W październiku 2025 roku brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) opublikowało coroczny raport podsumowujący dziewiąty rok swojej działalności. Rozdział poświęcony ochronie infrastruktury krytycznej jest wyjątkowo szczery w diagnozie: luka między skalą zagrożeń a zdolnością operatorów IK do obrony przed nimi, zamiast się zmniejszać, przez ostatni rok się powiększała. Domknięcie tej luki stało się głównym priorytetem NCSC na kolejny rok. To rzadka w dokumentach rządowych szczerość, która sama w sobie jest pouczająca. Przyznanie, że problem rośnie, jest warunkiem jego rozwiązania.
Zagrożenia cybernetyczne mają skutki fizyczne
Punkt wyjścia brytyjskiego podejścia to uznanie czegoś, co w debacie o ochronie IK wciąż bywa marginalizowane: cyberatak na system sterowania ma konsekwencje fizyczne. Awaria sieci energetycznej, zakłócenie systemu wodociągowego, paraliż transportu; to nie są scenariusze z powieści science fiction, lecz udokumentowane skutki incydentów, które już miały miejsce w różnych częściach świata. Polecam lekturę tekstów w dziale ARTYKUŁY. NCSC współpracuje w tym obszarze z NPSA, odpowiednikiem agencji ds. bezpieczeństwa fizycznego i osobowego, uznając, że ochrona IK musi obejmować jednocześnie trzy wymiary: cybernetyczny, fizyczny i osobowy. Operatorzy, którzy traktują te obszary rozłącznie, pozostawiają między nimi niezabezpieczone przestrzenie, przez które wchodzą atakujący.
Projekt „Gotowość na kryzys”
Jednym z kluczowych inicjatyw NCSC w omawianym okresie był projekt Preparedness for Crisis, czyli program skierowany do operatorów usług kluczowych, którego celem jest przygotowanie ich na scenariusz nagłego pogorszenia sytuacji zagrożeń. Nie chodzi o reagowanie na atak, który już nastąpił, lecz o z góry zaplanowane działania, które operator podejmie, gdy zagrożenie wzrośnie do nowego poziomu. W praktyce oznacza to dwie rzeczy. Po pierwsze, wzmożone rozpoznanie zagrożeń, czyli aktywne szukanie śladów obecności przeciwnika w systemach zamiast czekania na alarm. Po drugie, wzmocnienie obrony, czyli izolowanie systemów operacyjnych OT od reszty infrastruktury sieciowej i zmniejszanie powierzchni ataku zanim dojdzie do incydentu. Kluczowe założenie projektu brzmi: operatorzy powinni testować swoje zdolności i uzyskiwać pewność co do ich skuteczności z wyprzedzeniem, nie w trakcie kryzysu. To pozornie oczywiste, a w praktyce rzadko realizowane.
Wymiana informacji o zagrożeniach — nie tylko między rządem a operatorem
Brytyjczycy postawili na zbudowanie rzeczywistej społeczności wymiany informacji o zagrożeniach, a nie tylko formalnego kanału raportowania incydentów. Platforma TiSP (platforma wymiany danych o zagrożeniach) objęła w omawianym okresie nie tylko podmioty rządowe, lecz także prywatnych operatorów IK i organizacje międzynarodowe. Wiosną 2025 roku NCSC zorganizował dwa największe w swojej historii warsztaty z zakresu aktywnego rozpoznania zagrożeń w sieciach z udziałem 60 analityków z 28 instytucji rządowych i 80 analityków z 55 prywatnych organizacji IK. Warsztaty nie były szkoleniem w tradycyjnym sensie, uczestnicy dzielili się wiedzą o realnych incydentach, których sami doświadczyli. To model, który warto zapamiętać: wartość wymiany informacji o zagrożeniach rośnie, gdy jest dwukierunkowa i oparta na konkretnych przypadkach, a nie na ogólnych briefingach.
Sektory pod szczególną uwagą
Raport NCSC wskazuje konkretne sektory, w których podjęto działania i przy każdym z nich ujawnia coś istotnego dla szerszej refleksji o ochronie IK. W sektorze transportowym NCSC analizował zagrożenia związane z pojazdami autonomicznymi i połączonymi, czyli nową kategorią infrastruktury krytycznej, która dopiero się kształtuje. To przypomnienie, że lista sektorów wymagających ochrony nie jest zamknięta: nowe technologie tworzą nowe podatności, zanim zdążymy je uregulować. W sektorze finansowym wieloletni wspólny projekt NCSC i Banku Anglii zakończył się wbudowaniem wymogów bezpieczeństwa cybernetycznego w odnowiony system rozliczeniowy używany w całym kraju. To przykład, że bezpieczeństwo można projektować od podstaw, o ile zaczyna się to robić wystarczająco wcześnie. Centra danych zostały formalnie uznane za infrastrukturę krytyczną, co oznacza rozszerzenie zakresu podmiotów objętych nadzorem i wymogami bezpieczeństwa. W dobie przenoszenia coraz większej liczby usług publicznych i prywatnych do chmury ta decyzja ma wymiar systemowy. W sektorze energetycznym szczególną uwagę poświęcono operatorom odnawialnych źródeł energii, którzy budują dziesiątki nowych instalacji przy rosnącym uzależnieniu od cyfrowych systemów sterowania. To dokładnie ten sam problem, który w Polsce był widoczny podczas grudniowego ataku na farmy wiatrowe i fotowoltaiczne. W sektorze ochrony zdrowia punkt zwrotny stanowił atak na firmę Synnovis w sierpniu 2024 roku, czyli atak na dostawcę usług laboratoryjnych, który sparaliżował część londyńskich szpitali. NCSC wykorzystał ten incydent do zbudowania szerszej, wielopodmiotowej platformy współpracy między instytucjami ochrony zdrowia i dostawcami technologii. NHS jako pierwsza duża organizacja wbudowała wymagania wynikające z nowego kodeksu bezpieczeństwa oprogramowania w swoje procesy zakupowe, co oznacza, że dostawca oprogramowania dla szpitala musi teraz spełniać konkretne standardy bezpiecznego wytwarzania kodu.
Ramy oceny cyberbezpieczeństwa — wersja 4.0
Raport informuje o aktualizacji brytyjskich ram oceny cyberbezpieczeństwa (CAF) do wersji 4.0. Trzy zmiany zasługują na uwagę: dodanie sekcji poświęconej rozumieniu metod i motywacji atakujących jako podstawy lepszych decyzji o zarządzaniu ryzykiem; nowa sekcja o bezpieczeństwie oprogramowania w łańcuchu dostaw; rozszerzone wymagania dotyczące wykrywania zagrożeń i aktywnego rozpoznania sieci. Ostatnia zmiana jest szczególnie znacząca. Tradycyjne podejście do bezpieczeństwa zakłada, że system powiadamia o ataku wtedy, gdy ten już nastąpił. Aktywne rozpoznanie oznacza odwrócenie tej logiki: organizacja sama szuka śladów obecności przeciwnika w swoich systemach, zanim zdąży on wyrządzić szkodę.
Trzy lekcje z brytyjskiego podejścia
Raport NCSC nie jest poradnikiem dla operatora, jest sprawozdaniem z działalności agencji rządowej. Ale zawiera kilka spostrzeżeń, które mają znaczenie niezależnie od kontekstu.
Pierwsze: gotowość trzeba testować z wyprzedzeniem, nie budować podczas kryzysu. Operatorzy, którzy po raz pierwszy sprawdzają swoje procedury reagowania w chwili realnego ataku, zawsze wychodzą z tego gorzej niż ci, którzy ćwiczyli wcześniej.
Drugie: wymiana informacji o zagrożeniach działa tylko wtedy, gdy jest konkretna i dwukierunkowa. Platformy, na które operatorzy wysyłają raporty incydentów i nie otrzymują nic w zamian, szybko przestają być używane. Wartość pojawia się wtedy, gdy każdy uczestnik coś wnosi i coś wynosi.
Trzecie: bezpieczeństwo łańcucha dostaw to nie osobny temat, to część bezpieczeństwa IK. Atak na dostawcę oprogramowania, serwisu lub komponentów może sparaliżować operatora, który sam nigdy nie był bezpośrednim celem. NHS rozwiązał ten problem przez wbudowanie wymogów bezpieczeństwa w proces zakupowy, to podejście proste i skuteczne.