Строительные компании часто работают с большим объемом ценных данных и десятками подрядчиков, чья защита порой оставляет желать лучшего. Кибератака в такой среде — вполне реальна и может привести к остановке стройки и срыву сроков по контрактам. Рассказываем, почему информационная безопасность стала одним из факторов устойчивости в строительстве и какие меры помогут защитить цифровые активы.
Почему строительные компании становятся мишенью киберпреступников
Киберугрозы актуальны для любого бизнеса. Но у строительной отрасли есть три особенности, которые делают ее привлекательной для злоумышленников.
Во-первых, строительство — это почти всегда цепочка субподрядчиков. Цифровая документация объектов строительства (TIM-модели), сметы и коммерческая информация мигрируют по десяткам компаний-подрядчиков, у каждого из которых своя степень зрелости в вопросах информационной безопасности.
Злоумышленники атакуют самого слабого контрагента в этой цепочке — например небольшую проектную организацию, где безопасность держится на одном пароле. А дальше используют этот доступ как трамплин для атаки на головную строительную компанию и ее более ценные активы.
Во-вторых, ИТ-инфраструктура строительной компании — это множество решений от десятков вендоров, включая молодые стартапы. CRM для дольщиков, система передачи ключей, сервис электронной регистрации сделок, BIM-платформа, бухгалтерия — все эти системы обмениваются данными, в том числе персональными. Застройщик редко может быть уверен, что каждый из этих сервисов обеспечен должным уровнем защиты. А когда данные гуляют между десятками приложений, в случае утечки уже невозможно определить, кто именно виноват — разработчик CRM, оператор облака или сам подрядчик, настраивавший интеграцию.
По данным ИБ-компании «Бастион», в 2025 году доля успешных кибератак на российские компании через подрядчиков и партнеров выросла с 10% в до 26–30% по сравнению с 2024 годом.
При этом утечка через подрядчика — ответственность оператора данных. В январе 2026 года Верховный суд РФ подтвердил: даже если данные утекли через инфраструктуру подрядчика, ответственность несет оператор, который не обеспечил надлежащую защиту своих информационных систем и контроль за подрядчиком.
В-третьих, выросла ценность информации. Проектная документация и TIM-модели — это интеллектуальная собственность, которую можно скопировать и использовать. Например, если конкурент узнает цену или особенности проекта за неделю до тендера — контракт почти гарантированно потерян.
Какие угрозы актуальны: целевые атаки через подрядчиков, программы-вымогатели, шифрующие данные и останавливающие стройку, инсайдеры, а также компрометация доступов в инфраструктуру и облака.
Последствия утечек бьют по четырем направлениям:
- Финансы. Срыв сроков контрактов, например из-за шифрования данных, запускает механизм пеней и неустоек. Каждый день просрочки — это проценты от суммы контракта, а они как правило, значительны. Сослаться на кибератаку как на форс-мажор почти невозможно. Суды транслируют, что кибербезопасность — зона ответственности бизнеса, а атаки относятся к предпринимательским рискам.
- Ответственность перед регулятором. Административные штрафы по ст. 13.11 КоАП РФ суровы: за первичную утечку персональных данных — от 3 до 15 млн рублей в зависимости от объема данных, за повторную — оборотный штраф до 3% годовой выручки, но не менее 20 млн и не более 500 млн рублей. Правила касаются любого бизнеса, но для строительной сферы, где большое количество субподрядчиков, риски многократно возрастают.
- Ограничение доступа к госконтрактам. Государственные и коммерческие закупки формируют значительную часть выручки многих генподрядчиков. Если из-за кибератаки сорваны сроки по госконтракту по 44-ФЗ, заказчик вправе расторгнуть его и инициировать включение исполнителя в реестр недобросовестных поставщиков. А это блокирует участие в госзакупках на два года.
- Имидж компании. После недоступности сайта компании, отказа сервисов и невозможности провести сделку потребуется время для восстановления репутации компании.
Дальше поговорим, какие меры принять в первую очередь.
Двухфакторная аутентификация
ID — защита учетных записей сотрудников: подключений через VPN, RDG, ActiveSync, ADFS (протоколы OpenID Connect, SAML), защита входа в Windows, OWA.
Технические меры защиты проектной документации и TIM-моделей
Разграничение прав доступа и политика минимальных привилегий
Одна из самых частых причин утечек — избыточные права. Например, сотрудник получает доступ ко всем TIM-моделям компании, хотя работает только над одним объектом. Или доступ не отзывают после перевода в другой отдел или увольнения.
Ролевая модель доступа и принцип минимальных привилегий — база для любой строительной информационной системы. Права назначаются не человеку, а его роли: «проектировщик», «прораб», «сметчик», «руководитель проекта». Каждый получает доступ ровно к тем данным, которые нужны для работы, — ни к бухгалтерии, ни к тендерным заявкам.
Пример из практики. В январе 2026 года Таганский суд Москвы вынес приговор бывшему сотруднику МТС. Он скопировал на внешний носитель служебные документы, содержащие коммерческую тайну, — в частности, планы по строительству новых вышек и данные о развитии инфраструктуры в регионах. Компания предполагала, что он использовал эту информацию, чтобы заранее оформлять земельные участки под будущие вышки на третьих лиц и сдавать их в аренду МТС. Служебное расследование нашло 20 таких участков. Суд признал его виновным по статьям 183 и 272 УК РФ, приговорив к двум годам условно.
Причина произошедшего — доступ к документам, который не был ограничен ролью сотрудника и не отозван после его увольнения.
При настройке прав важно анализировать реальные бизнес-процессы. Некорректно заданные права ведут к двум крайностям: избыточный доступ к данным или блокировка работы сотрудника. Ни то, ни другое неэффективно.
В строительстве с его множеством проектов и подрядчиков удобно создавать группы по проектам и назначать права сразу всей группе. Это снижает риск ошибок и упрощает администрирование.
Базовые шаги для управления доступом:
- Контролировать доступ к серверам, облачным админкам и внутренним сервисам.
- Убрать общие административные пароли из повседневной работы.
- Включить многофакторную аутентификацию для всех учетных записей.
- Выдавать расширенные права только на срок конкретной задачи.
- Начать фиксировать действия администраторов и подрядчиков.
- Провести аудит доступа: у кого и к каким данным он есть.
Что проверить прямо сейчас. Есть ли у бухгалтера доступ к TIM-моделям? А у проектировщика — к тендерным заявкам конкурентов? Если да — это прямое нарушение политики минимальных привилегий.
Шифрование проектной документации: на диске, при передаче, в облачных хранилищах
Шифрование — очень важная мера ИБ. Без него другие меры защиты могут потерять смысл. Рассмотрим три состояния, в которых данные нужно шифровать.
Шифрование на диске. Проектная документация хранится на серверах, ноутбуках проектировщиков, внешних накопителях. Если устройство украдут или взломают, данные должны оставаться нечитаемыми. Отраслевой стандарт — AES-256 (Advanced Encryption Standard с ключом длиной 256 бит). Современные операционные системы и облачные платформы позволяют включить полнодисковое шифрование или автоматическое шифрование создаваемых ресурсов. Без этого любой физический доступ к носителю — готовая утечка.
Шифрование при передаче. TIM-модели и сметы пересылаются между офисом, стройплощадкой, заказчиками и субподрядчиками. По пути их могут перехватить. Обязательное условие — использование протоколов с шифрованием (SSL) для всех каналов связи, включая веб-трафик и передачу по закрытым каналам. Убедитесь, что ваши облачные TIM-решения не передают данные в открытом виде.
Для связи между офисами и стройплощадками используйте корпоративный VPN. Он создает зашифрованный «туннель» между устройством сотрудника и сетью компании. Все данные, которые идут через этот туннель, надежно защищены.
Один из вариантов такого решения — Коннект от Контур.Эгиды. Продукт объединяет в себе защищенное подключение, двухфакторную аутентификацию и централизованное управление доступом.
Шифрование в облачных хранилищах. Если вы доверяете облаку хранение проектной документации, данные должны быть зашифрованы до отправки провайдеру (client-side encryption) либо провайдер должен иметь сертификацию, подтверждающую управление ключами шифрования. Хранение ключей у самого провайдера без контроля со стороны клиента — риск.
Что проверить прямо сейчас. Включено ли шифрование дисков на всех ноутбуках и серверах, где хранятся TIM-модели? Используется ли SSL при передаче смет подрядчикам? Шифруются ли резервные копии проектной документации? Кто имеет доступ к ключам шифрования — он должен быть строго ограничен.
Защита от утечек данных (DLP): контроль каналов передачи, мониторинг действий пользователей
Права доступа и шифрование защищают от внешних атак. Но главная угроза часто внутри компании: инсайдеры, невнимательные или обиженные сотрудники. Защита от утечек строится на двух уровнях:
- Первый — организационные меры и настройки инфраструктуры: разработка необходимой документации (о коммерческой тайне, правила работы в информационных системах, регламент парольной защиты и т.д.), правила ведения рабочих коммуникаций с контрагентами, регламенты использования сторонних сервисов и хранения информации, ролевая модель.
- Второй — специализированные средства защиты: DLP-системы для контроля каналов передачи, NGFW (межсетевые экраны нового поколения), системы мониторинга активности пользователей для отслеживания подозрительных действий.
DLP (Data Loss Prevention) — система, которая контролирует, куда и как уходит информация за пределы организации. В отличие от антивируса или фаервола от внешних атак, DLP контролирует действия легитимных пользователей:
- Каналы передачи: электронная почта, мессенджеры, облачные хранилища, съемные USB-носители, печать документов, скриншоты.
- Содержимое: анализ текста и вложений — поиск конфиденциальных данных (проектная документация, сметы, персональные данные) по ключевым словам, регулярным выражениям, цифровым отпечаткам.
- Действия пользователей: фиксация кто, когда, что отправлял, копировал, выгружал, распечатывал.
Вместе эти механизмы позволяют обнаруживать попытки утечки и блокировать их до того, как данные покинут компанию.
Как DLP помогает в строительстве. Три примера:
- Менеджер собирается отправить конкурентное тендерное предложение на личную почту «чтобы доделать дома». DLP распознает документ как конфиденциальный, блокирует отправку и уведомляет службу безопасности.
- Сотрудник увольняется и копирует все текущие проекты на флешку. DLP фиксирует подозрительный объем копирования, блокирует операцию или немедленно сообщает.
- Подрядчик получает доступ к папке с проектной документацией и пытается переслать материалы дальше по цепочке. DLP отслеживает и блокирует передачу.
Безопасность облачных хранилищ TIM: настройки, аутентификация, резервное копирование
Цифровые копии и другие данные часто хранятся и обрабатываются в облаке. Это удобно, но рискованно, если не настроить защиту правильно. Безопасность облачных TIM-платформ строится на трех основных принципах.
Аутентификация и управление доступом. Просто пароль — это слабая защита. Нужна двухфакторная аутентификация (2FA) для всех пользователей, а для удобства работы — единый вход (SSO).
Разграничение прав внутри облака. Ролевая модель работает и в облаке. Проектировщик видит только свои модели. Руководитель проекта — все модели по своему объекту. Подрядчик — только те файлы, которые ему передали. Никаких общих папок, доступных для всех.
Резервное копирование. Самое важное. Если данные в облаке зашифруют вымогатели или удалят случайно, резервная копия — единственное спасение. Резервные копии должны создаваться автоматически по расписанию и храниться изолированно от основной системы, чтобы при компрометации облака бэкапы остались нетронутыми.
Пошаговый план защиты: что сделать прямо сейчас
Этап 1. Инвентаризация и оценка
Что сделать:
- Составьте список всех мест хранения проектной документации и TIM-моделей: файловые серверы, ноутбуки проектировщиков, облачные аккаунты, внешние диски, флешки.
- Найдите владельцев данных и ответственных за их создание. Без этого будет сложно понять ценность данных и реально требуемые доступы. Также, если изменить права доступа без консультации с владельцем ресурса можно случайно заблокировать бизнес-процесс в организации.
- Отметьте, какие данные относятся к коммерческой тайне (сметы, уникальные технологические карты, тендерные стратегии), а какие — открытые.
- Зафиксируйте, у кого из сотрудников и подрядчиков есть доступ к каждому из этих активов.
- На основе этого опишите модель угроз: кто и как может украсть или зашифровать данные, какой ущерб от этого будет.
Этап 2. Документы и инструменты
Что сделать:
- Разработайте политику информационной безопасности: пропишите роли («проектировщик», «сметчик», «прораб»), их права доступа, порядок предоставления и отзыва доступа.
- Утвердите перечень средств защиты информации и допустимого ПО, которые планируете использовать. Для компании попадающих в категорию КИИ — необходимо использовать СЗИ сертифицированные ФСТЭК.
- Выберите инструменты для:
- разграничения доступа (ролевая модель, группы по проектам),
- шифрования дисков и каналов связи,
- контроля передачи данных (DLP),
- защиты учетных записей с помощью 2FA
- резервного копирования с изолированным хранением.
Этап 3. Внедрение и обучение
Что сделать:
- Включите шифрование дисков на всех ноутбуках и серверах (стандарт AES-256).
- Настройте SSL-шифрование для всех каналов передачи TIM-моделей и смет.
- Разверните DLP: запретите отправку файлов с меткой «коммерческая тайна» на личную почту, в мессенджеры, на флешки.
- В облачных TIM-хранилищах:
- включите двухфакторную аутентификацию для всех пользователей,
- настройте ролевой доступ (проектировщик — только свои модели, руководитель — все по проекту),
- настройте автоматическое резервное копирование, например каждые 6 часов, с хранением копий отдельно от основной системы.
- Проведите обучение сотрудников: как распознать фишинг, почему нельзя пересылать тендеры на личную почту, к кому обращаться при подозрениях.
Больше о ИБ-решениях для компаний из строительной сферы
Этап 4. Мониторинг и аудит
Что сделать:
- Включите журналирование всех событий доступа к TIM-моделям, сметам, тендерам.
- Назначьте ответственного за еженедельный просмотр логов (или настройте автоматические оповещения о подозрительных действиях).
- Раз в полгода проводите аудит:
- сверяйте текущие права доступа с ролевой моделью,
- проверяйте, у всех ли включено шифрование,
- тестируйте восстановление из резервной копии.
- Периодически, например раз в полгода, запрашивайте у подрядчиков результаты аудитов информационной безопасности. Фиксируйте отказы — они будут доказательством вашей добросовестности в случае утечки через их инфраструктуру.
Любая защита начинается не с покупки софта, а с честного ответа на четыре вопроса:
- Какие данные у нас самые ценные и где они хранятся?
- У кого есть к ним доступ, включая подрядчиков и уволенных сотрудников?
- Что произойдет, если эти данные утекут или их зашифруют?
- Как мы будем реагировать на произошедший инцидент?
Если вы не знаете, с чего начать, — начните с аудита с инвентаризацией активов, проверкой прав доступа и моделированием угроз. Результат покажет дыры, которые можно закрыть быстро, и направления, в которые нужны буду инвестиции. В строительстве, где каждый день просрочки по контракту грозит неустойкой, откладывать защиту данных — слишком дорогое удовольствие.