В третьем квартале 2025 года сектор электроэнергетики в России показал наибольшую, по сравнению с другими секторами, долю попыток заражений, где источником вредоносного ПО были сайты во внутренней сети — в интранете*. Такие данные «Лаборатория Касперского» представила на GITEX Global 2025.
Интранет в промышленной сети — это не только веб-страницы с настройками промышленного и сетевого оборудования, но и системы документооборота, проектирования, управления жизненным циклом (PLM) и ресурсами (ERP) предприятия. Недостаточный уровень кибергигиены и внимания к безопасности приводят к тому, что такие важные системы и данные в них — документы и файлы проектов — на протяжении многих лет остаются заражёнными майнерами, вирусами и червями.
Ландшафт киберугроз в энергетике. Основным источником угроз для технологических сетей на отечественных энергетических предприятиях остаётся интернет. По статистике за третий квартал 2025 года, эта отрасль заняла первое место в России по доле компьютеров АСУ, на которых блокировались обращения к опасным веб‑ресурсам (используемым для распространения и/или управления вредоносным ПО), заражённым интранет‑сайтам, а также к программам для скрытого майнинга криптовалют. В совокупности это указывает на системные недостатки в обеспечении безопасности промышленных сетей.
Российская энергетика — в числе главных целей кибергрупп. По данным Kaspersky Cyber Threat Intelligence, из 14 кибергрупп, наиболее интенсивно атакующих организации в России, восемь интересует в том числе энергетическая отрасль.
Основные векторы получения первоначального доступа. Самый распространённый — фишинговые письма с вложениями в формате двойных расширений или самораспаковывающихся архивов. Наиболее частые темы в целом по всем отраслям, не только по энергетике: «Накладная», «Резюме кандидата на должность», «Указ», «Приглашение на ВКС». Также злоумышленники используют для проникновения в системы украденные, часто в результате утечек или фишинга, учётные данные — как сотрудников, так и подрядчиков. В последнем случае они подключаются к сети жертвы по VPN или RDP из сети подрядчика.
«Целевые атаки на промышленные предприятия и их технологические, то есть критические для бизнеса, сети и системы совершаются регулярно. Отдельный вид угроз — атаки на цепочки поставок: компании, которые не учитывают риски кибербезопасности на стороне поставщиков и доверенных партнёров, становятся весьма уязвимыми к ним. По данным нашей статистики, если цепочка не защищена должным образом — например, если и в системе подрядчика не обращают внимания даже на вирусы, которые там присутствуют, — то риск, что в корпоративную инфраструктуру проникнет программа-вымогатель или шпионское ПО, в несколько раз выше», — комментирует Кирилл Круглов, эксперт по кибербезопасности и старший исследователь-разработчик Kaspersky ICS CERT.
Для защиты компьютеров АСУ «Лаборатория Касперского» рекомендует:
* Данные центра исследования безопасности промышленных систем и реагирования на инциденты Kaspersky ICS CERT.