Gdy patrzę na to, co dzieje się obecnie w sektorze ciepłowniczym, widzę branżę w głębokiej transformacji. Przedsiębiorstwa wdrażają zaawansowane systemy telemetryczne i platformy analityczne w tempie, którego jeszcze kilka lat temu nikt by nie przewidział. Z jednej strony to świetnie – modernizacja była potrzebna. Z drugiej jednak – każde nowe połączenie sieciowe, każda integracja systemu SCADA z chmurą, to potencjalna furtka dla cyberprzestępców.
Szczerze mówiąc, konsekwencje skutecznego ataku na infrastrukturę ciepłowniczą mogą być dramatyczne. Wyobraźmy sobie tysiące mieszkańców bez ogrzewania podczas mroźnej zimy. To nie jest scenariusz z filmu katastroficznego. To realne zagrożenie, z którym musimy się mierzyć.
Dyrektywa NIS-2 weszła w życie w styczniu 2023 r. i – co istotne – wprost wymienia systemy ciepłownicze jako infrastrukturę krytyczną. To już nie są „miękkie” zalecenia. To twarde wymagania z konkretnymi karami. A Polska? Cóż, termin transpozycji minął w październiku 2024, a my wciąż czekamy na ostateczne przepisy. Dla zarządów przedsiębiorstw ciepłowniczych to koszmar – muszą się przygotowywać, nie wiedząc dokładnie do czego.
Dyrektywa NIS-2 a sektor ciepłowniczy – nowe ramy prawne i obowiązki
Zacznijmy od podstaw. Dyrektywa 2022/2555, znana jako NIS-2, to zupełnie inne podejście niż jej poprzedniczka. Koniec z dowolnością interpretacji przez państwa członkowskie – teraz mamy jasne kryteria. Dostarczasz usługi kluczowe dla społeczeństwa – podlegasz pod Dyrektywę. Kropka.
Czego konkretnie wymaga od nas artykuł 21? Lista jest długa, ale spróbuję to uporządkować. Po pierwsze, musisz mieć polityki bezpieczeństwa i regularnie analizować ryzyko. Po drugie – i to nowość – incydenty zgłaszasz w ciągu 24 godzin. Nie „jak będzie czas”, nie „po weekendzie”, tylko w ciągu doby od wykrycia. Dalej mamy zarządzanie ciągłością działania (włącznie z kopiami zapasowymi, które faktycznie działają), zabezpieczenie łańcucha dostaw, rozwój bezpiecznych systemów… Lista jest naprawdę obszerna.
Ale wiecie co mnie najbardziej uderza? Osobista odpowiedzialność zarządu. To już nie jest tak, że prezes może powiedzieć „to problem informatyka”. Teraz członkowie zarządu mogą zostać pociągnięci do odpowiedzialności osobistej, łącznie z zakazem pełnienia funkcji kierowniczych. To game changer, który sprawia, że cyberbezpieczeństwo trafia na sale posiedzeń zarządów.
Jeśli chodzi o Polskę, sytuacja jest… skomplikowana. Pierwszy projekt nowelizacji ustawy o KSC z kwietnia 2024 był tak restrykcyjny, że go wycofano. Rada Ministrów przyjęła nowy projekt dopiero 29 kwietnia 2025 r. Projekt trafił do Sejmu 5 maja. Kiedy wejdzie w życie? Tego nikt dokładnie nie wie, ale branża już teraz powinna się przygotowywać.
Wyzwania w ocenie ryzyka – specyfika ciepłownictwa
Teraz przejdźmy do sedna sprawy. Ocena ryzyka w ciepłownictwie to nie jest zwykły audyt IT. Mamy tu do czynienia z unikalnym połączeniem systemów teleinformatycznych i technologii operacyjnych, które różnią się jak ogień i woda.
Weźmy przykład: typowy sterownik PLC w kotłowni został zaprojektowany 20 lat temu, kiedy nikt nie myślał o cyberbezpieczeństwie. Działa na protokole Modbus, który z założenia nie ma żadnych zabezpieczeń – bo miał działać w zamkniętej sieci przemysłowej. Teraz łączymy go z systemem SCADA dostępnym przez internet, bo dyrektor techniczny chce mieć podgląd parametrów na telefonie. Widzicie problem?
Łańcuch dostaw to osobna historia. Przeciętne przedsiębiorstwo ciepłownicze współpracuje z dziesiątkami dostawców: producenci automatyki, integratorzy, serwisanci z dostępem zdalnym… Każdy z nich to potencjalne słabe ogniwo. Pamiętacie atak na Target w USA? Hakerzy weszli przez firmę serwisującą klimatyzację. W ciepłownictwie mamy dokładnie takie same ryzyka. Do tego dochodzi sezonowość, która komplikuje wszystko. Latem, gdy systemy pracują na pół gwizdka, teoretycznie można robić aktualizacje i testy. Ale zimą? Próbujcie wytłumaczyć mieszkańcom, że wyłączacie ogrzewanie na 6 godzin, bo trzeba zainstalować łatkę bezpieczeństwa. Dlatego wiele systemów pracuje z podatnościami znanymi od miesięcy, czy nawet lat.
Grupy APT to już wyższa szkoła jazdy. ELECTRUM, VOLTZITE – to nie są zwykli cyberprzestępcy szukający szybkiego zarobku. To sponsorowane przez państwa grupy, które mogą siedzieć w waszych systemach miesiącami, czekając na odpowiedni moment. Może to być okres największych mrozów, może moment napięć geopolitycznych. Nie wiemy kiedy uderzą, ale musimy być gotowi.
I wreszcie – ludzie. Znam wielu świetnych inżynierów w ciepłownictwie, ale większość z nich nie jest ekspertami od cyberbezpieczeństwa. Gdy dostaną maila „Pilne! Awaria w węźle cieplnym – kliknij tutaj”, najprawdopodobniej klikną. Bo to ich praca – reagować na awarie. Cyberprzestępcy doskonale to wiedzą i wykorzystują.
Rozwiązania i dobre praktyki – co faktycznie działa?
Dobra, dość narzekania. Co można zrobić? Z mojego doświadczenia, skuteczne podejście zaczyna się od podstaw. Nie od zakupu drogich systemów, ale od zrozumienia, co właściwie chronimy.
Zacznijcie od inwentaryzacji. Ale prawdziwej, nie takiej „na papier”. Musicie wiedzieć o każdym sterowniku, każdym serwerze, każdej stacji operatorskiej – każdym aktywie informacyjnym. Potem klasyfikacja – co jest naprawdę krytyczne? Główne pompy obiegowe? Zdecydowanie. System rozliczeń? Ważny, ale da się przeżyć parę dni bez faktur. Ta klasyfikacja determinuje, gdzie najpierw inwestować ograniczone przecież środki.
ISO/IEC 27001:2022 brzmi groźnie, ale w praktyce to po prostu uporządkowane podejście do bezpieczeństwa. Nie musicie od razu certyfikować całej organizacji – zacznijcie od wdrożenia podstawowych procesów. Polityka bezpieczeństwa, polityka zakupowa, zarządzanie incydentami, kontrola dostępu – to nie jest rocket science, to zdrowy rozsądek ujęty w ramy procedur.
Jeśli chodzi o rozwiązania techniczne, model Purdue wciąż się sprawdza. Segmentacja sieci to absolutna podstawa – systemy sterowania produkcją nie mogą być w tej samej sieci co komputery w księgowości. Między strefami – firewalle przemysłowe, które rozumieją protokoły OT. Zwykły firewall IT nie wie, że komenda „zapisz wartość 65535 do rejestru 40001” może oznaczać wyłączenie pompy głównej.
Zarządzanie podatnościami w OT to sztuka kompromisu. Nie możecie skanować sterowników zwykłym skanerem – możecie je zawiesić. Trzeba działać ostrożnie: analiza dokumentacji, współpraca z producentami, testy w środowisku nieprodukcyjnym (jeśli je macie). A gdy znajdziecie podatność, którą nie można załatać? Kompensujecie: dodatkowa segmentacja, monitoring, może czasowe wyłączenie niektórych funkcji.
Plan reagowania na incydenty musi być realny. Nie piszcie 200-stronicowego dokumentu, którego nikt nie przeczyta w kryzysowej sytuacji. Lepiej prosty schemat: kto decyduje, kto komunikuje, kto wykonuje. I ćwiczcie! Raz na kwartał zróbcie symulację – „mamy ransomware w systemie SCADA, co robimy?”. Pierwsze ćwiczenie będzie katastrofą, ale każde następne będzie lepsze.
Backupy to temat-rzeka. Widziałem instytucje, które robiły kopie zapasowe… na ten sam serwer. Albo na zaszyfrowany dysk, do którego hasło znał tylko administrator, który akurat był na urlopie, gdy wybuchł kryzys. Kopie muszą być offline (taśmy wciąż mają sens), testowane regularnie i – co kluczowe – muszą obejmować konfiguracje systemów OT. Backup bazy danych to za mało, gdy nie wiecie, jak były ustawione parametry w sterowniku.
Aspekty ekonomiczne i organizacyjne – ile to kosztuje i jak to zorganizować?
Nie będę owijał w bawełnę – wdrożenie NIS-2 kosztuje, ale porównajmy to z alternatywą: średni koszt incydentu ransomware w energetyce to ok. set tysięcy zł – plus kary do 10 mln euro za niezgodność z NIS-2 oraz utrata reputacji, która jest niewymierna, ale bolesna.
Największym wyzwaniem jest jednak nie pieniądz, a zmiana kultury organizacyjnej. W większości przedsiębiorstw ciepłowniczych cyberbezpieczeństwo było domeną informatyków. Teraz musi stać się sprawą całej organizacji. Zarząd musi to traktować priorytetowo (zresztą nie ma wyboru – odpowiada osobiście). Dział techniczny musi zrozumieć, że bezpieczeństwo jest równie ważne jak sprawność techniczna. A pracownicy? Muszą wiedzieć, że klikanie w podejrzane linki może unieruchomić pół miasta.
Jak to zorganizować? Z doświadczenia wiem, że potrzebny jest dedykowany człowiek – pełnomocnik ds. cyberbezpieczeństwa (bezpieczeństwa informacji), czy jak go nazwiecie. Nie może to być dodatkowy obowiązek kogoś, kto już ma pełne ręce roboty. Ta osoba musi mieć mandat od zarządu i budżet na działanie. I – co kluczowe – musi rozumieć specyfikę ciepłownictwa. Ekspert IT, który nie wie, czym różni się wymiennik od kotła szczytowego, będzie miał problem.
Harmonogram? Realistycznie, pełne wdrożenie to 12-24 miesięcy. Pierwszy rok to głównie porządkowanie: inwentaryzacja, klasyfikacji informacji, podstawowa segmentacja, procedury. Drugi rok – wdrażanie systemów monitoringu, szkoleń, testowanie planów kryzysowych. Trzeci rok i dalej – optymalizacja, dostosowywanie do nowych zagrożeń.
Skąd wziąć pieniądze? Pieniądze na cyfryzację, w tym cyberbezpieczeństwa, czy też krajowe programy odbudowy też często zawierają komponenty cyber. Warto sprawdzić – może uda się sfinansować część projektu z dotacji. Ale nawet bez dotacji, to inwestycja, która się zwraca. Nie tylko unikniecie kar, ale faktycznie zwiększycie bezpieczeństwo dostaw ciepła.
Podsumowanie – czas działać, nie ma na co czekać
Podsumowując ten dość długi wywód – sytuacja jest poważna, ale nie beznadziejna. Tak, zagrożenia są realne. Tak, wymagania NIS-2 są surowe. Ale to także szansa na modernizację, na zbudowanie systemów odpornych na zagrożenia, których jeszcze nie znamy.
Najważniejsze, by zacząć działać już teraz. Nie czekajcie na ostateczną wersję polskiej ustawy – podstawowe wymagania są jasne. Zacznijcie od analizy luk, zidentyfikujcie największe ryzyka, zabezpieczcie budżet. I – co może najważniejsze – zaangażujcie całą organizację. Cyberbezpieczeństwo to nie projekt IT, to zmiana sposobu funkcjonowania przedsiębiorstwa.
Pamiętajcie też, że nie jesteście sami. Branża ciepłownicza mierzy się z tymi samymi wyzwaniami. Wymieniajcie się doświadczeniami, uczcie się na błędach innych. Współpracujcie z CSIRT, z organami nadzoru. To nie jest wyścig, gdzie wygrywa najszybszy. To wspólny wysiłek, by zapewnić bezpieczeństwo dostaw ciepła dla milionów Polaków.
Transformacja cyfrowa ciepłownictwa jest nieunikniona i potrzebna. Pytanie tylko, czy będzie bezpieczna? Od nas – ekspertów, zarządów, pracowników – zależy odpowiedź. Mam nadzieję, że będzie pozytywna. Bo alternatywa – tysiące ludzi bez ogrzewania z powodu cyberataku – jest nie do przyjęcia.
Źródło: Łukasz Grabowski, Członek Zarządu, Krajowa Izba Transformacji Energetyki i Ciepłownictwa
Artykuł pochodzi z wydania 4/2025 “Nowa Energia”
