Cyberatak może sparaliżować firmy szybciej niż blackout. Wywiad z Grzegorzem Latosińskim

Jan Wojtal, My Company Polska: Czy atak DDoS na sieci elektroenergetyczne to realne zagrożenie dla stabilności dostaw prądu w Polsce, czy raczej „sondaż” możliwości systemów?

Grzegorz Latosiński, Palo Alto Networks: Ataki DDoS są realnym zagrożeniem, ale ich znaczenie trzeba rozumieć szerzej niż tylko „wyłączenie prądu”. W energetyce DDoS częściej bywa elementem presji operacyjnej i informacyjnej, ponieważ może utrudniać dostęp do usług cyfrowych, zakłócać komunikację, monitoring, systemy obsługi klienta, a w niektórych przypadkach stać się „zasłoną dymną” dla równoległych działań, np. prób włamań czy sabotażu. Dla atakujących bywa to również forma właśnie wspomnianego „sondażu” w celu sprawdzania, jak szybko zadziałają procedury reagowania i czy uda się wywołać efekt skali.

Rosnące zagrożenia atakami DDoS potwierdzają dane. W okresie 12–18 stycznia 2026 r. Polska odpowiadała za 67,1% odnotowanych w tym czasie incydentów DDoS, co ma być związane m.in. z aktywnością grup prorosyjskich. CERT Orange Polska opisał również rekordowy atak DDoS na swoją sieć z 24 grudnia 2025 r. Data jest nieprzypadkowa, ponieważ okres świąteczny często wiąże się z obniżoną czujnością. Jego siła wyniosła 1,5 terabita na sekundę, co jednoznacznie wskazuje, że skala i brutalność ataków wolumetrycznych gwałtownie rosną.

Patrząc z perspektywy stabilności dostaw energii, system elektroenergetyczny jest projektowany z redundancją i mechanizmami odporności, więc sam DDoS nie musi oznaczać przerw w dostawach. Natomiast dla firm (zwłaszcza z sektora MŚP) nawet „cyfrowe” zakłócenia wokół energetyki, jak utrudniony kontakt, ograniczona dostępność systemów czy opóźnienia w przywracaniu usług, mogą przełożyć się na koszty operacyjne i przerwy w procesach.

Na ile polska infrastruktura energetyczna jest dziś odporna na skoordynowane cyberataki ze strony państwowych aktorów, np. Rosji czy Chin?

Polska infrastruktura energetyczna funkcjonuje dziś w warunkach stałej presji cybernetycznej – w 2024 r. odnotowano ponad 4 tys. incydentów cybernetycznych wymierzonych w ten sektor. Jednocześnie warto podkreślić, że sektor energii należy do najbardziej regulowanych i nadzorowanych obszarów infrastruktury krytycznej, co przekłada się na wyższy poziom formalnej dojrzałości bezpieczeństwa.

Dobrym testem realnej odporności był incydent z 29 grudnia 2025 r., opisany ostatnio w raporcie CERT Polska. Mieliśmy do czynienia z operacją o charakterze sabotażowym, obejmującą równolegle farmy wiatrowe i fotowoltaiczne oraz dużą elektrociepłownię dostarczającą ciepło dla setek tysięcy odbiorców. Atakujący podejmowali działania ingerujące.

w konfigurację urządzeń oraz próbowali doprowadzić do trwałego uszkodzenia danych w środowisku jednej z instalacji. Był to więc atak wykraczający poza typowe zakłócenia w warstwie IT – dotykał elementów operacyjnych.

Kluczowe jest jednak to, że mimo powagi zdarzenia nie doszło do przerwania dostaw energii ani destabilizacji systemu elektroenergetycznego. To pokazuje, że mechanizmy ograniczania skutków, redundancja oraz procedury reagowania zadziałały. Jednocześnie sam fakt, że atak miał charakter skoordynowany i obejmował elementy infrastruktury rozproszonej, wskazuje na rosnący poziom ambicji i przygotowania po stronie przeciwnika.

Z perspektywy przedsiębiorstw ważny jest jeszcze jeden wniosek – odporność systemu krajowego nie zależy wyłącznie od największych operatorów. Wiele punktów styku z energetyką, jak integracje systemowe, utrzymanie, serwis, rozwiązania teleinformatyczne, realizowanych jest przez podwykonawców. Dlatego poziom bezpieczeństwa całego sektora jest wypadkową także dojrzałości mniejszych firm funkcjonujących w jego łańcuchu dostaw.

Czy ustawa o Krajowym Systemie Cyberbezpieczeństwa rzeczywiście podniesie poziom ochrony, czy to raczej ramy formalne bez realnych narzędzi operacyjnych?

KSC, podobnie jak inne wymogi legislacyjne typu NIS2, należy traktować jako fundament. Porządkuje odpowiedzialność, standaryzuje podejście do ryzyka, wzmacnia obowiązki raportowania i reagowania. To jest potrzebne, bo bez ram prawnych trudno budować spójne, sektorowe minimum bezpieczeństwa. Jednocześnie doświadczenie pokazuje, że zgodność formalna to dopiero pierwszy krok – przepisy nie zawsze nadążają za tempem ewolucji technik ataków, a realna odporność zależy od dojrzałości operacyjnej organizacji, ludzi, procesów i narzędzi.

Z perspektywy sektora MŚP istotny jest jeszcze jeden element – regulacje obejmą także te podmioty, które wcześniej nie miały sformalizowanych obowiązków w cyberbezpieczeństwie, a jednocześnie są częścią łańcuchów dostaw większych organizacji. Różnice w dojrzałości cyfrowej między firmami sprawiają, że nowe obowiązki nie będą dla wszystkich równie łatwe do wdrożenia. Dla części przedsiębiorstw oznacza to konieczność uporządkowania procesów i nadrobienia zaległości w obszarze zarządzania ryzykiem. Dlatego kluczowe będzie to, czy regulacje staną się impulsem do realnych inwestycji w bezpieczeństwo i kompetencje, a nie jedynie formalnym ćwiczeniem zgodności.

Jakie elementy systemu energetycznego są dziś najbardziej wrażliwe: OZE, sieci przesyłowe, systemy sterowania, komunikacja danych?

Najbardziej wrażliwa jest warstwa połączeń między światem fizycznym a cyfrowym – systemy sterowania przemysłowego (ICS/SCADA), telemetria, komunikacja danych i integracje z systemami IT. Transformacja energetyczna wzmacnia też znaczenie OZE, bo rozproszenie źródeł i większa liczba punktów dostępowych zwiększają powierzchnię potencjalnego ataku – niekoniecznie dlatego, że OZE są „słabsze”, ale dlatego, że jest ich więcej, częściej są zintegrowane z zewnętrznymi usługami i wymagają utrzymania przez różne podmioty.

Coraz częściej wrażliwym elementem nie jest jednak sama infrastruktura operatora, tylko łańcuch dostaw i partnerzy: integratorzy, firmy serwisowe, dostawcy oprogramowania, outsourcing IT, podwykonawcy utrzymania. Z analiz Palo Alto Networks wynika, że niemal co trzeci cyberincydent w Europie dotyczy stron trzecich. To jest szczególnie ważne dla mniejszych i średnich przedsiębiorstw, bo to one często stanowią cyfrowe zaplecze większych organizacji oraz mają dostęp (czasem szeroki) do systemów klienta, a jednocześnie relatywnie skromniejsze zasoby obronne.

Jak poważne skutki dla firm mógłby mieć udany atak na infrastrukturę energetyczną – czy grożą nam scenariusze długotrwałych blackoutów?

Scenariusz długotrwałego, ogólnokrajowego blackoutu należy traktować jako wariant skrajny, a nie najbardziej prawdopodobny. Pokazuje to również przykład grudniowego incydentu z zeszłego roku. Znacznie częstsze i bardziej realistyczne są lokalne zakłócenia, ograniczenia dostępności usług czy czasowe problemy w komunikacji i obsłudze systemów. Z perspektywy przedsiębiorcy to jednak wcale nie oznacza mniejszego ryzyka.

W gospodarce silnie zdigitalizowanej nawet kilkugodzinne zakłócenie może generować straty nieproporcjonalne do skali firmy. Produkcja, logistyka, systemy magazynowe, płatności, dostęp do danych w chmurze czy komunikacja z klientami są dziś wzajemnie powiązane. Jeśli jeden element przestaje działać, efekt domina może objąć kolejne procesy. W przypadku firm przemysłowych oznacza to przestoje linii produkcyjnych, w logistyce – opóźnienia dostaw, w handlu – utratę sprzedaży i zaufania klientów.

Dlatego cyberbezpieczeństwo przestaje być kosztem IT, a staje się elementem zarządzania ryzykiem biznesowym na poziomie zarządu. Właściciele i menedżerowie powinni patrzeć na nie w podobny sposób jak na ryzyko finansowe czy prawne. Kluczowe pytania brzmią: które procesy są krytyczne dla przetrwania firmy, jak długo możemy funkcjonować w trybie awaryjnym, jakie są alternatywne scenariusze działania i czy nasze systemy mają realną redundancję, a nie tylko teoretyczne zabezpieczenia.

W praktyce oznacza to potrzebę regularnego przeglądu planów ciągłości działania, testowania scenariuszy przestoju, weryfikacji zależności od zewnętrznych dostawców oraz inwestowania w rozwiązania, które zwiększają widoczność ryzyka i skracają czas reakcji. Firmy, które traktują cyberodporność jako element strategii operacyjnej, są w stanie szybciej wrócić do normalnego funkcjonowania i ograniczyć straty wizerunkowe oraz kontraktowe.

Czy polskie przedsiębiorstwa, zwłaszcza z sektora przemysłowego i logistycznego, powinny przygotowywać własne plany awaryjne na wypadek cyberataków na energetykę?

Zdecydowanie tak. Niezależnie od poziomu zabezpieczeń infrastruktury państwowej czy operatorów energetycznych, każda firma powinna zakładać, że może dojść do czasowych zakłóceń w dostępie do energii, łączności lub systemów IT. W praktyce odporność przedsiębiorstwa zależy nie od tego, czy incydent wystąpi, lecz od tego, jak szybko i w jak uporządkowany sposób firma potrafi na niego zareagować.

W przypadku sektora przemysłowego i logistycznego zależność od energii i systemów cyfrowych jest szczególnie silna. Automatyka produkcyjna, systemy magazynowe, zarządzanie flotą, platformy sprzedażowe czy księgowość online – wszystkie te elementy są ze sobą powiązane. Plan awaryjny nie powinien być więc dokumentem „do szuflady”, lecz realnym scenariuszem działania w sytuacji ograniczonej dostępności kluczowych zasobów.

W przypadku sektora MŚP nie chodzi o rozbudowane struktury kryzysowe, ale o pragmatyczne podejście – zidentyfikowanie procesów krytycznych, określenie maksymalnego akceptowalnego czasu przestoju, wskazanie osób odpowiedzialnych za decyzje w pierwszych godzinach incydentu oraz przetestowanie, czy przyjęte założenia rzeczywiście działają w praktyce. Często już sama analiza zależności pokazuje, jak duża część operacji opiera się na pojedynczych punktach dostępu – jednym łączu, jednym systemie, jednym dostawcy.

Czy przeciętny Polak powinien obawiać się, że cyberatak może doprowadzić do długich przerw w dostawie prądu, internetu czy bankowości elektronicznej?

Obecnie nie ma podstaw, by traktować scenariusz długotrwałego, ogólnokrajowego blackoutu jako najbardziej prawdopodobny efekt cyberataku. System energetyczny oraz kluczowe usługi cyfrowe są monitorowane i chronione na wielu poziomach, a skuteczność wykrywania i neutralizowania incydentów jest wysoka.

Jednocześnie nawet niewielki odsetek zdarzeń, które wymykają się zabezpieczeniom, w praktyce oznacza tysiące prób i incydentów rocznie. Cyberbezpieczeństwo nie polega na wyeliminowaniu ryzyka w 100%, lecz na jego ograniczaniu i szybkim reagowaniu. Dlatego możliwe są lokalne zakłócenia lub czasowe utrudnienia w dostępie do wybranych usług, choć scenariusze wielodniowych przerw w skali kraju pozostają mało prawdopodobne.

Warto też pamiętać, że zagrożenie nie ma wyłącznie wymiaru technicznego. W pierwszym półroczu 2025 r. w polskojęzycznej części internetu odnotowano ponad 5 milionów odbiorców narracji dezinformacyjnej dotyczącej energetyki. Oznacza to, że nawet ograniczony incydent może zostać w przestrzeni informacyjnej przedstawiony jako znacznie poważniejszy, co może wywoływać niepokój społeczny.

Dla obywateli kluczowe jest więc zachowanie spokoju, korzystanie z oficjalnych źródeł informacji i unikanie pochopnego udostępniania niesprawdzonych treści. Świadomość ryzyka powinna iść w parze z racjonalną oceną sytuacji.

Jakie podstawowe kroki może podjąć gospodarstwo domowe, by być przygotowanym na ewentualne zakłócenia – powerbanki, gotówka, zapas wody, radio?

W tym zakresie najlepiej kierować się oficjalnymi zaleceniami administracji państwowej i służb odpowiedzialnych za zarządzanie kryzysowe. Rząd regularnie publikuje poradniki dotyczące przygotowania na sytuacje nadzwyczajne, w tym długotrwały brak prądu czy zakłócenia w dostępie do usług. Tego typu przygotowanie nie powinno być postrzegane jako reakcja na konkretny cyberatak, lecz jako element ogólnej gotowości na różnego rodzaju sytuacje kryzysowe – od awarii technicznych po ekstremalne zjawiska pogodowe.

Z praktycznego punktu widzenia warto zadbać o podstawowe zabezpieczenia. Należy mieć w domu zapas wody i żywności o dłuższym terminie przydatności, na wypadek czasowych utrudnień w dostępie do sklepów czy usług. Przydatne jest alternatywne źródło światła oraz naładowany powerbank lub inne mobilne źródło energii, które pozwoli utrzymać łączność w

pierwszych godzinach zakłócenia. Warto również rozważyć posiadanie niewielkiej ilości gotówki, ponieważ w sytuacji problemów z zasilaniem terminale płatnicze i bankomaty mogą czasowo nie działać. Dobrym rozwiązaniem jest także radio na baterie, umożliwiające odbiór oficjalnych komunikatów w razie problemów z internetem.

Kluczowe jest jednak nie tylko wyposażenie, lecz także sposób reagowania. W sytuacji kryzysowej należy korzystać z oficjalnych komunikatów instytucji publicznych i unikać rozpowszechniania niesprawdzonych informacji z mediów społecznościowych. Spokojne, racjonalne podejście i stosowanie się do zaleceń władz są równie istotne jak same środki techniczne.

Czy ataki na infrastrukturę krytyczną mogą iść w parze z kampaniami dezinformacyjnymi w sieci – i jak zwykły użytkownik może rozpoznać taką manipulację?

Tak, to coraz częstszy schemat działania. Incydenty dotyczące infrastruktury krytycznej – nawet jeśli mają ograniczony wpływ operacyjny – mogą być równolegle wykorzystywane do prowadzenia kampanii dezinformacyjnych. Ich celem bywa nie tyle zakłócenie działania systemu, ile wywołanie niepokoju społecznego, osłabienie zaufania do instytucji i zwiększenie poczucia destabilizacji.

Dodatkowo obserwujemy rosnące wykorzystanie narzędzi opartych na sztucznej inteligencji – deepfake’ów, syntetycznych nagrań audio i wideo czy fałszywych komunikatów rzekomo pochodzących od instytucji publicznych. Materiały te bywają przygotowywane w sposób coraz trudniejszy do odróżnienia od autentycznych, a ich celem może być zarówno manipulacja opinią publiczną, jak i oszustwa finansowe.

Dla zwykłego użytkownika kluczowe jest zachowanie podstawowej higieny informacyjnej. W momentach podwyższonego napięcia warto unikać pochopnego udostępniania sensacyjnych treści, sprawdzać źródło informacji oraz weryfikować komunikaty w oficjalnych kanałach instytucji. Manipulacja bardzo często opiera się na emocjach i pośpiechu. Świadome podejście do informacji jest dziś jednym z elementów odporności społecznej – równie istotnym jak zabezpieczenia techniczne.

Czy obserwujemy już elementy „cyberwojny hybrydowej” wobec Polski i państw NATO?

W praktyce cyberprzestrzeń stała się stałym polem napięć geopolitycznych, a działania o charakterze hybrydowym nie mają dziś charakteru incydentalnego, lecz ciągły. Polska, ze względu na swoje położenie geograficzne, rolę w strukturach NATO oraz znaczenie logistyczne i energetyczne w regionie, należy do grupy państw o podwyższonej ekspozycji na tego typu aktywność.

Współczesna „cyberwojna hybrydowa” rzadko przyjmuje formę jednego spektakularnego zdarzenia. Zdecydowanie częściej ma postać stałej presji – kampanii phishingowych, prób infiltracji sieci, ataków DDoS, operacji sabotażowych wymierzonych w konkretne instalacje, a także działań informacyjnych mających osłabić zaufanie społeczne. Celem bywa nie tylko uzyskanie dostępu do danych, lecz również testowanie odporności systemów, rozpoznanie procedur reagowania oraz wywieranie presji psychologicznej.

Z perspektywy przedsiębiorstw oznacza to, że środowisko ryzyka staje się trwale bardziej wymagające. Firmy działające w sektorach strategicznych lub współpracujące z administracją i przemysłem powinny zakładać, że znajdują się w obszarze podwyższonej uwagi. Cyberbezpieczeństwo przestaje być kwestią wyłącznie operacyjną, a staje się elementem szerszej architektury bezpieczeństwa państwa i jego partnerów w NATO.

Jak dużą rolę w ochronie energetyki odgrywa współpraca z USA i NATO w zakresie cyberbezpieczeństwa?

Współpraca z USA i NATO odgrywa istotną rolę w ochronie infrastruktury krytycznej, w tym energetyki. Cyberzagrożenia mają charakter transgraniczny, a wiele kampanii prowadzonych jest równolegle przeciwko kilku państwom. Dlatego skuteczna obrona wymaga stałej wymiany informacji o zagrożeniach, wspólnych standardów bezpieczeństwa oraz koordynacji działań na poziomie międzynarodowym.

Dla Polski, która ze względu na swoje położenie i rolę w regionie znajduje się w obszarze zwiększonej presji, współdziałanie z partnerami transatlantyckimi zwiększa zdolność do szybkiego wykrywania nowych technik ataków oraz ograniczania ich skutków. W praktyce oznacza to wzmocnienie systemowej odporności, szczególnie w sektorach strategicznych takich jak energetyka.

Czy w najbliższych latach powinniśmy się liczyć z częstszymi i bardziej zaawansowanymi atakami na infrastrukturę krytyczną?

Wszystkie dostępne analizy wskazują, że presja cybernetyczna będzie nadal rosła – zarówno pod względem skali, jak i złożoności. Z analiz jednostki badawczej Palo Alto Networks Unit 42 wynika, że w ciągu jednego roku globalna liczba obserwowanych ataków wzrosła niemal trzykrotnie – z około 2,3 mln do blisko 9 mln dziennie. W dużej mierze wynika to z wykorzystania narzędzi opartych na sztucznej inteligencji, które pozwalają automatyzować działania, generować spersonalizowane kampanie i szybciej wykorzystywać podatności.

Zmienia się nie tylko liczba, ale również tempo ataków. Czas od wykrycia podatności do jej aktywnego wykorzystania systematycznie się skraca, a działania napastników są coraz bardziej zautomatyzowane i prowadzone równolegle przeciwko wielu podmiotom. Oznacza to, że okno reakcji po stronie obrony staje się krótsze, a znaczenie ma szybkość detekcji i koordynacja odpowiedzi.

Dodatkowo rośnie złożoność środowiska cyfrowego. Coraz większą rolę odgrywają autonomiczne systemy, integracje między środowiskami IT i OT oraz tzw. tożsamości maszynowe. Infrastruktura krytyczna nie jest już chroniona wyłącznie przed atakiem na użytkownika, lecz także przed przejęciem procesów automatycznych czy ingerencją w przepływ danych operacyjnych. Można również spodziewać się większej liczby prób manipulacji danymi oraz wpływu na systemy decyzyjne oparte na AI.

Jednocześnie rozwijają się narzędzia obronne. Kluczowe znaczenie będzie miało odejście od rozproszonych, punktowych zabezpieczeń na rzecz bardziej zintegrowanego podejścia. Coraz większą rolę odgrywa platformizacja bezpieczeństwa – konsolidacja funkcji ochronnych w spójne środowiska zapewniające pełną widoczność zagrożeń i automatyzację reakcji. Równolegle rośnie znaczenie modelu zero trust, zakładającego weryfikację każdego dostępu i ograniczanie nadmiernych uprawnień, zarówno użytkowników, jak i systemów automatycznych. W praktyce pozwala to zmniejszyć skalę potencjalnego incydentu i skrócić czas jego wykrycia.

Rosnące napięcia geopolityczne i wzrost aktywności grup haktywistycznych powiązanych z konkretnymi państwami potwierdzają tylko tezę, że w kolejnych latach ataki będą częstsze i bardziej zaawansowane. O sile państw i organizacji nie zdecyduje jednak wyłącznie poziom cyfryzacji, lecz poziom odporności – czyli zdolność do szybkiego wykrywania zagrożeń, ograniczania ich skutków i sprawnego przywracania ciągłości działania.

Bio: Grzegorz Latosiński jest ekspertem w obszarze transformacji cyfrowej oraz cyberbezpieczeństwa. Ukończył Akademię Zarządzania IT Administracji Publicznej, uzyskując tytuł Master of Business Administration (MBA). Swoją karierę zawodową rozpoczynał w sprzedaży, zdobywając doświadczenie menedżerskie u największych operatorów telekomunikacyjnych – w Grupie Orange oraz Vodafone.

W kolejnych latach był związany z rynkiem ICT, pełniąc m.in. funkcję Sales Managera w Cisco Systems, Dyrektora Działu Sprzedaży w Asseco Poland oraz Regional Sales Managera w Dell EMC. Następnie odpowiadał za relacje z klientami sektora publicznego w Polsce, pracując w Oracle Polska, Palo Alto Networks oraz Google Cloud Poland.

Obecnie, po powrocie do Palo Alto Networks Poland, pełni funkcję Country Managera, odpowiadając za strategię sprzedażową oraz rozwój działalności firmy na polskim rynku.