2013年5月,澳大利亚广播公司的一项新闻计划报告说,一位未透露姓名的消息人士称,中国黑客已经访问了澳大利亚秘密智能的“主要承包商”计算机,并窃取了“总承包商”的计算机,并偷走了平面图,通信台式布局,服务器位置和安全系统设计组织在堪培拉的新总部仍在建设中。安全专家担心泄漏损害了该建筑物的物理和网络安全,但政府官员猛烈抨击,什么也没透露。
无论ASIO项目发生了什么事,建筑行业都没有洞悉可能出了什么问题,这已经是一种模式多年了。网络攻击事件,包括针对建筑行业公司的攻击,以保护声誉,几乎没有学习。美国的联邦官员现在正在采取措施修改合规性和报告标准来改变这种状况。
在澳大利亚事件中,官员只说该报告“包含不准确性”。但是,当时的反对派党派“影子”检察长和现任总检察长乔治·布兰迪斯(George Brandis)在这个故事播出后不久在一份声明中证实,他已经对此事进行了简报,“这些事件确实发生了”。
ASIO的董事会承包商租赁租赁项目管理和建设(澳大利亚)PTY Ltd.被问及该项目时说:“合同,我们无法发表评论”,并将问题转交给澳大利亚金融部,作为所有者。澳大利亚小型企业专员对分包商的付款投诉发布的2014年1月报告说,该项目的期限约为五年,结束于2014年春季,涉及7,000多名建筑工人。根据媒体的报告,安全惯例包括承包商在工作现场仅采用政府提供的“消毒”计算机,检查大门口的所有手机,并仅使用硬拷贝的印刷品和计划,而这些印刷品和计划不允许离开现场。
敏感计划的未经批准的发布并非闻所未闻。2013年7月,《福布斯》杂志在美国国家安全局的犹他州数据中心内部的数据厅未经统治“仅供官方使用”计划,该计划仍在建设中。根据文章的作者,这些图表的未公开来源不是NSA。
专家说,网络攻击可能会对建筑公司以及最高机密的政府项目造成广泛的经济损害。新利18备用网址但是专家们说,很少有公司报告事件,而且很少有人对实施适当辩护的风险有足够的了解。
联邦机构开始通过针对承包商的新法规来应对威胁。不幸的是,专家说,与技术人员可以修复旧威胁更快。
数据驱动的保险业在很大程度上仍然存在。它缺乏基础计算不同类型网络符号的风险和损失的数据。
在去年7月的国土安全部门关于网络相关的关键基础设施损失的保险中,保险业代表不同意“网络事件”和“关键基础架构”的定义以及如何对事件进行分类。
他们确实同意,创建网络风险数据存储库将有助于该行业更好地预测损失,鼓励保单持有人之间的风险最佳实践,并说明网络事件在众多行业中的波动影响。
匹兹堡建筑师工程师和设计建筑师阿斯托里诺(Astorino)首席合规官罗纳德·德拉拉里亚(Ronald F. Dellaria)说,风险范围“使我感到紧张”。去年,Dellaria与保险经纪公司Marsh USA代表谈到了Astorino的曝光和类型
 |
| Dellaria |
从技术错误和遗漏到业务中断的攻击,沼泽视为标准网络风险政策的一部分。他说,诸如Dellaria之类的公司转向无纸化操作的趋势(随之而来的是需要与基于Internet的技术快速交换此信息)的趋势“无疑将指数级增加我们对网络安全风险的影响,”他说。
一个模糊的威胁
Cyberrisk专家说,攻击者经常针对企业,但承认没人知道多久一次,因为公司希望在发现攻击时不报告攻击,而法律不要求他们这样做。精算数据的稀缺性是一个问题。“数据集太小了。索赔的数量尚未存在,但原因是,至少在建筑方面 - 您几乎没有承包商购买保险,”副总裁兼高级总裁劳伦斯·莱弗(Lawrence Lejfer)说。XL Group Plc的建筑专业和污染线的承销商。
缺乏数据,发现网络紧急情况最常见的原因以及它们造成的损失的相对价值也使数据变得复杂。美国Marsh USA的董事总经理兼国家网络风险产品负责人罗伯特·帕里西(Robert Parisi)说:“该行业可能只擅长于与[妥协]隐私相关的Data。”
Black&Veatch建筑高级副总裁John Voeller说,尽管很难量化,但第一和第三方损失造成的延误很容易使一家建筑公司失业。他说:“在400兆瓦的动力装置上,我们错过的每小时的启动日期都花费了60,000美元,而且在24小时时钟的时钟却非常迅速。”
