Zagrożenie krytyczne — wysoki priorytet obrony
Ataki sieciowe
Krytyczny
ZarządCISOITOT

Sabotaż OT — atak na infrastrukturę krytyczną

OT Sabotage Attack

Sabotaż OT to atak na systemy sterujące produkcją i energetyką. Wiper niszczy dane, wywołuje przestój. Jak chronić infrastrukturę krytyczną pod KSC 2.0?

4 min czytaniaPrzykład: Skoordynowany atak wiperem na polską sieć energetyczną (grudzień 2025) — uszkodzone RTU i skasowane dane HMI w 30+ farmach OZE oraz elektrociepłowni zaopatrującej ~500 tys. odbiorców
Udostępnij
ŁAŃCUCH ATAKU OT / ICSAtakujący(internet)Podatne urządzeniebrzegoweSystemy sterujące(OT / ICS)InfrastrukturakrytycznaSterownikiRTU / HMIWiper kasuje dane sterowników (RTU / HMI)PRZESTÓJ / SABOTAŻGrudzień 2025: atak na polską energetykęWARSTWA OBRONYzabezpiecz urządzeniabrzegowesegmentacja IT / OT(kluczowe)monitoring OT24/7backup konfiguracji+ plan ciągłościATAK POWSTRZYMANYCIĄGŁOŚĆ ZACHOWANAAtak OT niszczy fizyczne systemy sterowania (wiper). Segmentacja IT/OT i monitoring odcinają drogę atakującego.seciq.pl

MITRE ATT&CK

Kluczowe wnioski

  • Sabotaż OT to atak na systemy sterujące produkcją, energetyką i wodociągami — celem nie jest okup, lecz zniszczenie i przestój
  • W grudniu 2025 skoordynowany atak wiperem uderzył w polską energetykę: 30+ farm OZE, elektrociepłownię zaopatrującą ~500 tys. odbiorców, firmę produkcyjną
  • ABW ostrzega o przesunięciu od szpiegostwa ku fizycznej dyzrupcji infrastruktury — motyw sabotażowy, aktorzy powiązani z Rosją
  • Obrona: segmentacja IT/OT, monitoring OT, zabezpieczenie urządzeń brzegowych, backup konfiguracji, plan ciągłości. Dla podmiotów kluczowych KSC 2.0/NIS2 — obowiązek

Czym jest sabotaż OT?

Sabotaż OT to atak wymierzony w systemy technologii operacyjnej (Operational Technology) i przemysłowe systemy sterowania (ICS — Industrial Control Systems), które kontrolują procesy fizyczne: produkcję w fabrykach, wytwarzanie i dystrybucję energii, uzdatnianie wody, transport. To nie są klasyczne systemy IT biurowego — ich awaria nie oznacza utraty dokumentów, lecz zatrzymanie turbiny, przerwę w dostawie ciepła albo unieruchomienie linii produkcyjnej.

Kluczowa różnica względem większości cyberataków: celem nie jest okup ani kradzież danych, lecz zniszczenie i przestój. Napastnicy sięgają po wiper — złośliwe oprogramowanie, które trwale kasuje dane, zamiast je szyfrować. Wiper nie oferuje klucza deszyfrującego, bo nie chodzi o zarobek. To narzędzie sabotażu.

Jak działa atak?

  1. Dostęp początkowy — najczęściej przez podatne urządzenia brzegowe (edge devices) wystawione do internetu: routery przemysłowe, koncentratory VPN, panele zdalnego dostępu do systemów sterowania
  2. Rekonesans w sieci OT — atakujący mapuje architekturę, identyfikuje sterowniki, stacje operatorskie (HMI) i urządzenia telemetryczne (RTU — remote terminal units)
  3. Ruch boczny (lateral movement) — przechodzi z warstwy IT do słabo odseparowanej warstwy OT
  4. Przygotowanie ładunku — rozmieszcza wiper na stacjach HMI i moduły uszkadzające konfigurację urządzeń brzegowych
  5. Dyzrupcja — kasuje dane HMI (operator traci wgląd i kontrolę nad procesem) i uszkadza RTU, przerywając sterowanie polem
  6. Efekt fizyczny — przestój produkcji lub przerwa w dostawie mediów; przywrócenie wymaga często ręcznej odbudowy konfiguracji urządzenie po urządzeniu

Ponieważ wiper niszczy dane bez możliwości ich odzyskania kluczem, przywrócenie działania zależy od backupu konfiguracji i planu ciągłości — nie od negocjacji z napastnikiem.

Kogo dotyczy w Polsce?

Zagrożenie przestało być teoretyczne. W grudniu 2025 skoordynowany atak uderzył w polską sieć energetyczną: dotknął ponad 30 farm wiatrowych i fotowoltaicznych, prywatną firmę produkcyjną oraz dużą elektrociepłownię zaopatrującą w ciepło około 500 tys. odbiorców. Atakujący uszkodzili RTU i skasowali dane HMI wiperem — malware niszczącym, nie szyfrującym.

ABW wskazuje na wyraźne przesunięcie: od szpiegostwa i kradzieży danych ku fizycznej dyzrupcji infrastruktury — prądu, wody, transportu. Motywem jest sabotaż o charakterze państwowym, przypisywany aktorom powiązanym z Rosją. Po incydencie w Polsce CISA wydała (luty 2026) alert dotyczący luk w systemach OT/ICS.

Sektory szczególnie narażone w Polsce:

  • Energetyka — sieci przesyłowe i dystrybucyjne, OZE, elektrociepłownie
  • Produkcja przemysłowa — zakłady z rozbudowaną warstwą ICS
  • Transport i logistyka — porty, kolej, lotniska, węzły przeładunkowe
  • Wodociągi i ciepłownictwo — dostawa mediów dla ludności
  • Dostawcy usług IT — jako wektor ataku na łańcuch dostaw

Dla podmiotów kluczowych i ważnych według ustawy o KSC (wdrożenie NIS2) ochrona warstwy OT nie jest opcją — to obowiązek, wraz z raportowaniem poważnych incydentów do CSIRT w ciągu 24 godzin.

Jak się chronić?

  1. Segmentacja IT/OT — oddzielenie sieci przemysłowej od biurowej (strefa zdemilitaryzowana, ścisła kontrola przepływów) ogranicza ruch boczny
  2. Zabezpieczenie urządzeń brzegowych — inwentaryzacja i usunięcie z internetu wszystkiego, co nie musi być wystawione; aktualizacje firmware, silne uwierzytelnianie zdalnego dostępu
  3. Monitoring OT — ciągły nadzór ruchu w sieci przemysłowej i wykrywanie anomalii w komunikacji ze sterownikami i RTU
  4. Backup konfiguracji — regularne, odłączone od sieci kopie konfiguracji sterowników, HMI i urządzeń brzegowych (wiper niszczy dane — backup przesądza o czasie odbudowy)
  5. Plan ciągłości działania — testowany scenariusz pracy w trybie manualnym i odtworzenia systemów sterowania
  6. Zgodność KSC 2.0 / NIS2 — formalne zarządzanie ryzykiem w OT i gotowość do raportowania incydentów w 24 godziny

Jak SecIQ pomaga?

  • SecIQ SOC monitoruje 24/7 zarówno warstwę IT, jak i styk IT/OT — wykrywa ruch boczny, rekonesans i anomalie w komunikacji z systemami sterowania, zanim dojdzie do dyzrupcji
  • Wykrywanie urządzeń brzegowych wystawionych do internetu — identyfikacja podatnych edge devices, które są typowym wektorem wejścia
  • Reagowanie na incydenty — playbook dla scenariuszy sabotażu OT: izolacja, ograniczenie skutków, wsparcie w odbudowie
  • Zgodność NIS2 / KSC 2.0 — wsparcie w spełnieniu wymogów raportowania i zarządzania ryzykiem dla podmiotów kluczowych
  • Audyt segmentacji i ekspozycji — ocena odseparowania IT/OT i powierzchni ataku przed incydentem

Infrastruktura krytyczna nie ma marginesu na przestój. Umów rozmowę o ochronie OT.

Źródła

OTICSInfrastruktura krytycznaWiperSabotażNIS2KSC 2.0
FAQ

Najczęściej zadawane pytania

Czym różni się sabotaż OT od klasycznego ataku IT?
OT (Operational Technology) to systemy sterujące procesami fizycznymi — turbinami, pompami, liniami produkcyjnymi — a nie danymi biurowymi. Atak na OT nie kończy się na utracie plików: prowadzi do zatrzymania produkcji, przerw w dostawie prądu, wody czy ciepła. Skutki są fizyczne i natychmiastowe.
Dlaczego atakujący używają wipera, a nie ransomware?
Wiper niszczy dane bezpowrotnie — nie oferuje klucza deszyfrującego, bo celem nie jest zarobek. To narzędzie sabotażu, nie wymuszenia. W atakach na infrastrukturę krytyczną chodzi o maksymalny przestój i destabilizację, dlatego atakujący kasują dane HMI i uszkadzają urządzenia sterujące (RTU).
Kto w Polsce jest zobowiązany chronić systemy OT?
Podmioty kluczowe i ważne wg ustawy o KSC (wdrożenie NIS2): energetyka, produkcja, transport, wodociągi, ochrona zdrowia. Muszą zarządzać ryzykiem także w warstwie OT/ICS, zgłaszać poważne incydenty do CSIRT w ciągu 24 godzin i zapewnić ciągłość działania.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.

Chroń swoją organizację

SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.

Bezpłatna konsultacja · 15 min · bez zobowiązań