Dragos „2026 Year in Review”: nowe grupy zagrożeń OT, wzrost ransomware i przejście od rozpoznania do realnego wpływu na procesy

Wprowadzenie do problemu / definicja luki

Raport Dragos „OT Cybersecurity Year in Review 2026” opisuje wyraźny zwrot w aktywności przeciwników: od „prepositioningu” (cichego przygotowania dostępu) do działań ukierunkowanych na zrozumienie i manipulację procesami przemysłowymi – w tym mapowanie pętli sterowania i logiki procesu, co znacząco podnosi ryzyko realnych zakłóceń (downtime, awarie, wpływ na bezpieczeństwo).

W tym samym czasie rośnie presja ransomware na organizacje przemysłowe, a część incydentów jest wciąż błędnie klasyfikowana jako „tylko IT”, mimo iż skutki (lub ścieżki dojścia) zahaczają o OT/ICS.

W skrócie

• Dragos zidentyfikował trzy nowe OT Threat Groups: AZURITE, PYROXENE i SYLVANITE; łącznie analitycy śledzą w tej chwili 26 grup.
• Raport wskazuje, iż przeciwnicy coraz częściej przechodzą do operacyjnie zorientowanych działań (lepsze rozumienie procesu i możliwości wywołania skutków fizycznych).
• W 2025 r. Dragos miał śledzić 119 grup ransomware celujących w organizacje przemysłowe (wzrost z 80 w 2024), z łącznym wpływem na ok. 3 300 organizacji; produkcja to ponad 2/3 ofiar w tej obserwacji.
• Równolegle CISA publikuje wytyczne dot. bezpieczniejszej komunikacji w OT i barier wdrożeniowych (koszt, złożoność, ryzyko operacyjne), co dobrze „skleja się” z tezą Dragos o kryzysie widoczności i dojrzałości zabezpieczeń.

Kontekst / historia / powiązania

Dragos rozwija model „Threat Groups” specyficzny dla świata OT/ICS (różniący się od „typowych” APT kojarzonych wyłącznie z IT). W edycji 2026 podkreślono, iż wraz z dojrzewaniem ekosystemu ataków rośnie specjalizacja ról (osobne zespoły od uzyskania dostępu vs. zespoły od działań OT), co utrudnia wykrywanie i atrybucję, a jednocześnie skraca dystans do incydentów o wymiarze operacyjnym.

Ważnym tłem są również inicjatywy i publikacje CISA dotyczące podnoszenia bazowego poziomu bezpieczeństwa OT – szczególnie w obszarze protokołów przemysłowych historycznie pozbawionych uwierzytelniania i integralności oraz barier, które hamują przejście na bezpieczniejsze mechanizmy komunikacji.

Analiza techniczna / szczegóły luki

1) „Mapowanie pętli sterowania” jako jakościowy skok

Najbardziej niepokojący element raportu to teza, iż przeciwnicy „wychodzą ponad” utrzymanie dostępu i rozpoznanie sieci – i przechodzą do modelowania działania procesu: identyfikacji zależności między czujnikami, sterownikami, HMI/SCADA, logiką PLC oraz punktami zadanymi. To nie musi od razu oznaczać sabotażu; często jest to przygotowanie do wymuszenia, „polisy ubezpieczeniowej” na czas negocjacji lub demonstracji możliwości.

2) Nowe OT Threat Groups i ekspansja aktywności

W komunikacie prasowym Dragos wskazuje trzy nowe grupy (AZURITE, PYROXENE, SYLVANITE) i podaje, iż łączna liczba monitorowanych OT Threat Groups wynosi 26, z czego 11 było aktywnych w 2025 r. (wg raportu/komunikacji Dragos). To sygnał wzrostu „podaży” kompetencji OT w świecie przestępczym i państwowym.

3) Ransomware w OT: długi „dwell time” i błędna klasyfikacja

Dragos raportuje średni dwell time 42 dni dla ransomware w środowiskach OT (wg ujęcia w materiałach prasowych). Dodatkowo wskazuje na częstą praktykę błędnego etykietowania incydentów jako „IT-only”, m.in. dlatego, iż elementy OT (np. stacje inżynierskie, HMI) działają na Windows i bywają mylone z zasobami stricte IT.

Praktyczne konsekwencje / ryzyko

1. Ryzyko przestoju i strat produkcyjnych rośnie nie tylko przez szyfrowanie danych, ale przez fakt, iż OT bywa „sparaliżowane” operacyjnie (brak zaufania do wskazań, konieczność przejścia na tryb manualny, wstrzymanie linii, wymuszona kalibracja).
2. Bezpieczeństwo funkcjonalne (safety): działania wymierzone w parametry procesu mogą generować sytuacje niebezpieczne, choćby jeżeli intencją atakującego jest „tylko” presja finansowa.
3. Kryzys widoczności – Dragos podkreśla, iż tylko niewielka część sieci OT ma zdolność wykrycia aktywności przed skutkiem operacyjnym. W praktyce oznacza to, iż wiele organizacji dowiaduje się o kompromitacji zbyt późno (np. dopiero przy anomaliach procesu lub w momencie eskalacji ransomware).

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „na już”, sklejony z wnioskami Dragos (taktyka przeciwnika) oraz kierunkiem CISA (wzmocnienie fundamentów komunikacji i kontroli):

1. Segmentacja IT/OT i kontrola ścieżek zdalnego dostępu

• twarde strefy i konduity (zgodnie z ISA/IEC 62443 w praktyce),
• ograniczenie „flat network” w OT,
• przegląd i ograniczenie vendor access + MFA + just-in-time.

2. Widoczność OT: inwentaryzacja + detekcja anomalii procesowych

• pasywna inwentaryzacja zasobów (bez ryzyka dla procesu),
• telemetryka protokołów przemysłowych i alerty na nietypowe komendy/zmiany logiki.

3. „Secure by design” dla komunikacji i protokołów

• tam, gdzie możliwe: przechodzenie na bezpieczniejsze warianty komunikacji (uwierzytelnianie, integralność),
• redukcja barier wdrożeniowych przez planowanie okien serwisowych i testy w środowiskach odtworzeniowych. (CISA adresuje właśnie koszt, złożoność i ryzyko operacyjne jako główne przeszkody).

4. Playbook na ransomware z komponentem OT

• kryteria „kiedy to już OT incident”, a nie „IT-only”,
• gotowe procedury bezpiecznego odtwarzania (priorytety: HMI/engineering workstations, serwery SCADA, repozytoria projektów PLC),
• testy przywracania w warunkach „produkcyjnie realistycznych”.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Klasyczne raporty o zagrożeniach OT długo akcentowały rozpoznanie i prepositioning. W edycji 2026 Dragos mocno przesuwa akcent na rozumienie procesu i realny wpływ (control loops / operacje procesowe), co jest istotną zmianą jakościową względem narracji „atakujący są w sieci, ale jeszcze nic nie robią”.

Równolegle CISA kładzie nacisk na „przyziemne” fundamenty (bezpieczniejsza komunikacja, bariery wdrożeniowe), co uzupełnia obraz: przeciwnik dojrzewa, więc bazowe braki w OT (protokoły, tożsamość, segmentacja) stają się jeszcze bardziej kosztowne.

Podsumowanie / najważniejsze wnioski

• Rok 2025 (opisany w „Year in Review 2026”) to moment, w którym – według Dragos – atakujący coraz częściej przechodzą od bycia „w sieci” do rozumienia i potencjalnej manipulacji procesami.
• Pojawienie się nowych OT Threat Groups i wzrost skali ransomware w sektorze przemysłowym zwiększają presję na organizacje, które wciąż mają ograniczoną widoczność OT i „myślą IT” o zasobach takich jak HMI czy stacje inżynierskie.
• Priorytety na 2026: widoczność OT, segmentacja, bezpieczniejsza komunikacja i gotowość na ransomware z komponentem operacyjnym – bo stawką jest ciągłość działania, a nie tylko poufność danych.

Źródła / bibliografia

1. Dragos – komunikat prasowy: „Dragos 2026 Year in Review: New OT Threats, Ransomware” (Dragos)
2. Dragos – strona raportu „2026 OT Cybersecurity Report: A Year in Review” (Dragos)
3. Business Wire – omówienie kluczowych tez i metryk (m.in. ransomware, dwell time) (Business Wire)
4. CISA – „Barriers to Secure OT Communication…” (wytyczne dot. bezpieczniejszej komunikacji OT) (CISA)
5. Infosecurity Magazine – skrót i kontekst dot. wzrostu ransomware w przemyśle (na bazie raportu Dragos) (Infosecurity Magazine)