Zaczyna się od kamerki, kończy na milionowych stratach. Bezpieczeństwo fizyczne i cyfrowe to dziś jedność

W październiku 2021 r. doszło do jednej z największych katastrof w historii internetu. Około 6 godzin nie działał Facebook, Whatsapp i inne narzędzia należące do współczesnej Mety. To nie był cyberatak, tylko błąd w zmianie konfiguracji infrastruktury sieciowej.

Dlaczego awaria trwała tak długo? Przyczyn jest kilka, ale jedna z nich to… brak fizycznego dostępu do serwerów Facebooka. Wraz z katastrofalną awarią infrastruktury sieciowej, inżynierowie stracili dostęp do serwerowni. Potrzebny był ktoś z fizycznym kluczem, by postawić jedną z najważniejszych platform na świecie.

Dziś obrona fizyczna stała się tożsama z cybernetyczną. I problemy w jednym obszarze, przełożą się także na drugi.

Jak zmienia się cyfrowy świat

Również w 2021 r. cyberatak wstrząsnął inną firmą. Szwedzki Coop musiał zamknąć 800 sklepów z powodu ataku typu ransomware. Na celowniku znalazła się firma IT, która dostarczała usługi dla Coop. Hakerzy zaszyfrowali serwery, które były fundamentem dla funkcjonowania kas fiskalnych – m.in. w Coop. W praktyce więc sklepy nie mogły obsługiwać klientów. Firma poradziła sobie przez płatności z pomocą aplikacji, ale straty liczone były w dziesiątkach milionów dolarów.

Problemy najczęściej generuje błąd człowieka. Organizacja ENISA w Threat Landscape 2025 – analizując 4875 incydentów z okresu między 1 lipca 2024 r. a 30 czerwca 2025 r. – wskazała, że phishing stanowił największą część zidentyfikowanych wektorów początkowej infekcji (ok. 60 proc.).

Raport szczegółowo omawia rozwój technik socjotechnicznych i „platformizacji” oszustw (phishing‑as‑a‑service). W tym samym materiale opisano rosnące znaczenie obrony przed atakami fizycznymi.  

Wykryte incydenty to jedno. Realna skala jest większa.

– Skala zgłoszeń rośnie, jednak liczby pokazują jedynie to, co zostało zaraportowane. Tylko 10-20 proc. poważniejszych incydentów trafia do CERT/CSIRT lub UODO – reszta pozostaje w „szarej strefie” z obawy przed konsekwencjami wizerunkowymi, presją kontrahentów albo po prostu nie brak procedur, by rozpoznać, który incydent wymaga formalnego zgłoszenia – tłumaczy w raporcie o stanie cyberbezpieczeństwa w Polsce Adam Kassenberg, kierownik specjalizacji Cybersecurity w Polsko-Japońskiej Akademii Technik Komputerowych.

Bo ataki skierowane na infrastrukturę cyfrową uderzają w świat fizyczny. To samo dzieje się też z drugiej strony.

Świat fizyczny i prawdziwy problem

Systemów, które łączą świat fizyczny z cyfrowym, jest coraz więcej. Brama wjazdowa, karta dostępu, system zarządzania budynkiem, sterownik RTU w stacji elektroenergetycznej czy panel w rozdzielni działają dziś jak elementy jednego, w dużym stopniu, cyfrowego układu nerwowego.

Wystarczy niepozorna luka w oprogramowaniu kamery, by cyberprzestępcy mogli dostać się do całej infrastruktury sieciowej. Przykład? Atak na Iran z lutego 2026 r. został zapoczątkowany uderzeniem w miejsce przebywania ajatollaha Chameneiego. Zgodnie ze śledztwem amerykańskich dziennikarzy, izraelscy hakerzy przez lata zdobyli dostęp do sieci kamer w Teheranie. Śledzili irańskich dygnitarzy i drogi, którymi się poruszali.

To samo może się stać w każdej firmie. Cyberbezpieczeństwo przestało być „osobnym światem IT”. Staje się sposobem ochrony ludzi, infrastruktury i ciągłości działania: atak na konto, aktualizację albo dostawcę może przesunąć ruch osób w budynku, zatrzymać linię produkcyjną lub odebrać operatorowi zdolność zdalnego sterowania.

Nowe wyzwanie dla bezpieczeństwa

W języku standardów bezpieczeństwa mowa o świecie OT – technologii operacyjnej. Amerykański National Institute of Standards and Technology opisuje OT jako programowalne systemy i urządzenia, które oddziałują na środowisko fizyczne (lub zarządzają urządzeniami oddziałującymi na to środowisko) przez monitorowanie i sterowanie procesami oraz zdarzeniami.

OT musi spełniać wymagania co do wydajności, niezawodności i bezpieczeństwa. W wielu branżach koszt przestoju, błędnego sterowania czy awaryjnego zatrzymania procesu bywa ważniejszy niż sam wyciek danych. Stąd przesunięcie definicji „chronionego obiektu”. Nie jest nim budynek jako bryła, lecz proces, który budynek „nosi” – produkcja, logistyka, dostawa energii, sterowanie ruchem, bezpieczeństwo technologiczne.

Komentarz partnera cyklu

Dwa światy, jedno wyzwanie

Cyberbezpieczeństwo i ochrona fizyczna coraz bardziej się przenikają. Dziś już trudno je traktować jako odrębne zagadnienia. W praktyce zmienia to zarówno sposób myślenia o zagrożeniach, jak i wymusza konkretne działania na rzecz ochrony.

Granica między zagrożeniem wirtualnym a fizycznym ulega zatarciu. Jeszcze do niedawna ochrona fizyczna i zabezpieczenia techniczne oznaczały pracowników ochrony, system alarmowy i monitoring. Obecnie większość systemów (np. kontrola dostępu, monitoring, system alarmowy) działa w sieci i może być celem ataku cybernetycznego, np. włamanie do systemu kontroli dostępu może umożliwić fizyczne wejście do budynku, bez użycia siły.

Cyberzagrożenia mogą prowadzić do odczuwania realnych skutków: wyłączenie systemów alarmowych, manipulacja kamerami (np. wyłączenie obrazu), przejęcie systemów. Nowoczesne organizacje łączą monitoring (CCTV), kontrolę dostępu, systemy IT, analizę danych i AI. Oznacza to, że zespoły zajmujące się ochroną fizyczną i zabezpieczeniami technicznymi oraz IT muszą współpracować, nie działać osobno.

Nastąpiła również zmiana roli pracowników ochrony. Nie są obecni już tylko przy wejściu do budynków, ale muszą rozumieć podstawy cyberzagrożeń: jak działają systemy cyfrowe i jak reagować na incydenty hybrydowe (cyber + fizyczne).

Obecnie systemy zabezpieczenia projektuje się od początku z myślą o cyberbezpieczeństwie przez stosowanie zaszyfrowanej komunikacji, segmentacji sieci, aktualizacji oprogramowania itp.

Cyberbezpieczeństwo sprawiło, że ochrona fizyczna stała się częścią większego ekosystemu bezpieczeństwa. Kluczowa zmiana to przejście z myślenia „ochrona budynku” na „ochronę systemu jako całości”, który obejmuje ludzi, technologie oraz dane.

Krzysztof Słotwiński

dyrektor zarządzający Pionu Bezpieczeństwa i Zarządzania ciągłością działania, Bank BNP Paribas

Historyczne ataki i co z nich wynika

Ataki na fizyczne obiekty nie są niczym nowym. Stuxnet dekady temu zniszczył irański program atomowy. W 2015 r. atak rosyjskich hakerów doprowadził do dużego blackoutu w Ukrainie.

Różnica polega jednak na tym, że cyfryzacja dotknęła też samych narzędzi ochrony. Monitoring, kontrola dostępu i systemy budynkowe stały się usługą – często chmurową – z kontami administratorów, aktualizacjami oraz integracją z HR, recepcją i systemami najemcy

W marcu 2021 r. zaatakowana została firma Verkada, tworząca m.in. systemy wizyjne. Atakujący zdobyli dostęp do 97 różnych klientów, a dokładniej do ich kamer. W ośmiu przypadkach atakujący zdobyli np. dostęp do danych pracowników czy też danych do wewnętrznych sieci WiFi. Pozyskano także wiele wrażliwych danych.

W budynkach i kampusach ryzyko wzmacnia automatyka. W klasycznym ujęciu protokoły i urządzenia automatyki budynkowej miały działać w sieci „zaufanej”, często odseparowanej od internetu. Problem w tym, że realia biznesowe (zdalny serwis, integracja z IT, raportowanie energetyczne, analityka) pchają je do sieci korporacyjnych i – pośrednio – do internetu.

Najbardziej kosztowne bywają jednak incydenty, które zaczynają się w IT, a kończą w świecie operacji. Atak NotPetya z 2017 r. sparaliżował setki firm na całym świecie. W tym np. wstrzymał rozładunek transportów firmy Maersk, co kosztowało ją nawet 300 mln dolarów. W 2021 r. ransomware uderzyło w Colonial Pipeline, a wstrzymał pracę rurociągu.

Amerykańska CISA szczegółowo opisała przypadek z 5 lutego 2021 r., gdy nieznani sprawcy uzyskali nieautoryzowany dostęp do systemu SCADA w amerykańskim zakładzie uzdatniania wody. Zmienili oni parametr związany z dozowaniem wodorotlenku sodu do poziomu potencjalnie niebezpiecznego.

Przeczytaj: Dwa lata, 500 mln dolarów na okupy. Tak cyberprzestępcy pokonują firmy

Nowe wyzwania na horyzoncie

Eksperci zwracają uwagę na nowe legislacje, które wymuszają rozwój narzędzi bezpieczeństwa. Przykładowo, w legislacji NIS2 (art. 20) zapisano obowiązek, by organy zarządzające podmiotami kluczowymi i ważnymi zatwierdzały środki zarządzania ryzykiem cyber i nadzorowały ich wdrożenie. Przewidziano też wymóg szkoleń członków organów zarządzających.

Jeszcze ważniejszy jest art. 21, który mówi o podejściu all‑hazards. Firmy muszą chronić nie tylko systemy, ale także otoczenie fizyczne tych systemów.

Nowe przepisy dotyczą także sektora finansowego. W 2025 r. weszło w życie unijne rozporządzenie DORA. Nakłada ono na banki, ubezpieczycieli i inne instytucje finansowe surowe wymogi w zakresie zarządzania ryzykiem ICT, raportowania incydentów oraz kontroli zewnętrznych dostawców technologii.

Inwestycje w technologię

Ochrona fizyczna może także skorzystać na rozwoju nowych technologii. Nie chodzi tu przykładowo o automatyczną analizę obrazu z kamer przemysłowych lub dronów. Kilkanaście dni temu Panasonic rozpoczął testy rozwiązania, które ma poprawić cyberbezpieczeństwo magazynów energii.

Panasonic ujawnił, że system opiera się na monitorowaniu komunikacji oraz systemów sterowania. W przypadku jakichkolwiek nieprawidłowości operatorzy mogą zastosować procedury bezpieczeństwa.

Z perspektywy ochrony fizycznej najważniejsza zmiana to przesunięcie punktu ciężkości: od „ochrony obiektu” do „odporności działania”. Będziemy mieli więcej automatyzacji, ale przez to bezpieczeństwo fizyczne stanie się częścią cyberodporności – na poziomie technologii, ludzi, dostawców i zarządzania ryzykiem.

Główne wnioski

1. Przykłady opisane w tekście pokazują, jak silnie powiązane są dziś światy cyfrowy i fizyczny. Awaria usług Mety w 2021 r. roku unaoczniła, że nawet globalne platformy mogą zostać sparaliżowane przez pozornie techniczny błąd, który w praktyce ograniczył także fizyczny dostęp do infrastruktury. Podobnie cyberatak na sieć Coop udowodnił, że incydenty w systemach IT mogą natychmiast przełożyć się na funkcjonowanie realnych sklepów i obsługę klientów. Granica między cyberbezpieczeństwem a bezpieczeństwem fizycznym przestała istnieć, a problemy w jednym obszarze niemal automatycznie wpływają na drugi.
2. Rośnie rola czynnika ludzkiego i złożoności systemów jako źródła zagrożeń. Dane ENISA wskazują, że phishing pozostaje dominującym wektorem ataku, co oznacza, że technologia nie eliminuje podstawowych słabości organizacji. Jednocześnie rozwój systemów OT oraz integracja infrastruktury fizycznej z sieciami IT zwiększają powierzchnię ataku. Przykłady włamań do systemów monitoringu czy infrastruktury przemysłowej pokazują, że pojedyncza luka może otworzyć dostęp do całych organizacji, a skutki mogą dotyczyć zarówno danych, jak i procesów operacyjnych.
3. Konieczna jest zmiana podejścia do bezpieczeństwa oraz rosnącej roli regulacji i odporności operacyjnej. Nowe przepisy, takie jak NIS2 czy DORA, wymuszają na organizacjach kompleksowe zarządzanie ryzykiem, obejmujące zarówno systemy cyfrowe, jak i ich fizyczne otoczenie. Tekst wskazuje, że najważniejsze staje się nie tyle zabezpieczenie pojedynczych elementów, ile zapewnienie ciągłości działania całych procesów. W tym kontekście rośnie znaczenie monitoringu, szybkiego reagowania oraz współpracy między obszarami IT, OT i zarządzaniem organizacją.