Sabotaż OT — atak na infrastrukturę krytyczną
OT Sabotage Attack
Sabotaż OT to atak na systemy sterujące produkcją i energetyką. Wiper niszczy dane, wywołuje przestój. Jak chronić infrastrukturę krytyczną pod KSC 2.0?
MITRE ATT&CK
Taktyka
Impact(TA0040)Technika
Data Destruction(T1485)Kluczowe wnioski
- ◆Sabotaż OT to atak na systemy sterujące produkcją, energetyką i wodociągami — celem nie jest okup, lecz zniszczenie i przestój
- ◆W grudniu 2025 skoordynowany atak wiperem uderzył w polską energetykę: 30+ farm OZE, elektrociepłownię zaopatrującą ~500 tys. odbiorców, firmę produkcyjną
- ◆ABW ostrzega o przesunięciu od szpiegostwa ku fizycznej dyzrupcji infrastruktury — motyw sabotażowy, aktorzy powiązani z Rosją
- ◆Obrona: segmentacja IT/OT, monitoring OT, zabezpieczenie urządzeń brzegowych, backup konfiguracji, plan ciągłości. Dla podmiotów kluczowych KSC 2.0/NIS2 — obowiązek
Czym jest sabotaż OT?
Sabotaż OT to atak wymierzony w systemy technologii operacyjnej (Operational Technology) i przemysłowe systemy sterowania (ICS — Industrial Control Systems), które kontrolują procesy fizyczne: produkcję w fabrykach, wytwarzanie i dystrybucję energii, uzdatnianie wody, transport. To nie są klasyczne systemy IT biurowego — ich awaria nie oznacza utraty dokumentów, lecz zatrzymanie turbiny, przerwę w dostawie ciepła albo unieruchomienie linii produkcyjnej.
Kluczowa różnica względem większości cyberataków: celem nie jest okup ani kradzież danych, lecz zniszczenie i przestój. Napastnicy sięgają po wiper — złośliwe oprogramowanie, które trwale kasuje dane, zamiast je szyfrować. Wiper nie oferuje klucza deszyfrującego, bo nie chodzi o zarobek. To narzędzie sabotażu.
Jak działa atak?
- Dostęp początkowy — najczęściej przez podatne urządzenia brzegowe (edge devices) wystawione do internetu: routery przemysłowe, koncentratory VPN, panele zdalnego dostępu do systemów sterowania
- Rekonesans w sieci OT — atakujący mapuje architekturę, identyfikuje sterowniki, stacje operatorskie (HMI) i urządzenia telemetryczne (RTU — remote terminal units)
- Ruch boczny (lateral movement) — przechodzi z warstwy IT do słabo odseparowanej warstwy OT
- Przygotowanie ładunku — rozmieszcza wiper na stacjach HMI i moduły uszkadzające konfigurację urządzeń brzegowych
- Dyzrupcja — kasuje dane HMI (operator traci wgląd i kontrolę nad procesem) i uszkadza RTU, przerywając sterowanie polem
- Efekt fizyczny — przestój produkcji lub przerwa w dostawie mediów; przywrócenie wymaga często ręcznej odbudowy konfiguracji urządzenie po urządzeniu
Ponieważ wiper niszczy dane bez możliwości ich odzyskania kluczem, przywrócenie działania zależy od backupu konfiguracji i planu ciągłości — nie od negocjacji z napastnikiem.
Kogo dotyczy w Polsce?
Zagrożenie przestało być teoretyczne. W grudniu 2025 skoordynowany atak uderzył w polską sieć energetyczną: dotknął ponad 30 farm wiatrowych i fotowoltaicznych, prywatną firmę produkcyjną oraz dużą elektrociepłownię zaopatrującą w ciepło około 500 tys. odbiorców. Atakujący uszkodzili RTU i skasowali dane HMI wiperem — malware niszczącym, nie szyfrującym.
ABW wskazuje na wyraźne przesunięcie: od szpiegostwa i kradzieży danych ku fizycznej dyzrupcji infrastruktury — prądu, wody, transportu. Motywem jest sabotaż o charakterze państwowym, przypisywany aktorom powiązanym z Rosją. Po incydencie w Polsce CISA wydała (luty 2026) alert dotyczący luk w systemach OT/ICS.
Sektory szczególnie narażone w Polsce:
- Energetyka — sieci przesyłowe i dystrybucyjne, OZE, elektrociepłownie
- Produkcja przemysłowa — zakłady z rozbudowaną warstwą ICS
- Transport i logistyka — porty, kolej, lotniska, węzły przeładunkowe
- Wodociągi i ciepłownictwo — dostawa mediów dla ludności
- Dostawcy usług IT — jako wektor ataku na łańcuch dostaw
Dla podmiotów kluczowych i ważnych według ustawy o KSC (wdrożenie NIS2) ochrona warstwy OT nie jest opcją — to obowiązek, wraz z raportowaniem poważnych incydentów do CSIRT w ciągu 24 godzin.
Jak się chronić?
- Segmentacja IT/OT — oddzielenie sieci przemysłowej od biurowej (strefa zdemilitaryzowana, ścisła kontrola przepływów) ogranicza ruch boczny
- Zabezpieczenie urządzeń brzegowych — inwentaryzacja i usunięcie z internetu wszystkiego, co nie musi być wystawione; aktualizacje firmware, silne uwierzytelnianie zdalnego dostępu
- Monitoring OT — ciągły nadzór ruchu w sieci przemysłowej i wykrywanie anomalii w komunikacji ze sterownikami i RTU
- Backup konfiguracji — regularne, odłączone od sieci kopie konfiguracji sterowników, HMI i urządzeń brzegowych (wiper niszczy dane — backup przesądza o czasie odbudowy)
- Plan ciągłości działania — testowany scenariusz pracy w trybie manualnym i odtworzenia systemów sterowania
- Zgodność KSC 2.0 / NIS2 — formalne zarządzanie ryzykiem w OT i gotowość do raportowania incydentów w 24 godziny
Jak SecIQ pomaga?
- SecIQ SOC monitoruje 24/7 zarówno warstwę IT, jak i styk IT/OT — wykrywa ruch boczny, rekonesans i anomalie w komunikacji z systemami sterowania, zanim dojdzie do dyzrupcji
- Wykrywanie urządzeń brzegowych wystawionych do internetu — identyfikacja podatnych edge devices, które są typowym wektorem wejścia
- Reagowanie na incydenty — playbook dla scenariuszy sabotażu OT: izolacja, ograniczenie skutków, wsparcie w odbudowie
- Zgodność NIS2 / KSC 2.0 — wsparcie w spełnieniu wymogów raportowania i zarządzania ryzykiem dla podmiotów kluczowych
- Audyt segmentacji i ekspozycji — ocena odseparowania IT/OT i powierzchni ataku przed incydentem
Infrastruktura krytyczna nie ma marginesu na przestój. Umów rozmowę o ochronie OT.
Źródła
- CERT Polska — raporty o incydentach i zagrożeniach dla polskiej infrastruktury
- CISA — Industrial Control Systems — alerty i wytyczne bezpieczeństwa OT/ICS
- Agencja Bezpieczeństwa Wewnętrznego (ABW) — oceny zagrożeń dla infrastruktury krytycznej RP
Najczęściej zadawane pytania
Czym różni się sabotaż OT od klasycznego ataku IT?
Dlaczego atakujący używają wipera, a nie ransomware?
Kto w Polsce jest zobowiązany chronić systemy OT?
SecIQ Team
Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.
Powiązane ataki
Chroń swoją organizację
SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.
Bezpłatna konsultacja · 15 min · bez zobowiązań