Portfolio zdrojů útoků se stále rozšiřuje. Neměli bychom spoléhat na zdánlivý nezájem útočníků o méně rozšířené řešení, které využívá například metoda BIM. Ve světě již byly zaznamenané útoky na řešení pro BIM. V budoucnu by pak mohlo dojít k ransomware útokům, které svými dopady patří k těm nejkomplexnějším, protože ohrožují nejen dostupnost, ale také důvěrnost šifrovaných dat.
Metoda BIM využívá digitální informační platformu pro centralizované ukládání a přístup k projektovým datům, obvykle souvisejícím se stavebním projektem a pracovními postupy informačního modelování budov ve 3D. Toto řešení propojuje architekty, klienty, dodavatele a projektové týmy, aby mohli efektivněji navrhovat, stavět a provozovat své projekty.
Vláda schválila už v roce 2017 Koncepci pro zavádění metody BIM v České republice. ČAS (Česká agentura pro standardizaci) na základě metody BIM provozuje koncepcebim.cz, zavádí normy, metodiky, datový standard staveb (DDS) a řeší návaznosti dat z BIM pro GIS (Geografické informační systémy) v rámci digitalizace sektoru stavebnictví. Zákonná povinnost využití BIM u všech nadlimitních veřejných zakázek byla odsunuta na rok 2024.
Z pohledu bezpečnosti informací je důležitým faktorem plánované využití BIM. Není podstatné, zda se bude jednat o nárazové využití (např. pouze výstavba) nebo o dlouhodobý záměr (správa stavby), podstatná je ochrana informací a dat, která jsou v rámci metody BIM zpracovávána. Ochrana dat u BIM je na dvou hlavních úrovních. Jednou úrovní je sdílené datové prostředí pro informace, které v rámci projektu zpracováváme. Druhou úrovní ochrany u BIM je sdílení informací v rámci projektu.
Společné datové prostředí (Common Data Environment, CDE), kde se potkávají všechna zpracovávaná data, může být zprostředkované poskytovatelem (hostované) nebo si řešení přeneseme do vlastní infrastruktury (on premise). ISO 19650 (3.3.15) definuje společné datové prostředí jako “dohodnutý zdroj informací (3.3.1) pro jakýkoli daný projekt nebo aktivum (3.2.8), pro shromažďování, správu a šíření každého informačního kontejneru (3.3.12) prostřednictvím řízeného procesu.”. ISO 19650 bude základem pro standardizaci BIM u nás. Uvedení požadavku v zadávací dokumentaci na “CDE dle ISO 19650” znamená například, že CDE umožňuje řízený přístup na úrovni informačních kontejnerů, jak jednoduše vysvětluje ardit.cz.
V rámci řízení bezpečnosti informací pak k oběma variantám CDE přistupujeme obdobně jako u externího prostředí (cloud) nebo interního. Cloudové prostředí bývá sice poskytovateli chráněné, nicméně útoky bývají realizovány nevhodným řízením přístupů a ověřování identit samotnou organizací. Nicméně, servery cloudového poskytovatele mohou být napadeny, a dokonce smazány jako se tomu stalo nedávno v Dánsku aneb pozor na riziko slepé důvěry.
K řešení BIM přistupují celé týmy nebo IoT zařízení (např. automatizace procesu zajištění vzduchotechniky), případně i další systémy (CRM, ERP, inventarizační programy, AI aj.). Zde se dostáváme k druhé hlavní úrovni zabezpečení. Vliv rizika selhání lidského faktoru se nedá 100 % limitovat, takže potřebujeme nastavit hierarchii přístupů s pouze nutnou úrovní oprávnění (známé pravidlo „need to know“) a implementovat politiky pro užívání (přenosných) zařízení včetně jejich ochrany. Samozřejmostí je pak všechny zúčastněné osoby poučit o rizicích spojených s využíváním metody BIM a CDE se všemi napojenými systémy, a také o právech a povinnostech jednotlivých úrovní uživatelů.
Obecně jsou u BIM zmiňovaná rizika také ve formě vysoké náročnosti pro projektanty u velkých projektů, kde musí nastavit mnoho vstupů a následně aktualizovat vstupy přibývající, čímž se navyšuje riziko chyby lidského faktoru. Následně přichází téma potřeb pravidelných a častých záloh se zvyšujícími se nároky na kapacit pro zálohy apod. ČAS by měl do budoucna vydat návodnou dokumentaci s ohledem na další rizika, např. vypořádání autorských práv.
V neposlední řadě, jako vždy s jakýmkoliv novým nástrojem, tak i u CDE ve vlastnictví přichází prvotní náklady (navýšení kapacit infrastruktury a jeho zabezpečení, zaškolení zaměstnanců, možné navýšení zdrojů na správu BIM a další). U nás jsou již v této chvíli společnosti s potřebnými zdroji (včetně CDE na základě licencí) a týmy zkušených projektantů s relevantními znalostmi o BIM, resp. IMS (Informační model stavby). V případě vyšší poptávky se pravděpodobně navýší jejich vytížení a může nastat nedostupnost těchto zdrojů, čímž se zvýší jejich cena a může vzniknout překlenovací období s nižší kvalitou dodávaných služeb.
S novým nástrojem přichází také riziko interoperability nebo následně i opomíjený problém zastaralých formátů souborů, které bez odpovídajícího softwarového a hardwarového vybavení nejsme schopni používat.
Řízení rizik by mělo být nedílnou součástí využívání BIM s CDE a podobných řešení. V rámci plánování by měla být vždy provedena analýza rizik a dopadů u každého projektu. Případně aktualizovat analýzu při připojení nástroje do své infrastruktury a uplatnit řízení bezpečnosti informací. Nutností je pak identifikace a hodnocení citlivosti dat a informací, které daný projekt bude zpracovávat. Výstupy analýzy dat pak stanovují požadavky na zabezpečení těchto dat a potažmo i bezpečnostní požadavky pro CDE v rámci metody BIM.
Roli samozřejmě hraje (dle projektu a citlivosti dat) případná povinnost souladu s požadavky zákona o kybernetické bezpečnosti, který nově dopadne na mnohé další organizace po přijetí novely zákona.