Информационная безопасность в строительной отрасли

Информационная безопасность в строительной отрасли

      По мере цифровизации строительной отрасли растут риски, связанные с кибербезопасностью. Хранение большого количества информации об объекте в электронном виде, включая технические, финансовые, конфиденциальные и прочие данные, ставит вопросы об увеличении потенциальной уязвимости строительного бизнеса от хакерских атак. Цифровизация процесса строительства развивается столь стремительно, что мы, возможно, еще не до конца оцениваем имеющиеся риски. Приводим вашему вниманию статью компании Viewpoint, которая специализируется на софте для строительства.

Все, что нужно знать об информационной безопасности
в строительной отрасли.


      Независимо от того, работаете вы в строительной отрасли или нет, вам, вероятно, известно, что угрозы кибербезопасности растут, а самые тяжелые случаи попадают в СМИ с тревожной регулярностью. Проблемы более низкого уровня, затрагивающие компании поменьше, редко попадают в заголовки. Это может ввести вас в заблуждение о том, что утечка данных затрагивает только крупные корпорации, однако, как гласит отчет Verizon Data Breach Investigations Report (DBIR), 43% кибератак в 2019 году были нацелены на малый бизнес. По мере того, как строительная отрасль движется вперед, быстро осваивая новые технологии почти каждый день, риски становятся все более распространенными. Это уже не просто защита офисов и строительных площадок от воров.

      Цифровизация строительной отрасли сейчас означает, что огромные объемы высокочувствительных данных, включая модели зданий, документы, чертежи и личные данные, обрабатываются, хранятся и передаются. Отраслевые процессы все чаще основываются на программных системах и зависят от доступности этих систем для обеспечения быстрой связи и проверяемых записей. Сбои в работе и утечка данных могут иметь серьезные последствия. Среди них: перебои в работе и потеря доходов; время и продуктивность; стабильность работы; и капитал бренда. Увеличение количества высокочувствительных данных потребовало большего внимания и действий. Согласно правительственным данным, проанализированным Specops Software, в строительной отрасли после многолетнего отставания расходы на кибербезопасность увеличились на 188% в 2018-19 годах. Увеличение расходов - это положительная новость, но в конечном итоге наличие хорошо продуманной стратегии снижения рисков является ключом к минимизации рисков.

      Стратегия кибербезопасности. Кибербезопасность ничем не отличается от любого подхода в бизнесе; не существует такого золотого стандарта, который работал бы одинаково во всех компаниях и отраслях. Ваша стратегия должна соответствовать размеру вашего бизнеса и потенциальным рискам, с которыми вы можете столкнуться. При этом мы рассмотрим действия, которые вам следует рассмотреть в качестве отправной точки. Сертификация независимыми органами - хороший способ повысить вашу уверенность в себе и минимизировать риски. Например, Национальный центр кибербезопасности (NCSC) правительства Великобритании предоставляет схему Cyber Essentials, которая обеспечивает прочную основу для оценки ваших средств защиты и позволяет получить сертификат, который поможет защитить ваш бизнес от угроз. Что важно, это также придаст вам, вашим сотрудникам, поставщикам и клиентам уверенность в вашей приверженности кибербезопасности. Базовая сертификация может быть получена всего за 300 фунтов стерлингов. Также доступна более полная сертификация под названием «Cyber Essentials Plus». Это более глубокая оценка, при которой аудиторы посещают ваш сайт и тестируют ваши внутренние активы. Первоначальные попытки соответствовать стандарту не следует рассматривать как неудачу, а скорее как методологию выявления слабых мест и улучшения. Знание своих слабых мест - это часть пути к совершенствованию. Важно продолжать. Сертификаты по Cyber Essentials действительны в течение года, и вам нужно будет пройти повторную сертификацию, чтобы обеспечить актуальность вашей киберзащиты, что еще раз продемонстрирует ваши постоянные обязательства. Пять технических средств контроля в базовой схеме при их реализации помогают защитить вашу организацию от большинства распространенных кибератак и повысить безопасность.

      Эти пять основных элементов управления - это брандмауэры, безопасные конфигурации, управление доступом пользователей, защита от вредоносных программ и фишинга. Если у вас уже есть эти сертификаты, возможно, имеет смысл получить международно признанные сертификаты, но имейте в виду, что они требуют значительных инвестиций и постоянных обязательств. Вот два примера: ISO 27001 - широко известен ISO / IEC 27001, устанавливающий требования к системе менеджмента информационной безопасности. Его использование позволяет организациям любого типа управлять безопасностью активов, таких как финансовая информация, интеллектуальная собственность, данные о сотрудниках или информация, доверенная третьими сторонами. SOC 2 - SOC 2 определяет критерии для управления данными клиентов на основе пяти «принципов доверительного обслуживания» - безопасность, доступность, целостность обработки, конфиденциальность и приватность. Еще один важный аспект, который следует учитывать, - это ваша цепочка поставок. Здесь действует старый афоризм, который гласит, что прочность цепи зависит от самого слабого звена. Важно отметить, что при выборе партнера или поставщика - особенно тех, которым будут доверены ключевые процессы или данные - жизненно важно убедиться, что они принимают меры по обеспечению информационной безопасности.

      Один пример: несколько лет назад, розничный торговец Target подвергся взлому, хакеры взломали учетные данные для входа в сеть от стороннего поставщика - субподрядчика HVAC, который выполнял работы в нескольких магазинах Target. Часто самый простой способ проверить поставщика - это запросить подтверждение его сертификации по ключевым стандартам кибербезопасности и информационной безопасности. Кроме того, спросите, сертифицированы ли ИХ поставщики или субподрядчики, потому что вы хотите иметь возможность обеспечить безопасность на всем протяжении цепочки поставок.

      Выбор поставщика технологий, которому вы можете доверять. Как подчеркивается в этом блоге, важность кибербезопасности применима для бизнеса любого размера и становится жизненно важной в строительной отрасли, поскольку компаниям необходимо защищать свои высокочувствительные данные. Количество атак также растет и продолжает расти вместе со страховщиком, Hiscox отмечает, что более 60% компаний сообщили об одной или нескольких кибератаках в 2019 году по сравнению с 45% в 2018 году. В соответствии с этим, средние убытки от кибернетических нарушений выросли на 61% - со 176 000 фунтов стерлингов до 283 722 фунтов стерлингов. Когда дело касается безопасности, крайне важно выбрать поставщика, которому доверяют, и он будет поставлять сертифицированные продукты. Viewpoint UK недавно получила сертификат Cyber Essentials Plus, что еще больше расширило его существующий портфель сертификатов безопасности. Viewpoint For Projects (VFP) - это облачное решение для управления документами и информацией от Viewpoint, которое позволяет вам обмениваться проектными документами, управлять ими и совместно работать над ними с разрозненными проектными группами. Компонент, который дает Viewpoint конкурентное преимущество на рынке программного обеспечения, - это сертификаты, а также безопасность и сертификаты цепочки поставок.

© Acceleration.ru по материалам pbctoday.co.uk