Când nu cade curentul, toată lumea oftează ușurată și merge mai departe. În cazul Poloniei, un atac la sfârșitul lui decembrie, atribuit cu încredere moderată actorului statal rus Sandworm/Electrum, n‑a oprit lumina, dar a arătat cât de fragilă devine infrastructura energetică.

În ultimele zile din 2025, un atac coordonat a vizat mai multe situri din rețeaua electrică poloneză, în special sistemele de comunicare și control de la marginea rețelei – RTU‑uri și echipamente care fac legătura dintre operatorii de sistem și așa numitele „distributed energy resources” (DERs) care includ centrale de cogenerare (CHP), parcuri eoliene și fotovoltaice.

Prin combinația clasică de echipamente expuse și vulnerabilități exploatate, atacatorii au compromis RTU‑uri și infrastructura de comunicații la multiple locații și au reușit să distrugă unele echipamente OT/ICS dincolo de posibilitatea de reparare la fața locului.

Operațional, energia a continuat să curgă – echipamentele continuă de obicei să funcționeze și când pierd comunicația, doar că nu mai pot fi monitorizate sau comandate de la distanță, spune într-un raport compania Dragos, specializată în protejarea infrastructurilor industriale critice și a tehnologiilor operaționale (OT).

Aici e diversiunea: lipsa blackout‑ului maschează faptul că un actor cu capabilități OT‑specifice a obținut acces persistent la sisteme care controlează producția, într‑un mod repetabil, în mai multe locații. Exact genul de poziționare care, într‑o a doua etapă sau într‑un sistem mai fragil, se poate traduce foarte rapid în efecte fizice serioase.​

Dragos spune că a observat similarități tehnice între atacul din Polonia și alte operațiuni Electrum/Sandworm, precum utilizarea de malware distructiv (wiper) și vizarea infrastructurii de comunicare.

Lecțiile amare din Ucraina

Nu e prima dată când Electrum/Sandworm joacă acest joc. În 2015, aceeași grupare a orchestrat primul atac cibernetic confirmat care a produs întreruperi de curent: trei operatori de distribuție din Ucraina și peste 60 de substații atacate. Sute de mii de clienți au rămas fără electricitate în mijlocul iernii.

Tehnic, atacul nu a fost „sci‑fi” la nivel de complexitate, planificarea și înțelegerea modului în care sistemul ar fi reacționat a permis atacatorului să lase operatorii de rețea fără vizibilitate, să blocheze restaurarea de la distanță a comunicațiilor, și să priveze utilizatorii de posibilitatea de a contacta dispeceratele pentru a raporta avariile.

În 2016, aceeași echipă a ridicat nivelul cu malware-ul CRASHOVERRIDE/Industroyer, destinat pentru OT și scris special pentru protocoale precum IEC‑104, IEC‑101 și IEC 61850, plus un modul wiper pentru a sabota recuperarea SCADA.

Deși a vizat o singură stație de înaltă tensiune, impactul a fost din nou de ordinul sutelor de mii de consumatori, cu un nivel de automatizare a atacului care a schimbat regulile jocului în ICS (sisteme de control industriale).​

Atacurile asupra Ucrainei au avut ca scop lovirea unor noduri centrale – dispecerate de distribuție și o stație de transport – cu obiectiv clar: întreruperea alimentării la scară largă. Polonia marchează o mutație: aceeași grupare mută focusul de pe controlul central către marginea rețelei, acolo unde se aglomerează DER‑urile.​

De ce atacul din Polonia contează chiar dacă nu s‑a stins lumina

Deși datele publice confirmă cel puțin 12 locații afectate, Dragos estimează un impact cel puțin dublu, multe din locații având rol în monitorizarea stabilității rețelei și cu potențial de limitare/curtare a producției.

După un calcul al specialiștilor, cele 12 locații afectate ar avea o capacitate de producție de aproximativ 1,2 GW, ceea ce ar reprezenta cam 5% din consumul de 30 GW al Poloniei înregistrat anul acesta, pe 17 ianuarie.​

Dragos spune că într‑un sistem cu inerție mare cum e încă Polonia, cu peste 50% producție pe cărbune/lignit – pierderea bruscă a 5% din generare poate produce un impact semnificativ asupra frecvenței sistemului, declanșând reacții în lanț asupra altor sisteme electrice.​

„Atacul din Polonia este semnificativ datorită caracterului coordonat al acțiunilor desfășurate simultan în numeroase locații și intenției demonstrate a unui adversar sofisticat de a viza în mod sistematic această infrastructură” Dragos

Polonia e avertismentul, nu excepția. Pe măsură ce mai multe țări împing regenerabilele la marginea rețelei, fără să mute și standardele de securitate din zona „bulk” către DER‑uri de zeci de MW, cresc șansele ca un atac oportunist ca acesta să fie doar prima rundă.

Faptul că echipamente OT au fost „brickuite” mută clar incidentul din zona „pre‑poziționare pentru mai târziu” în zona de atac efectiv.​