In de bouw hoort cybersecurity geen klein bier te zijn

Met een recente kwetsbaarheid als log4j nog vers in het achterhoofd en de niet aflatende dreiging van onder andere ransomware en phishing, is cybersecurity ook in 2022 een onderwerp dat door iedere organisatie met belangstelling gevolgd hoort te worden. Dat geldt ook zeker voor de bouwsector.

10 mrt 2022 | Blog, Bouw, Cybersecurity

Daan Kuiphuis

Auteur:

Daan Kuiphuis

Daan is Customer Succes Manager bij Exite. Zijn specialismen liggen op gebied van zorg, cloud en networking.

Volg Daan op LinkedIn.

10 mrt 2022 | Blog, Bouw, Cybersecurity

Voor elke organisatie horen cyberdreigingen tot de dagelijkse realiteit. Ze worden steeds vaker geautomatiseerd en/of via een intelligent plan gericht op (kwetsbare) organisaties uitgevoerd. Bedrijven in de bouwsector zullen zichzelf niet zo snel als aantrekkelijke prooi voor cybercriminelen zien, maar zijn dit wel degelijk.

Aan de ene kant zijn ze aantrekkelijk vanwege de toenemende hoeveelheid data in hun organisaties, maar ze kennen ook een scala aan kwetsbaarheden vanwege de vaak uiteenlopende digitale apparatuur die gebruikt wordt binnen bouwbedrijven. Deze apparatuur is vaak afkomstig van verschillende fabrikanten en werkt vaak met verouderde en/of op maat gemaakte software. Zo’n omgeving beheren én veilig houden is vaak een klus van jewelste.

 

Voordelen ICT pas relatief laat in de bouw bekend

Een andere reden dat hackers bouwbedrijven als een aanlokkelijk doelwit zien, heeft te maken met wet- en regelgeving rond security en privacy in de sector die achterloopt op die van andere sectoren, mede vanwege de late inhaalslag van de bouw in digitale transformatie. Daarnaast investeren bouwbedrijven van oudsher relatief weinig in ICT en helemaal weinig in ICT-security.

De dreiging van cybersecurity incidenten is in de bouwsector op verschillende manieren aanwezig. Er zijn grote risico’s: ransomware op apparatuur, stilvallen van projecten en diefstal van tekeningen zijn voorbeelden van nadelige gevolgen van een hack. Dat zoiets in de praktijk rampzalig kan uitpakken, ondervonden de bouwbedrijven Bird en Bouygues begin 2020 toen zij getroffen werden door de Maze ransomware. Hackers weten dat wanneer zij een onderneming pijn kunnen doen, dat de kans reëel is dat er goed geld betaald wordt. Hackers claimden 60 gigabyte aan gevoelige data van Bird Construction gestolen te hebben en eisten van het Canadese bedrijf 8 miljoen euro om deze data niet publiekelijk vrij te geven.

 

Hacks zijn echt niet zeldzaam

Dezelfde Maze ransomware trof het Franse Bouygues en versleutelde de servers van het bedrijf in Canada. Hackers dreigen 200 gigabyte aan Bouygues data naar het dark web te lekken, tenzij er 10 miljoen euro betaald werd. Van beide cases is niet bekend of deze bedragen ook daadwerkelijk zijn betaald en/of de data privaat zijn gebleven.

Bedenk bij zulke voorbeelden dat dergelijke grote cases slechts het topje van de spreekwoordelijke ijsberg vormen. Eind 2021 bleek uit onderzoek van beveiliger Mimecast dat liefst 87 procent van de organisaties zegt afgelopen twee jaar getroffen te zijn door ransomware. Nederlandse organisaties moesten gemiddeld 87.000 euro betalen om weer toegang te krijgen tot gegijzelde data.

 

De mens is de meest kwetsbare schakel in de keten

Hoe zijn hackers in staat om ransomware te planten? Onderzoek van infrastructuur-specialist Verizon laat zien dat het in 67 procent van de gevallen gaat om rondslingerende inloggegevens, foutief geconfigureerde cloud- en webdiensten en social media aanvallen als phishing. Met andere woorden: het zijn vooral mensen die de zwakste schakel vormen in de securityketen. Dat betekent dat met investeringen in de menskant, dus inzetten op bewustwording en veilige processen, er op cybersecurity vlak er relatief meer winst te behalen valt dan met de inzet van (kostbare) technologie.

Een goed startpunt voor een bij jouw bouwonderneming security is een mix van relatief snel en laagdrempelig te realiseren maatregelen. Daaronder vallen bijvoorbeeld:

  • Training en het aanbieden van passende informatie over cybersecurity aan te bieden om ervoor zorgen dat mensen veiliger gaan werken.
  • Gebruikmaken van multifactor authenticatie bij systemen en applicaties om de kans op hacks te verkleinen bij het verlies of diefstal van inloggegevens.
  • Het goed beschermen van webapplicaties door deze door security-experts met de juiste skills te laten configureren.
  • Beginnen met een gefaseerd securityplan om daarmee processen aan te scherpen en stap-voor-stap steeds een extra laag veiligheid toe te voegen.

 

Met een goede strategie in het beperken van risico’s kan ook een bouwonderneming zich goed wapenen tegen reële gevaren van hacks. Heb je een vraag over deze blog of over onze aanpak, dan hoor ik graag van je!

 

Wat is jouw vraagstuk?

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

 

 

Wil jij aan een digitaal-gedreven organisatie bouwen?

Heb jij duurzame groei van je organisatie voor ogen? Dan maken wij graag kennis met je om te adviseren of samen met onze experts te sparren.

Lees meer van dit soort berichten...
Blogs, nieuws en events. Alles over wat ons inspireert en jou informeert!

IT Governance – Pak de regie

IT Governance – Pak de regie

Beheer de complete IT-omgeving vanuit één besturingsmodel en breng alle ICT spelregels, afspraken, richtlijnen en procedures samen | Pak de regie met een gericht IT-Governance beleid | Strategie & Beveiliging voor risicobeheersing, kostenbesparing & bedrijfscontinuïteit.

Heb je vragen of een super tof idee voor een nieuwe blog? Stuur een mailtje naar marketing@exite.com

Onze klanten, altijd  and running: Dat is ICT met impact!