Краткий обзор погружения:
- Skanska объявила что она будет работать со сторонним поставщиком, чтобы оптимизировать и автоматизировать свои усилия по обеспечению кибербезопасности.
- Глобальная строительная и девелоперская компания будет использовать платформу автоматического тестирования на проникновение PenTera от Pcysys для анализа и определения приоритетности уязвимостей своей киберзащиты. . Согласно пресс-релизу, программное обеспечение имитирует мышление хакера и выполняет непрерывные машинные тесты на проникновение, которые повышают иммунитет компании к атакам.
- Хотя некоторые крупные строительные фирмы контролируют внутренний мониторинг киберугроз, использование По мнению Иоганна Деттвейлера, директора по операциям компании Fairfax, расположенной в штате Вирджиния, компании TalaTek, занимающейся управлением соблюдением требований, для многих имеет смысл привлечение стороннего поставщика. «Большинство строительных фирм настолько сосредоточены на прибыли и физических результатах, что многие даже не подозревают о различных типах конфиденциальных данных, которыми они обладают», — сказал он.
Суть:
Поскольку менеджеры строительства должны контролировать множество материальных активов, от материалов и транспортных средств до персонала, что-то столь незначительное, как данные, можно легко упустить из виду как актив, который нужно защищать, сказал Деттвайлер в интервью Construction Dive. Однако такие данные, как номера социального страхования сотрудников, планы строительства или сроки строительства, легко использовать и могут иметь серьезные юридические и/или финансовые последствия для организации.
Кроме того, сфера кибербезопасности очень сложна и требует множества юридических и нормативных требований, отметил Деттвейлер.
«Работа со специалистами по кибербезопасности может значительно упростить навигацию в этой сфере и помочь освободить лидерам и лицам, принимающим решения, сосредоточиться на прибыльности компании и заниматься тем, что они умеют лучше всего — строительством», — сказал он.
Еще одна проблема заключается в том, что строительные компании, особенно небольшие, не рассматривают себя в качестве целей, рассказала Construction Dive адвокат Мишель Шаап. Таким образом, они могут не инвестировать в соответствующие меры безопасности и защиты данных.
«Эти компании могут использовать более старые версии программных инструментов, которые больше не поддерживаются поставщиком или для которых не установлены исправления. было организовано должным образом», — сказал Шаап, руководитель практики кибербезопасности в Chiesa Shahinian & Giantomasi.
Небольшие субподрядчики, работающие над крупными корпоративными или общественными проектами, особенно уязвимы, сказала она, отметив, что нарушение Target 2013, которое скомпрометировало POS-систему розничного продавца, произошло через поставщика систем отопления, вентиляции и кондиционирования. Позже Target урегулировала нарушение за 18,5 миллионов долларов, что составляет лишь часть от 202 миллионов долларов, которые, по словам компании, были получены в результате инцидента, в ходе которого хакеры украли 40 миллионов номеров кредитных карт клиентов.
Шаап предупредил, что списки поставщиков для крупных проектов, таких как задание Target, часто можно легко найти в Интернете.
«Трудолюбивый злоумышленник может провести исследование и найти самое слабое звено в проекте», — сказала она.