Половина ТЭК-компаний Татарстана провалила киберучения Минэнерго: их предупреждали о предстоящем тесте
В 2025 году в Татарстане прошли киберучения всей топливно-энергетической отрасли региона. Участники были уведомлены заранее и готовились, однако половина организаций всё равно не смогли отразить атаки «белых хакеров» и достичь целевых показателей. Атакующие работали максимально приближённо к реальности, но избегали компрометации подрядчиков, удаления СЗИ и физического воздействия. Минэнерго готовит второй этап учений, который пройдет в других регионах страны — но их список держат в секрете.
В 2025 году в Татарстане прошли киберучения при участии Минэнерго России, Innostage, Positive Technologies и фонда «Сайберус». Киберучения полностью охватили топливно-энергетическую отрасль отдельно взятого региона. Участники были в курсе предстоящих атак «белых хакеров», но, даже с учётом этого, около половины организаций не прошли киберучения. Об этом заявил Chief Hacking Officer Positive Technologies Дмитрий Серебрянников на сессии «От пилота к системе. Киберустойчивость КИИ ТЭК в масштабе страны» на ЦИПР-2026.
«В проекте участвовали как региональные, так и федеральные компании. Это не было для них сюрпризом, это не была какая-то внезапная проверка, все были уведомлены заранее. Все компании готовились: кто-то срочно отменял отпуска сотрудникам, кто-то с колёс пытался поставить на пилот какие-то продукты. Все были в курсе, все были максимально подготовлены. Это делалось намеренно, чтобы посмотреть, как компании будут отбиваться в режиме максимальной открытости», — рассказал о проведённых учениях Серебрянников.
Как проходили киберучения
CHO Positive Technologies пояснил, как проходили учения: каждая компания определяла для себя некое недопустимое событие, реализовать которое должны были атакующие специалисты. По словам Серебрянникова, атакующие «старались работать максимально приближенно к реальным атакам», однако были обозначены три ограничения.
«Мы не ломали подрядчиков, если они являлись дочками компаний — хотя это, на самом деле, самый частый способ проникновения сейчас в компании, через подрядчиков. Мы не удаляли серверы, на которых установлены СЗИ, чтобы не оставлять без глаз защищающихся. И мы не осуществляли никакого физического воздействия — не проникали в офисы, не подстерегали сотрудников в подъездах», — пояснил эксперт.
Хакеры атаковали внешний периметр, проводили фишинговые рассылки, пытались проникнуть в Wi-Fi компании из неконтролируемой зоны. Как только атакующие достигали недопустимого события, они обращались в компанию и рассказывали подробно, как им удалось реализовать атаку, а также давали рекомендации, чтобы закрыть потенциальный вектор атаки.
Результаты и перспективы масштабирования
По итогу, в половине компаний хакерам удалось дойти до недопустимых событий, говорит Серебрянников. Однако эксперт высоко оценил работу ИБ-специалистов в ТЭК Татарстана: «Все компании молодцы, все отбивались очень достойно, мы видели противодействие постоянно, — отметил Серебрянников. — Это были настоящие учения, максимально приближенные к реальности».
По словам Серебрянникова, эта разовая проверка сильно подняла уровень защищённости отрасли ТЭК в Татарстане, сделав её «самой защищённой среди всех остальных регионов нашей страны». Эксперт считает, что проект необходимо развивать дальше и распространять на новые регионы.
«Но мы понимаем, что силами одной компании — и даже всех компаний, представленных на ИБ-рынке, такое количество работ провести невозможно. И нужно привлекать к этому вообще всех исследователей, которые есть в этой стране — чтобы они работали все вместе над защищённостью», — говорит Серебрянников.
Замглавы Минэнерго России Эдуард Шереметцев, выступавший модератором сессии, также отметил, что у правительства в планах масштабирование опыта Татарстана на всю страну — но для этого потребуется координация усилий, компетенций, подходов, регулирования, а также способные кадры и широкая экспертиза. Также Шереметцев коротко рассказал о масштабах предстоящего второго этапа киберучений, но не назвал регионы-участники.
«У нас перечень регионов определён, их несколько. Перечень компаний определён — их много. Я намеренно не называю конкретные цифры по одной простой причине — мы договорились. И по Татарстану у нас есть секретный документ, там изложены все детали. Все, кто имеет к нему доступ, могут с ним ознакомиться. Всё остальное мы не афишируем по той простой причине — не хотелось бы, чтобы было определённое внимание. И соревновательный процесс мы сохранили в тайне», — отметил Шереметцев.
В начале марта «Ведомости» писали, что правительство обяжет 100 компаний ТЭК принять участие в кибериспытаниях в ближайшие пять лет. К 2036 году число компаний вырастет до 500. Перечень компаний планируют составить в первом квартале 2026 года, до конца марта в Минэнерго утвердят порядок кибериспытаний и заключат договоры об их проведении с участниками. Кибериспытания начнутся уже во втором квартале 2026 года.
Ранее SecPost писал, что в первом квартале 2026 года доля заражений различными видами вредоносного ПО в отрасли ТЭК выросла в три раза по сравнению с аналогичным периодом прошлого года — до 35%. Впервые за последний год самой уязвимой отраслью стал ТЭК (35%), второе место заняло здравоохранение (31%), далее следуют госсектор (15%) и промышленность (14%).
