L’attacco cyber contro il sistema energetico polacco di dicembre scorso, fallito, ha nuovamente messo in mostra le vulnerabilità del settore. Il rapporto.

Seppur fallito, l’attacco cyber contro il sistema energetico polacco dello scorso dicembre ha messo in luce “gravi carenze nelle misure di sicurezza di alcuni impianti critici“. Gli obiettivi del sabotaggio erano “numerosi impianti eolici e solari, un’azienda privata del settore manifatturiero e un impianto di cogenerazione“. In sintesi, dunque, nessuna interruzione delle forniture ma tanti rischi.

Secondo gli analisti cyber, a rendere possibile questa attacco su larga scala sarebbe stato “l’uso di credenziali predefinite e dall’assenza di autenticazione a più fattori“.

Sempre dalle prime analisi tecniche è emersa un’operazione su più livelli. Gli hacker criminali hanno infatti preso di mira sia i sistemi informatici tradizionali (IT) per il monitoraggio degli impianti, sia i sistemi di tecnologia operativa (OT). Questi ultimi sono fondamentali per il controllo diretto dei processi industriali e della produzione energetica.

“Obiettivo sabotaggi digitali“

In materia, il CERT Polska ha prodotto un rapporto. Questa la descrizione dell’evento: “Il 29 dicembre 2025, nelle ore del mattino e del pomeriggio, lo spazio cibernetico della Polonia è stato teatro di una serie di attacchi informatici coordinati di natura distruttiva“.

Gli obiettivi, si legge ancora nello studio, “hanno incluso numerosi impianti eolici e solari, un’azienda privata del settore manifatturiero e una centrale di cogenerazione (CHP)“. Questa centrale fornisce riscaldamento a quasi mezzo milione di cittadini polacchi.

Secondo le analisi tecniche, a condurre tutti gli attacchi sarebbe stato “il medesimo attore malevolo“. Le azioni “non avevano finalità di spionaggio o di estorsione, ma erano esclusivamente sabotaggi digitali“. Solo l’intervento tempestivo di un sistema di rilevamento delle intrusioni ha impedito danni irreversibili.

Il tempismo dell’operazione è particolarmente significativo. Gli attacchi si sono verificati in concomitanza con temperature rigide e forti nevicate, a pochi giorni dalla notte di Capodanno.”Un periodo critico per la sicurezza energetica e la stabilità delle infrastrutture essenziali“.

Un aspetto di estrema rilevanza è che gli eventi hanno colpito sia i sistemi informativi (IT) sia le apparecchiature industriali fisiche (OT). Questo tipo di attacco ibrido è raramente documentato nei casi resi pubblici fino a oggi e “rappresenta una pericolosa evoluzione nel panorama delle minacce cibernetiche“.

La fase di preparazione

Secondo le indagini, “i cyber criminali avrebbero avuto accesso alla rete della centrale per un periodo compreso tra cinque e nove mesi prima di lanciare l’attacco vero e proprio“. Il malware utilizzato, progettato per cancellare i dati e rendere inutilizzabili i sistemi, ha colpito oltre cento postazioni di lavoro.

L’attribuzione delle responsabilità è andata verso Sandworm, gruppo cyber criminale legato ai servizi di sicurezza russi. Solo l’intervento tempestivo di un sistema di rilevamento delle intrusioni ha impedito danni irreversibili.

“La produzione di energia non si è mai fermata”

Situazione diversa negli impianti eolici e solari, dove un software distruttivo è riuscito a compromettere alcuni dispositivi di controllo e monitoraggio della rete. Nonostante questo, la produzione e la distribuzione di energia non si sono mai fermate.

Gli esperti hanno sottolineato: “Anche nel peggiore dei casi, l’impatto sull’intero sistema elettrico nazionale sarebbe stato limitato. I 30 siti coinvolti, infatti, non producono una quantità di energia tale da mettere a rischio la stabilità della rete. Una valutazione che ridimensiona le precedenti affermazioni ufficiali, secondo cui l’attacco avrebbe potuto lasciare senza elettricità mezzo milione di persone“.

L’episodio ha tuttavia riacceso il dibattito sulla sicurezza informatica delle infrastrutture critiche. In effetti, ha dimostrato come configurazioni di base e controlli insufficienti possano offrire “un punto d’ingresso per attacchi potenzialmente molto più gravi“.

Per approfondire

• Leggi “Energy Sector Incident Report – 29 December” del CERT Polska in PDF.

Vai al sito di Cybersecurity Italia.

L'articolo Polonia, attacco cyber (fallito): “Nessuna MFA per il sistema energetico” sembra essere il primo su CyberSecurity Italia.