Usiłowali wyłączyć w Polsce ogrzewanie. Czy rosyjskie służby testują nową metodę cyberataku?

O niebezpiecznym cyberataku już dwa dni temu poinformowali przedstawiciele rządu: minister cyfryzacji Krzysztof Gawkowski i minister Miłosz Motyka. Mówili wówczas, że celem działań cyberprzestępców mogło być wywołanie blackoutu (czyli przerwy w dostawie prądu) na terenie całego kraju.

„To był największy atak na sektor energetyki w ostatnich latach, który mógł spowodować blackout z końcówką grudnia, w ostatnich dniach 2025 roku” – mówił minister Gawkowski w radiu RMF FM.

W czwartek, 15 stycznia, premier Donald Tusk podał nieco więcej szczegółów na temat tej sytuacji i uspokoił nastroje. Przede wszystkim poinformował, że

W żadnym momencie nie były zagrożone sieci przesyłowe, które są swego rodzaju kręgosłupem polskiego systemu energetycznego. Uderzono natomiast w kilka ferm wiatrowych i dwie elektrociepłownie.

Na czym miał polegać sam atak, wyjaśniał wcześniej minister Motyka. Przestępcy próbowali uniemożliwić komunikację między źródłami energii a podmiotami, które ją bilansują, czyli operatorami systemów dystrybucyjnych.

Na zlecenie Kremla?

„Gdyby atak okazał się w pełni skuteczny, gdyby się powiódł, około 500 tysięcy ludzi byłoby pozbawione prądu” – mówił premier Donald Tusk. Na szczęście zadziałały systemy zabezpieczające. „Nie zmarnowaliśmy tego czasu.

Ale nie możemy lekceważyć sygnałów” – podkreślał Tusk. Premier przypisał odpowiedzialność za atak grupom cyberprzestępczym, działającym na zlecenie rosyjskich służb specjalnych. Choć zaznaczył jednocześnie, że obecnie nie ma na to mocnych dowodów.

„Natomiast mamy powody, aby przypuszczać, że te ataki były przygotowywane już od wielu, wielu tygodni” – stwierdził Donald Tusk.

Takie akcje wymagają wcześniejszego rozpoznania. Przestępcy musieli najpierw przeanalizować, jak wygląda polska sieć ciepłownicza, ustalić jej słabe punkty, złamać zabezpieczenia. A dopiero potem zainicjować atak.

Ataki na infrastrukturę

Cyberataki, także na polską infrastrukturę, nie są niestety niczym nadzwyczajnym. Już wiosną 2025 roku gwałtownie rosła liczba takich akcji ze strony Rosji i Białorusi. Odnotowano wtedy groźne działania wobec firm zarządzających lokalną infrastrukturą komunalną. Tylko w ciągu kilku dni przed świętami wielkanocnymi udaremniono siedemnaście prób ataków na podmioty zarządzające wodociągami. Jedna okazała się skuteczna. Były też ataki na szpitale i kotłownie.

„Nie jest atakowany już tylko system wejścia, żeby ukraść dane, tylko jest głębsza infiltracja po to, żeby coś zablokować albo wyłączyć na przykład wodę, albo energię" – wyjaśniał wówczas minister Krzysztof Gawkowski w TVN24.

Natomiast pracująca dla rosyjskiego rządu grupa cyberprzestępcza sama pochwaliła się wtedy w internecie włamaniami do systemów zarządzania stacjami wody w Tolkmicku, Sierkowie i Małdytach, do oczyszczalni ścieków w Witkowie i Kuźnicy, a także do kotłowni przemysłowej w Łodzi. W lipcu zaatakowano stację uzdatniania wody w Szczytnie. W sierpniu – spalarnię odpadów i basen.

Skutki mogły być poważne

Wtedy jednak uderzano bezpośrednio w systemy firm sterujących infrastrukturą. Metoda zastosowana pod koniec grudnia 2025 roku była inna – zakłócano system, który umożliwia kontrolę sieci w zakresie popytu na energię oraz poziomu zapotrzebowania na nią.

O to, jakie mogłyby być skutki takiego ataku, zapytaliśmy Michała Grabka, kierownika programu Energie & Klimat Fundacji Instrat. Ekspert wyjaśnił, dlaczego atak na sieci ciepłownicze (a z takim mieliśmy do czynienia, jak wynika z informacji premiera) mógł mieć poważniejsze skutki niż uderzenie w sieci elektroenergetyczne.

„Elektrociepłownie generują zarówno energię elektryczną, jak i ciepło. Te dwa produkty funkcjonują jednak w osobnych systemach. System elektroenergetyczny ma charakter ogólnokrajowy. Awaria bądź wypadnięcie z niego pojedynczych dużych jednostek da się opanować. Operator systemu dysponuje bowiem rezerwami, które mogą pracować zamiast nich – wyjaśniał OKO.press Michał Grabka. – „W przypadku systemów ciepłowniczych, zapewniających ciepłą wodę i ogrzewanie, długotrwałe wypadnięcie kilku jednostek w tym samym mieście może łatwiej doprowadzić do przerwy w dostawach. Choć i tu dostępne są rezerwy, to systemy ciepłownicze nie są połączone, każdy funkcjonuje osobno”.

Nie wiemy, które elektrociepłownie zostały zaatakowane. Przedstawiciele rządu nie wskazali żadnej konkretnej lokalizacji.

Rosyjski test

Zastosowana metoda cyberataku była zupełnie nowa. Jak informował minister energii Miłosz Motyka, skonsultowano się z partnerami zagranicznymi i okazało się, że inne państwa nie zetknęły się jeszcze z tego rodzaju działaniami.

Grupa przestępcza, działająca na zlecenie rosyjskich służb, testowała:

• polskie zabezpieczenia infrastruktury energetycznej,
• nową metodę ataku,
• polską reakcję.

Rosjanie dość często przeprowadzają takie testy, przygotowując nowe rodzaje sabotaży na Zachodzie. Głośna operacja z podkładaniem ładunków wybuchowych w paczkach, przesyłanych za pośrednictwem firm kurierskich, także została wykryta w fazie testów.

Wtedy rosyjskie służby wypróbowywały nowy rodzaj materiału wybuchowego. Sprawdzały też możliwości przerzutu takich paczek nawet do Stanów Zjednoczonych. Tyle że materiał wybuchał za wcześnie, jeszcze w magazynach firm. To doprowadziło do wykrycia operacji przez zachodnie służby i zminimalizowania jej wpływu. Z punktu widzenia Kremla ataki były więc nieskuteczne, ale też dały rosyjskim funkcjonariuszom dużo informacji o materiale wybuchowym, jak i o europejskim łańcuchu dostaw.

Kilka tysięcy cyberataków dziennie

W przypadku ataku na polską infrastrukturę energetyczną sytuacja mogła być podobna. Rosyjskie służby przekonały się, że zabezpieczenia w Polsce działają, a wywołanie nawet punktowego blackoutu nie będzie proste. Ale też mają dziś dużo większą wiedzę o stosowanym systemie obrony.

Liczba cyberataków na Polskę, nie tylko na infrastrukturę, rośnie z roku na rok. Jak informował portal Cyberdefence24: „Wicepremier i minister cyfryzacji Krzysztof Gawkowski ujawnił, że dzienna liczba cyberataków kierowanych przeciwko w Polsce waha się od dwóch do czterech tysięcy. CERT Polska obsłużył 236 tysięcy incydentów, co jest wzrostem o około 100 procent wobec poprzedniego roku, jak wskazuje szef jednostki Marcin Dudek. W 2025 roku zgłoszono 620 tysięcy incydentów”.

Poza atakami na infrastrukturę rośnie też liczba ataków ransomware (złośliwego oprogramowania), które zakłócają normalną pracę systemów informatycznych. Takich sytuacji w 2025 roku doświadczył choćby sektor lotniczy czy duża polska firma z branży hotelarskiej.

Warto się przygotować

W związku z nasilającymi się atakami warto się przygotowań na ewentualny kilkudniowy blackout czy brak ogrzewania. O tym, jak to zrobić, można przeczytać między innymi w rządowym „Poradniku Bezpieczeństwa”, rozsyłanym do mieszkańców w całej Polsce.

Oto podstawowe wskazówki:

• Przygotuj alternatywne źródła: światła (latarki z zapasem baterii), ogrzewania (piecyk gazowy lub olejowy, kominek), łączności (radio na baterie, krótkofalówki, CB radio).
• Rozważ zakup agregatu prądotwórczego.
• Naładuj powerbanki. Włącz w telefonie tryb oszczędzania energii.
• Przygotuj zapasy żywności gotowej do spożycia (np. konserwy, suchary, batony) i wody (min. 3 litry dziennie na osobę).
• Miej przy sobie zapas gotówki w różnych nominałach.
• Oszczędzaj ciepło, zbierz domowników w jednym pokoju.
• Ogranicz otwieranie lodówki i zamrażarki – dłużej utrzymają niską temperaturę.
• Odłącz wszystkie urządzenia elektryczne od zasilania.