На АКПО-Конф 2026 рассказали об интеграции требований кибербезопасности в капитальное строительство

2 часа назад

© RUБЕЖ

На III Флагманской кросс-отраслевой конференции «АКПО-Конф 2026» эксперты заявили: современные здания и сооружения стали объектами информатизации, а их киберзащита должна стартовать на стадии проектирования. Игнорирование ИБ на этапе котлована делает дооснащение готового объекта в десять раз дороже — и ставит под угрозу жизни людей.

Репортаж журнала RUБЕЖ с сессии «Кибербезопасность на всем жизненном цикле объекта капитального строительства»  III Флагманской кросс-отраслевой конференции «АКПО-Конф 2026».

20 апреля в Москве, в кластере «Ломоносов» ИНТЦ МГУ «Воробьевы горы», состоялась III Флагманская кросс-отраслевая конференция «АКПО-Конф 2026». Одной из первых стала сессия «Кибербезопасность на всем жизненном цикле объекта капитального строительства». Организатор, компания Positive Technologies, посвятила ее одной из самых острых и пока еще недостаточно урегулированных тем — интеграции требований кибербезопасности в процессы капитального строительства.

Модератором выступил Вадим Исаев, технический директор по развитию отрасли Positive Technologies. с участием представителей ведущих инжиниринговых, промышленных и транспортных компаний, поставщиков ИТ-решений и регуляторов.

Ключевые вопросы, заявленные к обсуждению:

• зачем реализовывать информационную безопасность в проектах капитального строительства;
• какие дополнительные требования информационной безопасности, отличные от базовых, необходимо включить в техническую документацию и как сформировать их;
• почему данные по кибербезопасности стоит внести в единый классификатор строительной информации и как это сделать;
• как организовать контроль выполнения требований по информационной безопасности на всем жизненном цикле объекта капительного строительства.

В дискуссии приняли участие спикеры:

Дмитрий Даренский, руководитель практики промышленной кибербезопасности, Positive Technologies, Юрий Антоненко, начальник отдела по кибербезопасности, «Атомэнергопроект», и Константин Сахаров, директор департамента информационной и компьютерной безопасности АСУ ТП, «РАСУ».

Эксперты обсудили теоретические разрывы между строительными нормами и ИТ-регулированием и конкретные практические кейсы — от атомных станций до жилых комплексов и транспортной инфраструктуры.

От бетона и арматуры к ИТ-девайсам

Открывая сессию, Вадим Исаев обозначил ключевой парадокс: «Как нам соотнести бетон, арматуру, песок, кирпичи и антивирусы, межсетевые экраны?» По его словам, сегодня любой объект капитального строительства, от дороги до морского судна, становится объектом информатизации. Российский морской регистр судоходства уже адаптировал международные требования по кибербезопасности судов, а беспилотный транспорт и интеллектуальные транспортные системы стирают грань между физическим объектом и ИТ-устройством.

Особое внимание модератор уделил новому Распоряжению Правительства РФ о перечне типовых объектов критической информационной инфраструктуры (КИИ). Большинство систем, встроенных в объекты капитального строительства, теперь попадают под требования КИИ, а значит, их необходимо защищать по закону. Именно здесь возникает первый практический вопрос: какие дополнительные требования ИБ, отличные от базовых, нужно включать в техническую документацию?

Опыт атомной отрасли: как заложить кибербезопасность в стадию «П» (проектирование)

Первым слово взял Юрий Антоненко, начальник отдела по кибербезопасности компании «Атомэнергопроект». Он напомнил, что его организация имеет 95-летний опыт возведения объектов атомной энергетики. Современные вызовы потребовали введения отдельной дисциплины — компьютерной безопасности на стадии проектирования.

Главная проблема, по словам Антоненко, в том, что Постановление Правительства № 87, определяющее состав разделов проектной документации, прямо не содержит требований по информационной безопасности. Однако в нем есть пункты о дополнительных требованиях федеральных законов. «Атомэнергопроект» обратился во ФСТЭК России и получил подтверждение: решения по ИБ должны закладываться именно на стадии проектирования.

Ваше задание проектировщику должно быть однозначно, понятно трактуемо всеми сторонами, включая экспертизу,

— подчеркнул Юрий Антоненко.

Он добавил, что Градостроительный кодекс распространяется на атомную энергетику, железнодорожный и автомобильный транспорт, аэропорты, поэтому заказчики обязаны грамотно формулировать техническое задание.

Отвечая на вопрос о внесении данных по кибербезопасности в единый классификатор строительной информации, Антоненко поддержал эту идею: «Через госучет решений по информационной безопасности. Почему нет? Это хорошее направление».

Регуляторная связка и цена ошибки

Константин Сахаров, директор департамента компьютерной и информационной безопасности АСУ ТП «РАСУ», обратил внимание на сложную регуляторную среду. 

Ростехнадзор не описывает, как именно защищаться, он говорит, обоснуйте, защититесь. Поэтому приходится обращаться к ФСТЭК, ФСБ, Федеральному закону № 107 и подзаконным актам,

— пояснил Константин Сахаров. 

Ключевой документ — отчет обоснования безопасности (ООБ). Без лицензии Ростехнадзора невозможно ни построить, ни ввести в эксплуатацию атомную станцию. При этом главная экспертиза должна согласовать выделение средств, а регуляторы по-разному называют разделы ИБ («защита от НСД» — лишь малая часть). Сахаров призвал к унификации терминологии и межведомственному согласованию.

Экономический аспект прозвучал особенно остро. Если решения по кибербезопасности не заложены на этапе проектирования, то внедрять их на уже построенном объекте будет в десять раз дороже.

Оборудование, прошедшее квалификацию (сейсмика, электромагнитная совместимость и т.д.), при дооснащении придется возвращать в лабораторию, заново испытывать — это колоссальные затраты.

Где проверить, что защита не вредит основной функции?

Вадим Исаев задал важный вопрос: «Кто проверяет, что средства защиты информации не ухудшают эксплуатационные характеристики самого объекта, производительность, надежность?»

Константин Сахаров ответил, что универсального регулятора нет. В «Росатоме» для этого создан собственный киберполигон в Москве, где развернута полноценная модель атомной станции. Там тестируют влияние межсетевых экранов и других средств на работу систем — от датчика до экрана оператора.

Чем раньше начнем проверять, тем меньше ошибок проектировщика,

— резюмировал Константин Сахаров.

Приоритет всегда остается за ядерной безопасностью, поэтому если защита негативно влияет, тогда ищут компенсирующие мероприятия. Проверки эффективности включают анализ уязвимостей и тестирование на проникновение (пентест). Именно так организуется контроль выполнения требований ИБ на всем жизненном цикле объекта.

Гражданское строительство: нормативный вакуум и киберриски для людей

Дмитрий Даренский, руководитель практики промышленной безопасности Positive Technologies поделился, что завидует атомщикам, у них практически на все есть стандарты. А в гражданском строительстве ситуация иная. Федеральный закон № 384 «О безопасности зданий и сооружений» описывает безопасность инженерных конструкций и систем, но не содержит ничего про информационную безопасность, В промышленном строительстве ФЗ 116 дополнительно устанавливает требования промышленной безопасности. Эти законы никак не соприкасаются с областью кибербезопасности.

Фактически нормы не содержат ничего, констатировал Даренский. Он привел пример: система пожарного дымоудаления в многоэтажном доме. Кибератака может просто отключить вентиляцию, поэтому расчеты надежности и отказоустойчивости, выполненные без учета техногенного воздействия на автоматику или систему управления, становятся технически и юридически несостоятельными.

Особую тревогу вызывают жилые комплексы с котельными на крышах, подключенными к централизованным системам управления зданием. Такие объекты часто не относятся к КИИ, но компрометация их систем может привести к тому, что может быть причинен вред как самому зданию, так людям. Вопросы кибербезопасности перешли из области защиты информации в область защиты жизни и здоровья людей,

— подчеркнул Дмитрий Даренский, руководитель практики промышленной безопасности Positive Technologies.

Именно поэтому реализовывать информационную безопасность в проектах капстроя необходимо не только и не столько из-за требований регуляторов, сколько в целях обеспечения реальной безопасности людей.

Он привел пример позитивного характера: ФИФА имеет подробный гайд по кибербезопасности спортивных объектов. Во время чемпионата мира в России аудиторы ФИФА проверяли, как построена защита. И сейчас спортивные объекты в стране защищаются с помощью российских технологий.

Госэкспертиза и проблема «невидимых разделов»

Из зала прозвучал вопрос, как быть, если в Главгосэкспертизе нет специалистов по ИБ и разделы по кибербезопасности просто не рассматриваются? Тогда на реализацию не закладываются деньги.

Юрий Антоненко признал, что такая проблема существует, и необходимо развивать институт экспертизы таких решений, готовить стандарты. Дмитрий Даренский добавил, что у некоторых заказчиков в классической энергетике уже есть положительный опыт: Главгосэкспертиза подсказывает, в какие разделы (согласно 87-му постановлению) включать сметы на ИБ, чтобы средства были выделены.

Экономика киловатта и ответственность владельца

Подводя промежуточные итоги, модератор спросил о границах госфинансирования. Константин Сахаров ответил, что все, что попадает под Постановление Правительства РФ № 87, должно защищаться за государственные средства. Если не заложить решения в проект, расходы лягут на эксплуатирующую организацию.

Юрий Антоненко добавил, что цель генпроектировщика — сформировать полную стоимость объекта. Для атомной станции это влияет на стоимость киловатта электроэнергии. Если затраты на ИБ перенести на этап эксплуатации, государство не сможет правильно оценить эффективность актива, а заказчик понесет колоссальные убытки и риски остановки объекта.

Главные выводы и рекомендации. Как сократить разрыв между строительной нормативкой и ИТ-регулированием?

По итогам дискуссий Вадим Исаев попросил экспертов сформулировать 1-2 конкретные меры для сокращения разрыва между строительной нормативкой и ИТ-регулированием.

Юрий Антоненко призвал развивать институт экспертизы решений по ИБ и не лениться — принимать новые вызовы, а не искать пути, как избежать работы.

Константин Сахаров считает, что драйвером должны стать сами владельцы объектов. Если они осознают риски — будут толкать проектировщиков и регуляторов.

Дмитрий Даренский предложил делать ставку не на создание новых ГОСТов, а на практические отраслевые руководства и методологические рекомендации для всех игроков строительной отрасли — как применять уже существующие стандарты на всех этапах жизненного цикла строительства - от разработки заданий на проектирование задания и проектирования с оценкой бюджетов до строительства и ввода в эксплуатацию. Также он высказался за «кросс-функциональность»: специалисты по инженерным и телекоммуникационным системам должны владеть основами кибербезопасности так же, как, например, любой специалист по информационной безопасности сегодня владеет основами информационных технологий.

Комментарий модератора Вадима Исаева журналу RUБЕЖ по итогам сессии 

В интервью журналу RUБЕЖ Вадим Исаев, технический директор по развитию отрасли Positive Technologies, назвал прошедшую сессию экспериментом, потому что капитальное строительство и ИТ на первый взгляд почти не пересекаются. Однако спикер подчеркнул важность синергии между информационной и физической безопасностью. Например, интеграция системы контроля доступа с учетными записями пользователей позволяет выявлять инциденты: сотрудник в отпуске, а его учетная запись активна.

Самый яркий итог сессии, по словам Исаева, это подтверждение того, что закладывать требования по кибербезопасности в стадию проектирования можно и нужно.

Ранее RUБЕЖ сообщал, что III флагманская кросс-отраслевая конференция АКПО-Конф собрала лидеров отрасли и обозначила контуры зрелого российского ИТ-рынка.