Według CERT Polska atak na elektrociepłownię był klasycznym przykładem operacji długoterminowej. W okresie od marca do lipca 2025 roku obserwowano działania rozpoznawcze, próby pozyskania poświadczeń i nieuprawniony dostęp do danych. Atakujący poruszali się po infrastrukturze, eskalowali uprawnienia i przygotowywali grunt pod destrukcyjne działanie. Kulminacja nastąpiła 29 grudnia, gdy uruchomiono oprogramowanie typu wiper, którego celem było nieodwracalne zniszczenie danych. W tym momencie system klasy EDR zareagował i zablokował atak. W sytuacji, dyby atak się udał, bez ogrzewania mogłoby pozostać około pół miliona mieszkańców.

To dramatyczny scenariusz – i jednocześnie bardzo pouczający.

Szczegóły ataku opisał CERT Polska w swoim raporcie .

W zaatakowanej elektrociepłowni EDR był obecny od dawna. A mimo to intruzi działali w sieci przez tygodnie, prowadząc rekonesans i kradnąc dane. To nie jest zarzut wobec samej technologii. To raczej przypomnienie, że narzędzie nie jest systemem bezpieczeństwa – jest jego elementem.

EDR z natury rzeczy reaguje na konkretne, obserwowalne zdarzenia na końcówkach: procesy, modyfikacje plików, zmiany w rejestrze, próby persistence. W momencie uruchomienia wipera doszło do jawnej, destrukcyjnej aktywności – i EDR zrobił to, do czego został zaprojektowany tj. zablokował ją.

Cała faza przygotowawcza – rekonesans, lateral movement, credential harvesting – wymaga nie tylko telemetrii, lecz także ciągłej analizy i korelacji zdarzeń w czasie. I tu zaczyna się prawdziwa rola SOC.

Analiza ataku na polską elektrociepłownię udowadnia, że sam endpoint to tylko jeden z frontów. Atakujący wchodzą przez e-maile, ukrywają się w ruchu sieciowym i wykorzystują tożsamości w chmurze. I tutaj zadziała XDR (Extended Detection and Response).

O ile EDR to potężne, ale punktowe światło latarki, o tyle XDR to system oświetlenia całej hali. Łącząc telemetrię z końcówek, sieci (NDR) i chmury, pozwala on zespołom SOC zrozumieć, że „logowanie z dziwnej lokalizacji” i „zmiana uprawnień w bazie” to ten sam atak, a nie dwa osobne incydenty. To przejście od pilnowania drzwi do monitorowania całego budynku w jednym organizmie.

Jest jeszcze jeden, brutalnie ludzki aspekt tego incydentu. EDR zadziałał w grudniu, ale czy w marcu nie „krzyczał” o drobnych anomaliach? Problem w nowoczesnych SOC to często nie brak danych, a ich nadmiar – tzw. Alert Fatigue (zmęczenie alertami).

Generowanie tysięcy powiadomień dziennie, z których większość to fałszywe alarmy, usypia czujność analityka. Prawdziwe zagrożenie łatwo może utonąć w szumie alertów. Skuteczny SOC to nie taki, który ma najwięcej sensorów, ale taki, który potrafi odfiltrować szum i skupić uwagę ludzi na tym, co naprawdę ma znaczenie. Bez odpowiedniej priorytetyzacji, nawet najlepszy EDR może nie spełniać swojej funkcji alarmując w sytuacji braku ataku i odwracając uwagę od prawdziwego zagrożenia.

SOC od lat pełni funkcję centrum operacyjnego bezpieczeństwa: monitoruje zdarzenia, koreluje sygnały, reaguje na incydenty. Problem w tradycyjnym modelu polega na tym, że zespół SOC często bazuje głównie na logach z SIEM – fragmentarycznych, opóźnionych i pozbawionych pełnego kontekstu tego, co dzieje się na endpointach.

EDR wnosi do tego świata coś jakościowo nowego: ciągłą, szczegółową telemetrykę z końcówek, widoczność drzew procesów, działań użytkowników, modyfikacji pamięci i rejestru. W połączeniu z SOC daje to efekt, którego nie zapewni ani samo narzędzie EDR, ani sam zespół.

EDR bez SOC jest jak kamera bez operatora. SOC bez EDR działa jak analityk, który widzi tylko fragment obrazu. Razem tworzą system, który może wykrywać ataki na etapie przygotowań, a nie dopiero w momencie sabotażu.

Nie jest to zarzut do SIEMa. Wręcz przeciwnie – SIEM pozostaje kluczowym źródłem kontekstu: logów sieciowych, zdarzeń z infrastruktury, historii aktywności. W nowoczesnym modelu jego rola przesuwa się jednak z „centrum dowodzenia” w stronę „systemu pamięci i korelacji kontekstowej”.

SOC oparty o telemetrykę EDR/XDR zyskuje szybkość i precyzję, a SIEM dostarcza szerokiego tła, które pozwala zrozumieć incydent w skali całej organizacji.

Atak na elektrociepłownię opisany przez CERT Polska nie jest dowodem na to, że jedno narzędzie „rozwiązuje problem cyberbezpieczeństwa”. Jest raczej potwierdzeniem tego, że architektura bezpieczeństwa musi być operacyjnie spójna:

• EDR zadziałał wtedy, gdy powinien, wykrył incydent na hoście.
• SIEM mógłby dostarczyć kontekstu, który pozwala zrozumieć pełny przebieg ataku.
• SOC mógłby zadziałać wcześniej – gdyby miał pełną widoczność i nie był przytłoczony szumem alertów.
• XDR dałby możliwość połączenia funkcjonalności EDR + SIEM w jednym systemie, zapewniając pełną korelację wszystkich zdarzeń oraz dając jeden obraz incydentu.

Cyberbezpieczeństwo coraz mniej polega na gromadzeniu logów, a coraz bardziej na obserwacji żywej aktywności systemów. SOC przyszłości nie jest mniej ważny – jest bardziej operacyjny, bliżej źródeł zdarzeń i bardziej zintegrowany z narzędziami reagującymi w czasie rzeczywistym.

Atak na elektrociepłownię udowadnia, że technologia działa, ale pokazuje też, że dopiero połączenie technologii (EDR/XDR), ludzi (nieprzeciążony SOC) i procesów daje szansę na wykrycie intruza zanim zacznie on niszczyć infrastrukturę krytyczną.

I to jest najważniejsza lekcja z tego incydentu.