Polska wykryła incydent izotopowy, ale Europa nie ma własnego systemu ochrony

„Mamy zdolności prewencji w domenie cyber, a nie jesteśmy całkowicie przygotowani na domenę fizyczną, do ataków z powietrza, na infrastrukturę, krytyczną, czy naziemną, czy z wody, jak może to mieć miejsce w przypadku elektrowni jądrowej” – skomentował Jacek Siewiera, były szef BBN, obecnie związany z Atlantic Council.

Zagrożenie z zewnątrz

Jak przekazał Siewiera, jako lekarz wojskowy zajmuje się obszarem wykrywania broni masowego rażenia, czynników biologicznych, chemicznych, radiologicznych. „Pewnie Państwo zdajecie sobie z tego sprawę, że mamy do czynienia z największym kryzysem nieproliferacyjnym od czasów upadku Związku Sowieckiego. Gdy upadał Związek Sowiecki, martwiliśmy się, gdzie są, co stanie się z głowicami jądrowymi, z paliwem, z uranem. Dzisiaj mamy państwo, które ma zbombardowane trzy ośrodki i nie raportuje, (…) gdzie jest paliwo z Isfahan, z Natanz, z Fordo” – mówił Siewiera, odnosząc się do zbombardowanych irańskich ośrodków jądrowych w trakcie inwazji USA i Izraela.

17 kwietnia w Polsce Straż Graniczna wykryła incydent izotopowy. „Jeden bankot studolarowy, który wielokrotnie ponad tło promieniował w spektrum izotopowym” – wyjaśniał Siewiera. Jednak w tej historii jest haczyk: „Bramki, które to wykrywają, sfinansowane jeszcze w latach 90« i 2000«, są wyprodukowane, sfinansowane, obsługiwane i utrzymywane przez Amerykanów” – ostrzegł Siewiera.

Siewiera odnosił się tutaj do incydentu na przejściu granicznym w Medyce, gdzie strażnicy graniczi wykryli napromieniowany studolarowy banknot, wśród prawie 10 tysięcy dolarów, które wnosiła 54-letnia Ukrainka, co opisywały polskie media.

Tak długo jak będziemy udostępniać infrastrukturę tego typu do inwestycji również naszym strategicznym amerykańskim partnerom, tak długo my nie będziemy mieli inicjatywy w zarządzaniu tą infrastrukturą.
Jacek Siewiera

„Jeszcze raz powtórzę, granic zewnętrznych pod względem nieproliferacyjnym Unii Europejskiej broni system finansowany i zakupiony przez Stany Zjednoczone. Europa nie ma systemu detekcji czynników chemicznych, radiologicznych czy innych” – podkreślał Jacek Siewiera.

Bezpieczeństwo cybernetyczne

Nie mam przekonania, że UE jest przygotowana świetnie na cyberataki, ale Polska już tak. Skuteczność ich odpierania w Polsce to ponad 99% - powiedziała europosłanka Kamila Gasiuk-Pihowicz, przywołując największy w ostatnich latach cyberatak przeprowadzony wobec polskiej infrastruktury energetycznej pod koniec 2025 r.

Grupy powiązane z rosyjskim GRU zaatakowały jednocześnie dziesiątki farm wiatrowych, instalacji fotowoltaicznych i ciepłownię obsługującą około pół miliona mieszkańców. Użyto tzw. wiperów, czyli oprogramowania, które nie kradnie danych, ale po prostu niszczy system automatyki przemysłowej – opisywała Gasiuk-Pihowicz. „No i oczywiście celem było jedno, blackout w samym środku okresu grzewczego. Tuż przed Sylwestrem byliśmy o krok, dosłownie o krok od tego, ale odparliśmy atak” – powiedziała europosłanka w czasie panelu „Bezpieczeństwo energetyczne i infrastruktura krytyczna. Priorytety ochrony”.

Do cyberataku, który E24 opisała jako jedno z pierwszych mediów w Polsce, doszło 29 i 30 grudnia 2025 r. Jak podkreśliła Gasiuk-Pihowicz, pomimo ogromu wyzwań, jakie stoją tak przed Europą, jak i przed Polską w obliczu wojny hybrydowej, nasze krajowe reagowanie na podobne zdarzenia jest na bardzo wysokim poziomie.

O przygotowanie polskiej energetyki na ataki cybernetyzne pytany był Robert Grochowski, prezes PGE Systemy, który zidentyfikował trzy najważniejsze luki bezpieczeństwa, podkreślając jednak, że w jego ocenie jesteśmy stosunkowo dobrze chronieni.

Pierwsza luka dotyczy technologii – Polska ma „duży dług technologiczny związany z energetyką konwencjonalną i zarządzaniem nią. Musimy znaleźć rozwiązanie, które zabezpieczy nasze sieci”. Drugi to kwestie organizacji dotyczące inżynierów, dla których priorytetem jest utrzymanie wszystkich urządzeń w pracy, a z drugiej specjalistów od bezpieczeństwa, którzy w momencie krytycznym muszą przynajmniej odizolować zaatakowane miejsce. „To samo wynika z doświadczeń Ukrainy” – mówił prezes PGE Systemy. Trzecia luka dotyczy łańcuchów dostaw: nowoczesne systemy są dostarczane przez różnych producentów, więc konieczne jest dokładne badanie tego, „co jest pod maską”. „To jest punkt krytyczny, który, mówiąc kolokwialnie, pozwala na ewentualne włamy” – wyjaśniał Robert Grochowski.

Problem z definicji

Współczesne dążenia do elektryfikacji stoją nieco w poprzek potrzebom wojskowym w przypadku konfliktu – skomentował Jean Charles Ellermann-Kingombe, Asystent Sekretarza Generalnego NATO ds. Cyber i Transformacji Cyfrowej. Wojsko ma olbrzymie zapotrzebowanie na paliwa płynne – i tak na przykład, samolot F-35 zużywa o 60% więcej paliwa niż starszy model F-16. A m.in. ze względu na przechodzenie na elektromobilność, europejska infrastruktura rafineryjna kurczy się.

Zachodzi więc rozłam pomiędzy tym, czego potrzebujemy w kwestii obronności, a jaka produkcja jest tworzona w Europie.
Jean Charles Ellermann-Kingombe

„Trzeba sobie uświadomić, że nie zawsze pojęcie infrastruktura krytyczna/kluczowa będzie tożsame ze znaczeniem tej infrastruktury dla sił zbrojnych. Siły zbrojne będą też opierały się na sektorze cywilnym. Infrastruktura krytyczna to przede wszystkim ta, która jest potrzebna do działania państwa i zapewnienia usług dla społeczeństwa” – skomentował płk Michał Golak, Szef Szefostwa, Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni. Jednak zdaniem pułkownika, za infrastrukturę krytyczną należałoby także uznawać tę, która jest konieczna dla działania wojsk w czasie konfliktu – rozszerzając tę definicję. „Wojsko nie może czekać na kryzys; musi być zaangażowane w monitorowanie i wspieranie sektorów cywilnych już teraz, aby zachować świadomość sytuacyjną” – podkreślał.

„Chyba nie zdajemy sobie sprawy z tego, czym jest infrastruktura. krytyczna, bo to nie tylko energetyka, to także transport, porty morskie i lotnicze. Blackout może oznaczać, że nie działają telefony, karty, nie ma wody. I to trwa dłużej niż 2-3 godziny” – skomentowała Angelika Cieślowska, prezeska Zarządu Doraco.

Jak dodała, Polska bardzo stara się przestrzegać unijnych wytycznych w zakresie zamówień publicznych, ale w jej ocenie powoduje to mnóstwo błędów. „Kluczowym błędem jest brak panowania nad łańcuchami dostaw. My nie wiemy co mamy pomontowane w naszych systemach. Przez wiele lat ta najniższa cena decydowała o wyborze wykonawcy, ale także dostawców systemów” – argumentowała Cieślowska.

„Bardzo dużo jest do zrobienia po stronie procedury wyboru partnera do realizacji infrastruktury krytycznej” – podkreśliła, zwracając uwagę na to, że należy monitorować nie tylko wykonawców, ale poszczególne elementy łańcuchu dostaw.

Nie mówiąc już o tym, że często zamawiający przez ograniczenia budżetowe nie inwestują w te najlepsze rozwiązania, ale także nie projektują w systemach informatycznych dających im możliwość szybkiej reakcji, czyli takiej reakcji, które na zapytanie dostaniemy odpowiedź w ciągu minut.
Angelika Cieślowska

„Cała infrastruktura krytyczna ma za sobą komponent informatyczny i naprawdę zdalnie można go wyłączyć z drugiego krańca świata” – powiedziała.

Należy zacząć głośno dyskutować o tym, czy wiemy, kto buduje infrastrukturę krytyczną w naszym kraju, kto będzie ją serwisował, czy mamy wpływ na to, co „jest w środku” oraz świadomość jak się nią zarządza – zaapelowała prezeska Doraco.