mgr inż. Izabela Taborowska
CEO w Cyberclue
Numer 77, 04 2025

Artykuł pochodzi z Numer 77, 04 2025

Publikacja: 2025-04

Cyberbezpieczeństwo w budownictwie: wyzwania ery cyfrowej transformacji

Wprowadzenie

Branża budowlana przechodzi transformację cyfrową, integrując innowacyjne technologie, takie jak Building Information Modeling (BIM), Internet of Things (IoT) oraz inteligentne place budowy. Ta cyfrowa ewolucja, choć przynosi wymierne korzyści w postaci usprawnienia procesów, zwiększenia efektywności i redukcji kosztów, niesie ze sobą również nowe, poważne zagrożenia związane z cyberbezpieczeństwem. Ataki na systemy IT w sektorze budowlanym mogą prowadzić do katastrofalnych konsekwencji, takich jak długotrwałe opóźnienia w realizacji projektów, nieodwracalna utrata strategicznych danych, naruszenie tajemnic handlowych, a w skrajnych przypadkach nawet zagrożenie dla bezpieczeństwa publicznego.

W kontekście rosnących napięć geopolitycznych i zwiększonych inwestycji w infrastrukturę krytyczną, cyberbezpieczeństwo w budownictwie staje się ważnym, a często jeszcze nie traktowanym poważnie wyzwaniem, zarówno dla sektora publicznego, jak i prywatnego. Firmy budowlane, realizujące projekty o strategicznym znaczeniu, stają się coraz częściej celem wyrafinowanych ataków, przeprowadzanych przez grupy hackerskie wspierane przez państwa lub organizacje przestępcze. Często łatwiej jest im zaatakować tzw. łańcuch dostaw niż bezpośrednio dużą instytucję państwową czy firmę z sektora usług krytycznych.

Przedstawię analizę aktualnych zagrożeń oraz konkretne przykłady ataków.  Warto poznać praktycznych wskazówki, które pomogą firmom budowlanym zabezpieczyć swoje zasoby cyfrowe i minimalizować ryzyko cyberincydentów.

Geopolityka a cyberzagrożenia w budownictwie

Wzrost napięć geopolitycznych, konflikty zbrojne oraz globalne inwestycje w infrastrukturę obronną sprawiają, że sektor budowlany staje się coraz bardziej atrakcyjnym celem dla cyberprzestępców. Budownictwo, tradycyjnie postrzegane jako mniej narażone na ataki, obecnie odgrywa kluczową rolę w strategicznych projektach, takich jak budowa baz wojskowych, lotnisk, portów, infrastruktury energetycznej i transportowej czy systemów komunikacyjnych.

Cyberataki w sektorze budowlanym mogą przybierać różnorodne formy, w tym:

  • Szpiegostwo przemysłowe: wykradanie poufnych planów architektonicznych, szczegółowych strategii realizacji inwestycji, danych dotyczących kosztorysów, ofert przetargowych, umów z podwykonawcami oraz informacji o technologiach i materiałach budowlanych. Celem tego typu ataków jest uzyskanie przewagi konkurencyjnej lub wykorzystanie skradzionych informacji do celów wywiadowczych.
  • Sabotaż cyfrowy: zakłócanie działania systemów BIM, IoT i oprogramowania do zarządzania projektami w celu wstrzymania budowy, generowania błędów w dokumentacji projektowej, uszkodzenia infrastruktury krytycznej, wywołania awarii systemów sterowania i monitoringu oraz zakłócenia procesów logistycznych.
  • Ataki ransomware: blokowanie dostępu do krytycznych danych projektowych, harmonogramów, dokumentacji technicznej, baz danych klientów i partnerów biznesowych, systemów finansowych, a następnie żądanie okupu za ich odzyskanie. Ataki ransomware mogą prowadzić do paraliżu działalności firmy, utraty reputacji i poważnych strat finansowych.
  • Wpływanie na przetargi: manipulowanie procesami przetargowymi poprzez ataki phishingowe, dezinformację, kradzież tożsamości, podszywanie się pod pracowników firm konkurencyjnych lub urzędników państwowych, w celu uzyskania nieuczciwej przewagi konkurencyjnej, wyeliminowania konkurentów z przetargu lub zmiany warunków umowy na korzyść atakującego.
  • Ataki na łańcuch dostaw: wykorzystywanie luk w zabezpieczeniach systemów IT podwykonawców, dostawców materiałów budowlanych, firm transportowych lub innych partnerów biznesowych, w celu uzyskania dostępu do systemów IT firmy budowlanej, kradzieży danych lub przeprowadzenia ataku sabotażowego.

​ W kontekście konfliktu rosyjsko-ukraińskiego, cyberwojna między tymi krajami nasiliła się równolegle z działaniami militarnymi. W grudniu 2024 roku cyberatak spowodował tymczasowe zawieszenie rejestrów państwowych w Ukrainie, co wpłynęło na tysiące obywateli.

Te dane podkreślają rosnące zagrożenie dla całej gospodarki, a w szczególności dla firm budowlanych zaangażowanych w projekty infrastruktury krytycznej, zwłaszcza te finansowane ze środków publicznych lub realizowane na zlecenie rządów i organizacji międzynarodowych. Ataki te stają się coraz bardziej wyrafinowane, a ich celem jest nie tylko kradzież danych, ale również destabilizacja gospodarki i naruszenie bezpieczeństwa państwa.

Przykłady ataków:

  • Vinci Construction (Francja, 2022):
  • ( https://www.csis.org/analysis/cyber-war-and-ukraine?utm_source)

Sytuacja w Polsce

Polska, ze względu na swoje strategiczne położenie geograficzne, bliskie relacje z Ukrainą oraz zaangażowanie w realizację projektów infrastrukturalnych o znaczeniu europejskim i transatlantyckim, znajduje się w centrum zainteresowania grup hackerskich. Wzrost wydatków na obronność, realizacja strategicznych inwestycji (np. Centralny Port Komunikacyjny, Terminal kontenerowy w Świnoujściu, terminal FSRU , elektrownia atomowa na pomorzu, Via Carpatia) oraz modernizacja infrastruktury krytycznej sprawiają, że sektor budowlany w Polsce staje się coraz bardziej atrakcyjnym celem dla cyberataków, przeprowadzanych zarówno przez grupy hakerskie wspierane przez państwa, jak i organizacje przestępcze. ​W 2023 roku polski sektor budowlany, zwłaszcza firmy zaangażowane w strategiczne inwestycje infrastrukturalne, stał się celem nasilonych ataków phishingowych. Cyberprzestępcy wykorzystywali różne techniki, takie jak fałszywe oferty pracy czy podszywanie się pod znane marki, aby zdobyć dane uwierzytelniające pracowników i uzyskać dostęp do systemów IT firm. (​eset.com)

W styczniu 2024 roku odnotowano również próbę przejęcia kontroli nad inteligentnym systemem zarządzania placem budowy w jednym z dużych projektów infrastrukturalnych. Celem ataku było zakłócenie funkcjonowania systemów monitoringu, sterowania maszynami budowlanymi oraz zarządzania energią i bezpieczeństwem, co mogło prowadzić do awarii i przestojów w pracy. (​CERT Polska)

Dodatkowo, w 2024 roku, grupa cyberprzestępcza Hunters przeprowadziła atak na firmę AIUT Sp. z o.o., lidera w dziedzinie automatyki, robotyki i IoT. W wyniku ataku wykradziono i opublikowano około 5,9 TB danych, w tym plany projektowe, umowy NDA oraz dane osobowe pracowników. Incydent ten uwypuklił rosnące zagrożenie cyberatakami w sektorze przemysłowym. ​(Security Magazine)

W maju 2024 roku Polska znalazła się na pierwszym miejscu w Unii Europejskiej pod względem liczby ataków phishingowych. W tym okresie zarejestrowano 21 tys. prób ataku nowym rodzajem phishingu skierowanym wobec pracowników polskich firm. Atakujący stosowali różne rodzaje złośliwego oprogramowania, aby wykradać dane i przechowywać je na przejętych serwerach firmowych. (https://ifk.pl/fale-atakow-phishingowych-na-polskie-firmy-80-ofiar-to-pracownicy-malych-i-srednich-przedsiebiorstw-86001/?utm_source)

Odpowiedzialność zarządu i regulacje prawne

W obliczu dynamicznego procesu cyfryzacji sektora budowlanego, odpowiedzialność zarządu przedsiębiorstwa nie ogranicza się wyłącznie do kwestii finansowych, operacyjnych czy zgodności z przepisami prawa budowlanego. Współczesne wyzwania związane z cyberzagrożeniami wymagają, aby cyberbezpieczeństwo stało się integralnym elementem procesu zarządzania ryzykiem. Zarządy firm budowlanych mają obowiązek uwzględnienia aspektów cyberbezpieczeństwa na poziomie strategicznym, traktując je jako kluczowy element ochrony zarówno aktywów przedsiębiorstwa, jak i jego reputacji oraz ciągłości działania. W konsekwencji, zarząd powinien podejmować decyzje mające na celu minimalizowanie ryzyka cyberataków, w tym poprzez wdrażanie adekwatnych polityk, procedur oraz rozwiązań technologicznych.

Możemy wyróżnić kilka kluczowych elementów budowania odporności cyberbetycznej, o które kierownictwo organizacji powinno zadbać:

Wdrożenie i zapewnienie respektowania Systemu Zarządzania Bezpieczeństwem Informacji (SZBI): Wdrożenie i nadzór nad aktualnością i stosowaniem polityk i procedur w obszarach ochrony danych i informacji, dostępu do systemów, zarządzania hasłami, reagowania na incydenty, tworzenia kopii zapasowych, aktualizacji oprogramowania oraz szkoleń dla pracowników.

Zarządzanie zgodnością z regulacjami: Bieżące monitorowanie zmian w prawie i analiza ich stosowania, dostosowanie się do wymogów prawnych, takich jak NIS-2 (Network and Information Security Directive)/Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UoKSC), GDPR (General Data Protection Regulation) oraz innych przepisów dotyczących ochrony danych osobowych, tajemnic handlowych i informacji poufnych.

Inwestowanie w cyberodporność: Zapewnienie szkolenia pracowników, wdrażanie nowoczesnych systemów bezpieczeństwa (np. firewalle, systemy wykrywania włamań, oprogramowanie antywirusowe, systemy zarządzania tożsamością i dostępem, systemy monitoringu i analizy incydentów), regularne przeprowadzanie audytów bezpieczeństwa, testów penetracyjnych oraz monitorowanie wschodzących zagrożeń.

Wdrażanie planów ciągłości działania (BCP): Opracowanie i regularne testowanie szczegółowych scenariuszy awaryjnych, które pozwolą na szybkie przywrócenie działalności w przypadku cyberataku, awarii systemów IT, katastrofy naturalnej lub innego zdarzenia losowego.

Regulacje prawne:

  • NIS-2: Dyrektywa NIS-2 (Network and Information Security Directive) ma na celu podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej, poprzez nałożenie na firmy z sektorów krytycznych obowiązków w zakresie identyfikacji zagrożeń, wdrażania systemów ochrony przed cyberatakami, zgłaszania incydentów do organów nadzorczych oraz przeprowadzania regularnych audytów bezpieczeństwa.
  • GDPR (RODO): Rozporządzenie o ochronie danych osobowych (RODO) nakłada na firmy obowiązek ochrony danych osobowych pracowników, klientów, partnerów biznesowych oraz innych osób, których dane są przetwarzane w związku z działalnością firmy. Firmy budowlane muszą wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo danych osobowych, minimalizować ryzyko naruszenia danych oraz przestrzegać zasad transparentności, rozliczalności i minimalizacji danych.

Ataki ransomware na systemy zarządzania projektami

Systemy zarządzania projektami, takie jak oraz inne, stały się nieodłącznym elementem nowoczesnego budownictwa. Gromadzą one ogromne ilości danych – od harmonogramów prac, przez plany konstrukcyjne, modele 3D, dokumentację techniczną, po informacje o podwykonawcach, dostawcach, kosztorysach, umowach i danych finansowych. W przypadku cyberataku, a zwłaszcza ataku ransomware, skutki mogą być katastrofalne:

  • Sparaliżowanie projektów: atak ransomware może uniemożliwić dostęp do kluczowych plików projektowych, baz danych, systemów komunikacji i współpracy, co prowadzi do całkowitego paraliżu działalności firmy, wstrzymania prac budowlanych, opóźnień w realizacji projektów oraz utraty zaufania klientów.
  • Wzrost kosztów i opóźnienia: brak dostępu do danych wpływa na logistykę dostaw materiałów, koordynację prac, przestrzeganie harmonogramów, zarządzanie budżetem oraz komunikację z klientami i partnerami biznesowymi. Koszty związane z przestojami, odzyskiwaniem danych, naprawą systemów IT oraz odszkodowaniami dla klientów mogą być bardzo wysokie.
  • Zagrożenie dla bezpieczeństwa: przejęcie kontroli nad systemami IoT sterującymi maszynami budowlanymi, systemami monitoringu, kontroli dostępu, zarządzania energią lub bezpieczeństwem może stworzyć realne niebezpieczeństwo dla pracowników, infrastruktury oraz otoczenia. Atakujący mogą wykorzystać przejęte systemy do wywołania awarii, uszkodzenia maszyn, spowodowania wypadków lub kradzieży.

Ochrona danych w systemach BIM i IoT na placach budowy

Nowoczesne place budowy coraz częściej wykorzystują zaawansowane technologie, takie jak Internet of Things (IoT), systemy monitoringu, drony, roboty budowlane, systemy zarządzania energią oraz systemy bezpieczeństwa. Systemy BIM (Building Information Modeling) ułatwiają współpracę między architektami, inżynierami, wykonawcami, inwestorami i innymi uczestnikami procesu budowlanego, umożliwiając tworzenie wirtualnych modeli budynków, symulowanie procesów budowlanych, optymalizowanie kosztów i zarządzanie ryzykiem. Jednakże, integracja tych technologii tworzy również nowe punkty podatne na ataki cybernetyczne:

  • Nieautoryzowany dostęp do danych BIM: może prowadzić do kradzieży własności intelektualnej, takich jak unikalne projekty budowlane, innowacyjne technologie, know-how oraz informacje o kosztach i strategiach biznesowych.
  • Ataki na inteligentne systemy monitorujące: mogą spowodować celowe błędy w harmonogramach dostaw i wykonania prac, zakłócenia w procesach logistycznych, uszkodzenia materiałów budowlanych oraz utratę kontroli nad placem budowy.
  • Złośliwe oprogramowanie w systemach IoT: może zakłócić pracę ciężkiego sprzętu, doprowadzić do awarii maszyn, spowodować wypadki na placu budowy, narazić pracowników na niebezpieczeństwo oraz wywołać chaos i panikę.

Praktyczne wskazówki dla firm budowlanych

W celu podniesienia odporności na cyberzagrożenia, firmy budowlane powinny wdrożyć kompleksową strategię cyberbezpieczeństwa, opartą na następujących praktykach:

  • Aktualizacja systemów IT: regularne aktualizacje oprogramowania, systemów operacyjnych, baz danych oraz innych komponentów infrastruktury IT są kluczowe dla eliminowania luk w zabezpieczeniach, które mogą być wykorzystane przez cyberprzestępców.
  • Zabezpieczanie dostępu do systemów BIM i IoT: wykorzystywanie autoryzacji wieloskładnikowej (MFA), silnych haseł, szyfrowania danych, oraz innych mechanizmów kontroli dostępu w celu ograniczenia ryzyka nieautoryzowanego dostępu do systemów IT.
  • Tworzenie kopii zapasowych kluczowych danych: regularne backupy przechowywane offline, w bezpiecznej lokalizacji (innej niż siedziba firmy), mogą uchronić firmę przed utratą informacji w wyniku ataku ransomware, awarii systemów IT, katastrofy naturalnej lub innego zdarzenia losowego.
  • Monitorowanie bezpieczeństwa łańcucha dostaw: monitorowanie, czy podwykonawcy, dostawcy materiałów budowlanych, firmy transportowe oraz inni partnerzy biznesowi spełniają standardy cyberbezpieczeństwa, posiadają odpowiednie zabezpieczenia systemów IT oraz przestrzegają zasad ochrony danych.
  • Szkolenia dla pracowników: regularne szkolenia z zakresu rozpoznawania ataków phishingowych, technik socjotechnicznych, bezpiecznego korzystania z Internetu, ochrony danych osobowych oraz innych aspektów cyberbezpieczeństwa.
  • Wdrażanie systemów wykrywania i reagowania na incydenty: monitorowanie sieci i systemów w celu wykrywania podejrzanych aktywności, anomalii, nieautoryzowanych dostępów oraz innych oznak cyberataku. W przypadku wykrycia incydentu, należy szybko i skutecznie zareagować, aby zminimalizować szkody i przywrócić normalne funkcjonowanie firmy.
  • Przeprowadzanie regularnych audytów bezpieczeństwa: ocena skuteczności wdrożonych zabezpieczeń, identyfikacja potencjalnych luk w systemach i procesach IT, testowanie odporności na ataki oraz opracowywanie planów naprawczych.
  • Ubezpieczenie od ryzyka cybernetycznego: rozważenie zakupu polisy ubezpieczeniowej, która pokryje koszty związane z odzyskiwaniem danych, naprawą systemów IT, odszkodowaniami dla klientów, stratami finansowymi oraz innymi konsekwencjami cyberataku.

Podsumowanie

Branża budowlana stoi przed nowymi, poważnymi wyzwaniami związanymi z cyberbezpieczeństwem. Rosnąca liczba ataków ransomware, cyfryzacja procesów budowlanych, integracja systemów BIM i IoT oraz regulacje NIS-2 sprawiają, że firmy muszą wdrożyć skuteczne, kompleksowe i proaktywne środki ochrony przed cyberzagrożeniami.

W Polsce sektor budowlany jest coraz częściej celem ataków, szczególnie w kontekście infrastruktury krytycznej i strategicznych projektów. Cyberprzestępcy widzą w nim lukratywny cel, a brak odpowiednich zabezpieczeń może skutkować milionowymi stratami, długimi opóźnieniami w realizacji inwestycji, naruszeniem reputacji firmy oraz zagrożeniem dla bezpieczeństwa państwa.

Wprowadzenie strategii zarządzania ryzykiem cybernetycznym, inwestycje w cyberodporność, ścisła współpraca z ekspertami IT, regularne szkolenia dla pracowników oraz proaktywne monitorowanie zagrożeń pozwolą na skuteczne zabezpieczenie organizacji przed cyberatakami, minimalizując potencjalne straty i zapewniając ciągłość działalności.