В Kaspersky ICS CERT рассказали о динамике киберугроз для российской промышленности во втором квартале 2025 года

Во втором квартале 2025 года, по данным центра исследования безопасности промышленных систем и реагирования на инциденты Kaspersky ICS CERT, в России доля компьютеров автоматизированных систем управления (АСУ), на которых были заблокированы вредоносные объекты, составила 18%. Данный показатель уменьшился на 5 п.п. за год и остаётся ниже среднемирового уровня с начала 2023 года. Это следует из нового отчёта, который был представлен на международной конференции Kaspersky Industrial Cybersecurity Conference.

Интернет по-прежнему основной источник киберугроз для отечественных промышленных объектов. В России с веб-угрозами чаще других сталкиваются системы интеграторов АСУ и инжиниринговых компаний, а также строительных организаций. В этих секторах вредоносные объекты из сети были заблокированы на 11% компьютеров, имеющих отношения к АСУ. Напрямую из интернета злоумышленники, как правило, пытаются доставить вредоносные скрипты и фишинговые страницы. Электроэнергетика, строительство и нефтегазовый сектор чаще других сталкиваются с попытками заражения веб-майнерами, исполняемыми в браузерах. Другие основные источники киберугроз для промышленности — электронная почта, которая является главным каналом распространения вредоносных документов и шпионских программ, а также съёмные носители и сетевые папки.

«Россия занимает 10-е место из 14 в мировом рейтинге регионов по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты, — это на 4 позиции ниже, чем годом ранее. Однако злоумышленники продолжают совершенствовать свои методы. Поэтому даже несмотря на то, что, как показывают наши данные, уровень защиты отечественной промышленности становится более зрелым, число кибератак, в том числе таргетированных, на предприятия остаётся высоким. В России ситуация осложняется стремительными темпами цифровизации и тем, что у сотрудников часто есть доступ в интернет. То есть операторы и инженеры могут на работе посещать опасные веб-ресурсы, что создаёт риски компрометации АСУ. Сегодня одной только установки защитных решений недостаточно — необходимо регулярно обучать сотрудников и повышать их уровень цифровой грамотности. Особенно важно развивать умение распознавать фишинг, ведь наиболее серьёзные инциденты чаще всего начинаются именно с него», — комментирует Евгений Гончаров, руководитель Kaspersky ICS CERT.

«В последнее время злоумышленники атакуют не только сами промышленные предприятия, но и их интеграторов, подрядчиков, партнёров. Они зачастую имеют прямые доступы в сети и системы заказчиков и могут обладать повышенными правами доступа. Для атакующих это удобная точка входа, поскольку успешная атака позволяет получить доступ сразу к нескольким предприятиям и обойти классические средства защиты. Промышленные предприятия должны учитывать этот фактор в своих моделях угроз, внедрять многоуровневую аутентификацию и контроль действий подрядчиков, а также заключать с партнёрами соглашения о соблюдении и выполнении стандартов и требований», — рассказывает Николай Гончаров, директор департамента кибербезопасности Security Vision.

Подробный отчёт о ландшафте киберугроз для систем промышленной автоматизации в России во втором квартале 2025 года доступен по ссылке.

Для защиты компьютеров АСУ «Лаборатория Касперского» рекомендует:

• регулярно обновлять операционные системы, приложения и прошивки устройств в составе ОТ-инфраструктуры и устанавливать патчи или принимать компенсирующие меры сразу, как только об уязвимости становится известно;
• проводить аудит безопасности ОТ-систем для своевременного распознавания и устранения проблем безопасности;
• использовать защитные решения для конечных устройств ОТ и сетей, такие как Kaspersky Industrial CyberSecurity, чтобы обеспечить безопасность всех критически важных промышленных систем;
• использовать решения для мониторинга сетевого трафика компьютеров АСУ, анализа и детектирования киберугроз и уязвимостей технологической сети — для наиболее эффективной защиты от атак, потенциально угрожающих технологическому процессу и главным активам предприятия;
• усиливать решения других вендоров машиночитаемыми потоками данных об угрозах и уязвимостях для АСУ и других систем, часто используемых в промышленных средах, например ICS Vulnerability Data Feed и ICS Hash Data Feed;
• проводить тренинги для ИБ-специалистов и ОТ-инженеров, чтобы улучшать качество реагирования на различные, в том числе новые и продвинутые, вредоносные техники;
• использовать современные средства аналитики киберугроз. Решение ICS Threat Intelligence Reporting аккумулирует данные о текущих киберугрозах и векторах атак, а также об уязвимостях ОТ и о том, как повысить их устойчивость к атакам.