Christina Hvid, Direktør i Molio og ConTech Lab
Ansvaret for cybersikkerhed er en blind vinkel i byggeprojekter
En ny analyse fra ConTech Lab viser, at ansvaret for cybersikkerhed i byggeprojekter er en ny organisatorisk blind vinkel og en ledelsesopgave, der rækker langt ud over de enkelte virksomheders IT-afdelinger.
Digitaliseringen har gjort byggebranchen mere effektiv, og det er i høj grad det digitale samarbejde, der muliggør udveksling af viden og data og skaber sammenhæng i værdikæden af aktører. Det er imidlertid også i en værdikæde med mange led og kontaktpunkter, at der undervejs opstår gråzoner og uvished om hvem, der har ansvaret for datasikkerheden.
– Bygge- og anlægsprojekter strækker sig ofte over flere år, med mange aktører involveret, ligesom projekter gennemgår flere faser, hvor både governance og projektledelse løbende kan ændre karakter. Det betyder, at ansvaret for IT- og datasikkerhed kan blive utydelig eller inkonsistent over tid, forklarer Malene Stidsen, programchef for cybersikkerhed i Industriens Fond. Hun uddyber:
– Juridisk set ligger det overordnede ansvar hos bygherren. Men ligesom med andre ting i byggeriet, så udliciteres opgaver nedad i værdikæden – først til rådgiver, herefter til entreprenør, underentreprenør og til sidst til de udførende på byggepladsen. Vi oplever, at krav om cybersikkerhed ofte sendes lidt ukritisk ned igennem kæderne, hvilket kan medføre, at en SMV-virksomhed i den modtagende ende enten ikke er gearet til at håndtere ansvaret, og derfor enten takker nej til opgaven, eller i værste fald takker ja og påtager sig ansvaret på papiret uden at kunne løfte ansvaret i realiteten.
Ifølge Malene Stidsen er det derfor presserende at skabe klarhed om roller og ansvar for digital sikkerhed i en industri som byggeri og anlæg, hvor virksomheder konstant indgår i nye partnerskaber og samarbejdskonstellationer, og hvor mange små virksomheder ofte skal kunne leve op til krav fra større virksomheder.
Malene Stidsen, programchef for cybersikkerhed i Industriens Fond
43 % har ikke styr på ansvarsfordelingen
I en ny analyse har man spurgt virksomheder i byggebranchen, om det er tydeligt for dem, hvem der bærer ansvar for datasikkerhed i de forskellige projektfaser. Her angiver 41 %, at de oplever gråzoner mellem samarbejdspartnere, og 43 % angiver, at ansvaret er uklart eller slet ikke drøftet.En del af forklaringen er, at de digitale samarbejdsplatforme ofte betales af bygherre, administreres af rådgiver eller entreprenør og anvendes af mange parter.
– Ansvar for datasikkerhed er et nyt organisatorisk ”blind spot” i byggebranchen. Og den manglende afklaring kan konkret føre til for brede adgange, uklare beredskabsprocedurer og i sidste ende øget risiko for databrud, siger Christina Hvid, Direktør i Molio og ConTech Lab. Hun fortsætter:
– Mange systemer og processer er gensidigt afhængige i et byggeprojekt. Brud på sikkerheden ét sted kan skabe dominoeffekt. Så reelt skal man forstå hele værdikæden som én angrebsflade. Og når ingen ejer ansvaret, ejer alle risikoen. Derfor dur det ikke, at samarbejdspartnere håndterer sikkerhed på hver sin måde – der er behov for fælles aftaler.
Cybersikkerhed er ikke et IT-anliggende – det er et ledelsesansvar
En stor del af byggeriets digitale samarbejde foregår i skybaserede løsninger og fælles projektplatforme, hvilket i praksis betyder, at opgaverne relateret til cybersikkerhed kan være delt mellem flere parter. Derfor er det en bekymrende tendens, når 52 % angiver, at hver part i byggeprojektet håndterer digital sikkerhed på sin egen måde. Dét er ifølge analysen ikke et stærkt nok værn mod cybertrusler. Malene Stidsen slutter af:
– Hvis ansvarsfordelingen ikke er tydelig, opstår der huller i sikkerheden. Vi må ikke tro, at cybersikkerhed kun er et IT-anliggende. Det er et ledelsesansvar og noget, der skal forankres bredt i en projektorganisation.
Sådan tydeliggøres ansvar for cybersikkerhed i praksis
For at omsætte ansvaret for de delte opgaver til praksis bør ansvarsfordelingen:
Hvorfor skal byggebranchen forholde sig til cybersikkerhed?
Bygge- og anlægsprojekter involverer mange aktører, skiftende faser og omfattende datadeling på tværs af virksomheder og platforme. Digitalt samarbejde er blevet en forudsætning for effektivt byggeri, men det gør også byggebranchen sårbar overfor cyberhændelser. En sårbarhed ét sted i værdikæden kan få konsekvenser mange andre steder. Derfor kan den digitale sikkerhed ikke kunvaretages af den enkelte virksomhed, der er brug for dialog på tværs af samarbejdspartnere, fælles metoder, klare krav og en praksis, der fungerer i hverdagen ude på byggepladsen.
Om ConTech Lab
ConTech Lab er byggebranchens fælles udviklingsplatform, hvor byggeriets virksomheder sammen kan udvikle og eksperimentere med nye måder at benytte data, digitalisering og teknologi på til at skabe fremtidens byggeri – et mere bæredygtigt og produktivt byggeri. Her deles al viden og læring, så det kommer hele branchen til gode. Bag ConTech Lab står Industriens Fond, Realdania, Knud Højgaards Fond, Rambøll Fonden og Molio - byggeriets videnscenter.
