1990 m. perskaičiau įdomią knygą pavadinimu Gegutės kiaušinis: sekti šnipą per kompiuterinio šnipinėjimo labirintąe. Autorius, astronomas Cliffordas Stollas, tvarkė Kalifornijos Lawrence'o Berkeley nacionalinės laboratorijos (LBNL) kompiuterius. Jam buvo pavesta pašalinti 75 centų apskaitos klaidą kompiuterio naudojimo sąskaitose.
Varginantis procesas galiausiai paskatino jį atskleisti vokiečių įsilaužėlį, kuris per LBNL kompiuterius gavo prieigą prie JAV karinių paslapčių. Jis daug metų pardavinėjo informaciją KGB.
Šiandienos grėsmės kraštovaizdis statybose
LBNL incidentas buvo vienas iš pirmųjų, jei ne į pirmiausia – dokumentuoti kompiuterio įsilaužimo atvejai. Greitai persikeliama į šiandieną ir kibernetinės atakos yra kasdienis reiškinys, kuris statybose pasitaiko dažniau.
2023 m. „Dodge Construction Network“ atliktas tyrimas, bendradarbiaujant su turinio saugos ir valdymo įmone „Egnyte“, parodė, kad 59 % AEC įmonių per dvejus metus susidūrė su kibernetinio saugumo grėsme.
Labiausiai nukentėjo generaliniai rangovai – 70 % patyrė grėsmę ir 30 % susidūrė su išpirkos reikalaujančios programos ataka.
Naujausi kibernetiniai incidentai
Kai kurie su statyba susijusių kibernetinio saugumo incidentų pavyzdžiai:
- Dvi išpirkos programinės įrangos atakos 2022 m. prieš Suomijoje įsikūrusias įmones, inžinierių įmonę „Vahanen Group“ ir gamintoją „Uponor Corporation“
- Išpirkos reikalaujančios programos ataka prieš Čikagoje įsikūrusią generalinį rangovą „Skender Construction“ 2024 m
- Tariamai dėl ARUP suklastotos dirbtinio intelekto sukčiavimo 2024 m. darbuotojas pervedė 25 mln. USD į Honkongo banko sąskaitas.
- Šnipinėjimo kenkėjiška programa, platinama per Pietų Korėjos statybų sektoriaus profesinės asociacijos svetainę
Kodėl statyba yra patrauklus tikslas
Galiu galvoti apie keletą priežasčių, kodėl statyba gali būti patrauklus ir pelningas piktavališkų veikėjų taikinys:
- Statybos projektuose dalyvauja dešimtys ar šimtai įmonių, kurios skiriasi technologijų branda ir saugumo supratimu. Silpniausia grandis gali atverti kanalą vertingai informacijai.
- El. paštas vis dar yra dominuojantis skaitmeninio ryšio būdas ir pagrindinis sukčiavimo bei kitų atakų šaltinis. Jei kas nors pristatytų mūsų el. pašto technologiją, ji būtų laikoma neįtikėtinai nesaugi.
- Statybos projektų komandos kuria ir dalijasi informacija, kuri turi rinkos vertę kai kuriems piktybiniams veikėjams. Kritinės infrastruktūros projektus, naujos gamyklos planus ar informaciją apie jautrios įrangos vietas galima pasiekti per AEC firmų kompiuterius.
Vienas saugumo ekspertas man pasakė, kad kai kurioms organizacijoms net iš pažiūros nekenksminga informacija laikui bėgant gali tapti vertinga, kai ji susieta su kitais duomenimis.
Užkirsti kelią, apsaugoti ir ruoštis
Tyrimai parodė, kad statybų sektorius kibernetinio saugumo srityje atsilieka nuo kitų pramonės šakų. Tačiau Dodge apklausoje 72 % architektų, inžinierių ir rangovų teigė esantys vidutinio ar aukštesnio pasirengimo atakai, dėl kurios jie netektų prieigos prie dokumentų.
Problema ta, kad stipriai susietoje pramonėje kibernetinė ataka prieš vieną projekto įmonę gali paveikti keletą kitų, įskaitant klientą. Kadangi generaliniai rangovai iš esmės yra atsakingi užsakovui, jie turėtų deramai išnagrinėti savo partnerių kibernetinį saugumą. Nežinau, kaip dažnai CG į sutartis įtraukia susijusias nuostatas.
Bet kokiu atveju turime sustiprinti kibernetinį saugumą šiame sektoriuje. Craigas Yeackas iš Bulk Construction Materials Initiative teigia, kad statybų įmonės laiko kibernetinį saugumą kaip piltuvėlį trys Ps: prevencija, apsauga ir pasiruošimas. Prevencija yra didžiausia dalis viršuje.
PS. Rašydamas šį kūrinį prisiminiau kelionę į Vašingtoną, DC, 1990-ųjų pradžioje. Apie Gegutės kiaušinį užsiminiau viešėdamas pas ten gyvenusį architektą. Mano didelei nuostabai, jis autorių pažinojo asmeniškai. Šį kartą ne šeši, o vienas atskyrimo laipsnis!