Gdy większość Polaków kończyła przygotowania do sylwestrowego weekendu, w tle rozgrywał się scenariusz rodem z cyberwojny. 29 grudnia 2025 roku polski sektor energetyczny stał się celem skoordynowanego ataku, który — gdyby się powiódł — mógł pozbawić ogrzewania nawet pół miliona osób. Dziś wiemy już, kto stał za tą próbą sabotażu i dlaczego data nie była przypadkowa.
Analitycy firmy ESET potwierdzili, że za atakiem stała rosyjska grupa Sandworm. To jedna z najbardziej agresywnych i doświadczonych cyberjednostek powiązanych z rosyjskim wywiadem wojskowym. To ta sama formacja, która dokładnie dekadę wcześniej zapisała się w historii, powodując pierwszy na świecie blackout wywołany wyłącznie cyberatakiem. W grudniu 2015 roku, po uderzeniu w ukraińską sieć energetyczną, prąd straciło wtedy około 230 tysięcy ludzi.
Dziesięć lat później scenariusz miał się powtórzyć — tym razem w Polsce.
Atak zaplanowany na zimę i rocznicę
Z ustaleń ESET wynika, że napastnicy użyli złośliwego oprogramowania typu wiper. Jego zadaniem nie jest kradzież danych, lecz ich trwałe niszczenie. Malware nazwany przez analityków DynoWiper został zaprojektowany do zakłócania pracy systemów zarządzających energią. Choć szczegóły dotyczące docelowego efektu wciąż są badane, eksperci podkreślają, że moment ataku nie był przypadkowy.
Zima, zwiększone zapotrzebowanie na energię oraz symboliczna, dziesiąta rocznica ukraińskiego blackoutu — wszystko to wskazuje na próbę demonstracji możliwości i zastraszenia. ESET zaznacza, że nie ma dowodów na skuteczne zakłócenia dostaw energii, ale sam fakt takiego uderzenia w infrastrukturę krytyczną traktowany jest jako poważny sygnał ostrzegawczy.
„500 tysięcy osób mogło zostać bez ciepła”
Kilka tygodni po incydencie sprawę publicznie skomentował premier Donald Tusk po spotkaniu z szefami służb odpowiedzialnych za bezpieczeństwo energetyczne. Jak podkreślił, Polska obroniła się przed atakiem, a ani przez moment nie istniało realne zagrożenie blackoutem.
— Zaatakowano punktowo wybrane obiekty, w tym m.in. elektrociepłownie oraz systemy zarządzania energią z OZE. Ataki miały charakter lokalny i nie dotyczyły sieci przesyłowych — wyjaśniał premier.
Jednocześnie nie bagatelizował skali potencjalnych konsekwencji. Według rządu, gdyby atak zakończył się sukcesem, nawet pół miliona osób mogłoby zostać pozbawionych ogrzewania w środku zimy. Jak zaznaczył Tusk, wszystko zadziałało na tyle sprawnie, że nie doszło do dezorganizacji systemu, nie mówiąc już o przerwach w dostawach energii.
Rosyjski ślad i cyberwojna nowej generacji
Choć — jak przyznał premier — w takich sprawach rzadko istnieją „twarde dowody”, rząd nie ma większych wątpliwości co do źródła ataku. Według władz był on przygotowywany przez tygodnie i nosi wszystkie cechy operacji prowadzonych przez rosyjskie służby.
Podobnie wypowiadał się wicepremier i minister cyfryzacji Krzysztof Gawkowski. Określił on grudniowe zdarzenia jako największy od lat atak na polską infrastrukturę energetyczną, z jednoznacznym celem — doprowadzenia do blackoutu i destabilizacji sytuacji w kraju. Jak podkreślał, Polska dysponuje dziś dobrze przygotowanymi instytucjami. Dlatego nie ma powodów do paniki, ale nie oznacza to, że zagrożenie minęło.
Prawo, które ma wzmocnić tarczę
Właśnie dlatego, pod koniec ubiegłego tygodnia, Sejm uchwalił nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. Nowe przepisy, wdrażające unijną dyrektywę NIS2, mają znacząco wzmocnić odporność państwa na cyberataki wymierzone w infrastrukturę krytyczną. W tym energetykę, transport czy systemy wodno-kanalizacyjne.
Jak podkreślał wicepremier i minister cyfryzacji Krzysztof Gawkowski, nowelizacja rozszerza katalog sektorów objętych ochroną, wzmacnia instytucje odpowiedzialne za reagowanie na incydenty oraz wprowadza jasne zasady odpowiedzialności.
Ustawa przewiduje m.in. powołanie nowych sektorowych zespołów CSIRT, zwiększenie kompetencji organów nadzorczych oraz możliwość wydawania przez ministra cyfryzacji poleceń zabezpieczających w trakcie trwających incydentów krytycznych.
Zmiany obejmują także nowe obowiązki dla podmiotów kluczowych i ważnych, które będą musiały wdrożyć adekwatne środki techniczne i organizacyjne, a także szybciej raportować incydenty do krajowego systemu reagowania. Jednocześnie wzmocniona zostanie rola Połączonego Centrum Operacyjnego Cyberbezpieczeństwa jako centralnego punktu wymiany informacji o zagrożeniach.
Ustawa trafi teraz do Senatu, a jej wejście w życie będzie wymagało podpisu prezydenta. Rząd liczy na szybkie zakończenie procesu legislacyjnego, podkreślając, że grudniowy atak był wyraźnym sygnałem ostrzegawczym. Cyberwojna toczy się bowiem nie na polach bitew, lecz w sieciach, serwerowniach i systemach sterujących kluczową infrastrukturą państwa.
A jak pokazał przełom roku — stawką może być nie tylko stabilność systemów, ale i ciepło w setkach tysięcy polskich domów.
Foto: Yu Tee z Pixabay.