Kritisk Infrastruktur

Polen rapporterar 270 000 cyberattacker under 2025: energianläggningar i skottlinjen

3 Lästid / mars 26, 2026

Poland Reports 270,000 Cyberattacks in 2025, Energy Facilities Targeted in December

Polen drabbades av 270 000 cyberattacker under 2025, enligt viceminister för digitala frågor, Paweł Olszewski. Siffran innebär en ökning med 250 % jämfört med föregående år och visar på en eskalerande hotnivå som fått polska myndigheter att öppet tala om att ”föra krig i cyberrymden”.

Den allvarligaste incidenten inträffade den 29 december när koordinerade angrepp riktades mot mer än 30 vind- och solparker, en tillverkningsanläggning och ett kraftvärmeverk som försörjer nästan 500 000 kunder.

Decemberattacken skiljer sig från allt Polen sett tidigare. Tidigare incidenter var ekonomiskt motiverade ransomware-operationer. Detta var rent destruktivt. CERT Polska-chefen Marcin Dudek sa till Associated Press: ”I det här fallet fanns det ingen ekonomisk motivation — motivationen var bara förstörelse.”

Angreppet skedde under vinterstormar

CERT Polskas incidentrapport bekräftar att tidpunkten var avsiktlig. Attackerna skedde under en period när Polen kämpade med låga temperaturer och snöstormar strax före nyår. Rapporten slår fast vid att attackerna ”kan jämföras med avsiktlig mordbrand” – språkbruk som signalerar hur allvarligt polska myndigheter ser på incidenten.

De förnybara energiparkerna förlorade kommunikationen med distributionssystemoperatörerna, men fortsatte ändå producera el. Kraftvärmeverket kunde upprätthåll servicen till kunderna. Inga strömavbrott inträffade, men det verkar ha varit mer en fråga om tur än design.

Både Dragonfly och Sandworm kopplas till rysk underrättelsetjänst

CERT Polskas tekniska analys kopplar attackerna till infrastruktur som tidigare använts av Dragonfly, en rysk hotaktör även känd som Static Tundra eller Berserk Bear. FBI bekräftade i augusti 2025 att Dragonfly verkar som del av FSB Center 16, en enhet inom säkerhetspolisen ansvarig för signalspaning och cyberoperationer. Separat analyserade ESET malware-proverna och noterade att den dataraderande skadliga koden, samt dess användning, är tekniker som vanligen förknippas med Sandworm, en annan rysk grupp känd för destruktiva angrepp i Ukraina.

Meningsskiljaktigheten om attribution mellan polska och slovakiska forskare spelar mindre roll än konsensus: båda grupperna rapporterar till ryska underrättelsetjänster. Som Cherepanov uttryckte det: ”Whether it’s these Russians or those Russians is a detail.”

Jag är skeptisk till nationalstatsattributioner som görs inom några dagar efter en incident. CERT Polskas bedömning är mer trovärdig – den baseras på infrastrukturanalys och publicerades mer än två månader efter attacken – men rysk regeringsinblandning förblir en analytisk bedömning, inte ett juridiskt konstaterande.

Nordiska energibolag bör se över vinterberedskapen

Vattenfall, som driver vindkraftsparker i Polen, Danmark och Sverige, har inte kommenterat om dess polska anläggningar var bland de som attackerades. Bolagets nordiska verksamhet har samma typ av exponering som de drabbade polska anläggningarna. Decemberattackerna visar att energiinfrastruktur förblir ett prioriterat mål för statskopplade aktörer villiga att försöka störa service under extrema väderförhållanden.

För energibolag som verkar i Östeuropa understryker de polska attackerna värdet av kommunikationsredundans och manuella override-funktioner. De attackerade anläggningarna upprätthöll elproduktionen trots förlorad nätverksanslutning, vilket tyder på att deras operationstekniska system var korrekt segmenterade från företagsnätverken.