Дмитрий Даренский: «Оценка безопасности и надежности систем должна проводиться с учётом анализа киберрисков»

31 мая 2026, 21:31

© RUБЕЖ

Интервью с Дмитрием Даренским во время сессии «Кибербезопасность на всем жизненном цикле объекта капитального строительства» на АКПО-Конф 2026 провел модератор Вадим Исаев, технический директор по развитию отрасли Positive Technologies о том, как объектам капитального строительства, в  том числе ритейлу, защищать то, что регулятор не требует защищать.

Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies, объяснил, почему современный торговый центр или другой объект капитального строительства, — это объект информатизации, а кибератака на систему дымоудаления — прямое техногенное воздействие. Строительные нормы не учитывают киберугрозы, а значит, расчеты надежности зданий выполняются неверно.

Вадим Исаев: Дмитрий, вы много работаете с разными отраслями. В атомной энергетике кибербезопасность просто встроена в регуляторику. А что происходит в гражданском строительстве? Давайте начнем с простого примера — многоэтажный жилой дом или торговый центр. Есть ли там кибербезопасность?

Дмитрий Даренский: Строительные нормы в России сегодня не содержат ничего, что касается обеспечения информационной безопасности на этапе разработки задания на строительство и задания на проектирование. Ни строительные нормы в отношении гражданских объектов — жилых домов, жилых комплексов, дорожной инфраструктуры, социально значимых объектов — на этот счёт не содержат ничего. Прискорбно.

Д. Даренский: Есть Федеральный закон 384 — закон о безопасности объектов капитального строительства. Там описано, как должна строиться техническая безопасность любого строительного объекта. Надёжность, промышленная безопасность (116-ФЗ), экологическая безопасность — есть всё, кроме информационной безопасности. Исторически так сложилось, что регулирование кибербезопасности в РФ — это государственное регулирование. Отраслевого нет, как, например, в США, где есть отдельные регуляторы для нефтегаза или железнодорожного транспорта.

В. Исаев: Приведите пример из жизни, чтобы стало понятно, чем это грозит обычному посетителю.

Д. Доренский: Возьмите систему пожарного дымоудаления в многоэтажном здании. При обнаружении дыма или огня система должна полностью открыть вентиляционные шахты и принудительно вытолкнуть дым наружу. Кибератака может привести к тому, что система управления вентиляцией будет просто отключена.

Что это означает? Расчёт надёжности и отказоустойчивости такой системы на этапе проектирования выполнен неверно. Потому что не учтена возможность техногенного воздействия через кибератаку. Фактически такие расчёты и обоснования безопасности инженерных систем являются юридически несостоятельными. Но это очень сложный и дискуссионный вопрос.

В. Исаев: Вы упомянули, что есть перекос в сторону КИИ. Атомные станции и объекты критической инфраструктуры защищают. А объекты, которые не относятся к КИИ, — нет. Приведите конкретный пример, где этот перекос особенно опасен.

Д. Даренский: Жилой комплекс или торговый центр. Стоят четыре корпуса, живут тысячи человек. Сейчас в таких комплексах — котельные на крыше, весь комплекс управляется централизованными системами управления зданием. Компрометация и вывод из строя котельной на крыше 30-этажного дома может привести к тому, что весь дом зальёт кипятком.

Такие объекты не относятся к КИИ. И как проектировать кибербезопасность и надёжность инженерных систем в этом случае? Перекос в сторону «если не КИИ — не защищаем» выглядит однобоко. Вопросы кибербезопасности перешли из области защиты информации в область защиты жизни и здоровья людей. Мы работаем с физическими системами — это в первую очередь воздействие на людей.

Вадим Исаев: Но стандарты-то есть? Или их тоже нет?

Д. Даренский: Мы провели исследование актуальной нормативной базы стандартов в области строительства, инженерных систем и систем автоматизации. Удивились: у нас есть ГОСТы на «умные дома». Там описано, как управляющая компания должна управлять многоквартирным умным домом. Есть даже раздел, что должны закладываться средства защиты данных.

Есть ГОСТ по техническим системам безопасности — всё, что касается пожаротушения, сигнализации. И там написано, что оценка безопасности и надёжности систем должна проводиться с учётом анализа киберрисков. Это в ГОСТах написано. Две проблемы: за последние три-четыре года столько ГОСТов появилось, что строители с десятилетним опытом даже не знают об их существовании. Вторая — применение стандартов у нас начинается только после того, как за это отвечает регулятор. В области капитального строительства про информационную безопасность никто ничего не спрашивает, никто ничего и не делает.

Вадим Исаев: Вы упомянули в дискуссии ФИФА. Расскажите про этот пример — он показательный.

Д. Даренский: У ФИФА есть гайды по кибербезопасности спортивных объектов. Когда в России проводились международные соревнования, чемпионаты мира, аудиторы ФИФА приезжали на наши объекты и проверяли, как построена кибербезопасность. И сейчас многие спортивные объекты в стране защищаются с помощью наших технологий, наших продуктов.

Мы смотрели на то, как устроены большие спортивные объекты. Информационных систем, критичных систем там очень много, и они напрямую влияют на жизнь и здоровье посетителей. То есть зарубежный опыт есть — и он работает. Нам нужно не изобретать велосипед, а адаптировать такие подходы для жилых комплексов и других объектов, которые сегодня не входят в перечень КИИ.

Вадим Исаев: Что делать? Как сократить этот разрыв между строительной нормативной базой и ИТ-регулированием?

Д. Даренский: Не про ГОСТы. Создание ГОСТов — это долго, это много сил и ресурсов. Мы скорее про то, чтобы дать отрасли практические руководства для проектировщиков, строителей, тех, кто внедряет на основе уже существующих стандартов. Их сегодня достаточно.

Нет практического применения, нет руководства — как пользоваться этими стандартами. Нужны инструменты, с помощью которых застройщики и девелоперы будут закладывать решения по кибербезопасности на этапе разработки заданий и учитывать их в бюджетах объектов капитального строительства.

И ещё важный момент — драйвером должен быть владелец объекта. Если он видит риски, он должен на них реагировать. Если владелец понимает, что кибератака на BMS может привести к эвакуации, остановке работы и ущербу репутации, он начнёт требовать ИБ в проекте. Регулятор не требует, бизнес должен сам осознать.

Беседовал: Вадим Исаев, технический директор по развитию отрасли Positive Technologies, модератор сессии «Кибербезопасность на всем жизненном цикле объекта капитального строительства» на АКПО-Конф 2026.