В третьем квартале 2025 года российская электроэнергетика лидировала среди других отраслей по количеству инцидентов, когда вредоносные программы распространялись через внутренние корпоративные сайты — интранет-ресурсы. Такие данные были предоставлены CNews экспертом из «Лаборатории Касперского».
Интранет в промышленных сетях включает не только веб-интерфейсы для настройки оборудования, но и платформы для документооборота, проектирования, управления жизненным циклом изделий (PLM) и корпоративными ресурсами (ERP). Недостаточная кибергигиена и пренебрежение мерами безопасности приводят к тому, что ключевые системы и хранящиеся в них данные — проектная документация и файлы — годами остаются инфицированными майнерами, вирусами и сетевыми червями.
Особенности киберугроз в энергетике. Интернет продолжает оставаться главным каналом угроз для технологических сетей российских энергокомпаний. Согласно статистике за III квартал 2025 года, эта отрасль возглавила рейтинг по доле компьютеров АСУ ТП, где блокировались обращения к опасным веб-сайтам (распространяющим вредоносное ПО), заражённым интранет-ресурсам и инструментам скрытого майнинга. Совокупность этих факторов демонстрирует системные пробелы в защите промышленных сетей.
Энергетический сектор России — приоритетная цель для кибергруппировок. Согласно отчетам Kaspersky Cyber Threat Intelligence, из 14 наиболее активных хакерских объединений, атакующих российские организации, восемь проявляют устойчивый интерес к энергетической отрасли.
Ключевые методы получения первоначального доступа. Наиболее распространённый сценарий — фишинговые рассылки с файлами, использующими двойные расширения или самораспаковывающиеся архивы. Типичные темы писем, актуальные для всех отраслей: «Счёт-фактура», «Резюме соискателя», «Распоряжение», «Приглашение на видеоконференцию». Злоумышленники также активно используют компрометированные учётные данные сотрудников и подрядчиков, полученные через утечки или фишинг. В случае с подрядчиками проникновение часто осуществляется через VPN или RDP-соединения из их сетей.
«Целенаправленные атаки на промышленные предприятия и их технологические инфраструктуры, критически важные для бизнеса, происходят постоянно. Отдельную опасность представляют атаки через цепочки поставок: компании, игнорирующие киберриски со стороны поставщиков и партнёров, оказываются крайне уязвимы. Наша статистика подтверждает, что при отсутствии надлежащей защиты в цепочке — например, если подрядчик игнорирует даже базовые вирусные угрозы — вероятность проникновения программ-вымогателей или шпионского ПО в корпоративную инфраструктуру возрастает в разы», — отметил Кирилл Круглов, специалист по кибербезопасности и ведущий разработчик-исследователь Kaspersky ICS CERT.
В целях обеспечения безопасности компьютерных систем АСУ «Лаборатория Касперского» советует: применять специализированные средства защиты для операционных технологий и сетевой инфраструктуры, например Kaspersky Industrial CyberSecurity, что позволяет гарантировать надёжную работу всех ключевых промышленных объектов; внедрять инструменты отслеживания сетевой активности АСУ, выявления киберугроз и анализа уязвимостей технологических сетей — это способствует максимально эффективному противодействию атакам, способным нарушить производственные процессы и нанести ущерб основным ресурсам компании; дополнять продукты сторонних разработчиков автоматизированными данными об угрозах и уязвимостях для АСУ и иных систем, распространённых в промышленной среде, таких как ICS Vulnerability Data Feed и ICS Hash Data Feed; организовывать обучающие программы для специалистов по кибербезопасности и инженеров ОТ, направленные на совершенствование навыков противодействия разнообразным, включая новейшие и усложнённые, вредоносным методикам; задействовать передовые системы анализа киберугроз. Продукт ICS Threat Intelligence Reporting собирает информацию о современных кибератаках и способах их реализации, а также о слабых местах ОТ и методах повышения их защищённости.
