Взлом по проекту: Минстрой предупредил о рисках срыва строек и техногенных катастроф из-за кибератак на строительство

Цифровизация в отрасли строительства и ЖКХ России продолжается, но отечественным застройщикам и управляющим компаниям надо наращивать «цифровую броню». Без неё любые инициативы рискуют обернуться против российского бизнеса — реализация ИБ-угроз в отрасли может привести к срыву строек, цифровому захвату замков и лифтов в уже построенных домах и техногенным катастрофам на объектах строительства. Это следует из презентации директора Департамента цифрового развития Минстроя и ЖКХ РФ Николая Парфентьева, который выступил 14 апреля на форуме ГосСОПКА.

В презентации Парфентьева рассматривается ряд ИБ-угроз для систем, связанных с отраслью ЖКХ и строительства. Так, злоумышленник, проникнув в систему «Умная строительная площадка», может дистанционно перехватить управление, саботировать системы безопасности, провести манипуляции со сметами и даже «заморозить» стройку, создав вынужденный простой. А компрометация системы «Умный дом» может позволить хакеру реализовать физическое проникновение на чужую территорию через отключение сигнализации и вскрытие ворот. Помимо этого, есть риск перехвата картинки с камер и микрофонов, которыми оснащен дом.

Также отмечается, что есть риски и в сфере безопасности данных: застройщики и УК могут стать жертвой промышленного шпионажа, включая кражу чертежей, тендерной и сметной документации. Могут подвергнуться компрометации биометрические данные на строительных площадках, и злоумышленник может с помощью них оказаться на строительной площадке. В скобках отмечается, что это грозит хищениями и терактами.

Под угрозой также системы автоматизированного проектирования (САПР) и программное обеспечение технологий информационного моделирования (ПО ТИМ). Перехватив доступ к ним, злоумышленнику достаточно изменить проектные решения: изменить маркировку арматуры, толщину перекрытий или характеристики бетона. Если ошибка останется неисправленной, а технадзор её не выявит, то здание будет построено с заложенным дефектом.

Помимо этого, в уже построенных домах мошенник может взломать самое слабое устройство, перейти в локальную сеть главного сервера дома и атаковать контроллеры лифтов и систем оповещения. Это может привести к тому, что злоумышленник заблокирует все умные замки, домофоны и лифты, заперев жильцов в квартирах и парализовав работу управляющей компании.

Среди рисков для УК и застройщиков также отмечаются «репутационный дефолт» и, потенциально, крупная утечка персональных данных клиентов, жильцов и сотрудников.

С октября 2025 года действует рабочая группа по обеспечению кибербезопасности в отрасли строительства и ЖКХ, следует из презентации Парфентьева. В феврале 2026 года была сформирована пилотная группа, а в апреле проходят кибер-исследования. Представление результатов работы группы запланировано на июнь 2026 года.

В презентации также рассказывается о Центре ГосСОПКА в отрасли строительства и ЖКХ: его называют основным инструментом выявления и ликвидации компьютерных инцидентов в отрасли. Предполагается трехуровневая вертикаль управления — НКЦКИ на верхнем координационном уровне, ведомственный центр (в лице Минстроя России) занимается оперативным управлением, а корпоративный центр — централизованной поддержкой на уровне организаций.

«Совокупность ведомственного и отраслевого центров формирует замкнутый контур защиты информационной инфраструктуры строительной отрасли и ЖКХ», — отмечается в презентации.

Отметим, что накануне был опубликован отраслевой индекс кибербезопасности от F6. Согласно результатам исследования, построенного на данных F6 Attack Surface Management (система, анализирующая публичные цифровые активы компаний и уровень их управления), строительная отрасль России, согласно весеннему срезу 2026 года, ухудшила результаты за полгода с 5,5 до 4,9 балла, оказавшись на последнем месте индекса.

«[Строительная] отрасль продемонстрировала резкий годовой рост цифровых активов, а ИБ-процессы не успевают за расширением инфраструктуры», — пояснили в F6.

SecPost направил запросы в адрес ряда ключевых застройщиков страны: «Самолет», «ПИК» и Dogma. В «Самолете» отказались комментировать уровень киберзащиты в отрасли и в компании. «ПИК» и Dogma проигнорировали запросы.