В 2025 году топливно-энергетический комплекс РТ прошел одну из самых жестких киберпроверок в стране: компании согласились, что их «взломают» в формате, близком к реальной атаке. В итоге примерно в половине из них «хакеры» довели инцидент до недопустимого события, но сделали выводы, и сегодня ТЭК республики — один из самых защищенных в стране. Теперь успешный татарстанский «пилот» распространят на всю Россию: к 2036 году такую же «мясорубку» обязаны пройти порядка 500 отраслевых предприятий. О том, как на республике обкатывали механизм кибериспытаний, — в материале «БИЗНЕС Online».
Сама отрасль была выбрана неслучайно: по данным центра исследования киберугроз Solar, именно на предприятия ТЭК приходится 35% всех воздействий злоумышленников, доля таких предприятий среди целей хакерских атак выросла в 3 раза в I квартале 2026 года
«В половине компаний дошли до «недопустимых событий»
Участие Татарстана в последнем форуме ЦИПР в Нижнем Новгороде казалось довольно скромным: минимум выступлений, не самая длинная серия соглашений, никаких упоминаний даже на тех сессиях, где разбиралась региональная цифровизация и, казалось бы, республика должна быть на коне. На этом фоне практически незамеченной оказалась ключевая новость — Татарстан был выбран для проверки на прочность топливно-энергетической отрасли всего региона. И — с отдельными оговорками — эту проверку прошел. Как — подробно (насколько позволял строжайше засекреченный документ) разобрали на сессии «От пилота к системе. Киберустойчивость КИИ ТЭК в масштабе страны».
Сама отрасль была выбрана неслучайно: по данным центра исследования киберугроз Solar, именно на предприятия ТЭК приходится 35% всех воздействий злоумышленников, доля таких предприятий среди целей хакерских атак выросла в 3 раза в I квартале 2026 года. «ТЭК — область внимания кибератак. Количество инцидентов растет, доля компонентов, связанных с атаками на критическую информационную инфраструктуру (КИИ) комплекса, с 2024-го к 2025 году выросла на 40 процентов. И последствия от этих атак могут быть в виде двух факторов — прекращение работы объекта и влияние на его устойчивость, то есть экономический фактор. Второй — когда вмешательство приводит к аварии и опасный объект перестает функционировать, еще с влиянием на среду, человека и так далее», — рассуждал генеральный директор «Русатом – Автоматизированные системы управления» Андрей Бутко.
«Последствия от этих атак могут быть в виде двух факторов — прекращение работы объекта и влияние на его устойчивость, то есть экономический фактор»
Масштабные киберучения в Татарстане провели еще в 2025 году. Их организовали минэнерго России, Innostage, Positive Technologies и фонд «Сайберус». Каждая татарстанская компания определила нежелательное событие в кибербезе и критерии, по которым можно было понять, дошла компания до него или нет. В роли хакера выступила Positive Technologies, ее задачей было сломать защиту.
«Работали в режиме, максимально приближенном к реальной атаке. Было только три ограничения: мы не ломали подрядчиков, если они не являлись „дочками“ организаций (хотя это сейчас самый частый способ проникновения в компании — через подрядчиков). Второе — мы не удаляли серверы, на которых установлены СЗИ, чтобы не оставлять без глаз тех, кто защищается. И не проникали в офисы, не подстерегали сотрудников в подъездах. Зато рассылали фишинговые письма, атаковали внешний периметр, пытались проникнуть через Wi-Fi из неконтролируемой зоны, — рассказывал о пентесте „глазами хакера“ на сессии директор по анализу защищенности в Positive Technologies Дмитрий Серебрянников. — Это не было сюрпризом, все компании готовились: кто-то отменял отпуска сотрудникам, кто-то с колес внедрял решения. В итоге в половине компаний мы дошли до недопустимых событий».
Сколько компаний из Татарстана участвовало и кто выстоял, а кто провалил кибервзбучку — держится втайне: модератор сессии, заместитель министра энергетики России Эдуард Шереметцев отдельно отметил, что конкретные цифры намеренно не называются. «По результатам Татарстана есть официальный секретный документ, кто имеет допуск, может ознакомиться», — отметил он.
Как только «хакер» в виде Positive Technologies достигал «нежелательного события», представители тут же отправлялись в компанию, рассказывали шаг за шагом, как им это удалось и что нужно сделать, чтобы закрыть «векторы» атаки от реального злоумышленника. «Все компании — молодцы, отбивались достойно, противодействие было постоянно. Это были настоящие учения! По итогам, когда бреши были закрыты, отрасль ТЭК Татарстана стала самой защищенной среди всех остальных регионов страны. Проект нужно развивать дальше», — резюмировал Серебрянников.
Только киберучениями дело не ограничится: регуляторы вместе с игроками рынка идут к созданию системы, которая будет отслеживать сценарии взлома нескольких компаний разом в отрасли
500 компаний к 2036 году: как будут защищать ТЭК от хакеров?
«„Пилот“, который прошел в 2025 году в Татарстане, лег в основу стратегического направления в области цифровой трансформации ТЭК до 2036-го», — отметил директор по развитию бизнеса Innostage Денис Толпейкин. Так что кибериспытания будут продолжены: в ближайшие пять лет такую проверку на прочность должны пройти 100 компаний комплекса, а к 2036-му — уже 500. По словам Шереметцева, перечень регионов определен, «их несколько», компаний «много», но конкретики ведомство намеренно не приводит. «По одной простой причине — мы договорились. <…> Не хотелось бы, чтобы было определенное внимание. И соревновательный процесс мы сохранили в тайне», — отметил он.
Только киберучениями дело не ограничится: регуляторы вместе с игроками рынка идут к созданию системы, которая будет отслеживать сценарии взлома нескольких компаний разом в отрасли — такие атаки приносят наибольший урон, и их важно предупредить.
«По итогам проекта разработали методику оценки защищенности объектов КИИ ТЭК, ее скоро опубликуют. За основу взяли базовую оценку защищенности и добавили механизм кибериспытаний. Цель — сделать так, чтобы низкоквалифицированный злоумышленник не смог проникнуть в компанию», — рассказал Серебрянников.
На что еще нужно обратить внимание отрасли, чтобы прикрыть кибертылы? Генеральный директор «Русатом – Автоматизированные системы управления» предложил вариант обеспечения более ответственного подхода владельцев объектов ТЭК к вопросам кибербеза.
«Что касается атомной энергетики, то любой руководитель раз в три года сдает экзамен в Ростехнадзоре на право допуска эксплуатации объекта [энергетики]. Как будто требования к кибербезопасности к значимым либо опасным объектам КИИ ТЭК могут быть таким же требованием от регулятора — условно, раз в три года сходи и сдай экзамен, что ты вообще понимаешь, о чем речь, когда мы говорим о киберугрозах», — предложил Бутко. Шереметцев назвал инициативу «хорошей».
Генеральный директор «ИКС Безопасность» Александр Ковалевский (компания совместно с холдингом «Т1» работает над инфраструктурным проектом информационной безопасности в транспортной отрасли) предложил воспользоваться опытом отраслевых центров кибербезопасности, который есть у минтранса. Их основная задача — проводить «инвентаризацию» и выявлять компании – «слабые места».
«С одной стороны, у нас есть задача повышения среднего уровня защищенности для всех предприятий минэнерго. С другой — злоумышленники будут атаковать самые слабые места — организации с дефицитом бюджета и скромными ресурсами на внедрение программ. Одна из ключевых задач на уровне министерства — понимать эти слабые места, куда могут ударить. Речь не о каком-то суперцентре или суперкоманде, а о ситуационном центре для принятия решений», — резюмировал он.
Комментарии 6
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.