Jak zainfekować sieć OT przez Internet?
Ścieżki ataku z internetu do sieci OT - od VPN i edge devices po Modbus TCP. Realne incydenty, obrona warstwowa i wymagania IEC 62443.
W grudniu 2025 roku skoordynowany atak na polską infrastrukturę OZE - ponad 30 farm wiatrowych i fotowoltaicznych - pokazał, jak szybko atakujący potrafią przejść od podatnego urządzenia brzegowego do zniszczenia firmware’u sterowników RTU. Wejście? Jedna niezałatana podatność w routerze z dostępem do internetu. Cel? Utrata widoczności i sterowania dla operatorów systemu dystrybucyjnego. To nie scenariusz z ćwiczeń - to incydent, który wymusił ostrzeżenie CISA dla operatorów infrastruktury krytycznej na całym świecie.
Pytanie “czy sieć OT jest podłączona do internetu” dawno przestało być binarne. Dzisiaj trzeba pytać: ile ścieżek prowadzi z internetu do procesów fizycznych - i przez które z nich atakujący wejdą najszybciej.
Co widzi atakujący - ekspozycja OT w internecie
Zanim atakujący napisze pierwszy exploit, skanuje. Narzędzia takie jak Shodan, Censys czy ZoomEye indeksują urządzenia przemysłowe dostępne z internetu - często bez wiedzy ich operatorów.
Skala problemu jest mierzalna. Censys identyfikuje ponad 145 000 usług ICS dostępnych z internetu na całym świecie, w tym tysiące niezabezpieczonych interfejsów HMI. Shodan w styczniu 2024 roku wykrył blisko 110 000 urządzeń ICS online, w tym ponad 6 500 sterowników PLC.
Protokoły przemysłowe widoczne z internetu
| Protokół | Typowy port | Zastosowanie | Skala ekspozycji |
|---|---|---|---|
| Modbus TCP | 502 | Sterowniki PLC, RTU, czujniki | 38% wykrytych urządzeń ICS (Shodan) |
| BACnet | 47808 | Automatyka budynkowa (BMS) | 8,9% urządzeń ICS |
| S7comm (Siemens) | 102 | Sterowniki Siemens S7 | 51,7% ruchu skanującego (Censys) |
| EtherNet/IP | 44818 | Sterowniki Allen-Bradley, Rockwell | 9,7% urządzeń ICS |
| DNP3 | 20000 | Energetyka, wodociągi | Niższa ekspozycja, wyższe ryzyko |
| Niagara Fox | 1911 | Systemy BMS Tridium | 16,1% urządzeń ICS |
WARNING
Modbus TCP nie posiada wbudowanego mechanizmu uwierzytelniania ani szyfrowania. Każde urządzenie Modbus dostępne z internetu pozwala atakującemu na odczyt i zapis rejestrów - bez podawania hasła. Atak FrostyGoop wykorzystał dokładnie tę właściwość.
Ścieżki ataku - od internetu do procesu fizycznego
Atakujący nie potrzebuje bezpośredniego dostępu do PLC przez Modbus. Wystarczy jeden słaby punkt na granicy sieci, by rozpocząć ruch lateralny w kierunku procesów OT. Poniżej siedem najczęściej wykorzystywanych ścieżek.
1. VPN i urządzenia brzegowe (edge devices)
To dominujący wektor w incydentach OT od 2023 roku. Routery, firewalle i koncentratory VPN z podatnościami dają atakującemu bezpośredni tunel do sieci wewnętrznej.
Realne incydenty:
- Polska OZE (grudzień 2025) - atakujący (grupa powiązana z rosyjskim FSB, śledzona jako Static Tundra/Dragonfly) wykorzystali podatność w urządzeniach brzegowych, by wdrożyć wiper malware i uszkodzić firmware RTU w ponad 30 farmach OZE. Skutek: utrata widoczności i sterowania dla operatorów systemu dystrybucyjnego.
- Volt Typhoon (2023-2024) - chińska grupa APT uzyskała dostęp do infrastruktury krytycznej USA przez podatne urządzenia VPN. Przez dziewięć miesięcy poruszała się lateralnie - od serwera plików, przez kontroler domeny, po VMware vCenter - wykorzystując wyłącznie natywne narzędzia systemu (living off the land). CISA ocenia, że celem było przygotowanie zdolności do destrukcyjnych działań w systemach OT.
2. Zdalny dostęp dostawców i serwisantów
Producenci urządzeń OT, integratorzy i serwisanci potrzebują zdalnego dostępu do systemów. Często konfigurują go w sposób, który omija zabezpieczenia sieciowe operatora.
Realne incydenty:
- Oldsmar, Floryda (luty 2021) - nieużywane od sześciu miesięcy oprogramowanie TeamViewer na stacji SCADA zakładu uzdatniania wody pozwoliło na nieautoryzowany dostęp i próbę zmiany stężenia wodorotlenku sodu ze 100 do 11 100 ppm. Operator zauważył zmianę na ekranie HMI i przywrócił parametry.
TIP
Nieautoryzowany dostęp zewnętrzny to dominujący wektor incydentów OT (szczegóły w analizie zdalnego dostępu ICS). SANS ICS 2025 wskazuje, że jedynie 13% organizacji w pełni wdrożyło zaawansowane kontrole zdalnego dostępu, takie jak nagrywanie sesji czy uwierzytelnianie dedykowane dla OT.
3. Podatne routery przemysłowe
Forescout raportuje, że 67% złośliwej aktywności w sieciach OT jest skierowane na urządzenia peryferyjne - routery i firewalle przemysłowe. Routery mają średnio 32 podatności na urządzenie.
Realne incydenty:
- FrostyGoop/Lwów (styczeń 2024) - atakujący wykorzystali podatność w routerze MikroTik, by uzyskać dostęp do sieci miejskiego przedsiębiorstwa ciepłowniczego we Lwowie. Przez tunel L2TP (z adresów IP z Moskwy) dotarli do sterowników ENCO i przez Modbus TCP zmienili wartości rejestrów - system “myślał”, że woda jest ciepła, więc przestał ją podgrzewać. Przez prawie dwa dni 600 budynków nie miało ogrzewania.
4. Watering hole i supply chain
Atakujący kompromitują strony dostawców oprogramowania ICS, podmieniając pliki instalacyjne lub aktualizacje.
Realne incydenty:
- Dragonfly/Havex (2013-2014) - na przejętej stronie producenta routerów VPN Ewon podmieniono pliki aplikacji klienckiej. Około 250 użytkowników pobrało trojanizowane oprogramowanie zawierające RAT (Havex/Oldrea i Karagany). Malware katalogował dokumenty, pozyskiwał hasła i skanował sieć OPC w poszukiwaniu sterowników.
5. Usługi chmurowe podłączone do OT
Coraz więcej systemów OT przesyła dane do platform chmurowych - IoT hubs, analityka predykcyjna, cyfrowe bliźniaki, platformy SCADA-as-a-Service. Każde połączenie chmurowe tworzy nową ścieżkę ataku. Kompromitacja konta chmurowego, klucza API lub tokenu OAuth może dać atakującemu dostęp zwrotny do sieci OT - z pominięciem tradycyjnych zabezpieczeń brzegowych. Ryzyko rośnie, gdy połączenie chmurowe jest skonfigurowane z uprawnieniami zapisu do sterowników, a nie tylko odczytu danych telemetrycznych.
6. Phishing z ruchem lateralnym IT-do-OT
Klasyczny wektor: e-mail z malware’em infekuje stację w sieci biurowej. Jeśli brakuje segmentacji między IT a OT - lub segmentacja jest tylko logiczna, bez fizycznej separacji - atakujący porusza się lateralnie do stacji inżynierskich, serwerów Historian i systemów SCADA. W praktyce audytów SEQRED obserwujemy, że wiele organizacji ma płaską sieć, w której stacja inżynierska z oprogramowaniem do programowania PLC znajduje się w tym samym segmencie co komputery biurowe. Wystarczy jedno skompromitowane konto Active Directory z uprawnieniami do stacji inżynierskiej, by atakujący uzyskał możliwość modyfikacji logiki sterownika.
7. Nośniki wymienne i prywatne urządzenia
W środowiskach z air gap USB pozostaje głównym wektorem infekcji. Podłączenie prywatnego routera WiFi do sieci OT - choć brzmi absurdalnie - jest dokumentowanym scenariuszem w audytach bezpieczeństwa. Pracownicy utrzymania ruchu podłączają smartfony jako hotspot, technicy serwisowi przynoszą laptopy z nieznanym oprogramowaniem, a pendrive’y krążą między biurem a halą produkcyjną bez jakiejkolwiek kontroli. Każdy z tych scenariuszy omija zabezpieczenia sieciowe i dostarcza malware bezpośrednio do segmentu OT.
WARNING
Nie lekceważ ścieżek “fizycznych”. Stuxnet dotarł do irańskich wirówek przez zainfekowany pendrive, omijając air gap, który miał chronić instalację przed atakami z internetu. USB pozostaje skutecznym wektorem nawet w najlepiej segmentowanych sieciach.
Anatomia ataku - od wejścia do wpływu fizycznego
Poniższa tabela mapuje fazy kill chain z kontrolami obronnymi na każdym etapie:
| Faza | Działanie atakującego | Kontrola obronna |
|---|---|---|
| Rekonesans | Skanowanie Shodan/Censys, OSINT dostawców | ASM (attack surface management), ukrywanie usług |
| Dostęp początkowy | Exploit na VPN/router, phishing, supply chain | Patching, MFA, weryfikacja łańcucha dostaw |
| Persistence | Webshell, konto serwisowe, LOTL | EDR, monitoring logów, audyt kont |
| Ruch lateralny | RDP, SMB, natywne narzędzia Windows | Segmentacja, mikrosegmentacja, NDR |
| Przejście IT→OT | Jump host, Historian, dual-homed stacja | DMZ przemysłowa, data diode, firewall OT |
| Odkrycie OT | Skanowanie protokołów ICS, odczyt konfiguracji PLC | Monitorowanie anomalii OT, whitelisting komunikacji |
| Wpływ | Zmiana rejestrów, wiper, manipulacja logiki | Integralność firmware’u, bezpieczny tryb awaryjny |
Obrona warstwowa - od brzegu do procesu
Warstwa 1: Zarządzanie powierzchnią ataku (ASM)
Pierwszy krok to wiedza o tym, co jest widoczne z internetu. Regularne skanowanie ASM identyfikuje:
- urządzenia OT i protokoły przemysłowe eksponowane do internetu,
- shadow IT - nieautoryzowane punkty dostępu VPN i WiFi,
- certyfikaty SSL/TLS z metadanymi ujawniającymi informacje o infrastrukturze.
Narzędzia: Tenable Attack Surface Management, Censys ASM, Shodan Monitor.
Warstwa 2: Utwardzanie brzegu sieci
- Patching urządzeń brzegowych - routery, firewalle i koncentratory VPN wymagają priorytetowego łatania. W 2025 roku urządzenia Fortinet, Ivanti i Palo Alto były wielokrotnie wykorzystywane jako punkt wejścia do sieci OT.
- Wyłączenie zbędnych usług - Telnet, SNMP v1/v2c, HTTP na interfejsach zarządzania.
- Segmentacja zarządzania - interfejsy administracyjne urządzeń sieciowych dostępne wyłącznie z dedykowanej sieci zarządzania (out-of-band management).
Warstwa 3: Architektura DMZ przemysłowej
Bezpośrednie połączenie sieci IT z siecią OT to błąd architektoniczny. Prawidłowa architektura wymaga strefy zdemilitaryzowanej (DMZ):
- Reguła: żaden ruch sieciowy nie przechodzi bezpośrednio między IT a OT. Cała komunikacja odbywa się przez serwery pośredniczące w DMZ (proxy, Historian mirror, patch server).
- Data diode: dla najbardziej krytycznych segmentów - jednokierunkowy transfer danych z OT do IT, bez możliwości komunikacji zwrotnej.
- Jump host: jedyny punkt dostępu do sieci OT dla administratorów, z pełnym logowaniem sesji i nagrywaniem ekranu.
Warstwa 4: Kontrola zdalnego dostępu
Generyczny VPN daje użytkownikowi pełny dostęp do segmentu sieciowego - to za dużo. Dedykowane rozwiązania do zdalnego dostępu OT działają na zasadzie ZTNA (Zero Trust Network Access): użytkownik widzi tylko te zasoby, do których ma uprawnienia, a każda sesja jest autoryzowana osobno.
Kluczowe kontrole:
- Wdrożenie dedykowanego rozwiązania do zdalnego dostępu OT zamiast generycznego VPN.
- Wieloskładnikowe uwierzytelnianie (MFA) dla każdej sesji zdalnej.
- Nagrywanie sesji z możliwością audytu i odtworzenia.
- Automatyczne wygaszanie kont serwisowych po zakończeniu okna serwisowego.
- Separacja uprawnień - serwisant producenta widzi tylko swoje urządzenia, nie całą sieć OT.
- Zatwierdzanie sesji (approval workflow) - operator musi zatwierdzić każde połączenie zdalne przed jego nawiązaniem.
Warstwa 5: Monitorowanie i detekcja
Volt Typhoon działał niezauważony przez dziewięć miesięcy. FrostyGoop - od kwietnia do stycznia. Bez monitorowania dedykowanego dla OT atakujący ma czas na rekonesans, ruch lateralny i przygotowanie destrukcyjnego payloadu.
- NDR dla OT - monitoring ruchu sieciowego z dekodowaniem protokołów przemysłowych (Modbus, S7comm, EtherNet/IP). System NDR rozumie kontekst komunikacji przemysłowej i wykrywa anomalie niedostępne dla klasycznego IDS.
- Analiza logów - korelacja zdarzeń z urządzeń sieciowych, systemów OT i kontrolerów domeny. Logi z routerów brzegowych, firewalli i jump hostów powinny trafiać do centralnego SIEM z retencją minimum 90 dni.
- Baseline komunikacji - wykrywanie anomalii: nowe połączenia, zmiana rejestrów PLC, nieznane urządzenia w sieci. Każdy nowy przepływ komunikacyjny w sieci OT powinien generować alert do weryfikacji przez operatora.
- Honey tokens w sieci OT - fałszywe sterowniki i usługi protokołów przemysłowych, które generują alarm przy każdej próbie interakcji.
Warstwa 6: Odporność i reagowanie
Nawet najlepsza obrona może zawieść. Plan na wypadek przełamania jest równie ważny jak samo zapobieganie.
- Bezpieczny tryb awaryjny - sterowniki powinny przejść w bezpieczny stan po wykryciu anomalii komunikacyjnej. Logika safety musi być niezależna od logiki sterowania.
- Kopie zapasowe konfiguracji PLC/RTU - regularne, weryfikowane, przechowywane offline. Czas przywrócenia konfiguracji ze sprawdzonej kopii powinien być mierzony i znany.
- Procedury ręcznego sterowania - operatorzy muszą umieć prowadzić proces w trybie ręcznym na wypadek utraty systemu SCADA. Regularne ćwiczenia tego scenariusza są kluczowe.
- Odrębny plan IR dla OT - plan reagowania na incydenty w środowisku OT różni się od IT: priorytetem jest bezpieczeństwo procesu fizycznego i ludzi, a nie poufność danych. Izolacja segmentu OT nie może oznaczać utraty sterowania nad procesem krytycznym.
- Plan reagowania na incydenty OT - odrębny od IT, z uwzględnieniem wpływu na proces fizyczny.
Wymagania IEC 62443 - strefy i korytarze
Standard IEC 62443 definiuje ramę architektoniczną, która adresuje problem ekspozycji internetowej OT przez koncepcję stref (zones) i korytarzy (conduits).
Strefa bezpieczeństwa to logiczna lub fizyczna grupa systemów o wspólnych wymaganiach bezpieczeństwa. Korytarz to kanał komunikacyjny łączący dwie lub więcej stref, z własnym zestawem kontroli bezpieczeństwa.
Poziomy bezpieczeństwa (Security Levels) dla komponentów z ekspozycją internetową
| Poziom (SL) | Ochrona przed | Zastosowanie |
|---|---|---|
| SL 1 | Przypadkowym naruszeniem | Systemy niekrytyczne bez dostępu z zewnątrz |
| SL 2 | Celowym atakiem o ograniczonych zasobach | Minimum dla systemów energetycznych - kontrola dostępu, szyfrowanie, logowanie |
| SL 3 | Zaawansowanym atakiem (APT) | Systemy generacji i transmisji energii - zaawansowana segmentacja, monitoring anomalii, utwardzanie |
| SL 4 | Atakiem z zasobami na poziomie państwa | Infrastruktura krytyczna najwyższego priorytetu |
NOTE
Komponenty z jakąkolwiek formą dostępu internetowego - bezpośredniego lub pośredniego (przez VPN, chmurę, zdalny serwis) - powinny mieć przypisany co najmniej SL 2, a dla infrastruktury krytycznej SL 3. Strefa DMZ pełni rolę korytarza o podwyższonym poziomie bezpieczeństwa.
Checklist: Zgodność z IEC 62443 dla systemów z dostępem internetowym
- Inwentaryzacja wszystkich ścieżek komunikacji między strefami OT a internetem
- Przypisanie poziomu bezpieczeństwa (SL-T) do każdej strefy i korytarza
- Wdrożenie DMZ przemysłowej jako obowiązkowego korytarza między IT a OT
- Szyfrowanie i uwierzytelnianie na każdym korytarzu łączącym strefy o różnym SL
- Monitorowanie i logowanie ruchu na wszystkich korytarzach
- Okresowa weryfikacja, czy rzeczywista architektura odpowiada modelowi stref i korytarzy
- Audyt kont z dostępem zdalnym - usunięcie nieużywanych, wymuszenie MFA
Statystyki - skala problemu w 2025-2026
usług ICS widocznych z internetu globalnie
ataków OT na urządzenia peryferyjne (routery, firewalle)
organizacji OT zgłosiło incydent w ostatnim roku
organizacji z pełną kontrolą zdalnego dostępu OT
Źródła: Censys 2025, Forescout 2025/2026, SANS ICS 2025
Perspektywa testów penetracyjnych
Podczas testów bezpieczeństwa sieci OT SEQRED weryfikuje każdą z opisanych ścieżek ataku. Typowy zakres obejmuje:
- Rekonesans zewnętrzny - identyfikacja usług OT i IT widocznych z internetu, analiza certyfikatów, DNS, metadanych.
- Test urządzeń brzegowych - próby exploitacji VPN, routerów, firewalli - tych samych wektorów, które wykorzystują grupy takie jak Volt Typhoon czy Static Tundra.
- Symulacja ruchu lateralnego - od sieci IT, przez DMZ (lub jej brak), do segmentu OT.
- Weryfikacja segmentacji - czy ruch między strefami jest faktycznie kontrolowany, czy reguły firewall są aktualne.
- Test protokołów przemysłowych - próby odczytu i zapisu rejestrów Modbus, komunikacji S7comm, enumeracji urządzeń.
Celem nie jest “włamanie się” - celem jest zmapowanie realnych ścieżek ataku i dostarczenie konkretnych rekomendacji naprawczych, zanim te ścieżki wykorzysta ktoś inny.
Podsumowanie - co zrobić teraz
Zabezpieczenie sieci OT przed atakami z internetu nie wymaga rewolucji - wymaga systematycznego podejścia warstwowego. Każda warstwa zmniejsza prawdopodobieństwo i zakres potencjalnego ataku.
Trzy działania na start:
- Zinwentaryzuj - ustal, co z Twojej infrastruktury OT jest widoczne z internetu. ASM to punkt wyjścia.
- Odseparuj - wdróż DMZ przemysłową. Żaden ruch nie powinien przechodzić bezpośrednio między IT a OT.
- Ogranicz dostęp zdalny - dedykowane rozwiązanie, MFA, nagrywanie sesji, automatyczne wygaszanie kont.
Jeżeli potrzebujesz wsparcia w ocenie bezpieczeństwa infrastruktury OT - od testów penetracyjnych po projekt architektury zgodnej z IEC 62443 - skontaktuj się z nami.
Powiązane artykuły
- Bezpieczny zdalny dostęp do systemów ICS - kompleksowy przewodnik po kontroli dostępu zdalnego w środowiskach przemysłowych
- Segmentacja sieci OT - projektowanie stref i korytarzy zgodnie z IEC 62443
- Defense in Depth w systemach DCS - wielowarstwowa obrona w środowiskach sterowania rozproszonego
Źródła
- CISA Advisory AA24-038A - Volt Typhoon
- CISA Alert - Poland Energy Sector Cyber Incident (2026)
- Dragos - Poland Power Grid Attack: ELECTRUM Targets Distributed Energy (2025)
- Dragos - FrostyGoop ICS Malware (2024)
- CISA Advisory AA21-042A - Oldsmar Water Treatment (2021)
- Forescout 2025 Threat Roundup - 84% wzrost ataków na protokoły OT
- Forescout 2026 Riskiest Connected Devices
- Censys - 145 000 exposed ICS services worldwide
- SANS State of ICS/OT Security 2025
- IEC 62443 - strefy i korytarze (Dragos)
- Symantec - Dragonfly: Western Energy Companies Under Sabotage Threat