Недавняя атака программы-вымогателя на канадского подрядчика Bird Construction еще раз подчеркнула необходимость меры кибербезопасности в отрасли.
В сообщениях канадских СМИ в конце прошлого месяца говорилось, что государственная подрядная компания из Онтарио стала жертвой инцидента, в результате которого были зашифрованы файлы компании. По словам представителя компании, инцидент не вызвал серьезных последствий, и затронутые файлы были быстро восстановлены.
Тем не менее, проблема вызвала тревожные сигналы об интересах национальной безопасности, поскольку подрядчик является поставщиком строительных услуг для крупных федеральных и провинциальные проекты, включая оборонные объекты и полицейские участки. В январе Министерство обороны США запустило программу сертификации модели зрелости кибербезопасности, чтобы гарантировать, что подрядчики правительственных проектов имеют необходимые методы кибербезопасности для защиты контролируемой несекретной информации, к которой они имеют доступ.
Кроме того, по мнению экспертов, другие данные, такие как номера социального страхования сотрудников, планы зданий и сроки строительства, легко могут быть использованы и могут иметь серьезные юридические и/или финансовые последствия для организации. По их мнению, подход «голова в песок» к возможности киберугроз больше не является разумным.
Здесь Йоханн Деттвайлер, директор по операциям Fairfax, компании по управлению соблюдением требований TalaTek, расположенной в Вирджинии, рассказывает о важность мер кибербезопасности и то, что подрядчики могут сделать, чтобы защитить себя.
СТРОИТЕЛЬСТВО: Почему кибербезопасность так важна для строительных компаний?
ЙОГАНН ДЕТВЕЙЛЕР: Важно отметить, что кибербезопасность важна для всех, от компаний из списка Fortune 500 до людей, работающих в домашнем офисе. Одна из основных причин, по которой организации не задумываются о кибербезопасности, заключается в том, что они склонны рассматривать свои данные как нечто иное, чем актив компании. Строительные компании, в частности, имеют много материальных активов, от материалов до транспортных средств и персонала, и что-то столь незначительное, как данные, можно легко упустить из виду как актив, который необходимо защитить.
Однако все данные являются активом и должны быть защищены. Будь то частные данные сотрудников организации, такие как номера социального страхования или частная информация о человеческих ресурсах (HR), или собственные данные компании, такие как планы строительства или сроки строительства, если бы эти данные были использованы, они могли бы быть использованы. серьезные юридические и/или финансовые последствия для организации.
Идея кибербезопасности заключается в том, чтобы предпринять необходимые шаги, проявить должную осмотрительность и внимательность, чтобы обеспечить учет данных, которыми владеет и обрабатывает организация, и предпринять необходимые шаги для обеспечения определенного уровня защиты. Потеря конфиденциальной информации клиента или сотрудника может привести к судебным издержкам и/или штрафным убыткам, поскольку все организации, которые собирают и обрабатывают эти данные, обязаны принимать те или иные меры для защиты их от несанкционированного раскрытия. Эти виды ущерба довольно легко поддаются количественной оценке, и они могут нанести ущерб прибыли организации.
Существует также неизмеримый ущерб, который могут понести организации, например потеря доверия клиентов и конкурентных преимуществ. Эти виды ущерба сложнее оценить, но они определенно оказывают существенное влияние на общую прибыльность организации.
Большинство из них относятся к этому серьезно?
ДЕТВЕЙЛЕР: Дело не в том, что большинство строительных компаний не относятся к кибербезопасности серьезно. В сегодняшних условиях, учитывая все постоянные новости о взломах и потере данных, каждая организация понимает важность кибербезопасности. Однако кибербезопасность сложна и увеличивает стоимость проведения операции.
Большинство строительных фирм настолько сосредоточены на прибыли и физических результатах, что многие даже не подозревают о различных типах конфиденциальных данных, которыми они обладают. Многие руководители не понимают, что их данные имеют ценность, поскольку они нематериальны и не оказывают прямого влияния на прибыльность компании до тех пор, пока не произойдет утечка, а тогда может быть уже слишком поздно думать о кибербезопасности.
Кибербезопасность также имеет встроенную «ловушку 22»: если все сделано правильно и работает по назначению, ничего не происходит. Руководителям очень трудно понять, что внедрение кибербезопасности и, следовательно, понесение этих расходов до того, как произойдет утечка данных, всегда будет менее дорогостоящим, чем альтернатива — возникновение правовых и нормативных последствий утечки данных.
Сказать, что к кибербезопасности не относятся серьезно, было бы ошибкой. Лица, принимающие решения в строительных фирмах, часто не понимают ценность своих данных, что затрудняет принятие бизнес-решений относительно соответствующих расходов на защиту кибербезопасности.
«Многие руководители не понимают, что их данные имеют ценность, поскольку они нематериальны и не оказывают прямого влияния на прибыльность компании, пока не произойдет утечка».
Какие три основных шага должны предпринять руководители компаний, чтобы защитить себя?
DETTWEILER: Самый важный шаг, который должны предпринять руководители, — это оценить свои сети и понять, какие типы данных обрабатываются. Необходимость знать обо всех данных в своей сети, а также о том, какая часть этих данных является конфиденциальной по своей природе и что необходимо защищать. Им также необходимо понимать, какие юридические и нормативные требования необходимы для защиты их данных.
Второй шаг, который должны предпринять руководители, — это провести оценку рисков, чтобы понять риски для их данных. Лидеры должны знать, с какими рисками они сталкиваются в своих сетях и данных. Понимая эти риски, руководители могут принимать обоснованные решения относительно уровней защиты, необходимых для демонстрации того, что они серьезно относятся к безопасности и применяют должную осмотрительность и внимательность. Эти риски могут возникать во многих областях, включая нормативные требования, внутренние угрозы, физические факторы и факторы окружающей среды, а также атаки со стороны национальных государств.
Наконец, руководители должны иметь возможность оценивать свой персонал и возможности своей организации и обращаться к специалистам по безопасности, если им сложно понять свои нужды и требования. Сфера кибербезопасности очень сложна: существует множество законодательных и нормативных требований, с которыми сталкиваются руководители организаций всех отраслей, и строительство не является исключением. Сотрудничество с профессионалами в области кибербезопасности может значительно упростить навигацию в этой сфере и помочь руководителям и лицам, принимающим решения, сосредоточиться на прибыльности компании и заниматься тем, что они умеют лучше всего — строительством.