Атаки хакеров на объекты недвижимости стали регулярным явлением как в России, так и за рубежом. Особенно часто такие ситуации встречаются в коммерческой недвижимости, дата-центрах и умных зданиях. По данным Kaspersky ICS CERT, всё больше инцидентов в энергетике, ЖКХ и промышленности сопровождаются проникновением в смежные инженерные подсистемы — как точку входа или инструмент давления.
Причина роста такой активности проста: подобные системы часто плохо защищены, используют устаревшие протоколы и оказывают критическое влияние на бизнес — что делает их удобной мишенью. Например, в мае 2025 года российские интеграторы предупредили о компрометации в двух бизнес-центрах класса А в Санкт-Петербурге, где система Tridium Niagara управляла климатом и СКУД. А за март-январь этого года в России зафиксировано почти 300 утечек данных, в том числе от двух российских компаний, которые занимаются системами управления зданиями.
Реальные атаки в этом году тоже случались. Например, в январе группа хакеров атаковала Johnson Controls Russia, в результате чего в московском дата-центре остановились системы управления объектами на более чем 6 часов. Из-за отключения некоторые коммерческие здания перешли на ручное управление отоплением, вентиляцией и кондиционированием.
Уязвимая архитектура: почему инженерные системы стали мишенью
Инженерная инфраструктура зданий уязвима не потому, что за ней не следят. Проблема глубже — эти системы проектировались в другую цифровую эпоху, когда внешних киберугроз не существовало. Сегодня же системы подключены к облаку, управляются удаленно и становятся удобной целью для атак. Вот пять причин, почему они особенно подвержены киберрискам.
1. Наследие замкнутых систем. Большинство инженерных компонентов — контроллеры, шлюзы, датчики — изначально разрабатывались для изолированных сетей. Сейчас же они подключаются к интернету, получают команды по Wi-Fi или Bluetooth, синхронизируются с облачными платформами. Это превращает каждый такой элемент в потенциальную точку взлома.
Так, BLE-модули (это энергоэффективный вариант Bluetooth, который применяют в инженерных датчиках и автоматике) нередко работают без шифрования — и могут быть перезагружены всего одним пакетом, что случалось с одним из устройств Realtek.
2. Минимальная защита «из коробки». Многие устройства поставляются с дефолтными паролями, открытыми портами и без поддержки обновлений. Нередко они используют устаревшие или самописные протоколы. При этом в самих устройствах почти нет встроенных механизмов безопасности.
В ряде кейсов, например, у зарядных станций ChargePoint (BLE-интерфейс), в режиме настройки утекали данные Wi‑Fi, а инженерные шлюзы позволяли подключиться без аутентификации.
3. Разрозненность компонентов. Инженерная система сегодня — это часто набор оборудования от десятков производителей. У каждого — свой интерфейс, прошивка, логика доступа. Это усложняет централизованное управление, обновление, контроль доступа и реагирование на инциденты.
Например, в одном бизнес-центре может одновременно работать 11 разных инженерных систем: вентиляция, освещение, контроль влажности, пожарная сигнализация, СКУД, видеонаблюдение, система управления лифтами, зарядные станции, шторы, энергомониторинг, учёт воды — каждая от своего вендора, с собственной платформой и протоколами.
4. Простые, массовые уязвимости. Злоумышленникам не всегда нужен физический доступ. Выше были примеры с перезагрузкой специальным пакетом и получение настроек через зарядные станции. А иногда достаточно одной фишинговой ссылки, поскольку человеческий фактор никто не отменял.
Так, в апреле 2025 года Innostage зафиксировал рассылку вредоносных «патчей» от имени двух российских BMS-вендоров. Файлы маскировались под обновления для программно-технических комплексов, управляющих инженерными системами зданий. На деле это были бэкдоры, которые устанавливались через фишинговые письма и позволяли атакующему проникнуть внутрь инфраструктуры через цепочку поставок.
5. Отсутствие сегментации и контроля. Во многих зданиях инженерные устройства — от вентиляции до камер — объединены в одну сеть. Если злоумышленник получает доступ хотя бы к одному элементу, он может быстро распространить контроль на всё здание.
Как рынок реагирует на новые риски
Инженерные системы пока не попадают в отдельную категорию в законе, но если здание обслуживает госорган или, скажем, медцентр — его уже могут признать объектом критической информационной инфраструктуры. А это значит — 187-ФЗ, категорирование, ФСТЭК и полная ответственность за утечки и сбои.
Сегодня обсуждается распространение требований на коммерческую и гражданскую недвижимость — особенно на те здания, где стоят СКУД, камеры, лифты, датчики. В ближайшие годы стоит ждать появления штрафов и обязательных требований к информационной безопасности даже для многоквартирных жилых домов.
Пока строгих нормативных требований нет, застройщики и интеграторы используют международные и отраслевые стандарты:
- ISA/IEC 62443 — главный стандарт по кибербезопасности автоматизированных систем;
- ISO/IEC 27001 / 27019 — для систем с повышенными рисками;
- NIST SP 800−82 — руководство по защите SCADA/BMS;
- UL 2900, EN 50518 — для подключаемых устройств и охранных систем.
С технической точки зрения для защиты зданий многое готово, при этом на российском рынке тоже есть немало адаптированных решений. Для сегментации сетей и защищённого доступа используют Рутокен Gate, Аккорд, DallasLock; для мониторинга трафика и поведенческого анализа — Traffic Monitor или «Физику»; для контроля действий подрядчиков и персонала — DeviceLock, StaffCop, WebKiosk. Эти продукты ставят в офисных башнях, жилых кварталах с цифровой платформой, на промышленных объектах и в дата-центрах. Некоторые решения уже сертифицированы ФСТЭК, другие проходят апробацию в пилотных проектах.
У девелоперов же осознание рисков приходит постепенно — чаще всего после первого сбоя или утечки. Пока фокус остаётся в коммерческом сегменте: именно там чаще озабочены защитой инженерной ИТ-инфраструктуры. Но в технических заданиях по-прежнему редко можно встретить полноценные ИБ-требования, если их не продиктовал закон.
Главное, что начинает меняться, — отношение. Умное здание больше не воспринимается как просто «железо с автоматикой». Это цифровой объект, полноценная ИТ-среда — а значит, и подход к его защите должен быть соответствующим.
Что делать девелоперам: чек-листы по этапам
| Если здание уже построено и эксплуатируется | Если здание только проектируется |
| Проведите аудит уязвимостей: проверьте подключенные системы, обновления и доступ. Изолируйте инженерную сеть от Wi-Fi и офисных ПК. Ограничьте удалённый доступ, включите двухфакторную аутентификацию. Обновите оборудование и прошивки. Назначьте ответственного за ИБ инженерных систем. Настройте базовый мониторинг логов и аномалий. Перепроверьте регламенты по паролям, допускам и обновлениям. | Изолируйте инженерные сети (СКУД, камеры, климат) от офиса и интернета. Выбирайте оборудование с возможностью обновления защиты. Проектируйте централизованную систему учетных записей и прав доступа. Запланируйте обучение персонала (инженеры, охрана, эксплуатация). Предусмотрите аудит и пентест перед вводом здания в эксплуатацию. |
Что в итоге. Инженерные системы больше нельзя считать второстепенными. Через уязвимость в кондиционере злоумышленник может получить доступ ко всей сети здания. Через фейковое обновление — встроить бэкдор в управляющую платформу. Через незащищённую камеру — сорвать работу всего объекта. Это не теория, а практика 2025 года. Пока регуляторы готовят штрафы и стандарты, каждый девелопер решает сам: ждать первых инцидентов — или заранее заложить в проект изоляцию сетей, контроль доступа, обновляемое оборудование и аудит. Потому что умное здание без защиты — это не просто риск, а прямое приглашение к атаке.
