Direito e contrato: Por que a tecnologia digital está levando ao aumento dos riscos de segurança cibernética

Apesar da simplificação do processo de construção, esses avanços tecnológicos levaram a um aumento nos riscos de segurança cibernética, reforçados ainda mais pelo alto fluxo de caixa e pagamentos de alto valor dentro do setor e pelo simples fato de que muitos projetos envolvem infraestrutura nacional crítica, seja no Reino Unido ou em toda a União Europeia.

Infelizmente, esses fatores fazem com que os criminosos cibernéticos vejam as empresas de construção como os principais alvos de ataques.

À medida que o setor da construção se torna cada vez mais digitalizado, a quantidade de dados e informações confidenciais coletadas e compartilhadas eletronicamente dentro das organizações cresceu significativamente, sejam projetos proprietários ou registros de funcionários, por exemplo.

Como resultado, as consequências de um ataque cibernético podem ser particularmente graves para empresas de construção, podendo levar a perdas financeiras significativas, bem como riscos de conformidade ou até mesmo de segurança.

O impacto dos ataques cibernéticos também se estende aos danos à reputação, com violações de dados muitas vezes levando à perda da confiança do cliente e da fidelidade à marca.

Isso pode ter efeitos duradouros nos resultados financeiros de uma empresa e, em última análise, destaca a crescente importância da prontidão e segurança cibernética robustas para empresas de construção que trabalham em importantes projetos de infraestrutura.

Crescente medo de ataques cibernéticos na construção

Um exemplo de um tipo comum de ataque cibernético em empresas de construção é o ransomware, quando um sistema de computador é mantido refém e um invasor exige pagamento em troca da restauração do acesso do proprietário.

Exemplos recentes de ataques de ransomware a empresas do setor de construção do Reino Unido incluem:

Hackers exploraram uma vulnerabilidade no site de uma empresa de serviços de construção para acessar a rede da empresa e realizar um ataque de ransomware. Como resultado, os arquivos da empresa foram criptografados e o pagamento foi exigido pelos invasores para restaurar o acesso.

Uma empresa de gerenciamento de infraestrutura foi atingida por um ataque cibernético de um grupo de ransomware. O grupo vazou alguns de seus contratos, acordos de parceria confidenciais, documentos financeiros e acordos de não divulgação.

Transferências eletrônicas fraudulentas também estão se tornando mais comuns, envolvendo grandes somas de dinheiro sendo retiradas de uma conta.

A legislação europeia, como a Diretiva NIS2, juntamente com a Lei de Resiliência Cibernética, atualmente fornece bases para proteger organizações e infraestruturas críticas na UE contra ameaças cibernéticas (Foto: AdobeStock)

Isso geralmente ocorre devido à capacidade dos criminosos cibernéticos de manipular indivíduos para que divulguem informações confidenciais, usando táticas como enviar e-mails de phishing alegando ser um fornecedor e pedindo que as empresas de construção atualizem seus registros dos dados bancários do fornecedor para pagamentos futuros.

A legislação europeia, como a Diretiva NIS2, juntamente com a Lei de Resiliência Cibernética, atualmente fornece bases para proteger organizações e infraestruturas críticas na UE contra ameaças cibernéticas, visando alcançar um alto nível de segurança comum em toda a UE.

No entanto, para responder ao risco cibernético, o Reino Unido e a UE estão reforçando os requisitos e obrigações regulatórias de segurança cibernética para operadores, bem como para sua cadeia de suprimentos. Os reguladores estão analisando quais áreas de infraestrutura exigem proteção adicional de segurança cibernética.

O parlamento do Reino Unido passou recentemente por uma investigação sobre a resiliência cibernética de infraestruturas nacionais críticas, na qual o papel do governo na definição de padrões e regulamentações para preparação cibernética foi explorado, após o recente alerta do Centro Nacional de Segurança Cibernética (NCSC) de que grupos alinhados à Rússia pretendiam interromper a infraestrutura no Reino Unido.

A investigação está relacionada, em parte, à infraestrutura energética e, a partir dela, o governo espera entender melhor qual deve ser seu papel na definição de padrões e regulamentações para resiliência e preparação cibernética.

Aumentar a segurança cibernética no terreno

O risco cibernético pode ser difícil de controlar em um canteiro de obras, com subcontratados e funcionários temporários aumentando o risco existente representado pela proeza tecnológica dos criminosos cibernéticos.

Portanto, os contratantes devem analisar suas redes de confiança e avaliar os riscos de sua exposição a vulnerabilidades cibernéticas, incluindo o que mais podem fazer no local para obter maior proteção e onde essa proteção é mais necessária.

Isso inclui analisar cada elo da cadeia de construção e pedir aos parceiros subcontratados que demonstrem práticas sólidas de segurança cibernética em suas licitações, por exemplo.

No Reino Unido, o NCSC e o Chartered Institute of Building (CIOB) fizeram uma parceria recentemente para produzir orientações práticas para dar suporte a empresas, incluindo PMEs, que trabalham na construção, que podem ser usadas como uma diretriz para implementar medidas de segurança cibernética.

Esta orientação inclui conselhos sobre colaboração com fornecedores e parceiros para garantir que informações confidenciais compartilhadas entre as partes que trabalham em um projeto sejam protegidas e para incentivar os fornecedores a obter a certificação Cyber Essentials; um esquema apoiado pelo governo para ajudar as organizações a se protegerem de ataques cibernéticos comuns. O NCSC também desenvolveu um pacote de e-learning 'Top Tips For Staff', que pode ser concluído on-line, para educar os funcionários sobre segurança cibernética.

Empresas que trabalham na construção também são incentivadas a prestar atenção específica em como a inteligência artificial (IA) interage com a segurança cibernética. À medida que mais organizações, incluindo na indústria da construção, continuam a explorar como a IA pode ajudar seus negócios, os riscos de segurança cibernética continuarão a ser uma consideração importante e devem ser mantidos sob revisão rigorosa até 2024 e além. ce