczające monitorowanie ruchu pomiędzy strefami IT i OT znacząco zwiększają skuteczność takich ataków.

 Jak działają oszustwa?

• Phishing przez SMS i e-mail

Przestępcy wysyłają SMS-y lub maile informujące o rzekomych zaległościach lub konieczności dopłaty do rachunkuza energię, często sugerując pilną “weryfikację danych” lub grożąc odcięciem usług. 

Mechanizm działania:

• Wiadomości wyglądają na autentyczne i zawierają linki do fałszywych stron płatności.
• Po kliknięciu ofiara trafia na stronę wyglądającą jak panel klienta, gdzie podaje dane logowania lub karty.

To klasyczny phishing – podszywanie się pod zaufanego nadawcę w celu wyłudzenia informacji. 

W Polsce wiele fałszywych SMS-ów udaje komunikację z firmami energetycznymi albo instytucjami państwowymi. 

• Podszywanie się pod instytucje publiczne i dostawców

Oszuści potrafią używać nazw znanych firm i instytucji — nawet rzekomo Ministerstwa Energii czy skarbowych spółek — aby zwiększyć wiarygodność. 

Warto wiedzieć: prawdziwe instytucje państwowe nigdy nie wysyłają maili o indywidualnych dopłatach lub rozliczeniach za energię. 

• Groźby natychmiastowego odcięcia energii

To technika presji: scammer informuje, że jeśli nie zapłacisz “natychmiast”, usługa zostanie odcięta — często podszywając się pod numer telefonu operatora lub fałszywy serwis.
Na rynku amerykańskim firmy energetyczne ostrzegają, że takie groźby to pewny sygnał oszustwa. 

• Nietypowe metody płatności

Dostawca nie będzie żądał:

• płatności w kryptowalutach,
• przesyłania pieniędzy na karty prepaid,
• przekazywania danych osobistych przez SMS/e-mail.

To właśnie najczęstsze metody proszenia o przekazanie pieniędzy oszustom. 

Skutki i ryzyka dla sektora energii

Incydenty cybernetyczne w sektorze energetycznym mogą prowadzić do:

• zakłóceń operacyjnych w produkcji i dystrybucji energii,
• strat finansowych i reputacyjnych,
• eskalacji ryzyk regulacyjnych i prawnych,
• zagrożenia bezpieczeństwa fizycznego infrastruktury i ludzi.

Szczególnie niebezpieczne są ataki na systemy SCADA oraz środowiska przemysłowe, które nie były projektowane z myślą o obecnym krajobrazie cyberzagrożeń.

Skala problemu

Badanie Urzędu Regulacji Energetyki (URE) w Polsce pokazuje, że aż 61% konsumentów spotkało się z oszustwem na rynku energii elektrycznej — najczęściej w postaci:

• wezwań do pilnej płatności z groźbą odcięcia (47%),
• podszywania się pod sprzedawców energii (41%),
• podszywania się pod instytucje państwowe (38%). 

Dlaczego te oszustwa są skuteczne?

• Emocjonalny nacisk: groźba przerwy w dostawie prądu lub gazu wywołuje strach i skłania do szybszej reakcji.
• Zaufanie do instytucji: używanie nazw znanych firm/ministerstw uśpi czujność.
• Tech savvy fraud: używanie linków i stron wyglądających jak oficjalne panele.

Kluczowe wnioski bezpieczeństwa

Na podstawie analizy tego incydentu można wskazać kilka kluczowych obszarów wymagających wzmocnienia:

Segmentacja IT/OT

Oddzielenie systemów biurowych od infrastruktury przemysłowej powinno być absolutnym standardem.

Zarządzanie dostępami uprzywilejowanymi

Dostęp do systemów krytycznych powinien być ściśle kontrolowany, monitorowany i okresowo weryfikowany.

Monitoring i detekcja

Wczesne wykrycie anomalii w ruchu sieciowym oraz zachowaniach użytkowników znacząco skraca czas reakcji.

Testy odporności i ćwiczenia IR

Regularne testy odporności systemów OT oraz ćwiczenia zespołów reagowania są kluczowe dla gotowości organizacyjnej.

Rekomendacje dla organizacji infrastruktury krytycznej

• wdrożenie architektury Zero Trust w środowiskach hybrydowych
• integracja SOC z monitoringiem OT
• regularne audyty bezpieczeństwa systemów przemysłowych
• aktualizacja procedur reagowania na incydenty OT
• szkolenia kadry technicznej i zarządczej w zakresie cyberzagrożeń dla infrastruktury

Jak się chronić?

1. Weryfikuj każdą wiadomość

• Nie klikaj w podejrzane linki — zamiast tego wejdź na stronę swojej firmy energetycznej bezpośrednio.
• Sprawdź swój rachunek logując się w e-BOK lub przez aplikację dostawcy. 

2. Nigdy nie podawaj danych przez SMS/e-mail

• Dostawca nie poprosi o hasła, dane karty ani login przez mail/SMS. 

3. Nie ufaj groźbom natychmiastowej płatności

Jeśli ktoś twierdzi, że energia zostanie odcięta za minutę — to prawie na pewno scam. Realne firmy wysyłają wiele powiadomień i pozwalają na kontakt z obsługą klienta. 

4. Skontaktuj się z dostawcą

Jeśli masz choć cień podejrzenia — zadzwoń na numer z rachunku lub oficjalnej strony. To sposób na potwierdzenie czy wiadomość była autentyczna.

Komentarz ekspercki

Ten incydent potwierdza, że sektor energii znajduje się obecnie wśród najbardziej atrakcyjnych celów dla cyberprzestępców oraz aktorów państwowych. Skuteczna ochrona infrastruktury krytycznej wymaga dziś nie tylko technologii, ale także dojrzałości procesowej, świadomości decyzyjnej oraz integracji bezpieczeństwa IT i OT w jednym modelu zarządzania ryzykiem.

Źródła: CERT Polska – „Raport z incydentu w sektorze energii 29.12.2025”