ИБ в строительстве 2026: защита проектной документации, BIM/TIM‑моделей и коммерческой тайны — Контур.Эгида

В этой статье

ИБ в строительстве 2026: защита проектной документации, BIM/TIM‑моделей и коммерческой тайны

18 мая 2026

Строительные компании часто работают с большим объемом ценных данных и десятками подрядчиков, чья защита порой оставляет желать лучшего. Кибератака в такой среде — вполне реальна и может привести к остановке стройки и срыву сроков по контрактам. Рассказываем, почему информационная безопасность стала одним из факторов устойчивости в строительстве и какие меры помогут защитить цифровые активы.

Фотография Даниил Бориславский Даниил Бориславский Заместитель генерального директора по развитию продукта

Почему строительные компании становятся мишенью киберпреступников 

Киберугрозы актуальны для любого бизнеса. Но у строительной отрасли есть три особенности, которые делают ее привлекательной для злоумышленников. 

Во-первых, строительство — это почти всегда цепочка субподрядчиков. Цифровая документация объектов строительства (TIM-модели), сметы и коммерческая информация мигрируют по десяткам компаний-подрядчиков, у каждого из которых своя степень зрелости в вопросах информационной безопасности. 

Злоумышленники атакуют самого слабого контрагента в этой цепочке — например небольшую проектную организацию, где безопасность держится на одном пароле. А дальше используют этот доступ  как трамплин для атаки на головную строительную компанию и ее более ценные активы. 

Во-вторых, ИТ-инфраструктура строительной компании — это множество решений от десятков вендоров, включая молодые стартапы. CRM для дольщиков, система передачи ключей, сервис электронной регистрации сделок, BIM-платформа, бухгалтерия — все эти системы обмениваются данными, в том числе персональными. Застройщик редко может быть уверен, что каждый из этих сервисов обеспечен должным уровнем защиты. А когда данные гуляют между десятками приложений, в случае утечки уже невозможно определить, кто именно виноват — разработчик CRM, оператор облака или сам подрядчик, настраивавший интеграцию.

По данным ИБ-компании «Бастион», в 2025 году доля успешных кибератак на российские компании через подрядчиков и партнеров выросла с 10% в до 26–30% по сравнению с 2024 годом. 

При этом утечка через подрядчика — ответственность оператора данных. В январе 2026 года Верховный суд РФ подтвердил: даже если данные утекли через инфраструктуру подрядчика, ответственность несет оператор, который не обеспечил надлежащую защиту своих информационных систем и контроль за подрядчиком.

В-третьих, выросла ценность информации. Проектная документация и TIM-модели — это интеллектуальная собственность, которую можно скопировать и использовать. Например, если конкурент узнает цену или особенности проекта за неделю до тендера — контракт почти гарантированно потерян.

Какие угрозы актуальны: целевые атаки через подрядчиков, программы-вымогатели, шифрующие данные и останавливающие стройку, инсайдеры, а также компрометация доступов в инфраструктуру и облака.  

Последствия утечек бьют по четырем направлениям:

  1. Финансы. Срыв сроков контрактов, например из-за шифрования данных, запускает механизм пеней и неустоек. Каждый день просрочки — это проценты от суммы контракта, а они как правило, значительны. Сослаться на кибератаку как на форс-мажор почти невозможно. Суды транслируют,  что кибербезопасность — зона ответственности бизнеса, а атаки относятся к предпринимательским рискам.
  2. Ответственность перед регулятором. Административные штрафы по ст. 13.11 КоАП РФ суровы: за первичную утечку персональных данных — от 3 до 15 млн рублей в зависимости от объема данных, за повторную — оборотный штраф до 3% годовой выручки, но не менее 20 млн и не более 500 млн рублей. Правила касаются любого бизнеса, но для строительной сферы, где большое количество субподрядчиков, риски многократно возрастают. 
  3. Ограничение доступа к госконтрактам. Государственные и коммерческие закупки формируют значительную часть выручки многих генподрядчиков. Если из-за кибератаки сорваны сроки по госконтракту по 44-ФЗ, заказчик вправе расторгнуть его и инициировать включение исполнителя в реестр недобросовестных поставщиков. А это блокирует участие в госзакупках на два года. 
  4. Имидж компании. После недоступности сайта компании, отказа сервисов и невозможности провести сделку потребуется время для восстановления репутации компании. 

Дальше поговорим, какие меры принять в первую очередь.

Технические меры защиты проектной документации и TIM-моделей

Разграничение прав доступа и политика минимальных привилегий

Одна из самых частых причин утечек — избыточные права. Например, сотрудник получает доступ ко всем TIM-моделям компании, хотя работает только над одним объектом. Или доступ не отзывают после перевода в другой отдел или увольнения.

Ролевая модель доступа и принцип минимальных привилегий — база для любой строительной информационной системы. Права назначаются не человеку, а его роли: «проектировщик», «прораб», «сметчик», «руководитель проекта». Каждый получает доступ ровно к тем данным, которые нужны для работы, — ни к бухгалтерии, ни к тендерным заявкам.

Пример из практики. В январе 2026 года Таганский суд Москвы вынес приговор бывшему сотруднику МТС. Он скопировал на внешний носитель служебные документы, содержащие коммерческую тайну, — в частности, планы по строительству новых вышек и данные о развитии инфраструктуры в регионах. Компания предполагала, что он использовал эту информацию, чтобы заранее оформлять земельные участки под будущие вышки на третьих лиц и сдавать их в аренду МТС. Служебное расследование нашло 20 таких участков. Суд признал его виновным по статьям 183 и 272 УК РФ, приговорив к двум годам условно.

Причина произошедшего — доступ к документам, который не был ограничен ролью сотрудника и не отозван после его увольнения.

При настройке прав важно анализировать реальные бизнес-процессы. Некорректно заданные права ведут к двум крайностям: избыточный доступ к данным или блокировка работы сотрудника. Ни то, ни другое неэффективно.

В строительстве с его множеством проектов и подрядчиков удобно создавать группы по проектам и назначать права сразу всей группе. Это снижает риск ошибок и упрощает администрирование.

Базовые шаги для управления доступом:

  • Контролировать доступ к серверам, облачным админкам и внутренним сервисам.
  • Убрать общие административные пароли из повседневной работы.
  • Включить многофакторную аутентификацию для всех учетных записей.
  • Выдавать расширенные права только на срок конкретной задачи.
  • Начать фиксировать действия администраторов и подрядчиков.
  • Провести аудит доступа: у кого и к каким данным он есть.  

Что проверить прямо сейчас. Есть ли у бухгалтера доступ к TIM-моделям? А у проектировщика — к тендерным заявкам конкурентов? Если да — это прямое нарушение политики минимальных привилегий.

Шифрование проектной документации: на диске, при передаче, в облачных хранилищах

Шифрование — очень важная мера ИБ.  Без него другие меры защиты могут потерять  смысл. Рассмотрим три состояния, в которых данные нужно шифровать. 

Шифрование на диске. Проектная документация хранится на серверах, ноутбуках проектировщиков, внешних накопителях. Если устройство украдут или взломают, данные должны оставаться нечитаемыми. Отраслевой стандарт — AES-256 (Advanced Encryption Standard с ключом длиной 256 бит). Современные операционные системы и облачные платформы позволяют включить полнодисковое шифрование или автоматическое шифрование создаваемых ресурсов. Без этого любой физический доступ к носителю — готовая утечка. 

Шифрование при передаче. TIM-модели и сметы пересылаются между офисом, стройплощадкой, заказчиками и субподрядчиками. По пути их могут перехватить. Обязательное условие — использование протоколов с шифрованием (SSL) для всех каналов связи, включая веб-трафик и передачу по закрытым каналам. Убедитесь, что ваши облачные TIM-решения не передают данные в открытом виде.

Для связи между офисами и стройплощадками используйте корпоративный VPN. Он создает зашифрованный «туннель» между устройством сотрудника и сетью компании. Все данные, которые идут через этот туннель, надежно защищены.

Один из вариантов такого решения — Коннект от Контур.Эгиды. Продукт объединяет в себе защищенное подключение, двухфакторную аутентификацию и централизованное управление доступом.

Шифрование в облачных хранилищах. Если вы доверяете облаку хранение проектной документации, данные должны быть зашифрованы до отправки провайдеру (client-side encryption) либо провайдер должен иметь сертификацию, подтверждающую управление ключами шифрования. Хранение ключей у самого провайдера без контроля со стороны клиента — риск.

Что проверить прямо сейчас. Включено ли шифрование дисков на всех ноутбуках и серверах, где хранятся TIM-модели? Используется ли SSL при передаче смет подрядчикам? Шифруются ли резервные копии проектной документации? Кто имеет доступ к ключам шифрования — он должен быть строго ограничен.

Защита от утечек данных (DLP): контроль каналов передачи, мониторинг действий пользователей

Права доступа и шифрование защищают от внешних атак. Но главная угроза часто внутри компании: инсайдеры, невнимательные или обиженные сотрудники. Защита от утечек строится на двух уровнях: 

  • Первый — организационные меры и настройки инфраструктуры: разработка необходимой документации (о коммерческой тайне, правила работы в информационных системах, регламент парольной защиты и т.д.), правила ведения рабочих коммуникаций с контрагентами, регламенты использования сторонних сервисов и хранения информации, ролевая модель. 
  • Второй — специализированные средства защиты: DLP-системы для контроля каналов передачи, NGFW (межсетевые экраны нового поколения), системы мониторинга активности пользователей для отслеживания подозрительных действий.

DLP (Data Loss Prevention) — система, которая контролирует, куда и как уходит информация за пределы организации. В отличие от антивируса или фаервола от внешних атак, DLP контролирует действия легитимных пользователей:

  • Каналы передачи: электронная почта, мессенджеры, облачные хранилища, съемные USB-носители, печать документов, скриншоты.
  • Содержимое: анализ текста и вложений — поиск конфиденциальных данных (проектная документация, сметы, персональные данные) по ключевым словам, регулярным выражениям, цифровым отпечаткам.
  • Действия пользователей: фиксация кто, когда, что отправлял, копировал, выгружал, распечатывал.

Вместе эти механизмы позволяют обнаруживать попытки утечки и блокировать их до того, как данные покинут компанию.

Как DLP помогает в строительстве. Три примера:

  1. Менеджер собирается отправить конкурентное тендерное предложение на личную почту «чтобы доделать дома». DLP распознает документ как конфиденциальный, блокирует отправку и уведомляет службу безопасности.
  2. Сотрудник увольняется и копирует все текущие проекты на флешку. DLP фиксирует подозрительный объем копирования, блокирует операцию или немедленно сообщает.
  3. Подрядчик получает доступ к папке с проектной документацией и пытается переслать материалы дальше по цепочке. DLP отслеживает и блокирует передачу.

Безопасность облачных хранилищ TIM: настройки, аутентификация, резервное копирование

Цифровые копии и другие данные часто хранятся и обрабатываются в облаке. Это удобно, но рискованно, если не настроить защиту правильно. Безопасность облачных TIM-платформ строится на трех основных принципах. 

Аутентификация и управление доступом. Просто пароль — это слабая защита. Нужна двухфакторная аутентификация (2FA) для всех пользователей, а для удобства работы — единый вход (SSO). 

Разграничение прав внутри облака. Ролевая модель работает и в облаке. Проектировщик видит только свои модели. Руководитель проекта — все модели по своему объекту. Подрядчик — только те файлы, которые ему передали. Никаких общих папок, доступных для всех.

Резервное копирование. Самое важное. Если данные в облаке зашифруют вымогатели или удалят случайно, резервная копия — единственное спасение. Резервные копии должны создаваться автоматически по расписанию и храниться изолированно от основной системы, чтобы при компрометации облака бэкапы остались нетронутыми. 

Пошаговый план защиты: что сделать прямо сейчас

Этап 1. Инвентаризация и оценка

Что сделать:

  1. Составьте список всех мест хранения проектной документации и TIM-моделей: файловые серверы, ноутбуки проектировщиков, облачные аккаунты, внешние диски, флешки.
  2. Найдите владельцев данных и ответственных за их создание. Без этого будет сложно понять ценность данных и реально требуемые доступы. Также, если изменить права доступа без консультации с владельцем ресурса можно случайно заблокировать бизнес-процесс в организации.
  3. Отметьте, какие данные относятся к коммерческой тайне (сметы, уникальные технологические карты, тендерные стратегии), а какие — открытые.
  4. Зафиксируйте, у кого из сотрудников и подрядчиков есть доступ к каждому из этих активов.
  5. На основе этого опишите модель угроз: кто и как может украсть или зашифровать данные, какой ущерб от этого будет.

Этап 2. Документы и инструменты

Что сделать: 

  1. Разработайте политику информационной безопасности: пропишите роли («проектировщик», «сметчик», «прораб»), их права доступа, порядок предоставления и отзыва доступа.
  2. Утвердите перечень средств защиты информации и допустимого ПО, которые планируете использовать. Для компании попадающих в категорию КИИ — необходимо использовать СЗИ сертифицированные ФСТЭК.
  3. Выберите инструменты для:
    • разграничения доступа (ролевая модель, группы по проектам),
    • шифрования дисков и каналов связи,
    • контроля передачи данных (DLP),
    • защиты учетных записей с помощью 2FA
    • резервного копирования с изолированным хранением.

Этап 3. Внедрение и обучение

Что сделать:

  1. Включите шифрование дисков на всех ноутбуках и серверах (стандарт AES-256).
  2. Настройте SSL-шифрование для всех каналов передачи TIM-моделей и смет.
  3. Разверните DLP: запретите отправку файлов с меткой «коммерческая тайна» на личную почту, в мессенджеры, на флешки.
  4. В облачных TIM-хранилищах:
    • включите двухфакторную аутентификацию для всех пользователей,
    • настройте ролевой доступ (проектировщик — только свои модели, руководитель — все по проекту),
    • настройте автоматическое резервное копирование, например каждые 6 часов, с хранением копий отдельно от основной системы.
  5. Проведите обучение сотрудников: как распознать фишинг, почему нельзя пересылать тендеры на личную почту, к кому обращаться при подозрениях.

Этап 4. Мониторинг и аудит

Что сделать: 

  1. Включите журналирование всех событий доступа к TIM-моделям, сметам, тендерам.
  2. Назначьте ответственного за еженедельный просмотр логов (или настройте автоматические оповещения о подозрительных действиях).
  3. Раз в полгода проводите аудит:
    • сверяйте текущие права доступа с ролевой моделью,
    • проверяйте, у всех ли включено шифрование,
    • тестируйте восстановление из резервной копии.
  4. Периодически, например раз в полгода, запрашивайте у подрядчиков результаты аудитов информационной безопасности. Фиксируйте отказы — они будут доказательством вашей добросовестности в случае утечки через их инфраструктуру.

Любая защита начинается не с покупки софта, а с честного ответа на четыре вопроса:

  1. Какие данные у нас самые ценные и где они хранятся?
  2. У кого есть к ним доступ, включая подрядчиков и уволенных сотрудников?
  3. Что произойдет, если эти данные утекут или их зашифруют?
  4. Как мы будем реагировать на произошедший инцидент? 

Если вы не знаете, с чего начать, — начните с аудита с инвентаризацией активов, проверкой прав доступа и моделированием угроз. Результат покажет дыры, которые можно закрыть быстро, и направления, в которые нужны буду инвестиции. В строительстве, где каждый день просрочки по контракту грозит неустойкой, откладывать защиту данных — слишком дорогое удовольствие.

Фотография Даниил Бориславский Даниил Бориславский Заместитель генерального директора по развитию продукта
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться