Vodič za the veliki gradski i civilni inžinjering tvrtke sa BIM platformama, sustavima upravljanja projektima i IoT tehnologijom na gradilištima. Saznajte kako dokumentirati sigurnost digitalnih sustava koji projektiraju i nadziru kritičnu infrastrukturu.
Velika građevna i građevinska poduzeća sa BIM platformama ili sustavima upravljanja projektima koja projekraju ili nadziru kritičnu infrastrukturu (energetiku, vodovod, promet, telekomunikacije) spadaju u važne entitete. Primjenjuje se na tvrtke sa preko 50 zaposlenih ili godišnjim prihodom većim od 10 milijuna EUR koje koriste digitalne sustave za kritičnu infrastrukturu.
Sve BIM platforme, CAD datoteke i projektne baze s informacijama o kritičnoj infrastrukturi moraju imati enkripciju podataka u mirovanju i pri prijenosu, višefaktorsku autentifikaciju i detaljne revizijske zapise. Pristup arhitektonskim i inženjerskim planovima koji se koriste za energetske, vodne ili transportne projekte mora biti ograničen na overene korisnike sa dokumentiranim pravima pristupa.
Prije nego što podugovarači ili projektanti treće strane mogu pristupiti BIM platformi ili sustavima upravljanja projektima, trebate provesti sigurnosnu procjenu njihove IT infrastrukture. Ugovor s podugovaračima mora sadržavati obveze za primjenu mjera kao što su enkripcija, praćenje pristupa i prijavljivanje incidenata unutar 24 sata.
Senzori, kamerama, kontrolni sustavi, i uređaji na gradilištima ili u pametnim zgradama ne smiju biti na istoj mreži kao uredi i administrativni sistemi. Implementirajte mrežnu segmentaciju, redovne sigurnosne zakrpe, i nadzor neobičnih aktivnosti. Sve IoT uređaje trebate inventarizirati i dokumentirati.
Trebate uspostavljiti procedure za brzo otkrivanje napadima ili curenja podataka. Ako je napad ili curenje podataka vezano uz kritičnu infrastrukturu projekt, trebate prijaviti Službi za sigurnost mreža (SOA) u roku od 24 sata. Plan odgovora mora uključivati kontakte za hitne slučajeve i procedure za komunikaciju sa klijentima i vlastima.
Najmanje godišnje, trebate provesti testove penetracije na BIM platformama, API-jima za suradnju i sustavima upravljanja projektima. Rezultate testiranja trebate dokumentirati i brže otkloniti sve pronađene slabosti. Rad trebate povjeriti nezavisnoj tvrtki s iskustvom u infrastrukturnim projektima.
Enkripcija je obavezna za sve podatke koji se koriste u projektima kritične infrastrukture (energija, vode, promet, telekomunikacije) — to su najčešće većina podataka u vašim BIM platformama. Enkripcija mora biti primjena i pri prijenosu (TLS 1.2 ili viša) i pri mirovanju (AES-256 ili ekvivalenta). Ako niste sigurni koji su projekti uključeni, preporučujem da enkriptirate sve kao sigurnost.
Trebate izvršiti procjenu rizika njihove IT infrastrukture (sustavi za sigurnosne kopije, enkripcija, zaštita od malvera), potpisati ugovor s obvezama, i godišnje reinspektovati. Dokumentirajte sve korake u Reglyze ili sličnom alatu kako biste imali dokaz compliance. Ako podugovarač nema adekvatnu sigurnost, morali biste im ograničiti pristup samo specifičnim datotekama ili projektima kroz granularne dozvole.
Prema ZKS (Zakonu o kiber sigurnosti, implementacija NIS2), neuključeni ili kasniji incidenti mogu rezultirati novčanom kaznom od 2,5 do 5 milijuna EUR ili 4-7% godišnjeg prihoda, ovisno o vrsti kršenja. Za važne entitete (kao što je vaša tvrtka), rok je 24 sata za prijavljivanje incidenta SOA-u. Brži odgovori pokazuju vašu spremnost i mogu ublažiti kazne.