Интернет «не был создан для того, чтобы быть безопасным»: Гилбейн, директор по информационным технологиям

  • Ремонт ДНР
  • Ремонт квартир
  • Интернет «не был создан для того, чтобы быть безопасным»: Гилбейн, директор по информационным технологиям
Ремонт и отделка квартир в Донецке ДНР

Карен Хиггинс-Картер, директор по информационным технологиям компании и бывший руководитель банковской отрасли, говорит, что подрядчикам необходимо объединиться для борьбы с киберугрозами.

The internet ‘wasn’t designed to be secure’: Gilbane CIO

Это рендеринг главного вестибюля станции «30-я улица» в Филадельфии. Гилбейн является руководителем проекта по проектированию и строительству. Любезно предоставлено Plenetary Infrastructure Philadelphia/Amtrak

Число инцидентов, связанных с кибербезопасностью, растет, и подрядчики должны быть готовы к этому.Карен Хиггинс-Картер (Karen Higgins-Carter), директор по информационным технологиям и цифровым технологиям компании Providence, базирующейся на Род-Айленде Gilbane Building Co., обладает богатым опытом работы на предыдущих должностях в сфере защиты банковских и финансовых услуг от киберпреступников. Она предупреждает, что изначально Интернет не был создан для обеспечения безопасности, и что ответственность за соответствие современным требованиям безопасности лежит на подрядчиках.Здесь Хиггинс-Картер поговорил с Construction Dive о том, откуда исходят самые серьезные угрозы, как Gilbane поддерживает своих сотрудников в курсе последних событий и что может сделать отрасль, чтобы защитить себя.

Примечание редактора: Это интервью было отредактировано для краткости и ясности.

ОБЗОР СТРОИТЕЛЬНОЙ отрасли: Каково состояние кибербезопасности в строительной отрасли?

КАРЕН ХИГГИНС-КАРТЕР: Я начну со своего взгляда на кибербезопасность в целом. Я думаю, важно понимать две вещи. Во-первых, Интернет не был создан для обеспечения безопасности. Он был спроектирован таким образом, чтобы быть открытым. Во-вторых, мы по-прежнему будем наблюдать большое количество атак, исходящих из стран, которые фактически являются безопасной гаванью для такого рода деятельности.

The internet ‘wasn’t designed to be secure’: Gilbane CIO

Разрешение Карен Хиггинс-Картер выдано компанией Gilbane Building Co.

Из-за этой ситуации мы наблюдаем реакцию регулирующих органов. В декабре были введены в действие требования SEC о раскрытии информации в первую очередь.

Я считаю, что необходимо адаптироваться к нашим сотрудникам и налаживать контакты с ними, исходя из их текущего уровня осведомленности. Существует предсказуемый цикл, когда наши сотрудники перестают по-настоящему осознавать угрозы и начинают чувствовать себя вовлеченными в защиту компании и выполнение этой миссии.

Как обеспечить оптимальный уровень безопасности для всех пользователей, если у них разный опыт работы в сфере кибербезопасности?

Одна из вещей, которую мы внедрили в building, с точки зрения наших инновационных практик, — это ответственные инновации. Чтобы расти, важно идти на риск. 

Не существует безрискового пути к достижению ваших стратегических целей. 

В инновациях важно понимать, как эти инновации способствуют достижению наших стратегических целей? Какие риски, присущие кибербезопасности, нам необходимо выявить? И в рамках экспериментов, масштабирования и инноваций нам необходимо обеспечить одновременное снижение этих рисков. В процессе внедрения инноваций возникает определенный уровень осознанности.

Каковы самые большие риски для разработчиков в области кибербезопасности на данный момент?

Что касается двух основных направлений атак, то первое — это фишинг. Вот почему осведомленность так важна, потому что люди — это первая линия защиты от фишинговых атак.

Вторая поверхность атаки — интерфейсы прикладного программирования. Наша связь с третьими сторонами и сторонними поставщиками программного обеспечения — следующая по значимости угроза. 

Где это играет важную роль в нашей отрасли и где действительно есть возможность для лидерства, так это в работе с нашими поставщиками программного обеспечения. 

Учитывая недавние инвестиции в строительные технологии и множество стартапов, безопасность не обязательно стоит на первом месте в их планах с точки зрения демонстрации ранней отдачи для своих инвесторов. 

Признавая, что мы, как отрасль, можем выступить единым фронтом и помочь поставщикам программного обеспечения достичь более высокого уровня возможностей, особенно в области защиты API. Иногда поставщики могут представить это очень простым делом, и нам, конечным пользователям, действительно нужно с этим справиться.

Что делает Gilbane для обеспечения своей безопасности?

С точки зрения стратегии, наш совет директоров занимается вопросами кибербезопасности. Мы подготовили то, что мы называем заявлением о готовности к риску в сфере кибербезопасности. Это практика, которую я перенял из банковского дела, и которая заключается в определении того, как атака на кибербезопасность приводит к убыткам для Gilbane и влияет на наших клиентов.

Итак, мы определяем эти основные риски, а затем, основываясь на этой точке зрения, определяем, как это повлияет на нас. У нас есть программа кибербезопасности, в рамках которой мы уделяем приоритетное внимание нашим инвестициям в процессы и средства контроля кибербезопасности для снижения этих рисков.

Мы уделяем приоритетное внимание защите конфиденциальной информации наших клиентов. Мы защищаем данные наших сотрудников, поскольку это информация, позволяющая установить личность. Есть и другая внутренняя информация о некоторых наших инвестициях в нашу девелоперскую компанию.

Я бы сказал, что другой аспект того, что мы защищаем, — это сбои в бизнес-процессе. 

Если наша строительная площадка не может работать из-за того, что Gilbane или один из наших торговых подрядчиков подверглись атаке программ-вымогателей и не могут получить доступ к своим системам, мы также рассматриваем, как это повлияет на критически важный бизнес-процесс, а затем на то, как вы справитесь с этим воздействием.

Чему строительная компания может научиться в банковской и финансовой сферах в области кибербезопасности?

Во-первых, я думаю, мы действительно можем сотрудничать в области анализа угроз. 

И я не имею в виду общий обмен передовым опытом. Я имею в виду анализ конкретных угроз, чтобы мы могли сотрудничать и работать сообща над предотвращением воздействия той же угрозы на другой бизнес.

Я думаю, второе, что мы можем сделать, — это коллективно и на опережение определить наши ожидания в области безопасности, особенно для поставщиков программного обеспечения.

Учитывая объем инвестиций в строительные технологии, стартапы, как правило, не уделяют первостепенного внимания безопасности. Кто-то знает, кто-то нет. Но действовать сообща, чтобы выразить, каковы наши стандарты, — это то, что нам нужно сделать, чтобы снизить риск, связанный с третьими сторонами.

Рекомендуемое чтение

  • Большинство подрядчиков не готовы к кибератакам Мэтью Тибо • 27 сентября 2023 г.

Донецк, ДНР