Nowy adres siedziby spółki: Przemysłowa 30, 00-450 Warszawa

GoNextStage Blog Audyt bezpieczeństwa środowiska teleinformatycznego w branży budowlanej – studium przypadku ochrony 12% marży

BLOG

Warto się dzielić wiedzą

WSZYSTKIE WPISY

3 min

Audyt bezpieczeństwa środowiska teleinformatycznego w branży budowlanej – studium przypadku ochrony 12% marży

Współczesne budownictwo opiera się na danych. Cyfrowy obieg dokumentacji, modele BIM, systemy ERP stanowią kręgosłup operacyjny każdej budowy. Dla dużego podmiotu z branży budowlanej, przerwa w dostępie do tych zasobów oznacza realne straty finansowe i przestoje na kontraktach. 

Sprawdź, jak kompleksowy audyt bezpieczeństwa IT przeprowadzony przez GoNextStage ochronił nawet 12% marży spółki, uporządkował krytyczne obszary ryzyka i stworzył fundament pod certyfikację ISO 27001.

Spis treści

  1. Specyfika sektora budowlanego a ryzyko IT
  2. Cele strategiczne i potrzeba niezależnej oceny
  3. Od strategii do działania – 4 etapy badania odporności Spółki
  4. Rezultat i korzyści biznesowe

Specyfika sektora budowlanego a ryzyko IT

W branży budowlanej ciągłość procesów zależy od stabilności systemów w warunkach wysokiego rozproszenia. Organizacja musi zapewnić płynny i bezpieczny dostęp do danych inżynierom na placach budów (często korzystającym z tymczasowych łączy) oraz zewnętrznym partnerom i biurom projektowym.

Klient, mimo inwestycji w nowoczesne narzędzia, borykał się z brakiem spójnej strategii bezpieczeństwa. Dynamika rozwoju biznesu wyprzedziła ewolucję procedur ochronnych, co doprowadziło do sytuacji, w której kluczowe aktywa firmy były chronione jedynie pozornie.

Czyli infrastruktura posiadała punkty styku bezpośrednio z siecią publiczną, co pozwalało na próby logowania do paneli administracyjnych z dowolnego miejsca na świecie. W połączeniu z brakiem rotacji haseł oraz aktywnymi kontami byłych pracowników, systemy te były bezpośrednio narażone na nieautoryzowane przejęcie.

Cele strategiczne i potrzeba niezależnej oceny

W obliczu planowanego wdrożenia norm ISO, zarząd postawił dwa strategiczne cele:

  • Wzmocnienie odporności operacyjnej: opracowanie i wdrożenie mechanizmów, które zagwarantują ciągłość procesów biznesowych oraz bezpieczeństwo danych niezależnie od incydentów zewnętrznych.
  • Niezależną weryfikację procesów i kompetencji: przeprowadzenie bezstronnej oceny procedur oraz kompetencji zespołu wewnętrznego przez ekspertów zewnętrznych. Działanie to miało na celu uzyskanie obiektywnego obrazu stanu bezpieczeństwa przed przystąpieniem do certyfikacji.

Od strategii do działania – 4 etapy badania odporności Spółki

Aby dostarczyć zarządowi obiektywny obraz sytuacji i przygotować firmę do wymogów ISO 27001, GoNextStage podzieliło prace na cztery kluczowe obszary. Takie podejście pozwoliło sprawdzić bezpieczeństwo na każdym poziomie – od dokumentacji, po szczelność konfiguracji technicznych.

W pierwszej kolejności zespół GoNextStage przeprowadził analizę deklaratywną oraz dokumentacyjną. Eksperci zweryfikowali, czy standardy bezpieczeństwa (np. dotyczące haseł czy zgłaszania incydentów) są faktycznie stosowane przez pracowników.

Następnie zespół przeszedł do weryfikacji technicznej, która skonfrontowała dokumenty z rzeczywistymi ustawieniami systemów, sieci oraz środowiska chmurowego. To na tym etapie zidentyfikowano luki stanowiące bezpośrednie zagrożenie dla ciągłości procesów biznesowych. Najważniejsze wykryte nieprawidłowości dotyczyły:

  1. Zarządzanie tożsamością (IAM): Audyt wykazał istotne braki w obszarze zarządzania uprawnieniami i tożsamościami. Zidentyfikowano martwe konta użytkowników, których przejęcie mogło prowadzić do eskalacji uprawnień. Funkcjonowały również nieaktualne polityki IAM, które nie miały odzwierciedlenia w rzeczywistych systemach i procesach. Brak było skutecznych mechanizmów kontroli nad nadawaniem i utrzymywaniem uprawnień, a zasoby nie posiadały przypisanych właścicieli odpowiedzialnych za akceptację dostępu. W połączeniu z dużą skalą środowiska i liczbą użytkowników stanowiło to istotne ryzyko dla bezpieczeństwa organizacji.
  2. Deficyt ochrony aktywnej (EDR): Blisko połowa stacji roboczych inżynierów oraz serwerów nie posiadała nowoczesnej ochrony klasy enterprise. W przypadku ataku ransomware na laptopa pracującego na budowie, wirus mógłby swobodnie rozprzestrzenić się na resztę firmy, pozostając niewykrytym aż do momentu całkowitego zablokowania danych. 
  3. Dług technologiczny (EOL): Wykazaliśmy eksploatację systemów operacyjnych (np. Windows Server 2012), dla których producent przestał wydawać poprawki bezpieczeństwa. Takie systemy są podatne na zautomatyzowane ataki, które przejmują nad nimi kontrolę bez konieczności łamania haseł, co bezpośrednio zagrażało stabilności systemów ERP i baz danych.
  4. Krytyczne błędy konfiguracji chmury: porty zarządzania (RDP/SSH) w środowisku Microsoft Azure były udostępnione bezpośrednio z publicznych adresów IP. Brak restrykcji na poziomie sieciowym (Network Security Groups) generował krytyczny wektor ataku typu brute-force. Taka konfiguracja umożliwiała zautomatyzowanym narzędziom hakerskim nieustanne próby przełamania zabezpieczeń, co mogło skutkować wyciekiem danych projektowych lub generowaniem nieautoryzowanych kosztów za zasoby chmurowe.

Proces zakończyła diagnoza i raport końcowy. Zespół GoNextStage przekazał kompleksową dokumentację zidentyfikowanych luk wraz z ich hierarchią (od krytycznych po niskie). Do każdego błędu przypisano konsekwencje biznesowe oraz rekomendacje, które stały się mapą drogową do uzyskania certyfikacji ISO.

Ochrona 12% marży dzięki eliminacji ryzyka ataku ransomware

Audyt wykazał luki, które umożliwiały przejęcie stacji roboczych inżynierów i dostęp do kluczowych systemów centralnych, takich jak ERP, dokumentacja projektowa oraz narzędzia planowania robót. W konsekwencji potencjalny atak ransomware mógł doprowadzić do zablokowania systemów niezbędnych do prowadzenia prac na budowach i rozliczania kontraktów. Wdrożenie rekomendowanych działań usunęło te podatności, co pozwoliło uniknąć przestojów, kar umownych oraz kosztów odtworzenia środowiska IT, a tym samym zabezpieczyć nawet 12% marży organizacji.

Rezultat i korzyści biznesowe

Identyfikacja ryzyk pozwoliła Spółce przejść z modelu reaktywnego na aktywne zarządzanie bezpieczeństwem. Wykazane przez GoNextStage luki przestały być jedynie teoretycznym zagrożeniem, a stały się podstawą do wdrożenia konkretnych zmian procesowych i technicznych.

Zrealizowany przez GoNextStage audyt przyniósł Spółce:

  • Ograniczenie ryzyka utraty 12% marży: poprzez eliminację podatności mogących prowadzić do ataku ransomware
  • Fundament pod ISO 27001: uzyskano pełną dokumentację stanu zabezpieczeń oraz plan mitygacji luk
  • Stabilność operacyjna budów: wyeliminowanie punktowych zagrożeń (otwarte porty, brak detekcji) obniżyło ryzyko kosztownych przestojów na kontraktach
  • Optymalizację nadzoru IT: zarząd zyskał narzędzia do obiektywnego monitorowania jakości pracy działu IT.

Współpraca z GoNextStage pozwoliła przekształcić teoretyczne procedury w szczelny system nadzoru, gwarantujący bezpieczeństwo procesów biznesowych.

UMÓW ROZMOWĘ
Autor: Zespół GoNextStage

Jak realizujemy projekty?

ZOBACZ WIĘCEJ

CASE STUDY

Poznaj historie naszych Klientów

VINCI Construction Polska
Canal+

SKONTAKTUJ SIĘ Z NAMI

Przejdź na wyższy poziom biznesu