Raport CSIRT GOV za 2024 r. wskazuje, że infrastruktura krytyczna w Polsce była jednym z głównych celów cyberataków. Odnotowano wzrost liczby incydentów w sektorach energetycznym, transportowym i administracji publicznej.
Najczęstsze zagrożenia obejmowały:
- ataki socjotechniczne i phishingowe wymierzone w pracowników operatorów infrastruktury,
- atakowanie łańcuchów dostaw i podwykonawców,
- cyberataki na systemy sterowania (ICS/SCADA),
- wzrost liczby ataków DDoS powodujących czasowe utrudnienia w dostępności usług.
W raporcie podkreślono potrzebę:
- wzmocnienia odporności organizacyjnej i technicznej operatorów,
- monitorowania podatności znanych systemów,
- szybkiego reagowania na nowe zagrożenia,
- oraz większej wymiany informacji między sektorami infrastruktury krytycznej.
Kluczowe wnioski dotyczące infrastruktury krytycznej
| Wniosek | Opis | Implikacje dla IK |
| Duża liczba incydentów socjotechnicznych ukierunkowanych na operatorów infrastruktury krytycznej | W 2024 r. zarejestrowano 815 incydentów sklasyfikowanych jako ataki socjotechniczne skierowane na operatorów infrastruktury krytycznej lub podmioty powiązane. | Pokazuje, że najczęściej wybieranym wektorem ataku nie są zaawansowane techniki, lecz manipulacja ludźmi — co oznacza, że zabezpieczenia techniczne to nie wszystko; konieczne jest inwestowanie w szkolenia i świadomość. |
| Wykorzystywanie znanych podatności | Ataki często bazują na podatnościach już wcześniej znanych i publicznie dostępnych. | Często łatwiej zapobiec takiemu atakowi przez regularne łatki, aktualizacje i zarządzanie cyklem życia systemów, niż reagować po fakcie. |
| Wzrost roli ataków na łańcuch dostaw (supply chain attacks) | Raport wskazuje, że dostawcy usług i podmioty wspierające infrastrukturę krytyczną stają się celem ataków, co z kolei stanowi zagrożenie dla całych systemów krytycznych. | Oznacza to, że nawet jeśli operator infrastruktury krytycznej ma dobre zabezpieczenia, słabo zabezpieczone elementy łańcucha (np. producenci sprzętu, podwykonawcy) mogą stanowić furtkę. |
| Aktywność grup APT i haktywistyczna | W raporcie zauważono wzmożoną aktywność grup APT (np. APT28) oraz grup haktywistycznych, szczególnie w sektorach takich jak energetyka, transport i administracja. | Infrastruktura krytyczna często bywa celem strategicznym — te grupy działają długofalowo i z dużym zasobem. Trzeba traktować je jako poważne, trwałe zagrożenie. |
| Skracanie czasu od wykrycia podatności do ataku | Raport wskazuje, że w wielu przypadkach atakujący bardzo szybko wykorzystują nowo odkryte podatności, często zanim operatorzy zdążą wdrożyć łatki. | Bieżące monitorowanie i szybkie reagowanie (patch management, automatyzacja procesów) staje się kluczowe, bo opóźnienie może oznaczać utratę kontroli nad elementami infrastruktury. |
| Najczęstsze wektory: DDoS, publikacje danych, próby zdalnego dostępu | Ataki typu DDoS były stale obecne, również incydenty związane z publikacją danych (włamania, wycieki), a także próby uzyskania zdalnego dostępu do urządzeń infrastruktury. | Operatorzy muszą przewidywać obciążenie (nadmiar zasobów, redundancje), monitorować anomalie ruchu sieciowego i stosować segmentację sieci. |
| Identyfikowane podatności — od niskich do krytycznych | Raport prezentuje zbiór podatności wykrytych w systemach teleinformatycznych instytucji rządowych i w infrastrukturze krytycznej, włącznie z tymi o krytycznym znaczeniu. | Warto przeprowadzać okresowe audyty bezpieczeństwa, testy penetracyjne, recenzje kodu, skanowania i klasyfikować priorytety naprawy. |
| Utrzymujący się wysoki poziom zagrożeń – stopnie alarmowe CRP | W 2024 r. utrzymywał się stan podwyższonego zagrożenia (stopnie alarmowe CHARLIE-CRP i BRAVO-CRP). | Operatorzy infrastruktury krytycznej powinni być gotowi działać w warunkach zwiększonego zagrożenia: plany awaryjne, redundantne systemy, ćwiczenia reagowania. |
Rekomendacje dla operatorów IK
Z powyższych wniosków można wyciągnąć konkretne rekomendacje dla operatorów IK:
- Szkolenia i budowanie świadomości — nie lekceważyć czynników ludzkich; pracownicy to często najsłabsze ogniwo.
- Zarządzanie aktualizacjami i cyklem życia oprogramowania — regularne łatanie systemów, dekomisjonowanie przestarzałych elementów.
- Analiza i zabezpieczanie łańcuchów dostaw — wymaganie od dostawców wysokich standardów bezpieczeństwa, audyty u partnerów.
- Monitoring i wykrywanie anomalii — stosowanie systemów wykrywania nieprawidłowości (IDS/IPS), SIEM, analiza ruchu.
- Segmentacja sieci i redundancja — podział systemów krytycznych na strefy, stosowanie redundancji, zapasowych ścieżek komunikacyjnych.
- Ćwiczenia i reagowanie kryzysowe — symulacje incydentów, scenariusze awaryjne, planowanie odporności.
- Szybkie reagowanie (patch management) — automatyzacja procesu wdrażania poprawek, skrócenie czasu między wykryciem a naprawą.
Znaczenie praktyczne
- Tzw. czynnik ludzki wymaga tak samo dużo uwagi, jak zabezpieczenia techniczne.
- Nawet dobrze zabezpieczony operator może zostać przełamany przez słaby punkt w łańcuchu dostaw.
- Odpowiedź musi być szybka — opóźnienie w łataniach i reagowaniu zwiększa ryzyko poważnych incydentów.
- Niezbędna jest koordynacja międzysektorowa i gotowość do działania w warunkach zwiększonego zagrożenia.