esittely
Sekä kovat tiedot että anekdoottiset todisteet osoittavat, että johtava syy yritysten hakkerointiin on inhimillinen erehdys. Yhteistyötutkimus Stanfordin yliopiston ja tietoturvayritys Tessianin mukaan 88 prosenttia tietomurroista johtuu työntekijöistä, jotka napsauttavat hakkereiden sähköposteja, koska he luulivat, että ne ovat todella yrityksen ylimmältä johtajalta tai lailliselta lähteeltä. Ottaen huomioon, että kymmenillä yrityksen työntekijöillä on pääsy tärkeisiin asiakirjoihin ja tietoihin, jotka he joutuvat mahdollisesti jakamaan projektin alihankkijoiden kanssa, hakkereiden ja sosiaaliteknikkojen mahdollisuus asettua keskelle ja tehdä petoksia kasvaa eksponentiaalisesti.
Jonkin sisällä 2020 haastattelussa rakennus- ja konepajateollisuusjohtaja Joseph Rigazio kertoi ajatuksistaan rakennusyhtiöiden kyberturvallisuusriskeistä. Haastattelu on osoittautunut tehokkaaksi korostaessaan rakentajien integroimista hyvin päivitettyihin PKI työkaluja. Joseph sai koulutuksen sähkötekniikasta, liiketaloudesta ja rakentamisen johtamisesta, työskenteli 21 vuotta Texas Instrumentsissa ja on tällä hetkellä Talisen Construction Corporationin johtaja. Hänen ideansa on kirjoitettu alla:
”Yksi muu alue rakentamisen näkökulmasta, eikö… tietojenkalastelu… huijaustyö… kiristysohjelma… lukitsee sinut… päästä sisälle ja varastaa - siellä on sisältöä ja yhteystietoja, joten jotkut asiat, jotka pitävät minut hereillä yöllä, ovat päässeet sisään, nyt he etsivät pankkitietoja ja tutkivat velka- ja saamisketjujesi työnkulkua, missä ovat langalliset tiedot, toimittajiemme EIN -numerot jne. On huolestuttavaa. Se on toisella puolella, hanki rahat. Entä ammattimaiset piirustukset ja suunnitelmat. Meillä on paljon sisältöä, toisin sanoen, olemme tekemisissä arkaluonteisten asiakkaiden kanssa, jotka antavat tietoja, esimerkiksi pankkikortteja. Tiedämme, missä tallelokero on, tiedämme seinien rakenteet ja tiedämme kuinka päästä niiden alle. Ne ovat kaikki piirustuksissa. Rakennusyritykset ovat digitalisoituneet viimeisten 10 vuoden aikana, joten tiedostoissamme on paljon asiakirjoja, jotka osoittavat, miten rakennukset on rakennettu. ”
-Joseph Rigazio
Talisen Construction Corporationin toimitusjohtaja
Tiedot osoittavat, että Rigazion huolet ovat toteutuneet viime vuosikymmenellä hälyttävästi. Riskienhallintayrityksen mukaan Marsh McLennan, rakennusalan insinööritoimistot ovat hakkereiden silmien omena, koska ”suhteellisen harvat urakoitsijat ovat tunnistaneet ja määrittäneet perusteellisesti tietoverkkoaltistuksensa tai kehittäneet suunnitelmia kyseisen riskin lieventämiseksi ja/tai siirtämiseksi”.
A Kattava kysely 2016-2017 Riskien ja arvostuksen digitaalisia ratkaisuja valmistavan yrityksen Krollin mukaan 63% kone-, rakennus- ja infrastruktuuriteollisuuden vastaajista oli kokenut tietoturvariskin viimeisen vuoden aikana. Kun kyse oli tietohyökkäyksistä, kysely osoitti, että myös kuluneen vuoden aikana yli 75% vastaajista kohtasi erilaisia tietoverkkomurron muotoja, kuten tietojenkalastelua, matoviruksia ja tietojen poistamista, ja keskeisenä kohteena olivat asiakastiedostot.
Seuraavassa osassa käsitellään viimeaikaisia historiallisia tapauksia, jotka osoittavat, kuinka insinööri- tai rakennusyrityksiä on rikottu.
Viimeaikaiset historialliset tapaukset koneyrityksiin kohdistuneista tietohyökkäyksistä
Vuonna 2013 suunnitelmat uusille Kiinalainen hakkerointijoukko APT3 varasti Australian turvallisuus tiedustelujärjestön (ASIO) rakennuksen, joka ladasi haittaohjelman ASIO -työntekijän kannettavaan tietokoneeseen. Varastetun kriittisen sisällön joukossa olivat pohjapiirros, viestintäjärjestelmät ja turvajärjestelmät. Tietoverkkohyökkäys viivästytti rakennuksen rakentamista ja pakotti ASIOn harkitsemaan sen uudelleensuunnittelua.
Maaliskuussa 2016 keihäshuijaus kohdistui yhden suurimman amerikkalaisen rakennusyrityksen Turner Constructionin työntekijään. Henkilö lähetti nykyisten ja entisten työntekijöiden sosiaaliturvatunnukset ja osoitteet hakkerin sähköpostitilille. Keihäänkalastelijat luovat väärennettyjä sähköpostitilejä yrityksessä olevista henkilöistä, joilla on avainhenkilöt, kuten toimitusjohtajat, ja huijaavat sitten työntekijöitä lähettämään luottamuksellisia tietoja tai aloittamaan taloustoimia. Hakkerien keräämiä henkilötietoja voidaan käyttää muissa petollisissa tapahtumissa, kuten teeskennellä olevansa sosiaaliturvatunnuksen omistaja ja huijata sitten toisen yrityksen, kuten pankin, työntekijää siirtämään varoja hakkerin tilille.
Myös Joseph Rigazion oma yritys joutui keihäkalastelun uhriksi. Samassa vuoden 2020 haastattelussa hän kertoi, kuinka hänen projektipäällikkönsä joutui huijatuksi, kun henkilö ajatteli, että hakkeri, jonka kanssa hän kommunikoi sähköpostitse, oli hän. Tapaamisen yhteydessä toimistossa Josephin työntekijä mainitsi, että hän seurasi tapahtumaa, johon Joseph vastasi: "Mistä sinä puhut?" Sitten henkilö meni valkoiseksi, kun tajusi, että hänet huijataan ja tietoverkkorikollinen pääsi eroon 10,000 XNUMX dollarilla.
Tämä 2021, rakennusalan sanomalehti kertoi, että ”tietoverkkorikolliset ovat siirtyneet henkilötietojen hakkeroinnista. Nyt yrityksen älykkyys, infrastruktuuri ja jopa raskaat laitteet ovat kohteita. ”
Todennäköisesti lopullisin esimerkki koneyritysten kohtaamista hälyttävistä kyberturvariskeistä on toukokuu 2021 ransomware-hyökkäys Colonial Pipeline, öljyputkijärjestelmä, joka kuljettaa bensiiniä ja dieseliä Teksasista Kaakkois -osavaltioihin. Verkkorikolliset, joiden uskotaan olevan Itä -Euroopan jengi Darkside, kohdistuivat putkijärjestelmää ohjaaviin tietokoneisiin. He varastivat myös lähes 100 Gt tietoa Colonial Pipeline -putkilinjalta ja uhkasivat paljastaa sen Internetissä, jos yritys ei maksa lunnaita. Koska Colonial Pipeline päätti lopettaa toimintansa ja koska he ovat menettäneet kykynsä laskea asiakkaitaan, se päätti lopettaa toimintansa ja maksoi lähes 5 miljoonaa dollaria Darksideen. Tämä ransomware -hyökkäys vaikutti polttoaineen toimituksiin lentoasemilla ja aikataulumuutoksiin ja aiheutti paniikkiostoja.
Viimeinen sana
Digitaaliseen suunnittelutyöhön liittyvät kyberturvariskit eivät saisi kannustaa yrityksiä taantumaan puhtaasti paperipohjaiseen suunnitteluun ja liiketoimiin.
Mikä on tapa auttaa työntekijöitä välttämään hakkereiden johtamista harhaan? Miten puutumme tietovarkauksien riskeihin, kun käytät Internetiä? Yksi menetelmä on, että kyberturvallisuusyritys kouluttaa heidät perusturvallisuusprotokollista. Mutta voidakseen todella voittaa inhimilliset rajoitukset arvokkaan datan turvaamisessa insinööritoimistojen tulisi pyrkiä investoimaan salauspohjaiseen kyberturvallisuuteen, mikä tekee hakkereilta erittäin vaikeaa varastaa tietoja edes vähiten Internet-taitavilta työntekijöiltä.
Jos olet insinööri tai joku, joka omistaa insinööritoimiston, tutustu artikkelimme tätä jossa keskustellaan sen eduista PKI tekniikka suojaa tietojasi.
