Diritto e contratto: perché la tecnologia digitale sta portando a maggiori rischi per la sicurezza informatica

Nonostante la semplificazione del processo di costruzione, questi progressi tecnologici hanno portato a un aumento dei rischi per la sicurezza informatica, ulteriormente rafforzati dall'elevato flusso di cassa e dai pagamenti di valore elevato nel settore e dal semplice fatto che molti progetti coinvolgono infrastrutture nazionali critiche, sia nel Regno Unito che in tutta l'Unione Europea.

Purtroppo, questi fattori fanno sì che i criminali informatici considerino le imprese edili come obiettivi principali degli attacchi.

Con la crescente digitalizzazione del settore edile, la quantità di dati e informazioni sensibili raccolti e condivisi elettronicamente all'interno delle organizzazioni è aumentata in modo significativo, che si tratti, ad esempio, di progetti proprietari o di registri dei dipendenti.

Di conseguenza, le conseguenze di un attacco informatico possono essere particolarmente gravi per le imprese edili, comportando potenzialmente notevoli perdite finanziarie, nonché rischi per la conformità o addirittura per la sicurezza.

L'impatto degli attacchi informatici si estende anche al danno reputazionale: le violazioni dei dati spesso comportano la perdita della fiducia dei clienti e della fedeltà al marchio.

Ciò può avere effetti duraturi sui profitti di un'azienda e, in ultima analisi, evidenzia la crescente importanza di una solida sicurezza e prontezza informatica per le imprese di costruzione che lavorano a importanti progetti infrastrutturali.

Cresce la paura degli attacchi informatici nel settore edile

Un esempio di un tipo comune di attacco informatico alle aziende edili è il ransomware, quando un sistema informatico viene preso in ostaggio e un aggressore chiede un pagamento in cambio del ripristino dell'accesso da parte del proprietario.

Esempi recenti di attacchi ransomware alle aziende del settore edile del Regno Unito includono:

Gli hacker hanno sfruttato una vulnerabilità nel sito web di un'azienda di servizi di costruzione per accedere alla rete dell'azienda e portare a termine un attacco ransomware. Di conseguenza, i file dell'azienda sono stati crittografati e gli aggressori hanno richiesto un pagamento per ripristinare l'accesso.

Un'azienda di gestione delle infrastrutture è stata colpita da un attacco informatico da parte di un gruppo ransomware. Il gruppo ha fatto trapelare alcuni dei suoi contratti, accordi di partnership riservati, documenti finanziari e accordi di non divulgazione.

Stanno diventando sempre più comuni anche i bonifici bancari fraudolenti, che comportano il trasferimento di ingenti somme di denaro da un conto.

La legislazione europea come la direttiva NIS2, insieme al Cyber Resilience Act, fornisce attualmente le basi per proteggere le organizzazioni e le infrastrutture critiche nell'UE dalle minacce informatiche (Foto: AdobeStock)

Ciò è spesso dovuto alla capacità dei criminali informatici di manipolare gli individui per indurli a divulgare informazioni sensibili, utilizzando tattiche come l'invio di e-mail di phishing in cui si finge un fornitore e si chiede alle imprese edili di aggiornare i propri archivi con i dati bancari del fornitore per i pagamenti futuri.

La legislazione europea, come la direttiva NIS2, insieme al Cyber Resilience Act, fornisce attualmente le basi per proteggere le organizzazioni e le infrastrutture critiche dell'UE dalle minacce informatiche, con l'obiettivo di raggiungere un elevato livello di sicurezza comune in tutta l'UE.

Tuttavia, per rispondere al rischio informatico, il Regno Unito e l'UE stanno rafforzando i requisiti normativi e gli obblighi di sicurezza informatica per gli operatori, nonché per la loro catena di fornitura. Gli enti regolatori stanno esaminando quali aree dell'infrastruttura richiedono una protezione aggiuntiva per la sicurezza informatica.

Il parlamento del Regno Unito ha recentemente avviato un'indagine sulla resilienza informatica delle infrastrutture nazionali critiche, in cui è stato esaminato il ruolo del governo nella definizione di standard e normative per la preparazione informatica, in seguito al recente allarme del National Cyber Security Centre (NCSC) secondo cui gruppi filo-russi erano intenzionati a danneggiare le infrastrutture nel Regno Unito.

L'indagine riguarda in parte le infrastrutture energetiche e, da essa, il governo spera di comprendere meglio quale dovrebbe essere il suo ruolo nel definire standard e normative per la resilienza e la preparazione informatica.

Aumentare la sicurezza informatica sul campo

Il rischio informatico può essere difficile da controllare in un cantiere edile, con subappaltatori e personale temporaneo che si aggiungono al rischio esistente rappresentato dalle capacità tecnologiche dei criminali informatici.

Pertanto, gli appaltatori dovrebbero analizzare le proprie reti di affidamento e valutare i rischi legati alla propria esposizione alle debolezze informatiche, valutando anche cosa possono fare sul campo per ottenere una maggiore protezione e dove questa protezione è maggiormente necessaria.

Ciò include, ad esempio, l'analisi di ogni anello della filiera edilizia e la richiesta ai partner subappaltatori di dimostrare solide pratiche di sicurezza informatica nelle loro gare d'appalto.

Nel Regno Unito, l'NCSC e il Chartered Institute of Building (CIOB) hanno recentemente collaborato per produrre una guida pratica a supporto delle aziende, comprese le PMI, che operano nel settore dell'edilizia, che può essere utilizzata come linea guida per l'implementazione di misure di sicurezza informatica.

Questa guida include consigli sulla collaborazione con fornitori e partner per garantire che le informazioni sensibili condivise tra le parti che lavorano a un progetto siano protette e per incoraggiare i fornitori a ottenere la certificazione Cyber Essentials; uno schema sostenuto dal governo per aiutare le organizzazioni a proteggersi dai comuni attacchi informatici. L'NCSC ha anche sviluppato un pacchetto di e-learning "Top Tips For Staff", che può essere completato online, per istruire i dipendenti sulla sicurezza informatica.

Le aziende che lavorano nel settore edile sono inoltre invitate a prestare particolare attenzione al modo in cui l'intelligenza artificiale (IA) interagisce con la sicurezza informatica. Poiché sempre più organizzazioni, anche nel settore edile, continuano a esplorare il modo in cui l'IA può aiutare le proprie attività, i rischi per la sicurezza informatica continueranno a essere una considerazione chiave e dovrebbero essere tenuti sotto stretta osservazione fino al 2024 e oltre. ce