Hladni rat: Moskva cilja na evropske komunalne sisteme grijanja

Rusija koristi hakere i sabotere za napad na evropske komunalne sisteme grijanja. Njihov rat nije ograničen samo na Ukrajinu.
Kogeneracijska elektrana (TE) koja opslužuje skoro pola miliona građana Poljske bila je meta cyber napada u decembru. Cilj je bio smrzavanje ljudi u njihovim domovima, tokom jedne od najhladnijih sedmica u godini.
Poljska obavještajna služba pratila je zavjeru još od marta 2025. godine i identificirala devet mjeseci izviđanja, ukradene akreditivne podatke i zlonamjerni softver dizajniran za uništavanje podataka u računarskim sistemima elektrane. Povezali su operaciju s ruskim obavještajnim službama, a Američka agencija za cyber sigurnost i sigurnost infrastrukture (CISA) izdala je formalno upozorenje.
Napad je pokazao proširenje ruske strategije ciljanja infrastrukture koja se bavi zagrijavanjem gradova, što je dovelo do gotovo svakodnevnih raketnih napada na energetska postrojenja širom Ukrajine. Međunarodna agencija za energiju izvijestila je da je do kraja 2024. godine napadnuto najmanje 18 ukrajinskih termoelektrana, više od 800 kotlovnica i 354 kilometara (220 milja) cijevi za grijanje.
Plan za Poljsku nagovijestio je cyber napad iz januara 2024. godine korištenjem prethodno nepoznatog zlonamjernog softvera pod nazivom FrostyGoop koji je isključio grijanje za više od 600 stambenih zgrada u Lavovu, u zapadnoj Ukrajini.
To je bio prvi javno dokumentovani slučaj hakera koji su iskoristili industrijski Modbus protokol elektronske komunikacije za direktno ometanje sistema grijanja. Istraživači su kasnije pronašli izložene kontrolere koji koriste iste protokole u Litvaniji i Rumuniji.
Sistem grijanja, u kojem jedno postrojenje opslužuje hiljade stanova putem zajedničkih cijevi, meta je visoke vrijednosti, teško se brani i sporo se popravlja. A uspješan napad zimi može ubiti, pa čak i dovesti do pomjeranja stanovništva.
To je primarni način na koji gradovi u centralnoj i istočnoj Evropi ostaju topli tokom zime, posebno oni u bivšem komunističkom bloku. U Slovačkoj, centralno grijanje snabdijeva 1,8 miliona ljudi, a slični nivoi snabdijevanja postoje u Poljskoj, Češkoj, Mađarskoj i baltičkim zemljama.
Toplota se isporučuje putem fragmentiranog sistema opštinskih operatera bez zajedničke operativne osnove i testirane doktrine kriznih situacija. Dok NIS2 direktiva EU klasificira centralno grijanje kao sektor "visokog rizika", većina općinskih dobavljača ne ispunjava uslove za veličinu propisane direktivom.
Oni koji ispunjavaju uslove često smatraju da se pravila primjenjuju nedosljedno. Mnoge države članice EU propustile su rok od oktobra 2024. godine za uključivanje direktive u nacionalno zakonodavstvo. Dakle, iako regulatorna arhitektura postoji na papiru, jedva je stigla do dobavljača kojima je najpotrebnija.
Ali možda postoje neka jednostavnija rješenja. U savjetovanju CISA-e o poljskom napadu navodi se da su napadači iskoristili uređaje s pristupom internetu sa zadanim lozinkama, napominjući da su takve ranjivosti endemske u općinskim sistemima grijanja širom kontinenta.
Mnogi su stalno nedovoljno finansirani, koriste zastarjele kontrolne sisteme s ograničenom segmentacijom mreže i nisu testirali planove za reagiranje na incidente.
Ukrajina je izbjegla veliki zimski kolaps teško stečenim prilagođavanjem: brzim popravkama, unaprijed pozicioniranim kapacitetima i kogeneracijskim jedinicama koje proizvode toplinu nezavisno od električne mreže. Do novembra je koristila 182 kogeneracijske jedinice i 239 blokovsko-modularnih kotlova, koje je uspjela implementirati za nekoliko dana, a ne mjeseci.
Ovo iskustvo privlači pažnju u evropskim krugovima civilne zaštite, ali ga još nisu u potpunosti prihvatili dobavljači koji trebaju slijediti primjer Ukrajine. Evropa mora poduzeti konkretne korake kako bi smanjila ovaj jaz.
Prvo, minimalni kriteriji Strategije za spremnost Evropske unije trebali bi se eksplicitno proširiti na operatere daljinskog grijanja, uključujući i komunalne dobavljače ispod praga, s osnovnim vrijednostima za fizičku otpornost i kibernetičku sigurnost.
Drugo, države članice trebale bi propisati operativno testirane protokole za krizne situacije za dobavljače grijanja u koordinaciji s civilnom zaštitom i lokalnom upravom. Poljska kogeneracijska elektrana je preživjela, jer je njen softver za detekciju blokirao zlonamjerni softver brisača, ali većina komunalnih operatera grijanja nema tu mogućnost.
Treće, operativno znanje Ukrajine treba sistematski prenositi putem okvira Sekretarijata Energetske zajednice koji je povezuju sa susjedima. Infrastruktura za prenos znanja postoji, samo je treba aktivirati.
Decembarsko suočavanje Poljske s katastrofom trebao bi poslužiti kao poziv na uzbunu za ostatak Evrope.