Farmy OZE w obronie przeciw cyberatakom na technologie operacyjne

Skoordynowane zakłócenie pracy farm OZE może mieć „poważne konsekwencje dla stabilności systemu elektroenergetycznego” – przekazał w poniedziałkowym komunikacie pełnomocnik rządu do spraw cyberbezpieczeństwa Krzysztof Gawkowski.Wydał też zalecenia dla osób odpowiedzialnych za obiekty. Dokument powstał we współpracy Ministerstwa Cyfryzacji z zespołami reagowania na incydenty bezpieczeństwa komputerowego poziomu krajowego: CSIRT NASK i CSIRT GOV – podano.

Trzeba koniecznie zadbać o urządzenia technologii operacyjnych

Jak wskazał Gawkowski, zdalny dostęp do obiektów powinien być realizowany wyłącznie z wykorzystaniem VPN (z ang. virtual private network, wirtualna sieć prywatna – PAP).

Farmy OZE powinny też zadbać o to, by urządzenia OT (technologii operacyjnych, m.in. systemy automatyki przemysłowej) i oprogramowania z nimi związane nie były osiągalne bezpośrednio z internetu – wskazał Gawkowski. Zarekomendował również zamianę domyślnych haseł uwierzytelniających na takie, które będą unikalne i zgodne z zaleceniami dostępnymi na stronie cert.pl.

– Należy wyznaczyć osobę odpowiedzialną za cyberbezpieczeństwo instalacji oraz utrzymywanie stałego kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa – zaznaczył pełnomocnik rządu. Każda farma OZE powinna też zinwentaryzować sprzęt i oprogramowanie, wraz z informacją o dostępnych interfejsach administracyjnych, użytkownikach i ich uprawnieniach, adresacją IP, numerami seryjnymi oraz wersją oprogramowania.

– Po każdej zmianie konfiguracji wykorzystywanych urządzeń należy sporządzić jej kopię zapasową i przechowywać ją w odizolowanym środowisku offline – podkreślił Gawkowski.

Trzeba analizować ryzyko i dokonywać aktualizacji

Wśród zaleceń wymienił też monitorowanie komunikatów bezpieczeństwa na temat używanych urządzeń brzegowych i dokonywanie ich aktualizacji zgodnie z rekomendacjami producenta. W przypadku urządzeń OT wewnątrz sieci – należy analizować ryzyko dla pojawiających się podatności (luk bezpieczeństwa) i podejmować decyzje dotyczące aktualizacji na tej podstawie – zaznaczył. Dodał, że wszystkie urządzenia trzeba regularnie aktualizować.

– W przypadku zaobserwowania nietypowego zachowania oprogramowania lub urządzeń należy niezwłocznie powiadomić odpowiedni CSIRT poziomu krajowego – podał Gawkowski. Przypomniał, że CSIRT GOV odpowiada za cyberbezpieczeństwo administracji rządowej i infrastruktury krytycznej; CSIRT MON — instytucji wojskowych; CSIRT NASK — wszystkich pozostałych podmiotów.

Jak wskazał na początku stycznia minister energii Miłosz Motyka, w ostatnich dniach 2025 r. doszło do nieudanego ataku cybernetycznego na szereg instalacji produkujących energię elektryczną. Wicepremier, minister cyfryzacji Krzysztof Gawkowski mówił z kolei, że wszystko wskazuje na to, że grudniowe ataki to rosyjski sabotaż.

Polska obroniła się, ale ataki się powtarzają

W czwartek premier Donald Tusk poinformował, że infrastruktura krytyczna nie była zagrożona podczas ataków, a „Polska obroniła się”. Zaznaczył, że próby ataków nie groziły „destabilizacją całego systemu czy blackoutem” w kraju. Dodał, że zaatakowano punktowo niektóre miejsca, w tym dwie elektrociepłownie, a ataki te były wymierzone w system, który umożliwia zarządzanie prądem pochodzącym z OZE. Premier poinformował również, że nawet 500 tys. ludzi byłoby pozbawionych ciepła, gdyby atak się powiódł.

W Polsce działają trzy krajowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (z ang. Computer Security Incident Response Team): CSIRT NASK, CSIRT GOV oraz CSIRT MON. Ustanowiła je ustawa o Krajowym Systemie Cyberbezpieczeństwa z 2018 r. Każdy z CSIRT-ów odpowiedzialny jest za koordynację incydentów zgłaszanych przez przyporządkowane zgodnie z ustawą podmioty. Do ich zadań należy też rozpoznawanie, zapobieganie i wykrywanie zagrożeń godzących w bezpieczeństwo.