Infrastruktura krytyczna: wiele problemów do rozwiązania
W przypadku infrastruktury krytycznej skala i zaawansowanie zagrożeń rosną szybciej niż zdolności obronne. Z czego to wynika i jak sobie z tym radzić?
Największym błędem jest traktowanie OT jak kolejnego segmentu IT.
Dane statystyczne często się lekceważy, ale poniższych wskaźników nie warto bagatelizować. Według statystyk CERT Polska liczba obsłużonych incydentów cyberbezpieczeństwa w ciągu jednego roku wręcz podwoiła się – z około 111 tysięcy zdarzeń w 2024 r. do ponad 236 tys. w roku ubiegłym. Co więcej, rządowe źródła podają, że polska infrastruktura krytyczna jest celem od 20 do 50 prób ataków dziennie, wyłącznie w obszarach energetyki, transportu i systemów wodnych.
– To nie jest statystyczny szum, ale systematyczna, zorganizowana presja. W dodatku problem nie leży tylko w liczbie ataków, lecz w tym, jak organizacje na nie reagują i czy w ogóle reagują. Atakujący korzystają z AI, automatyzują rozpoznanie i potrafią tygodniami pozostawać niezauważeni w środowisku ofiary – mówi Karol Girjat, Business Development Manager w Net Complex.
Przestępcy działają szybciej, nie mają zasad, nie ograniczają ich prawo ani godziny pracy. Ataki przeprowadzają w dzień i w nocy. Często dysponują niemałymi środkami finansowymi, swoje działania traktując jako inwestycję biznesową, ale też nierzadko działają z pobudek politycznych.
– Infrastruktura krytyczna rządzi się całkowicie odmiennymi zasadami. Inwestycje w tym obszarze to wielomiesięczne postępowania przetargowe, a budżet na nie musi być starannie zaplanowany. Nie jest też tajemnicą, że atakujący posiada ogromną motywację. Kwoty okupu żądane za odszyfrowanie danych sięgają milionów. Takich kwot z finansową motywacją na wielu stanowiskach IT, zwłaszcza w sektorze publicznym, nie ma co porównywać – uważa Artur Bicki, CEO w Energy Logserver.
Jeśli chodzi o cele, jednym z najczęściej atakowanych jest sektor energetyczny, głównie ze względu na złożoność systemów sterowania oraz skalę potencjalnych konsekwencji incydentu. Cyberprzestępcy coraz częściej interesują się także branżą wodociągową, transportową i telekomunikacyjną. Rosnąca presja zagrożeń w tych obszarach znajduje odzwierciedlenie w programach rządowych wspierających unowocześnianie infrastruktury krytycznej pod kątem bezpieczeństwa.
– W sektorze prywatnym poziom ochrony również jest bardzo zróżnicowany. Obserwujemy przedsiębiorstwa, które nie mają sprecyzowanych podstawowych mechanizmów bezpieczeństwa OT, ale są również firmy wykorzystujące zaawansowane rozwiązania zintegrowane z centrami SOC – mówi Maciej Gospodarek, Principal Systems Engineer w polskim oddziale Fortinetu.
Niepokoić mogą zwłaszcza ostatnie ataki na sektor wodociągowy. Przez lata był on uważany za zbyt lokalny i mało atrakcyjny dla cyberprzestępców. Rzeczywistość boleśnie zweryfikowała to przekonanie.
– W ciągu ostatnich kilkunastu miesięcy ataki dotknęły oczyszczalnie ścieków i przepompownie w kilku polskich miastach. W każdym przypadku hakerzy manipulowali parametrami urządzeń sterujących. Skala szkód fizycznych zależała bardziej od czujności operatora niż od skuteczności zabezpieczeń cyfrowych – tłumaczy Karol Girjat.
Infrastruktura krytyczna słabym ogniwem
Infrastruktura krytyczna działa na styku technologii IT i OT, co tworzy jeden z najtrudniejszych obszarów do cyberochrony. To zderzenie dwóch światów, które do siebie nie przystają.
– IT działa w logice aktualizacji, segmentacji, monitoringu, szybkiego reagowania. OT – w logice bezpieczeństwa procesu, dostępności, stabilności i wieloletniego cyklu życia urządzeń. W IT restart serwera bywa akceptowalny. W OT restart sterownika może zatrzymać produkcję, dostawy energii albo proces technologiczny – mówi Karol Kij, Dyrektor Działu Rozwiązań Cyberbezpieczeństwa w Atende.
Nad wszystkim ciąży poważny dług technologiczny. Systemy OT sterujące pracą elektrowni, stacji uzdatniania wody czy węzłów kolejowych były projektowane 15, 20, a czasem 30 lat temu w zupełnie innym świecie technologii.
– Projektant systemu SCADA z początku lat 2000 nie zakładał, że urządzenie będzie kiedykolwiek dostępne z sieci. Dziś zdalne zarządzanie, integracja z systemami ERP i cyfryzacja procesów tego po prostu wymagają. Tymczasem aktualizacja oprogramowania w środowisku OT to nie ‚wciśnij i uruchom ponownie’, ale wielomiesięczna operacja wymagająca okien serwisowych, certyfikacji i zgody wielu interesariuszy. W efekcie wiele systemów działa z podatnościami, o których wszyscy wiedzą, ale których nikt nie może szybko załatać – twierdzi Karol Girjat.
Kolejnym problemem jest luka kompetencyjna między światem IT a światem inżynierii przemysłowej. Specjalista IT rozumie protokoły sieciowe, ale nie zna takich technologii, jak Modbus, DNP3 czy Profinet. Inżynier automatyki świetnie rozumie proces technologiczny, ale nie myśli kategoriami modeli zagrożeń. Ci dwaj specjaliści często siedzą po różnych stronach organizacji i rozmawiają ze sobą rzadziej, niż powinni. Efektem są luki, które nie leżą ani w kompetencjach IT, ani OT, leżąc dokładnie pomiędzy nimi.
Zdaniem integratora
Karol Kij, Dyrektor Działu Rozwiązań Cyberbezpieczeństwa, Atende Najbardziej dojrzałe organizacje już wcześniej przygotowywały się pod NIS 2, DORA, ISO 27 001, IEC 62 443 czy wymagania sektorowe. Natomiast duża część rynku dopiero teraz przechodzi z fazy „wiemy, że nas to dotyczy” do fazy „musimy się formalnie zidentyfikować, wpisać do wykazu i zbudować realny program zgodności”. Największe bariery to nie sama dokumentacja, tylko operacjonalizacja: brak ludzi, brak budżetów, niejasna własność ryzyka między IT, OT, prawem i zarządem, niedojrzały asset management, słabe zarządzanie dostawcami oraz traktowanie compliance jako projektu papierowego. Rozwiązaniem jest podejście risk-first. Najpierw klasyfikacja podmiotu i usług, potem mapa aktywów krytycznych, analiza luk, roadmapa wdrożenia, właściciele ryzyk, mierniki, testy odporności i zarządzanie dostawcami. Compliance musi być produktem ubocznym realnej odporności, a nie odwrotnie.
Atende otrzymało tytuł IT Master 2026
Karol Girjat, Business Development Manager, Net Complex Dostrzegam na rynku potrzebę zmiany myślenia. NIS 2 nie jest bowiem kolejnym audytem do zaliczenia. To regulacja, która wprost wymaga ciągłego monitorowania bezpieczeństwa, zarządzania incydentami i raportowania zdarzeń w określonych rygorystycznych oknach czasowych. Dla większości podmiotów infrastruktury krytycznej, szczególnie tych, które nie są w stanie zbudować własnego, dojrzałego centrum operacji bezpieczeństwa, naturalną odpowiedzią powinien być MDR. To często po prostu lepsza decyzja: zamiast budować przez lata własny SOC, który będzie działał połowicznie, korzystamy z gotowej usługi eksperckiej, która realnie spełnia wymogi regulacyjne tu i teraz. Zarówno, jeśli chodzi o monitoring 24/7, jak i o zdolność do reagowania na incydenty w czasie, który NIS 2 przewiduje.
Net Complex otrzymał tytuł IT Master 2026
Podobne artykuły
Bezpieczne dokumenty, bezpieczna firma
Stare oprogramowanie może kosztować firmę więcej niż kupno nowych licencji. Po wejściu w życie nowelizacji KSC należy dokładniej przyglądać się narzędziom, które dotąd działały bez problemów.
Blackwall: młot na boty
Boty generują już większość ruchu w sieci, co oznacza, że w nowej rzeczywistości cyberzagrożeń muszą odnaleźć się nawet najmniejsze firmy i instytucje.