Cybersäkerhet i byggbranschen

Tre åtgärder som byggföretagen måste vidta kring cybersäkerhet

Att hålla projektdata skyddade mot cybersäkerhetshot är ett rörligt mål nu för tiden, men de här tre grundläggande stegen leder byggföretagen på rätt väg
Dela på facebook
Dela på linkedin
Dela på twitter
Dela på email

Illustration av Dalbert Vilarino

Cybersäkerhet blir en allt mer central fråga för byggbranschen.

I takt med att världen blir mer sammankopplad genom mobil teknik och nätverksbaserade molntjänster tvingas företag i alla branscher skärpa sina säkerhetsåtgärder för att skydda såväl sina kunders data som alla andra former av känslig företagsinformation.

Byggbranschen är inget undantag. Medan branschen fortsätter att anamma ny teknik – från dataanalys till artificiell intelligens och verktyg som hjälper den att gå vidare med sin övergripande digitala transformation – gör den sig själv alltmer sårbar för de risker och hot som följer med att arbeta i ett mer digitalt ekosystem.

För att bekämpa det växande hotet om cyberattacker måste byggföretagen vara vaksamma och hålla sina säkerhetsåtgärder uppdaterade. Här är några strategier och taktiker som branschexperter rekommenderar.

Gör SSO obligatoriskt för medarbetarna

Inget företag behöver klara sig på egen hand när det gäller cybersäkerhet. Cybersäkerhetsbranschen har vuxit, och med den även de företag som specialiserar sig på åtgärder som hjälper organisationer att säkra sin verksamhet.

Därmed behöver byggföretagen inte vara rädda för att samarbeta om cybersäkerhet med en tredje part, utöver att anställa interna ledare och team som övervakar arbetet.

Cybersäkerheten är kanske extra känslig inom byggbranschen eftersom så många underleverantörer arbetar tillsammans med huvudentreprenören i varje projekt. För ett större byggprojekt kan det finnas hundratals underleverantörer som interagerar med projektets teknik och data. Det gör projektet mer sårbart för potentiella cybersäkerhetsattacker.

L. Russell Dalton, Associate Vice President, Digital Practice and Technology Building Information Modeling (BIM) för entreprenören AECOM, övervakar byggföretagets interna projekt. Han säger att företaget ”samarbetar med en mängd underentreprenörer över hela USA med våra projekt, och säkerheten är ytterst viktig”.

AECOM använder också enkel inloggning (SSO) genom ett virtuellt privat nätverk (VPN) för att skydda sig mot cyberhot, och kräver att samtliga medarbetare har SSO aktiverat för all teknik som de använder. 

”Vi har gjort SSO obligatoriskt internt, och tillåter inte att man har separata inloggningar för allt”, säger Russell. ”Vi använder VPN för enkel inloggning och där kombineras våra auktoriseringar för det vi får komma in på. För att följa kraven i Defense Federal Acquisition Regulation Supplement (DFARS) för våra avtal med den federala regeringen använder vi en säker tjänstedomän med VDI (Virtual Desktop Environment).”

Russell förklarar att DFARS-kraven blev mer relevanta i november 2020 för de av företagets statliga avtal där de har tillgång till hemligstämplad information. ”Vi kör en säker tjänstedomän i en VDI-miljö som håller allt bakom en brandvägg – krypterade datorer. Man kan säga att det är en styrd SCIF (känslig uppdelad informationsanläggning) i en virtuell värld.”

Förutom SSO och VPN rekommenderar Russell starkt att byggföretagen håller alla data bakom en brandvägg eller använder en säker molnlösning.

Använd leverantörer med SOC 2-kompatibel kryptering

Russell säger att byggföretag som arbetar med mycket säkra projekt bör arbeta i en värld med SOC 2-kompatibel kryptering. Det gäller alltså att välja teknik på ett klokt sätt. ”För att bli SOC 2-kompatibel måste man ha ett år bakom sig som leverantör av ett molnbaserat system eller ett FTP-beröringssystem”, säger han. 

Överallt där datalager finns måste teknikleverantören ha mångårig bakgrund och bevisade meriter innan de kan ansöka om SOC 2-kompatibilitet.

Russell rekommenderar byggföretag som arbetar under DFARS-krav på statliga projekt att besöka det federala riskregistret – FedRAMP Marketplace, som är en officiell webbplats som tillhör USA:s regering – för att kontrollera att leverantören uppfyller den standarden. På webbplatsen hittar företagen en fullständig lista över alla vanliga program för och leverantörer av datamiljöer som är FedRAMP-auktoriserade, samt en lista över leverantörer som är på väg att bli auktoriserade.

Molntjänstleverantören Amazon Web Services är till exempel FedRAMP-auktoriserad på 420 punkter. ”När vi får ett projekt där kunden säger att de vill använda produkt X och att FedRAMP-kraven gäller, måste vi åka ut till platsen och se till att de uppfylls”, säger Russell.

Utbilda personalen

Michael Bonelli, projektarkitekt på Michael Pagnotta Architecture & Construction, säger att den viktigaste uppgiften när det gäller cybersäkerhet i byggbranschen är att utbilda de anställda i att vara medvetna om hotens natur och de taktiker som hackare ofta använder. 

Medarbetarna bör:

  • vara på sin vakt när de får udda e-postmeddelanden från okända avsändare med ovanliga bilagor
  • alltid skanna e-postbilagor med ett virusverktyg innan de öppnar dem
  • regelbundet uppdatera datorer och annan teknik med det senaste operativsystemet.

Precis som L. Russell Dalton råder Michael Bonelli byggföretagen att ”installera en brandvägg i nätverket och spåra ovanlig aktivitet som försöker tränga igenom det installerade skyddet. Skanna listan med IP-adresser som är anslutna till nätverket och leta efter sådant som är avvikande”, säger han.

Michael säger också att byggföretagen bör ha flera säkerhetskopieringskällor för att säkerställa att de kan återställa förlorade filer effektivt för att hålla verksamheten igång. Detta omfattar säkerhetskopior i såväl molnet som på fysiska hårddiskar lokalt.

Medan tekniken blir allt mer integrerad i branschen – och allt fler medarbetare anammar det nya normala efter pandemin med distans- och hybridarbete – är det avgörande att byggföretagen håller ett kritiskt öga på cybersäkerheten och säkrar sina data och sin verksamhet. De här tipsen är en bra utgångspunkt, men kom ihåg att när branschen utvecklas i takt med teknologin så utvecklas även de som försöker tränga in och stjäla känsliga företagsdata.

Att upprätthålla rätt cybersäkerhetsåtgärder är ingenting man bara gör en gång och sedan går vidare. Det är något som behöver övervakas och uppdateras hela tiden.  

Lämpar sig den hybrida arbetsplatsen även för byggbranschen?