Raport i rekomendacje w związku z incydentem w sektorze energii z 29 grudnia 2025 roku
Pod koniec ubiegłego roku doszło do serii skoordynowanych ataków w polskiej cyberprzestrzeni.
Działania wymierzone były w liczne farmy wiatrowe i fotowoltaiczne, spółkę z sektora produkcyjnego oraz w elektrociepłownię dostarczającą ciepło dla prawie pół miliona odbiorców w Polsce.
Dziś nasz zespół publikuje raport opisujący techniczną analizę tych zdarzeń i rekomendacje, dzięki którym mogą Państwo zmniejszyć ryzyko podobnych incydentów w przyszłości. Pokazujemy schemat działania oraz wykorzystane przez atakujących narzędzia. Raport jest dostępny pod adresem https://cert.pl/posts/2026/01/raport-incydent-sektor-energii-2025/
W związku z incydentem rekomendujemy:
Weryfikację logów pod kątem występowania IoC oraz technik wykorzystywanych przez aktora, opisanych w raporcie. Należy zgłosić incydent do właściwego zespołu CSIRT poziomu krajowego w przypadku ich wykrycia.
Wdrożenie rekomendacji dla wzmocnienia ochrony systemów OT opisanych w artykule Rekomendacje dla wzmocnienia ochrony systemów OT.
Zastosowanie rekomendacji opisanych w Komunikacie Pełnomocnika Rządu do spraw Cyberbezpieczeństwa dotyczącym cyberbezpieczeństwa OZE.
Zgłaszanie incydentów cyberbezpieczeństwa do właściwego zespołu CSIRT poziomu krajowego:
CSIRT GOV - administracja rządowa i infrastruktura krytyczna,
CSIRT MON - instytucje wojskowe,
CSIRT NASK - wszystkie pozostałe.