Kaspersky назвала основные киберугрозы для энергетической отрасли в РФ

В третьем квартале 2025 года сектор электроэнергетики в России показал наибольшую, по сравнению с другими секторами, долю попыток заражений, где источником вредоносного ПО были сайты во внутренней сети — в интранете*. Интранет в промышленной сети — это не только веб-страницы с настройками промышленного и сетевого оборудования, но и системы документооборота, проектирования, управления жизненным циклом (PLM) и ресурсами (ERP) предприятия. Недостаточный уровень кибергигиены и внимания к безопасности приводят к тому, что такие важные системы и данные в них — документы и файлы проектов — на протяжении многих лет остаются зараженными майнерами, вирусами и червями. Об этом «Лаборатория Касперского» рассказала на GITEX Global 2025.

Ландшафт киберугроз в энергетике. Интернет остается основным источником угроз для технологических сетей на отечественных энергетических предприятиях. По статистике за третий квартал 2025 года, эта отрасль заняла первое место в России по доле компьютеров АСУ, на которых блокировались обращения к опасным веб‑ресурсам (используемым для распространения и/или управления вредоносным ПО), зараженным интранет‑сайтам, а также к программам для скрытого майнинга криптовалют. В совокупности это указывает на системные недостатки в обеспечении безопасности промышленных сетей.

Российская энергетика — в числе главных целей кибергрупп. По данным Kaspersky Cyber Threat Intelligence, из 14 кибергрупп, наиболее интенсивно атакующих организации в России, восемь интересует в том числе энергетическая отрасль.

Основные векторы получения первоначального доступа. Самый распространенный — фишинговые письма с вложениями в формате двойных расширений или самораспаковывающихся архивов. Наиболее частые темы в целом по всем отраслям, не только по энергетике: «Накладная», «Резюме кандидата на должность», «Указ», «Приглашение на ВКС». Также злоумышленники используют для проникновения в системы украденные, часто в результате утечек или фишинга, учетные данные — как сотрудников, так и подрядчиков. В последнем случае они подключаются к сети жертвы по VPN или RDP из сети подрядчика.

«Целевые атаки на промышленные предприятия и их технологические, то есть критические для бизнеса, сети и системы совершаются регулярно. Отдельный вид угроз — атаки на цепочки поставок: компании, которые не учитывают риски кибербезопасности на стороне поставщиков и доверенных партнеров, становятся весьма уязвимыми к ним. По данным нашей статистики, если цепочка не защищена должным образом — например, если и в системе подрядчика не обращают внимания даже на вирусы, которые там присутствуют, — то риск, что в корпоративную инфраструктуру проникнет программа-вымогатель или шпионское ПО, в несколько раз выше», — комментирует Кирилл Круглов, эксперт по кибербезопасности и старший исследователь-разработчик Kaspersky ICS CERT.

Для защиты компьютеров АСУ «Лаборатория Касперского» рекомендует:

• использовать защитные решения для конечных устройств ОТ и сетей, чтобы обеспечить безопасность всех критически важных промышленных систем;
• использовать решения для мониторинга сетевого трафика компьютеров АСУ, анализа и детектирования киберугроз и уязвимостей технологической сети — для наиболее эффективной защиты от атак, потенциально угрожающих технологическому процессу и главным активам предприятия;
• усиливать решения других вендоров машиночитаемыми потоками данных об угрозах и уязвимостях для АСУ и других систем, часто используемых в промышленных средах;
• проводить тренинги для ИБ-специалистов и ОТ-инженеров, чтобы улучшать качество реагирования на различные, в том числе новые и продвинутые, вредоносные техники;
• использовать современные средства аналитики киберугроз.

* Данные центра исследования безопасности промышленных систем и реагирования на инциденты Kaspersky ICS CERT.