Illustration af Dalbert Vilarino
Cybersikkerhed er ved at blive et mere centralt emne for byggebranchen.
Efterhånden som verden bliver mere forbundet gennem mobilteknologi og netværksbaseret cloudcomputing, har virksomheder i alle brancher været nødsaget til at stramme op på sikkerhedsforanstaltningerne for at beskytte deres kunders data såvel som andre typer af følsomme oplysninger om virksomheden.
Byggebranchen er ikke en undtagelse. Med den voksende indførelse af ny teknologi – fra dataanalyse til kunstig intelligens og værktøjer, der fortsætter med at hjælpe branchen med dens overordnede digitale transformation – gør den sig i stigende grad sårbar over for risici og trusler, der følger med arbejdet i et mere digitalt økosystem.
Byggevirksomheder er nødt til at forblive årvågne og opdaterede med hensyn til deres sikkerhedstiltag for at bekæmpe den stigende trussel om cyberangreb. Her er nogle strategier og taktikker, som anbefales af brancheeksperter.
Opstil krav om SSO for alle medarbejdere
Når det drejer sig om cybersikkerhed, behøver ingen virksomhed at klare det alene. Efterhånden som cybersikkerhedsbranchen er vokset, er også antallet af virksomheder, som er specialiseret i foranstaltninger, der hjælper virksomheder med at sikre driften, vokset.
Som et resultat deraf bør byggevirksomheder ikke være bange for at arbejde sammen med en tredjepart om deres cybersikkerhed i tillæg til at ansætte interne ledere og teams til at overvåge indsatsen.
Cybersikkerheden er muligvis mere følsom i byggebranchen på grund af antallet af underleverandører, der arbejder side om side med hovedentreprenøren på projekter. På et større byggeprojekt kan der være flere hundrede underleverandører, som anvender dets teknologi og data. Dette gør disse projekter mere sårbare over for potentielle cyberangreb.
L. Russell Dalton, associeret vicepræsident, digital praksis og teknologibygningsinformationsmodellering (BIM) for entreprenøren AECOM, fører tilsyn med byggefirmaets interne projekter. Han sagde, at virksomheden “samarbejder med en lang række underleverandører og entreprenører i branchen fra hele USA på vores projekter, og sikkerheden er af største vigtighed.”
AECOM anvender også enkeltlogon (SSO) gennem et virtuelt privat netværk (VPN) for at sikre sig mod cybertrusler, og virksomheden kræver, at alle medarbejdere har SSO aktiveret på al den teknologi, de anvender.
“Vi har vores interne SSO-krav om, at man ikke har separate logon-oplysninger til alt muligt,” sagde Dalton. “Vi bruger VPN til enkeltlogon, og det kombinerer vores tilladelser til det, vi har lov til at komme ind på. For at vi overholder Defense Federal Acquisition Regulation Supplement (DFARS) på vores kontrakter med myndighederne anvender vi også sikkert servicedomæne i et VDI (virtuelt skrivebordsmiljø).”
Dalton sagde, at DFARS-kravet blev mere relevant i november 2020 for områder i virksomhedens kontrakter med myndighederne, hvor de har adgang til klassificerede oplysninger. “Vi kører med et sikkert servicedomæne i et VDI-miljø, der holder det hele bag firewallen – krypterede pc’er. Det er i realiteten en kontrolleret SCIF (Sensitive Compartmented Information Facility) i en virtuel verden.”
Ud over at bruge SSO og VPN anbefaler Dalton kraftigt, at byggevirksomheder opbevarer alle deres data bag en firewall eller anvender en sikker cloudløsning.
Brug leverandører, der er SOC 2-kompatibelt krypteret
Dalton sagde, at hvis byggevirksomheder arbejder på stærkt sikrede projekter, så burde de arbejde i en SOC 2-kompatibel krypteret verden. Med andre ord skal man vælge teknologi med omtanke. “For at blive SOC 2-kompatibel skal man være leverandør af et cloudbaseret system eller et FTP touch-system i et år,” sagde Dalton.
Uanset hvor lagerdataene er, skal teknologileverandører have mange års erfaring og dokumenterede resultater, før de kan få lov at ansøge om SOC 2-kompatibilitet.
Hvis byggevirksomheder arbejder med et DFARS-krav på kontrakter med myndighederne, anbefaler Dalton, at de besøger det føderale risikoregister – FedRAMP marketplace, som er en officiel hjemmeside fra de amerikanske myndigheder – for at bekræfte, at leverandøren overholder standarden. Dalton sagde, at på denne hjemmeside kan virksomheder finde en komplet liste over alle almindelige datamiljøapplikationer og leverandører, der er FedRAMP-godkendte, samt en liste med leverandører under behandling.
For eksempel har udbyderen af cloudcomputing, Amazon Web Services, 420 FedRAMP-godkendte autorisationer. “Når vi arbejder på et projekt, og kunden siger, ‘Vi ønsker at bruge produkt X, og det er et FedRAMP-krav, så vi er nødt til at gå til denne hjemmeside og kontrollere, om det er korrekt,” sagde Dalton.
Uddan medarbejderne
Michael Bonelli, projektarkitekt hos Michael Pagnotta Architecture & Construction, sagde, at den vigtigste opgave, når det drejer sig om byggebranchens cybersikkerhed, er at uddanne medarbejderne til at være opmærksomme på trusler og de taktikker, der almindeligvis bruges af hackere.
Medarbejderne skal:
- Være på vagt over for mærkelige e-mails fra ukendte afsendere med ualmindelige vedhæftninger
- Altid scanne e-mailvedhæftninger med et antivirusprogram, inden de åbner dem
- Regelmæssigt opdatere computere og anden teknologi med det nyeste styresystem
Bonelli har, ligesom Dalton, også rådet byggevirksomheder til at “installere en firewall på netværket og holde styr på unormal aktivitet, der forsøger at bryde gennem den installerede beskyttelse. Scan listen med IP-adresser, der er forbundet til netværket, og inspicer alt usædvanligt,” sagde han.
Derudover sagde Bonelli, at byggevirksomheder bør have sikkerhedskopier flere steder for at sikre, at virksomheden i tilfælde af filtab effektivt kan gendanne dem og holde driften kørende. Dette omfatter både sikkerhedskopier i skyen såvel som på fysiske harddiske på stedet.
I takt med at teknologi bliver mere integreret i branchen – og flere medarbejdere tager post-pandemiens normal med fjern- og hybridarbejde til sig – er det vigtigt, at byggevirksomhederne holder et kritisk øje på cybersikkerheden og holder deres data og drift sikre. Disse tips er et godt udgangspunkt, men husk, at efterhånden som branchen udvikler sig med teknologi, gør dem, der prøver at bryde ind og stjæle følsomme data, det samme.
Vedligeholdelse af god cybersikkerhed er ikke en installer-og-glem-det-handling. Det er noget, der konstant skal overvåges og opdateres.