אם בפרק הקודם עסקנו בשאלה המשפטית של "של מי המודל הזה"? בפרק הזה אנחנו נכנסים לאזור מסוכן יותר ולצערי – מוזנח הרבה יותר.
אנחנו צריכים לשאול: מי עוד מטייל בתוך המודל שלכם?
ענף הבנייה מעולם לא היה חוד החנית של אבטחת המידע. במשך עשורים, "אבטחה" באתר בנייה הסתכמה בגדר פח, שומר בכניסה ומנעול על המכולה של הציוד היקר.
אבל היום?
היום הנכס הכי יקר שלכם הוא לא הבטון ולא המנוף.
הנכס הכי יקר הוא המידע. כשהמידע הזה יושב בענן, נגיש לעשרות יועצים, קבלנים וספקים – אתם לא בונים רק בניין. אתם בונים רשת עצומה של דלתות פתוחות.
הפרדוקס של הBIM – שיתוף מול מידור
כל מהות ה-BIM היא שיתופיות.
אנחנו רוצים שקיפות, אנחנו רוצים שכולם יעבדו על אותו מודל, אנחנו רוצים זרימת מידע חופשית כדי למנוע התנגשויות ולייעל ביצוע. אבל בעולם הסייבר? שיתופיות היא סיכון. מומחי אבטחה רוצים מידור והצפנה.
כאן נוצר הקונפליקט העסקי הגדול: איך אנחנו שומרים על היתרונות של הBIM בלי להפוך את הארגון שלנו לפרוץ?
כשאני מדברת עם מנכ"לים על סייבר, הם בדרך כלל חושבים על גניבת מספרי אשראי.
אבל ב-BIM הסיכונים הם אחרים לגמרי והרסניים הרבה יותר:
- כופרה (Ransomware) שמשביתה מנופים: תחשבו תרחיש בו האקר חודר לנתוני המודל שלכם. הוא לא גונב כלום, הוא פשוט מצפין את כל המודלים ונועל את הגישה. המשמעות? האתר נעצר. אין תוכניות לביצוע, אין אישורי תשלום, אין הזמנות רכש. כל יום של השבתה כזו בפרויקט תשתית או מגדל עולה מיליונים. הקבלנים משלמים את הכופר כי עלות העיכוב גבוהה יותר.
- גניבת קניין רוחני (IP): השקעתם שנים בפיתוח משפחות (Families) חכמות, סקריפטים של אוטומציה, ושיטות עבודה ייחודיות. מתחרה (או מדינה עוינת) שנכנס למודל שלכם מעתיק אותו. היתרון היחסי שלכם נמחק ברגע.
- גישה לנתוני התאום הדיגיטלי: התרחיש המלחיץ ביותר, בנינו ״תאום דיגיטלי״ שמחובר למערכת הBMS (ניהול מבנה) בזמן אמת. אם המודל שלי מכיל את המיקום המדויק של מצלמות האבטחה, את סיסמאות ברירת המחדל של מערכת המיזוג ואת תוואי כבלי התקשורת של השרתים. פריצה למודל בשלב התכנון יכולה לאפשר לגורם עוין להשבית אותו פשוט כי הייתה לו את "תוכנית העל"
החדשות הטובות הן שאנחנו לא צריכים להמציא את הגלגל. ארגון התקינה הבינלאומי הבין את הבעיה ופרסם את ISO 19650-5 אם חלק 1 ו-2 של התקן עוסקים ב"איך לנהל מידע", חלק 5 עוסק ב"גישה מוכוונת אבטחה״ (Security-minded approach)
התקן לא דורש מכם להפוך לאנשי סייבר, אבל הוא דורש מכם לנהל תהליך של מיון למידע:
מידע רגיל: מיקום הקירות, כמויות בטון. (סיכון נמוך – אפשר לשתף)
מידע רגיש: מיקום חדרי שרתים, מערכות אבטחה, פרטי דיירים. (סיכון גבוה – דורש מידור)
התקן דורש מאיתנו להגדיר כבר במסמך הBEP לא רק מי מוסר מה, אלא מי רשאי לראות מה. לא כל יועץ נוף צריך לראות את סכמת האבטחה של המבנה.
החולייה החלשה: הגורם האנושי
חשוב להבין כמה זה קריטי לשים לב לדקויות ולמודעות העניין.
אנחנו יכולים לקנות את מערכות ההגנה הכי יקרות, להשתמש בתקן ISO 27001 ולהצפין כל קובץ. בסופו של יום, אם מנהל הפרויקט יכתוב את הסיסמה שלו על פתק צהוב וידביק על המסך או ישלח מודל רגיש במייל לא מאובטח – כל אבטחת המידע הופכת לא רלוונטית.
בעולם הBIM שרשרת האספקה היא עקב אכילס. מספיק שקבלן משנה אחד, שאין לו מערך אבטחה רציני, מקבל גישה למודל המרכזי והוא הופך ל״דלת האחורית״ שדרכה התוקפים נכנסים לארגון הגדול.
אז איך נועלים את הדלת הדיגיטלית?
הנה רשימת הפעולות שאתם חייבים לוודא שקורות בארגון שלכם, לפני שאתם מאשרים את המודל הבא:
- סיווג רגישות המידע (Sensitivity Assessment) – האם דרשתם ממנהל ה-BIM שלכם למפות את המידע בפרויקט? האם הוגדר מהו "מידע רגיש" שאסור שידלוף?
- בדיקת נאותות ל CDE – איפה המידע שלכם יושב? האם ספק הענן שלכם מחזיק בתקן ISO 27001? איפה השרתים יושבים פיזית? והכי חשוב: מי עושה גיבויים, והאם ניסיתם פעם לשחזר מהם?
- עיקרון ״הפריבילגיה המינימלית״ – במערכת הניהול BIM 360, ACC האם לכולם יש הרשאת "Admin"? זו טעות נפוצה. תנו למתכננים הרשאות עריכה רק לתיקיות שלהם. צמצמו את הגישה למינימום ההכרחי לביצוע העבודה.
- סעיף סייבר בחוזי היועצים – הוסיפו לחוזה הBIM דרישה שכל יועץ מתחייב לעמוד בסטנדרט אבטחה בסיסי (אנטי-וירוס מעודכן, אימות דו-שלבי, איסור העברת קבצים בערוצים לא מאובטחים). האחריות צריכה להיות משפטית.
- חינוך ותרבות ארגונית – הסבירו לצוותים שמודל ה-BIM הוא בסיס נתונים עסקי וביטחוני. מודעות היא חומת האש הטובה ביותר.
המעבר ל-BIM הוא בלתי נמנע ואף מבורך, אבל הוא חושף אותנו לסיכונים שלא הכרנו קודם.
כבעלי עסק, האחריות שלכם היא לא רק לוודא שהפרויקטים שלכם בחזית המקצועיות הטכנולוגית, אלא שהוא עומד יציב גם מבחינת אבטחה דיגיטלית. אל תחכו למתקפת הסייבר הראשונה כדי להבין שהמודל שלכם שווה הרבה מאוד כסף בעיקר לאנשים הלא נכונים.