Wprowadzenie

Gdy ostatnio pisałem o specyfice oceny ryzyka w ciepłownictwie, wspomniałem o łańcuchu dostaw jako o „osobnej historii”. Cóż, ta historia zasługuje na znacznie więcej niż kilka akapitów. Bo jeśli mam wskazać jedno miejsce, w którym cyberbezpieczeństwo przedsiębiorstw ciepłowniczych jest najbardziej kruche – to właśnie łańcuch dostawców. Nie serwery, nie firewalle, nawet nie te dwudziestoletnie sterowniki PLC na protokole Modbus. To ludzie i firmy, którym ufamy, bo musimy im ufać.

Pomyślcie o tym przez chwilę. Wasze przedsiębiorstwo ciepłownicze może mieć najlepsze polityki bezpieczeństwa, segmentację sieci jak z podręcznika i przeszkolony personel. A potem dzwoni serwisant od automatyki, mówi, że musi się zdalnie połączyć ze sterownikiem, bo „coś mruga na czerwono” – i wpuszczacie go przez VPN, który skonfigurowaliście trzy lata temu. Bo co macie zrobić? Odmówić? Na dworze minus dwadzieścia, a kocioł szczytowy pracuje na granicy parametrów.

Dyrektywa NIS-2 nie traktuje łańcucha dostaw jako pobocznego tematu. Artykuł 21 ustęp 2 litera d mówi wprost: podmioty kluczowe muszą zapewnić bezpieczeństwo łańcucha dostaw, uwzględniając podatności specyficzne dla każdego bezpośredniego dostawcy i usługodawcy. To nie jest sugestia – to wymaganie, za którego niespełnienie grożą kary do 10 milionów euro lub 2% rocznego obrotu. I co ważne – odpowiedzialność ponosi zarząd. Osobiście.

Anatomia łańcucha dostaw w przedsiębiorstwie ciepłowniczym – kto ma klucze do naszego królestwa?

Zanim zaczniemy mówić o zagrożeniach, warto uświadomić sobie, jak rozległy jest łańcuch dostawców w typowym przedsiębiorstwie ciepłowniczym. Z mojego doświadczenia, gdy siadamy z klientem i zaczynamy mapować wszystkich dostawców mających jakikolwiek dostęp do systemów – lista jest zawsze dłuższa, niż ktokolwiek się spodziewał.

Mamy producentów i integratorów systemów automatyki – firmy, które zaprojektowały i wdrożyły systemy SCADA, sterowniki PLC, układy regulacji. Te firmy często mają permanentny dostęp zdalny do systemów, bo tak zapisano w umowie serwisowej. Nikt tego nie kwestionuje, bo bez tego dostępu nie będzie wsparcia technicznego. Problem w tym, że ten permanentny dostęp oznacza permanentną powierzchnię ataku.

Dalej mamy serwisantów urządzeń pomiarowych – ciepłomierze, przepływomierze, czujniki temperatury i ciśnienia. Ci ludzie podłączają laptopy diagnostyczne bezpośrednio do sieci OT. Laptop, który wczoraj był w innej ciepłowni, a przedwczoraj w zakładzie wodociągowym. Czy ktoś sprawdza, co jest na tym laptopie? Z reguły – nie.

Są dostawcy oprogramowania – systemy bilingowe, systemy zarządzania siecią ciepłowniczą, platformy analityczne, oprogramowanie do modelowania hydraulicznego. Każdy z tych systemów wymaga aktualizacji, a każda aktualizacja to potencjalny wektor ataku. Pamiętacie SolarWinds? Zainfekowana aktualizacja oprogramowania, która trafiła do osiemnastu tysięcy organizacji na całym świecie, w tym do agencji rządowych USA. Mechanizm jest identyczny – ufacie dostawcy oprogramowania, bo musicie, a ten dostawca może zostać skompromitowany.

Nie zapominajmy o dostawcach usług IT – firmy hostingowe, dostawcy chmury, administratorzy zewnętrzni. W mniejszych przedsiębiorstwach ciepłowniczych informatyk to często jedna osoba, która korzysta z zewnętrznego wsparcia. I ten zewnętrzny informatyk ma hasło administratora domeny, bo inaczej nie da się pracować. A czy wiemy, jak ta firma przechowuje nasze dane uwierzytelniające? Czy szyfruje je? Czy jej pracownicy przeszli weryfikację? Najczęściej – nie pytamy.

I wreszcie – dostawcy paliwa, materiałów eksploatacyjnych, firmy budowlane pracujące przy modernizacjach. Ci ostatni mogą wydawać się nieistotni z perspektywy cyberbezpieczeństwa, ale pomyślcie: ekipa montująca nowy wymiennik ciepła potrzebuje dostępu do budynku, w którym stoją szafy sterownicze. Fizyczny dostęp to dostęp. Kropka.

Jak atakują przez łańcuch dostaw – anatomia rzeczywistych incydentów

Teoria teorią, ale popatrzmy na konkrety. W grudniu 2015 roku rosyjska grupa Sandworm zaatakowała ukraińskie sieci energetyczne, wykorzystując malware BlackEnergy. Wektor wejścia? Zainfekowane dokumenty Worda wysłane do pracowników. Ale to, co wydarzyło się potem, jest kluczowe dla naszej dyskusji – atakujący wykorzystali połączenia VPN z dostawcami usług IT, by poruszać się lateralnie między systemami. Firma serwisowa, która miała pomagać, stała się mostem dla atakujących.

W 2017 roku atak NotPetya sparaliżował globalną logistykę, w tym Maersk – największego operatora kontenerowego na świecie. Wektor? Zainfekowana aktualizacja ukraińskiego oprogramowania księgowego MeDoc. Firmy, które nawet nie prowadziły działalności na Ukrainie, zostały dotknięte, bo ich partnerzy biznesowi korzystali z tego oprogramowania. Straty? Ponad 10 miliardów dolarów globalnie. Jedna zainfekowana aktualizacja od zaufanego dostawcy.

A teraz coś bliższego naszej branży. W maju 2023 roku duńska organizacja SektorCERT ujawniła, że dwadzieścia dwa duńskie przedsiębiorstwa energetyczne zostały zaatakowane w skoordynowanej kampanii, która wykorzystała niezałatane podatności w urządzeniach sieciowych Zyxel — sprzęcie dostarczanym przez zewnętrznego dostawcę. Atakujący uzyskali dostęp do infrastruktury wewnętrznej właśnie przez lukę w komponencie pochodzącym z łańcucha dostaw. Część zaatakowanych przedsiębiorstw musiała przejść na tryb wyspowy, odcinając się od internetu, by utrzymać ciągłość dostaw energii.

Fińska firma Fortum — jeden z największych europejskich operatorów ciepłowniczych — otwarcie przyznaje, że jest celem codziennych prób cyberataków wymierzonych zarówno w infrastrukturę własną, jak i w łańcuch dostaw. Firma wielokrotnie podkreślała, że w obliczu zmieniającej się sytuacji geopolitycznej monitorowanie bezpieczeństwa dostawców stało się priorytetem strategicznym. Sam fakt, że operator tej skali publicznie mówi o zagrożeniach płynących z łańcucha dostaw, pokazuje skalę problemu.

I nie zapominajmy o grupach APT, które celują w infrastrukturę krytyczną. VOLTZITE — grupa powiązana z chińskim wywiadem, znana również jako Volt Typhoon — według raportów Dragos i CISA systematycznie atakuje infrastrukturę energetyczną, wykorzystując między innymi podatności w urządzeniach sieciowych i techniki pozwalające na długotrwałe, niewykrywalne pozostawanie w zaatakowanych systemach. Ciepłownia w średnim polskim mieście nie jest celem sama w sobie — ale może być drogą do czegoś większego. Albo może być celem kolateralnym, gdy napięcia geopolityczne narastają.

Dlaczego ciepłownictwo jest szczególnie podatne – specyfika branży

Sektor ciepłowniczy ma kilka cech, które czynią go wyjątkowo podatnym na ataki przez łańcuch dostaw. I nie chodzi tylko o technologię – chodzi o kulturę, ekonomię i specyfikę operacyjną.

Po pierwsze – koncentracja dostawców. Na polskim rynku automatyki przemysłowej dla ciepłownictwa działa może kilkanaście firm, które realnie obsługują większość przedsiębiorstw. To oznacza, że kompromitacja jednego integratora może otworzyć drzwi do dziesiątek ciepłowni jednocześnie. Gdy jeden dostawca SCADA ma dostęp zdalny do trzydziestu przedsiębiorstw – to trzydzieści celów za cenę jednego włamania.

Po drugie – sezonowość i presja czasu. Zimą, gdy systemy pracują z pełnym obciążeniem, tolerancja na przestoje jest zerowa. Serwisant dzwoni, że musi się połączyć natychmiast, bo kotłownia zgłasza błąd – i nikt nie będzie weryfikował, czy jego laptop przeszedł skan antywirusowy. Presja operacyjna systematycznie wygrywa z procedurami bezpieczeństwa. To nie jest słabość ludzi – to jest słabość systemu, który nie uwzględnia realiów pracy pod presją.

Po trzecie – budżety. Powiedzmy sobie szczerze: większość polskich przedsiębiorstw ciepłowniczych to spółki komunalne, których budżety na IT i cyberbezpieczeństwo są – delikatnie mówiąc – ograniczone. Gdy masz do wyboru wymianę zużytego wymiennika ciepła za pół miliona złotych albo wdrożenie systemu zarządzania dostępem dostawców za sto tysięcy – wymiennik wygra. Bo bez wymiennika ludzie zmarzną. Bez systemu zarządzania dostępem… cóż, „jakoś to będzie”. Do czasu.

Po czwarte – zaufanie. W ciepłownictwie relacje z dostawcami buduje się latami. Ten sam serwisant przyjeżdża od dziesięciu lat, zna każdy sterownik po imieniu, wie gdzie jest który zawór. Jest praktycznie częścią zespołu. I właśnie to zaufanie – uzasadnione, wypracowane, oparte na doświadczeniu – jest największą podatnością. Bo zaufanie wyłącza czujność. A cyberprzestępcy wykorzystują właśnie zaufanie.

Po piąte – brak widoczności. Większość przedsiębiorstw ciepłowniczych nie ma pojęcia, ilu dostawców ma faktyczny dostęp do ich systemów. Nie mówię o kontraktach – te leżą w szafce. Mówię o rzeczywistym, technicznym dostępie. Kto ma hasło do VPN? Kto ma klucze do szaf sterowniczych? Kto ma konto w systemie SCADA? Gdy zadaję te pytania podczas audytów, często odpowiedzią jest cisza. Niepokojąca cisza.

Co mówi prawo – NIS-2, UoKSC i ISO 27001 o łańcuchu dostaw

NIS-2 jest w tym temacie bezlitośnie konkretna. Artykuł 21 ustęp 2 litera d wymaga od podmiotów kluczowych zapewnienia bezpieczeństwa łańcucha dostaw, w tym aspektów bezpieczeństwa dotyczących relacji między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami. Artykuł 21 ustęp 3 idzie dalej – nakazuje uwzględnienie podatności specyficznych dla każdego bezpośredniego dostawcy, ogólnej jakości produktów i praktyk cyberbezpieczeństwa dostawców, w tym procedur bezpiecznego rozwoju oprogramowania.

Co to oznacza w praktyce? Że musicie wiedzieć, z kim współpracujecie. Musicie ocenić ich bezpieczeństwo. Musicie mieć procedury, które regulują, jak dostawcy uzyskują dostęp do waszych systemów. I musicie to dokumentować – bo w razie kontroli lub incydentu, „zaufaliśmy im, bo współpracujemy od lat” nie jest odpowiedzią, którą zaakceptuje regulator.

Polska nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – wdrażająca NIS-2 – będzie wymagała od podmiotów kluczowych, w tym przedsiębiorstw ciepłowniczych, prowadzenia rejestru dostawców mających dostęp do systemów informacyjnych, przeprowadzania oceny ryzyka łańcucha dostaw oraz wdrożenia minimalnych wymagań bezpieczeństwa w umowach z dostawcami.

ISO 27001:2022 również adresuje ten temat. Kontrola A.5.19 dotyczy bezpieczeństwa informacji w relacjach z dostawcami, A.5.20 – uwzględniania kwestii bezpieczeństwa w umowach z dostawcami, a A.5.21 – zarządzania bezpieczeństwem informacji w łańcuchu dostaw ICT. Trzy odrębne kontrole – to pokazuje, jak poważnie norma traktuje ten obszar.

A jeśli ktoś myśli, że to odległa przyszłość — przypomnę, że rozporządzenie KRI (Dz.U. 2024 poz. 773) w paragrafie 19 wymaga od podmiotów publicznych wdrożenia systemu zarządzania bezpieczeństwem informacji obejmującego między innymi zarządzanie relacjami z podmiotami zewnętrznymi. Spółki komunalne, które realizują zadania publiczne, powinny te wymagania stosować. Nie „mogą” — powinny.

Co faktycznie działa – praktyczne podejście do zabezpieczenia łańcucha dostaw

Dobra, przejdźmy do konkretów. Co możecie zrobić jutro rano, żeby zacząć porządkować temat łańcucha dostaw? Nie piszę o idealnym świecie z nieograniczonym budżetem – piszę o polskim ciepłownictwie, gdzie każda złotówka musi być uzasadniona.

Krok pierwszy – inwentaryzacja dostawców z dostępem do systemów. I mówię tu o prawdziwej inwentaryzacji, nie o liście kontrahentów z systemu FK. Usiądźcie z informatykiem, z głównym automatykiem, z kierownikiem eksploatacji i zróbcie listę: kto ma dostęp zdalny? Kto ma konta w systemach? Kto ma klucze fizyczne do pomieszczeń technicznych? Gwarantuję, że ta lista was zaskoczy. U jednego z moich klientów – przedsiębiorstwa ciepłowniczego obsługującego pięćdziesiąt tysięcy mieszkańców – zidentyfikowaliśmy dwudziestu trzech dostawców z aktywnym dostępem do systemów. Zarząd wiedział o siedmiu.

Krok drugi – klasyfikacja dostawców według poziomu ryzyka. Nie każdy dostawca stanowi takie samo zagrożenie. Firma dostarczająca papier do drukarek to nie to samo co integrator SCADA z permanentnym dostępem do systemu sterowania kotłami. Zróbcie prostą macierz: oś X – poziom dostępu do systemów (brak, ograniczony, pełny), oś Y – krytyczność systemów, do których mają dostęp (niska, średnia, wysoka). Dostawcy w prawym górnym rogu – to wasza priorytetowa lista.

Krok trzeci – wymagania bezpieczeństwa w umowach. To brzmi banalnie, ale większość umów serwisowych, które widuję w ciepłownictwie, nie zawiera ani jednego zapisu dotyczącego cyberbezpieczeństwa. Żadnych wymagań co do ochrony danych uwierzytelniających, żadnych zobowiązań do informowania o incydentach, żadnych klauzul dotyczących prawa do audytu. Musicie to zmienić. Nie chodzi o dwustronicowy załącznik – wystarczy kilka kluczowych zapisów: obowiązek stosowania MFA przy dostępie zdalnym, obowiązek szyfrowania transmisji, zakaz udostępniania danych dostępowych osobom trzecim, obowiązek powiadamiania o incydentach bezpieczeństwa w ciągu 24 godzin, prawo zamawiającego do przeprowadzenia audytu bezpieczeństwa.

Krok czwarty – zarządzanie dostępem zdalnym. To jest punkt krytyczny. Żaden dostawca nie powinien mieć permanentnego, niekontrolowanego dostępu do waszych systemów. Każda sesja zdalna powinna być autoryzowana, rejestrowana i ograniczona czasowo. Rozwiązania typu PAM (Privileged Access Management) nie muszą kosztować fortuny – są rozwiązania open source, które sprawdzą się w mniejszych przedsiębiorstwach. Ale nawet bez dedykowanego narzędzia możecie wdrożyć zasadę: VPN włączany na wniosek, wyłączany po zakończeniu prac, logi sesji archiwizowane.

Krok piąty – weryfikacja dostawców krytycznych. Nie musicie audytować każdego kontrahenta – nie macie na to zasobów. Ale tych pięciu-siedmiu najważniejszych? Tak. Wyślijcie im ankietę bezpieczeństwa. Zapytajcie, czy mają wdrożone ISO 27001 lub równoważne standardy. Zapytajcie, jak zabezpieczają dane uwierzytelniające swoich klientów. Jak zarządzają dostępem swoich pracowników. Reakcja dostawcy na taką ankietę jest już sama w sobie diagnostyczna – jeśli reaguje z oburzeniem, to powinniście się martwić jeszcze bardziej.

Krok szósty – plan reagowania na incydent w łańcuchu dostaw. Wasz plan reagowania na incydenty musi uwzględniać scenariusz, w którym wektorem ataku jest dostawca. Co robicie, gdy dowiadujecie się, że wasz integrator SCADA został skompromitowany? Czy wiecie, jak szybko odciąć jego dostęp? Czy macie alternatywne kanały komunikacji? Czy wiecie, kto w waszej organizacji podejmuje decyzję o odcięciu dostawcy, który jest jednocześnie jedynym źródłem wsparcia dla krytycznego systemu? To są pytania, na które musicie znać odpowiedzi zanim dojdzie do kryzysu. W czasie kryzysu jest za późno.

Aspekt ludzki – bo na końcu łańcucha zawsze stoi człowiek

Mogę pisać o firewallach, VPN-ach i systemach PAM do woli, ale prawda jest taka, że najsłabszym ogniwem w łańcuchu dostaw jest i zawsze będzie człowiek. I nie mówię tego z dezaprobatą – mówię to z szacunkiem dla złożoności problemu.

Serwisant, który przyjeżdża do ciepłowni z laptopem, na którym ma zapisane hasła do dwudziestu różnych systemów w pliku Excel – to nie jest zły człowiek. To jest człowiek, który pracuje pod presją, obsługuje zbyt wielu klientów i nie dostał od swojego pracodawcy narzędzi do bezpiecznego zarządzania hasłami. Problem nie leży w serwisancie – leży w systemie.

Pracownik ciepłowni, który udostępnia hasło do VPN telefonicznie, bo „serwisant dzwonił, że pilne” – to nie jest nieodpowiedzialny pracownik. To jest pracownik, który nie ma jasnej procedury weryfikacji tożsamości dzwoniącego. I który wie, że jeśli coś się zepsuje, a on nie pomoże szybko – będzie miał kłopoty. Presja operacyjna jest realna i trzeba ją uwzględniać w projektowaniu zabezpieczeń.

Szkolenia muszą być inne niż typowe slajdy o phishingu. Muszą uwzględniać realia ciepłownictwa. Scenariusze typu: „Dzwoni ktoś, kto mówi, że jest z firmy serwisowej X i potrzebuje natychmiastowego dostępu do sterownika, bo temperatura wody wyjściowej rośnie ponad normę – co robisz?”. Odpowiedź nie może brzmieć „odmów dostępu” – bo to nierealistyczne. Odpowiedź musi brzmieć: „sprawdź tożsamość w ustalony sposób, zweryfikuj w systemie monitoringu, czy anomalia faktycznie występuje, nadaj dostęp ograniczony czasowo i zaloguj sesję”. To jest bezpieczeństwo, które szanuje ludzi i realia pracy.

Podsumowanie – łańcuch jest tak silny, jak jego najsłabsze ogniwo

Łańcuch dostawców w ciepłownictwie to nie jest abstrakcyjne zagadnienie z podręcznika cyberbezpieczeństwa. To jest codzienność – serwisanci z laptopami, aktualizacje oprogramowania SCADA, zdalne sesje diagnostyczne, dostawcy z kluczami do pomieszczeń technicznych. Każdy z tych punktów to potencjalne drzwi wejściowe dla atakującego.

NIS-2 nie zostawia tu pola do interpretacji – bezpieczeństwo łańcucha dostaw jest wymaganiem prawnym, nie „dobrą praktyką”. Kary za jego zlekceważenie są dotkliwe, a odpowiedzialność – osobista. Ale nie chcę, żebyście zabezpieczali łańcuch dostaw ze strachu przed karami. Chcę, żebyście to robili, bo rozumiecie, że utrzymanie dwudziestu trzech stopni w mieszkaniach waszych odbiorców zależy nie tylko od sprawności waszych kotłów, ale też od tego, czy ktoś niepowołany nie dostanie się do systemów, które te kotły sterują.

Zacznijcie od inwentaryzacji. Zobaczcie, kto naprawdę ma dostęp do waszych systemów. Potem klasyfikacja, potem umowy, potem procedury. Krok po kroku, systematycznie, bez paniki. Bo panika jest złym doradcą, a cyberbezpieczeństwo to maraton, nie sprint.

I pamiętajcie – nie musicie tego robić sami. Wymiana doświadczeń między przedsiębiorstwami ciepłowniczymi, współpraca z CSIRT NASK, konsultacje z ekspertami branżowymi – to nie jest słabość, to jest mądrość. Bo łańcuch dostaw to problem systemowy i wymaga systemowego podejścia. Wasze przedsiębiorstwo jest tylko jednym ogniwem – ale od was zależy, czy będzie ogniwem mocnym.

Autor: Łukasz Grabowski – członek zarządu KITEiC, Prezes Zarządu Fib.Code Sp. z o.o. , jest ekspertem ds. bezpieczeństwa informacji i cyberbezpieczeństwa przemysłowego z ponad 10-letnim doświadczeniem, specjalizującym się w ochronie infrastruktury krytycznej IT/OT. 

Więcej: www.fibcode.com

Artykuł pochodzi z wydania 2/2026 magazynu ,,Nowa Energia”