Карен Хиггинс-Картер, директор по информационным технологиям компании и бывший руководитель банковской отрасли, говорит, что подрядчикам необходимо объединяться для борьбы с киберугрозами.
Число инцидентов, связанных с кибербезопасностью, растет, и подрядчикам необходимо быть к этому готовыми.
Карен Хиггинс-Картер, директор по информации и цифровым технологиям компании Gilbane Building Co., базирующейся в Провиденсе, штат Род-Айленд, привносит богатый опыт из предыдущих должностей, где она защищала банковскую и финансовую сферы услуг от киберпреступников. Она предупреждает, что изначально Интернет не был создан для обеспечения безопасности, и что подрядчики должны убедиться, что они соответствуют сегодняшним требованиям безопасности.
Хиггинс-Картер поговорил с Construction Dive о том, откуда исходят самые большие угрозы, как Gilbane держит своих сотрудников в курсе событий и что отрасль может сделать, чтобы защитить себя.
Примечание редактора: данное интервью было отредактировано для краткости и ясности.
CONSTRUCTION DIVE: Каково состояние кибербезопасности в строительной отрасли?
КАРЕН ХИГГИНС-КАРТЕР: Я начну с моего взгляда на кибербезопасность в целом. Я думаю, важно понять две вещи. Во-первых, Интернет не был разработан как безопасный. Он был разработан как открытый. Во-вторых, мы продолжим наблюдать объем атак, исходящих из стран, которые фактически являются безопасным убежищем для такого рода деятельности.
Из-за этой среды мы видим реакцию регулирующих органов. Требования SEC по раскрытию информации , прежде всего, были реализованы в декабре.
Я нахожу, что необходимо подстраиваться и взаимодействовать с нашими людьми на основе их текущего уровня осведомленности. Существует предсказуемый цикл перевода наших людей из положения, когда они не осознают угрозы, в положение, когда они чувствуют себя вовлеченными в защиту компании и в участие в этой миссии.
Как обеспечить каждому человеку оптимальный уровень комфорта в вопросах кибербезопасности, если у каждого свой опыт?
Одна из вещей, которую мы внедрили в строительство, с точки зрения наших инновационных практик, это ответственные инновации. Важно рисковать, чтобы расти.
Не существует безрискового пути к достижению ваших стратегических целей.
В инновациях важно понимать, как эти инновации поддерживают наши стратегические цели? Каковы неотъемлемые риски кибербезопасности, которые нам нужно определить? И в рамках экспериментирования, масштабирования и инноваций нам нужно гарантировать, что мы одновременно снижаем эти риски. Существует уровень осознанности, который достигается в процессе инноваций.
Какие самые большие риски для застройщиков сейчас существуют в плане кибербезопасности?
Что касается двух крупнейших векторов атак, то первый — это фишинг. Вот почему так важна осведомленность, ведь люди — это первая линия обороны от фишинговых атак.
Вторая поверхность атаки включает интерфейсы прикладного программирования. Наша связь с третьими лицами и поставщиками стороннего программного обеспечения является следующей наиболее значимой угрозой.
Это имеет значение для нашей отрасли и именно здесь есть реальная возможность для лидерства — в работе с нашими поставщиками программного обеспечения.
Учитывая недавние инвестиции в строительные технологии и появление большого количества стартапов, безопасность не обязательно занимает первое место в их планах с точки зрения демонстрации ранней отдачи для инвесторов.
Признавая, что мы можем иметь коллективный голос как отрасль и помогать этим поставщикам программного обеспечения достичь более высокого уровня возможностей, особенно в обеспечении безопасности API. Поставщики иногда могут заставить это звучать очень легко, и это на самом деле то, чем нам, как конечным пользователям, нужно управлять.
Что делает Gilbane для обеспечения своей безопасности?
Если говорить о стратегии, то наш совет директоров занимается кибербезопасностью. Мы разработали то, что мы называем заявлением об аппетите к риску в сфере кибербезопасности. Это практика, которую я перенял из банковской сферы, которая заключается в определении того, как кибератака создает убытки для Gilbane и влияет на наших клиентов.
Итак, мы определяем эти главные риски, а затем на основе этого взгляда, как это повлияет на нас. У нас есть программа кибербезопасности, в которой мы расставляем приоритеты для инвестиций в кибербезопасность в процессах и в средствах контроля, чтобы смягчить эти риски.
Мы отдаем приоритет защите конфиденциальной информации наших клиентов. Мы защищаем данные наших сотрудников, поскольку это персонально идентифицируемая информация. Есть и другая внутренняя информация о некоторых наших инвестициях в нашу девелоперскую компанию.
Я бы сказал, что другой аспект того, что мы защищаем, — это нарушение бизнес-процесса.
Если наша рабочая площадка не может работать из-за того, что Gilbane или один из наших подрядчиков подвергся атаке вируса-вымогателя и не может получить доступ к своим системам, мы также рассматриваем, как это повлияет на критически важный бизнес-процесс, а затем как вы справляетесь с этим воздействием.
Чему строительство может научиться у банковской и финансовой сфер в вопросах кибербезопасности?
Во-первых, я думаю, что мы действительно можем сотрудничать в области сбора информации об угрозах.
И я не имею в виду общий обмен передовым опытом. Я имею в виду очень конкретную разведку угроз, чтобы мы могли сотрудничать и работать вместе над предотвращением влияния той же угрозы на другой бизнес.
Я думаю, что второе, что мы можем сделать, — это коллективно и проактивно определить наши ожидания в отношении безопасности, особенно в отношении поставщиков программного обеспечения.
Учитывая объем инвестиций в строительные технологии, стартапы обычно не фокусируются на безопасности в первую очередь. Некоторые делают это, некоторые нет. Но действовать коллективным голосом, чтобы выразить наши стандарты, — это то, что нам нужно сделать, чтобы смягчить этот сторонний риск.
Рекомендуемая литература
- Большинство подрядчиков не готовы к кибератакам Мэтью Тибо • 27 сентября 2023 г.
Sourse: www.constructiondive.com
