Artikkel
Er ditt bygg sikret mot cyberangrep?
Cyberkriminalitet og smarte bygg
Med fremveksten av smarte bygg vil trusselbildet mot norske virksomheter endre seg raskt. En rekke eiendomsselskaper kontrollerer stadig mer data og personopplysninger, men kapasiteten og kompetansen til å oppdage og svare på kritiske hendelser er ofte for liten.
Publisert: 7. september 2022
Det investeres i økende grad i digitale systemer for å underbygge smart styring og drift av bygg. Fremveksten av såkalte «proptech»-selskaper, kort for «property technology» har eksplodert i løpet av de siste årene. Bruken av nye teknologier i blant annet detaljhandel, næringsliv og bolig drives av ønsket om økt effektivitet innenfor drift og vedlikehold, forventninger om bedre brukeropplevelser, og fordeler av stordata. Men jo flere systemer som er tilkoblet, jo mer øker også sårbarheten. Fysisk eller digital kontroll på et bygg kan føre til mer enn bare tyveri av data. Det kan også resultere i fysisk skade, sikkerhetsproblemer eller driftsavbrudd.
Antall angrep og sikkerhetsbrudd øker
I IBM sin sikkerhetsrapport «Cost of a data breach 2021» er trenden for antall angrep og sikkerhetsbrudd økende. Fra 2020 til 2021 økte den gjennomsnittlige kostnaden før et datainnbrudd med nesten 10%, hvilket er den største årlige økningen som har blitt registrert over de siste 7 årene. I 2021 kostet et ransomware-angrep i gjennomsnitt $4,62 millioner USD (ca. 46 MNOK), ekskludert kostnad for løsepenger. Utover sikkerhetsbruddet opplever også de som rammes av et mindre målbart omdømme- og kundetap.
Hvordan er eiendomsbransjen utsatt?
Det kan være vanskelig å trekke noen klar linje mellom eiendom og virksomhet når begge deler er digitalt vevet sammen i ett og samme nettverk. Det er imidlertid flere faktorer som gjør eiendomssektoren særskilt utsatt for digitale angrep:
- Cyberangrep for å tilegne seg fysisk tilgang
- Cyberangrep for å tilegne seg informasjon eller gjøre tjenester utilgjengelig
- Cyberangrep for å bruke bygget som et springbrett for å tilegne seg leietakernes systemer
Hvordan sikre seg bedre mot dagens trusler?
De færreste eiendomsaktører er i dag rustet til å stå imot de mest sofistikerte aktørene innenfor cyberkriminalitet. Et økt sikkerhetsfokus kan imidlertid bidra til et bedre immunsystem mot angrepsforsøk. Først og fremst anbefales det at man tenker sikkerhet som et grunnleggende premiss for digital og fysisk infrastruktur.
Gjør en vurdering av hva som er viktigst å beskytte
Ingen organisasjon har ubegrensede ressurser dedikert til cybersikkerhet. Vi anbefaler derfor eiendomsaktører å gjøre en kartlegging av hvilken informasjon, systemer og eiendeler som er kritiske for kjernevirksomheten, og hvordan de kan påvirkes fra et informasjonssikkerhets- eller driftsmessig perspektiv. Når virksomheten har en oversikt over hva som er viktigst å beskytte (inkludert leietakere som er tilkoblet systemene), kan det gjennomføres ulike øvelser for å simulerer cyberangrep og avdekke sårbarheter. Deretter kan virksomheten prioritere å investere i de sikkerhetsmekanismene som på best mulig vis bidrar til å oppnå ønsket modenhetsnivå innenfor cybersikkerhet.
Sørg for å ha en helhetlig og sikker arkitektur som støtter samhandling mellom aktører
Det er mange aktører som har behov for å samhandle i et smartbygg. Gårdeier, leverandører, driftsansvarlig, leietakere og øvrige brukere må alle kunne få tilgang til økosystemet for å levere og/eller benytte seg av byggets tjenester. For å få til gode og smarte løsninger kreves det integrasjoner mellom systemer, noe som igjen fører til en større sikkerhetsrisiko. Bedre og sikrere arkitektur på de digitale plattformene kan begrense skadepotensialitet og hindre angripere i å komme videre med sine angrep, selv der enkelte systemer kan kompromitteres.
Implementer prosesser og rutiner for kontinuerlig sikkerhet
For å sikre seg mot angrep kreves det en helhetlig tilnærming til sikkerhet som tar for seg mer enn bare IT-aspektet. Prosesser og det menneskelige aspektet er like viktige komponenter for å sikre motstandsdyktigheten. Ved å implementere et rammeverk for risikostyring sikrer man at man har en strukturert prosess for å kontinuerlig avdekke og håndtere alle cyberrisiko-aspekter.
Vurder kontraktuelle forhold og personvernrisikoer
Selv om smarte bygg blir vanligere er det fremdeles mye upløyd mark når det kommer til avtaleverk mellom smartbygg-aktørene. En kartlegging av hvordan sikkerhet, tilgang og bruksrett til data, ansvars- og risikoplassering i tilknytning til uønskede hendelser skal reguleres vil kunne gi et fullstendig bilde på den eksponeringen man har som byggeier. I tillegg vil det i mange tilfeller være nødvendig å vurdere personvernrisikoene knyttet til innsamling og bruk av persondata for å sikre etterlevelse av personvernregelverket.
Vurder å benytte en partner for å sikre kritiske verdier og tjenester
Inntoget av smarte løsninger i bygg og annen infrastruktur har kommet for å bli, men de digitale truslene som løsningene åpner for, skalerer ikke godt med de tilgjengelige kompetente ressursene for å motvirke de. Det vil derfor være nødvendig å tenke på hvilke partnere man trenger for å sikre sine kritiske verdier og tjenester. Tjenesteleverandører vil kunne fokusere på risikoområder som en virksomhet ikke har mulighet for å ivareta selv. Nøkkelen til fremtidens leveranser med både kvalitet og sikkerhet vil derfor ligge i de partnerskap man inngår.
Les mer: Cybersikkerhet