Юристы рассказывают о том, как подрядчики могут обезопасить себя от юридических рисков, связанных с атаками, и что делать в случае нарушения.Автор: Джен А. Миллер
Даниэль Тернес/Construction Dive
Эта статья является частью серии “Пунктирная линия”, в которой подробно рассматривается сложный правовой ландшафт строительной отрасли. Чтобы просмотреть всю серию, нажмите здесь. По мере роста числа кибератак на предприятия, базирующиеся в США, генеральные подрядчики не защищены от них. На самом деле, они быстро стали мишенью.“Вопрос не в том, будет ли это сделано, а в том, когда”, — говорит адвокат Келли Джонсон, партнер Goldberg Segalla из Нью-Йорка, специализирующийся на судебных разбирательствах по кибербезопасности и технологическим ошибкам и упущениям.
Келли Джонсон любезно предоставлена Goldberg Segalla
Строительные компании могут показаться неочевидной потенциальной дойной коровой для киберпреступников, но они стали уязвимыми отчасти потому, что другие отрасли, такие как финансы и здравоохранение, ужесточили свои требования к безопасности, а строительство отстало. Субъектам, создающим угрозы, легче нападать на менее защищенные отрасли — «низко висящие плоды».
Строительные компании также могут работать над проектами в области критически важной инфраструктуры, что может сделать их мишенями для политических противников.
Согласно опросу, проведенному в 2023 году компанией Dodge Construction Network в партнерстве с компанией Egnyte, занимающейся безопасностью контента и управлением им, 59% опрошенных компаний AEC сообщили, что в течение двухлетнего периода они сталкивались с угрозой кибербезопасности. Больше всего пострадали генеральные подрядчики: за тот же промежуток времени 70% из них столкнулись с угрозой, а 30% — с атакой программ-вымогателей.Если подрядчики будут заблокированы от доступа к своей системе из-за вредоносного ПО или программ-вымогателей, последствия могут быть разрушительными, особенно для крупных коммерческих и инфраструктурных проектов с бюджетами в сотни миллионов долларов. Согласно отчету, 77% архитекторов, инженеров и подрядчиков заявили, что они не могут оставаться без доступа к своей документации более пяти дней, прежде чем их проекты столкнутся с серьезными нарушениями графика. По словам Джонсона, нарушение также может нанести огромный репутационный ущерб генеральному подрядчику и его клиентам. Кроме того, существует юридический риск, если они и их подчиненные не принимают элементарных мер кибербезопасности и должным образом не раскрывают информацию об атаке, если она происходит. “Вы несете ответственность не только за свой собственный ущерб от кибератак, но и за ущерб вашего клиента”, — сказала она.
Вот что необходимо знать генеральным подрядчикам о том, что они могут сделать с помощью юридических, контрактных и страховых каналов, чтобы защитить себя.
Компания GC уязвима для атак на дочерние компании
Ответственность генеральных подрядчиков за кибератаку может не ограничиваться их собственным цифровым следом. Например, если субподрядчика взламывают, то дальнейшее развитие событий во многом зависит от контракта, говорит Марк Маккрири из Филадельфии, руководитель практики искусственного интеллекта Fox Rothschild и сопредседатель практики конфиденциальности и защиты данных.
Марк Маккрири любезно Фокс Ротшильд <п>“как правило, клиент не хочет бороться с семи разных компаниях. Они хотят иметь дело с одним из них”, — сказал он. “Если произойдет компрометация и данные будут потеряны… в большинстве случаев ответственность за это ляжет на генерального подрядчика”.
Чтобы защитить себя от атак на дочерние компании,генеральные подрядчики должны провести должную проверку субподрядчиков, чтобы убедиться, что они “серьезно относятся к кибербезопасности и это не запоздалая мысль”, — сказал он. В соглашениях с субподрядчиками генеральный подрядчик должен включать “требования, касающиеся надлежащих методов обеспечения безопасности данных, удаления данных по завершении проекта, конфиденциальности, возмещения ущерба по искам третьих лиц, возникающим в результате нарушения, на которое не распространяется ограничение ответственности или гораздо более строгое ограничение ответственности, а также требования к киберстрахованию”.
Таким образом, в случае утечки информация, которую получают хакеры, по крайней мере, может быть сохранена. “Если вам не нужно предоставлять им множество данных, предоставьте им только то, что им нужно. Так вы меньше потеряете”, — сказал он. Подрядчики могут добиться этого, не распространяя конфиденциальную информацию, выходящую за рамки того, что нужно субподрядчику. Например, если субподрядчику не нужна информация о ценах от другого субподрядчика или контактная информация сотрудников владельца, то генеральный подрядчик должен убедиться, что часть его сети, содержащая такие конфиденциальные данные, не передается субподрядчикам.
Страхование от атак
Существует также страхование кибербезопасности для защиты генеральных подрядчиков, которое может распространяться и на субподрядчиков. “Как правило, это покрывается, но вы хотите убедиться, что имеете дело со страховщиком, который знает, о чем говорит”, — сказал Маккрири. Джонсон сказал, что подрядчики, которым не хватает опыта или знаний о том, как внедрить базовые меры безопасности, также могут обратиться к потенциальным поставщикам страховых услуг в области кибербезопасности, которые часто сотрудничают со специалистами по безопасности, чтобы помочь клиентам в обеспечении безопасности. “Некоторые даже включают это в стоимость полиса”, — сказала она. “Для компаний, которые чувствуют себя растерянными в вопросах кибербезопасности, есть креативные варианты”.
У генеральных подрядчиков также может быть подписана политика, которая распространяется и на субподрядчиков, если у субподрядчика такой же уровень защиты от кибербезопасности, как и у основного.
С другой стороны, вопрос о том, требовать ли этого в рамках оценки рисков при выборе субподрядчиков для выполнения работы, также может оказаться излишним, добавила она. Причина, в первую очередь, связана с объемом данных, которые субподрядчики имеют в сети.
У небольших субподрядчиков может даже не быть собственной корпоративной программной системы. В отрасли, которая известна тем, что использует молотки и электроинструменты вместо персональных компьютеров, они часто даже не выполняют большую часть работы на компьютере, а это означает, что они не хранят много информации в Интернете. “Вероятно, у вас есть много обстоятельств, при которых нарушение прав субподрядчика, вероятно, не окажет никакого влияния на проект или генерального подрядчика”, — сказал Джонсон.
Когда происходят атаки
Несмотря на все усилия подрядчиков, атаки все же происходят. В этом случае, по словам Джонсона, первым, к кому должен обратиться генеральный подрядчик, является его поставщик услуг по страхованию кибербезопасности.
Скорее всего, поставщик предоставит компании адвоката, который сможет разъяснить им то, что они по закону обязаны раскрывать в соответствии с Комиссией по ценным бумагам и биржам, которая в 2023 году были опубликованы новые правила публичного раскрытия информации.
По ее словам, соблюдение этих требований поможет оградить генерального подрядчика от судебных разбирательств со стороны третьих лиц, если при взломе будет задействована какая-либо личная информация. Строительные компании также не будут искать помощи в одиночку, добавила она, поскольку с 2010-х годов страхование кибербезопасности стало более распространенным в отрасли. Это означает, что сегодня подрядчикам стало проще застраховаться от взлома, который действительно покроет их. В прошлом было всего несколько компаний, занимающихся страхованием строительных компаний в сфере кибербезопасности, и они даже не знали, какие вопросы задавать подрядчикам в заявке.»Если ваша компания перегружена, не расстраивайтесь», — добавил Джонсон. Ни один генеральный подрядчик больше не прокладывает новый путь с помощью такого рода защиты.»Позвольте вашему страховщику помочь вам”, — сказал Джонсон. “Это не только привлечет к вам эксперта, но и снизит ваши ставки, потому что ваш страховщик будет более уверен в том, что вы защищены».
Исправление: в первоначальной публикации эта история была написана с ошибкой Fox Rothschild. серия Dotted Line представлена компанией AIA Contract Documents®, признанным лидером в области контрактов на проектирование и строительство.>____________________________________________________________Серия Dotted Line представлена компанией AIA Contract Documents®, признанным лидером в области контрактов на проектирование и строительство. Чтобы узнать больше об их более чем 250 контрактах и получить доступ к бесплатным ресурсам, посетите их веб-сайт здесь. Контрактные документы AIA не влияют на освещение вопросов, связанных с Construction Dive в статьях, и их содержание не отражает взгляды или суждения Американского института архитекторов, контрактных документов AIA или ее сотрудников.