Bezpieczeństwo · Technologia operacyjna (OT) · Infrastruktura krytyczna

Oprogramowanie ransomware wspomagane sztuczną inteligencją to „
”, które zmienia oblicze cyberbezpieczeństwa systemów OT
— i to nie na naszą korzyść

Wkraczamy w nową fazę risk dla systemów OT risk fazę, w której sztuczna inteligencja nie służy już wyłącznie do pomocy obrońcom. Daje ona nowe możliwości atakującym. Nawet mało doświadczeni sprawcy, dysponujący zestawami do ataków ransomware za 200 euro, atakują obecnie systemy zapewniające funkcjonowanie fabryk, sieci energetycznych i infrastruktury krytycznej.

Oprogramowanie ransomware typu OT a bezpieczeństwo infrastruktury krytycznej

Wkraczamy w nową fazę risk dla systemów OT risk fazę, w której sztuczna inteligencja nie służy już wyłącznie do wspierania osób odpowiedzialnych za ochronę. Daje ona nowe możliwości atakującym. Konsekwencje dla organizacji, których działalność opiera się na procesach przemysłowych, są poważne.

Najnowsze badania przeprowadzone przez Shieldworkz i Nozomi Networks wskazują na radykalną zmianę w krajobrazie zagrożeń. Czynności, które wcześniej wymagały zaawansowanych umiejętności programistycznych w zakresie złośliwego oprogramowania oraz dogłębnej wiedzy na temat systemów ICS, mogą obecnie być realizowane przez osoby o niskich kwalifikacjach, korzystające z zestawów do tworzenia oprogramowania ransomware opartych na sztucznej inteligencji, dostępnych w cenie od 200 do 500 euro. Narzędzia takie jak WormGPT, FraudGPT oraz nowe modele językowe typu LLM (open source) automatyzują wszystkie etapy – od rozpoznania po tworzenie ładunku złośliwego.

Liczby mówią same za siebie

46%Gwałtowny wzrost liczby wariantów oprogramowania ransomware typu OT w pierwszym kwartale 2025 r.
140%Wzrost liczby ataków ransomware typu ICS w ujęciu rok do roku
Ponad 12 000nowych wariantów oprogramowania ransomware wygenerowanych przez sztuczną inteligencję w pierwszej połowie 2025 r.
Ponad 820 tys.Ataki na urządzenia IoT dziennie
6 godzinMediana czasu od pierwszego naruszenia do wystąpienia skutków w zakresie czasu pracy
50%+Wzrost liczby incydentów związanych z oprogramowaniem ransomware wymierzonym w OT w ujęciu rok do roku w latach 2024–2025

Źródła: Shieldworkz, Nozomi Networks, badanie Honeywell OT/ICS 2025. Dane liczbowe stanowią szacunki branżowe.

Ile to kosztuje, gdy przestaje działać system OT

Nie są to dane teoretyczne. Odzwierciedlają one rzeczywiste doświadczenia producentów i podmiotów z sektora przemysłowego:

Produkcja
180 tys. euro – 840 tys. euro
Strata produkcji na godzinę przestoju
Sektor energetyczny
3,1 mln dolarów na godzinę
Koszt przestoju na godzinę
Transport
#1
Sektor, który będzie najczęściej atakowany w 2025 roku

Przerwy w działaniu sieci OT stały się jedną z najkosztowniejszych kategorii skutków cyberataków — a cyberprzestępcy doskonale o tym wiedzą.

Sztuczna inteligencja przyspiesza cały łańcuch ataku

1
Rozpoznanie — narzędzia oparte na sztucznej inteligencji automatyzują tworzenie profili celów, skanowanie zasobów narażonych na ataki w sieci operacyjnej (OT) oraz identyfikację podatnych na ataki punktów końcowych systemów ICS na dużą skalę
2
Wykorzystywanie luk — kod exploitów generowany przez sztuczną inteligencję atakuje znane luki w zabezpieczeniach systemów OT przy minimalnym nakładzie pracy ręcznej
3
Ruch boczny — zautomatyzowane narzędzia przemieszczają się między sieciami IT a OT, wykorzystując słabe segmentacje
4
Dostarczanie ładunku — kod polimorficzny, samomutujący, omija tradycyjne zabezpieczenia OT oparte na wykrywaniu sygnatur
5
Wymuszenie — oprogramowanie typu ransomware 3.0 nie tylko szyfruje dane. Powoduje ono również wstrzymanie działalności operacyjnej, co wywiera natychmiastową presję zarówno w zakresie bezpieczeństwa, jak i zgodności z przepisami

Botnety modyfikują obecnie swoje ładunki w czasie rzeczywistym, aby uniknąć wykrycia. Kod polimorficzny sprawia, że sygnatura z wczoraj jest dziś bezużyteczna. Tradycyjne systemy zabezpieczeń OT nie zostały stworzone z myślą o takich sytuacjach.

Łańcuch dostaw stanowi niewidoczny wektor ataku

Chociaż w mediach najwięcej uwagi poświęca się oprogramowaniu ransomware, prawdziwą drogą infiltracji staje się w coraz większym stopniu łańcuch dostaw. Atakujący przejmują kontrolę nad zewnętrznymi dostawcami — usługodawcami, integratorami, partnerami zajmującymi się zdalną konserwacją oraz dostawcami oprogramowania — aby uzyskać uprawniony dostęp do sieci OT klientów.

Ataki te są ukryte, długotrwałe i niezwykle trudne do wykrycia, dopóki ładunek w końcowej fazie nie wybuchnie.

Bezpieczeństwo Twojego środowiska zależy od poziomu zabezpieczeń każdego dostawcy podłączonego do niego.

Co obrońcy muszą teraz zrobić

Wprowadź oparte na sztucznej inteligencji rozwiązanie OT NDR — system wykrywania anomalii w czasie rzeczywistym, który identyfikuje odchylenia w zachowaniu, a nie tylko znane sygnatury
Wprowadź segmentację zgodnie z normą IEC 62443 — wyeliminuj domyślne dane uwierzytelniające i zapewnij fizyczne oddzielenie sieci między środowiskami IT i OT
Przetestuj plany reagowania na incydenty (IR) przy użyciu scenariuszy ataków wzbogaconych o elementy sztucznej inteligencji — Twój plan reagowania na incydenty nie został opracowany z myślą o atakach przyspieszonych przez sztuczną inteligencję. Przetestuj go pod kątem takich scenariuszy.
Zwiększenie bezpieczeństwa dostawców i łańcucha dostaw — dostosowanie do wymogów NIS2 CRA wymaga wykazania skutecznego risk związanym z podmiotami zewnętrznymi, a nie tylko wypełniania kwestionariuszy
Należy tworzyć kopie zapasowe w trybie offline i niezmienne — procedury przywracania sprawności po awarii muszą być przetestowane i zweryfikowane, a nie oparte na domysłach. Ransomware 3.0 atakuje również infrastrukturę kopii zapasowych.

Podsumowując

Sytuacja w zakresie zagrożeń uległa zmianie. Sztuczna inteligencja sprawiła, że oprogramowanie ransomware stało się skalowalną bronią atakującą systemy OT. Każda organizacja opierająca się na operacjach przemysłowych — w branżach produkcyjnej, energetycznej, transportowej, telekomunikacyjnej czy usług komunalnych — jest obecnie potencjalnym celem ataku.

Nasze strategie obronne muszą się do tego dostosować.

Jeśli Twoja organizacja opiera się na ciągłości działania, bezpieczeństwie i automatyce przemysłowej, nadszedł czas, aby na nowo przemyśleć kwestię odporności systemów OT w środowisku zagrożeń opartym na sztucznej inteligencji.

#OTSecurity#ICS#oprogramowanie-okupowe#InfrastrukturaKrytyczna#Bezpieczeństwo systemów automatyki przemysłowejCISONIS2OneCompliant

Czy Twoje środowisko OT jest przygotowane na zagrożenia związane ze sztuczną inteligencją?

OASAT OneCompliant obejmuje stan bezpieczeństwa sieci operacyjnej (OT), narażenie na zagrożenia związane ze sztuczną inteligencją (AI), risk związane z łańcuchem dostaw oraz zgodność z wymogami NIS2 — w ciągu 4–6 tygodni zapewniając plan działań naprawczych z ustalonymi priorytetami.