18. september 2020

Bygg- og anleggsbransjen har lang erfaring med å håndtere tyverier og vandalisme på anleggsområder. Spørsmålet er om bransjen er like godt tilpasset og rustet for å håndtere kriminelle handlinger og målrettede angrep i det digitale domenet.
En av mine første erfaringer som nyansatt sikkerhetssjef i Jernbaneverket var omfanget av tyverier og hærverk rettet mot Jernbaneverkets anleggsområder. Dette kom i stor grad som et resultat av dyrt og lettomsettelig verktøy, lett tilgjengelige anleggsområder og midlertidige lokasjoner. I en årrekke var Jernbaneverkets bygg- og anleggsvirksomhet, og anleggsbransjen generelt, et yndet mål for kriminelle. Kostnadene var høye, både med hensyn til utgifter, men også med hensyn til tapt arbeidstid. Etter hvert fikk man kontroll på kriminaliteten ved å iverksette sikkerhetstiltak og øke sikkerhetsbevisstheten hos de ansatte. Disse tiltakene har bestått av fysiske barrierer som gjerder, låser, vektere og årvåkenhetstrening. Men nå står hele næringen overfor nye og mindre synlige trusler.
Den nødvendige digitaliseringen
Etter en årrekke med «under-digitalisering», er også bygg- og anleggsbransjen i full fart med å bli digitalisert og automatisert. Det såkalte Construction 4.0 er bygg- og anleggsbransjens svar på Industry 4.0 som er kallenavnet på den digitale satsningen innen industrien.
Denne satsningen innen bygg- anleggsbransjen inkluderer bruken av 3D-printing, blockchain, kybernetikk, maskinlæring, droner, IoT og Big data for å nevne noen av områdene.
Som nevnt vil Construction 4.0 digitalisere design, konstruksjon og drift av bygg. Dette utgjør en enorm mulighet for bransjen, og vil bidra til kjærkomne kutt i kostnader og effektiviseringer for en bransje som er presset på marginene. Disse mulighetene er imidlertid ikke fri for trusler. Med den økte digitaliseringen, som har pågått og kommer til å vedvare, vil bransjen utsettes for en rekke nye trusler som man i liten grad er vant med å håndtere. Det kan muligens virke som bransjen ikke er et yndet mål for digitalkriminalitet, dessverre er dette en feiloppfatning og undervurdering av næringens attraktivitet som mål for kriminelle.
Allerede i dag er bygg- og anleggsnæringen avhengig av en mengde data som er utarbeidet og behandlet i samarbeid med en rekke involverte interessenter. Flere av disse interessentene er i stor grad involvert fra idefasen til bygget står ferdigstilt. Behovet og mengden interaksjon med interessenter og samarbeidspartnere er nokså unikt for byggenæringen. Informasjon som utarbeides inkluderer alt fra anbudsprosesser, designspesifikasjoner, kalkulasjoner og prising til ansattdata og kontoutskrifter. Disse eksemplene viser bredden i informasjonen som behandles, og som bransjen er avhengig av for å kunne oppnå sine operative mål.
Store deler av den nevnte informasjonen er å anse som konfidensielt. Noe er regulert ved lov, annet kan være regulert i avtaler og kontrakter mellom partene. Likevel viser en rekke undersøkelser at bransjen har betydelige sårbarheter. Selv om det er avdekket behov for å styrke arbeidet innen IKT-sikkerhet, og iverksette risikoreduserende tiltak og strategier er realiteten en annen.
Bransjen har fortsatt betydelige svakheter og mangler innen arbeidet med å sikre de digitale verdier de besitter og nødvendig digital infrastruktur for å kunne opprettholde kontinuitet i driften, selv om hendelser skulle inntreffe. Dette gjør bygg- og anleggsbransjen til et mer attraktivt mål for trusselaktørene innen det digitale domenet.
Mangfoldige trusselaktører
I motsetning til det bransjen har opplevd tidligere i forbindelse med tyverier og hærverk på anlegg er de digitale trusselaktørene mangfoldige. Trusselaktørene i det digitale domenet har varierende motivasjon og tilnærminger. Enkelte kan la seg motivere av penger, andre har mer strategiske mål og kan jobbe for en nasjonalstat.
En rekke trusselaktører vil søke etter de enkleste målene, dermed vil de bransjer og bedrifter som er minst sikret rammes. Dårligere IKT-sikkerhet vil også medføre større negative konsekvenser og bidra til lengre nedetid for virksomhetene som rammes.
Symantecs årlige rapport for 2019 viser en generell og betydelig økning i målrettede ransomware-angrep mot bedrifter. Denne økningen har vedvart og blitt forsterket gjennom den pågående pandemien. Vi ser økning for samme type angrep rettet mot mobile enheter.
Søk råd
Digitalisering har sine fordeler og er uunngåelig. Selv om man må være aktiv for å høste fordelene med digitalisering, blir man automatisk og raskt eksponert for truslene og farene digitaliseringen medfører. Videre er det svært kostnadskrevende og til dels vanskelig å rekruttere og holde på dedikerte IKT-sikkerhetsressurser. For de fleste er det mest kostnadseffektivt å «outsource» denne kompetansen for sikre verdiene og driften. Effekten av manglende IKT-sikkerhet skal ikke undervurderes, spesielt for en bransje som i liten grad vil tåle betydelig nedetid.
Les mer om digitalisering i bygg- og anleggsbransjen her.