Zakaj je gradbena industrija priljubljena tarča hekerjev: šest šibkih točk

Gradbena industrija je bila med letoma 2022 in 2023 priča neverjetnemu, kar 40-odstotnemu povečanju kibernetskih groženj in napadov, kar je na vrhu seznama panog v letnem kibernetskem poročilu ReliaQuest 2023, ki ga objavlja ​ReliaQuest, ameriško podjetje, specializirano za kibernetsko varnost. Še več, kot pravi Anita Molitor, strokovnjakinja za kibernetska tveganja pri GrECo Specialty, napovedi kažejo, da bo to število še naraščalo. Zakaj je industrija vse bolj ranljiva za kibernetske grožnje in kaj lahko gradbena podjetja storijo, da se zaščitijo?

Nove tehnologije – več priložnosti za napadalce

Gradbena industrija, ki je močno odvisna od tehnologije in zunanjih ponudnikov, je priča hitri digitalizaciji, ki spreminja sisteme, naprave in sam način dela. Ker vse več podjetij sprejema inovativna orodja, kot so Building Information Modeling (BIM), robotika, brezpilotna letala, aplikacije za pametne telefone, programska oprema za upravljanje gradnje in naprave interneta stvari (IoT), se priložnosti za napade za kibernetske kriminalce znatno razširijo. Kibernetski napadalci so to ranljivost opazili, drugi pa ne.

Vzemimo za primer sistem za upravljanje stavb (BMS). To je osrednje vozlišče, ki nadzira delovanje stavbe in integrira različne sisteme, kot so HVAC, uporaba energije, varnost in voda, v eno pametno, centralizirano platformo. To orodje optimizira energetsko učinkovitost in izboljšuje udobje in varnost zgradbe, v kombinaciji s pametnimi zgradbami pa je mogoče skoraj vse nadzorovati na daljavo. Vendar je tveganje pri teh novih tehnologijah njihova povezava z drugimi omrežji. Če niso zavarovani, postanejo ranljivi za kibernetske napade, kar lahko napadalcem omogoči nadzor kritičnih sistemov.

Čeprav nam lahko te tehnologije pomagajo, da projekti ostanejo znotraj razpoložljivega proračuna, pa ne zagotavljajo nobene zaščite, ko kibernetski napad zmoti njihovo delovanje.

Nerazvita kibernetska varnost

Hitrost digitalizacije v gradbeništvu je presegla naložbe v kibernetsko varnost. Podjetja uvajajo nove tehnologije, vendar varčujejo pri zaposlovanju strokovnjakov za kibernetsko arhitekturo in varnost. Poleg tega imajo na gradbiščih velikokrat zastarele naprave in programsko opremo brez posodobitev, kar ustvarja popolno priložnost za vstop kibernetskih napadalcev. Ena sama nezaščitena naprava lahko ogrozi celoten sistem.

Pomanjkanje ozaveščenosti in usposabljanja

Premalo ozaveščenosti in usposabljanja še povečuje ranljivost podjetij. Zaposleni morda ne bodo prepoznali poskusov lažnega predstavljanja, zlonamerne programske opreme ali kibernetskih groženj, ki lahko vodijo do nenamernih dejanj, kot je klikanje zlonamernih povezav ali prenos škodljivih prilog. Posledice so lahko katastrofalne. Poleg tega zaposleni, ki so neustrezno usposobljeni za protokole kibernetske varnosti ali ne poznajo najboljših praks kibernetske varnosti, morda ne vedo, kako se učinkovito odzvati na kršitve varnosti. Daljša ko je zamuda pri odzivu na incident, več časa ima kibernetski kriminalec, da izkoristi ranljivosti in povzroči večjo škodo.

Pomanjkanje predpisov

Cilj direktive o ukrepih za visoko skupno raven kibernetske varnosti v EU (NIS2) je zagotoviti visoko raven kibernetske varnosti v 15 panogah, vendar gradbena industrija ni med njimi. To pomanjkanje regulatornega pritiska pomeni premalo spodbude za razvoj robustne kibernetske higiene.

Kljub temu skupina GrECo močno priporoča, da podjetja kar najbolj upoštevajo zahteve NIS2, da tako zaščitijo svoje stranke in podjetje.

Ranljivosti dobavne verige

Gradbeništvo je močno odvisno od dobaviteljev, podizvajalcev in prodajalcev. Kibernetska tveganja tretjih oseb vključujejo morebitne kršitve podatkov zaradi ranljivosti v IT-okolju prodajalca, kar ima finančne posledice, posledice za ugled in zakonodajo.

Pogoste napačne predstave

Mnoga podjetja menijo, da njihovi podatki niso dragoceni ali da so premajhni, da bi bili lahko cilj napadalcev. Vendar so informacije o zaposlenih in načrtih zelo dragocene.

Mala podjetja so lahke tarče, prek njih lahko kibernetski kriminalci dostopajo do večjih dobaviteljev. Nekatera podjetja menijo, da se lahko sama spopadejo s kibernetskimi napadi, a brez pravih strokovnjakov in znanja je to tvegana predpostavka.

Kako lahko industrija ublaži kibernetske grožnje?

Primarna kibernetska tveganja za gradbena podjetja vključujejo izsiljevalsko programsko opremo, kršitve podatkov, napade na dobavno verigo in goljufiva bančna nakazila. Zlonamerna programska oprema, ki zaklene ali šifrira podatke na računalniku ali v omrežju ter od žrtve zahteva odkupnino, lahko zapre podjetje za več tednov, kršitve podatkov pa lahko povzročijo pravno škodo in škodo ugledu.

Napadi na dobavno verigo izkoriščajo ranljivosti v ponudnikih tretjih oseb, goljufiva bančna nakazila pa preusmerjajo plačila kibernetskim kriminalcem. Da bi ublažila ta tveganja, bi morala podjetja uvesti večfaktorsko avtentikacijo, usposabljanje zaposlenih, stroge dvojne kontrole za spremembe plačil, učinkovite strategije za preprečevanje kršitev podatkov, zaznavanje in odzivanje na končne točke (EDR), preizkušene varnostne kopije in načrt odzivanja na incidente.

Prednost kibernetskega zavarovanja

Kibernetsko zavarovanje, ki ga podjetja lahko sklenejo prek strokovnjakov skupine GrECo, krije finančne izgube, ki so posledica kibernetskih napadov, vključno s prekinitvijo poslovanja, kriznim upravljanjem in pravnimi obveznostmi. Standardni zavarovalni produkti običajno ne pokrivajo kibernetskih dogodkov, zato morajo podjetja sama kriti stroške. Čeprav lahko varnostne ekipe ublažijo kibernetska tveganja, 100-odstotne zaščite ni. Razumevanje tveganja podjetja omogoča prilagojene rešitve za ublažitev in prenos tveganja prek kibernetskega zavarovanja.

Potrebe po robustnih ukrepih kibernetske varnosti v gradbeništvu ni mogoče preceniti. Izvajanje obsežnih strategij kibernetske varnosti, vključno s kibernetskim zavarovanjem, ne bo le zaščitilo vašega gradbenega podjetja pred finančnimi izgubami, temveč tudi povečalo vaš ugled in zaupanje pri strankah in partnerjih.

---

Naročnik oglasne vsebine je GrECo