9 måneder var russiske statshackere inde i Polens energisystem, før de slog til.
Midt i vinterkulde og snestorm.
Formålet: ødelæggelse. Indgangen var et password, som aldrig var ændret.
30 energianlæg ramt på én gang
Den 29. december 2025 ramte et koordineret cyberangreb over 30 polske energianlæg. Vindmølleparker, solcellefarme og et kraftvarmeværk, der forsyner en halv million mennesker med varme.
Angriberne kom ind gennem firewalls eksponeret på internettet. Konfigureret med fabrikspasswords. Uden MFA.
Ifølge CERT Polskas rapport var de inde allerede fra marts. De kortlagde netværket, identificerede kontrolsystemer og ventede.
Så slog de til.
Formålet var sabotage
Wiper-malware slettede data på kontrolskærme. Firmware på fjernstyringsenhederne blev smadret. Noget udstyr var ødelagt permanent og kunne ikke repareres i felten.
Formålet var ikke afpresning. Det var sabotage.
Strømmen blev ikke slukket, fordi anlæggene automatisk kører videre i sidste kendte tilstand. Men operatørerne kunne intet se. Ingen fjernstyring, ingen overvågning, ingen kontrol.
CISA og NCSC advarer
CISA og NCSC udgav den 10. februar en fælles advarsel til alle operatører af kritisk infrastruktur.
Hitachi Energy bekræftede, at deres udstyr var konfigureret med default credentials og forældet firmware. Det samme gjaldt udstyr fra Moxa og Mikronika.
Fabriksindstillinger. På kritisk infrastruktur. I ni måneder.
Danmark har samme udstyr
Hvorfor er det relevant i Danmark?
I maj 2023 ramte et koordineret angreb 22 danske energiselskaber. SektorCERT kaldte det det hidtil mest omfangsrige cyberangreb mod dansk kritisk infrastruktur. Angriberne fik adgang til industrielle kontrolsystemer. Over 100.000 danskere var potentielt berørt.
Vind og sol dækker 52% af Danmarks elforbrug. Vi har tusindvis af distribuerede anlæg med præcis den type udstyr, der blev ramt i Polen.
Og Styrelsen for Samfundssikkerhed vurderer nu truslen fra destruktive cyberangreb mod Danmark som MIDDEL, specifikt wiper-angreb og angreb mod operationel teknologi.
Et strategisk skifte
Dragos kalder Polen-angrebet det første koordinerede cyberangreb mod distribuerede vedvarende energianlæg globalt.
Det er et strategisk skifte. Fra centraliserede kraftværker til de mange små anlæg, der tilsammen bærer elnettet.
Tusindvis af vindmøller, solcelleanlæg og varmepumper. Hver med fjernadgang. Hver med potentielt forældede passwords og firmware.
Tre ting du bør gøre nu
Skift default passwords på alt OT-udstyr nu. De systemer, der styrer fysisk produktion, ventilation, varme og strøm. Kræv det af leverandører og installatører i kontrakten. Hitachi, Moxa og Mikronika var alle konfigureret med fabriksindstillinger i Polen.
Aktivér MFA på alle interneteksponerede adgangspunkter. VPN, firewalls, fjernvedligeholdelse. Ingen undtagelser. Det var den konkrete indgangsvektor, der gav angriberne ni måneders fri adgang.
Kend jeres OT-udstyr. Hvem har fjernadgang? Hvilken firmware kører I? Hvornår blev der sidst opdateret? Hvis svaret er “det ved vi ikke”, er det i sig selv svaret.
Ni måneder uopdaget
Angriberne var inde i ni måneder. De kortlagde alt. Og ingen opdagede det.
Først da wiper-malwaren kørte, og skærmene gik sorte, vidste nogen, at noget var galt.
På det tidspunkt var udstyret allerede ødelagt.
Få gennemgået jeres industrielle systemer
En teknisk sikkerhedsgennemgang afslører, om jeres OT-udstyr stadig kører med fabriksindstillinger, og om jeres fjernadgange er sikret med MFA.
En penetrationstest viser, om en angriber faktisk kan komme ind via de samme veje, der blev brugt i Polen.
Og en cybersikkerhedsaudit giver jer det samlede billede af jeres sikkerhedsposition, inklusiv de industrielle systemer, der ofte overses.
Polens energisystem blev kompromitteret via et fabrikspassword. Hvornår tjekkede I sidst jeres?
Har du brug for at vide, om jeres OT-udstyr er sikkert konfigureret? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
