Cybersikkerhed: Derfor er det en nødvendighed for byggeriet
Trusler som datalæk, ransomware-angreb, phishing og nedbrud af kritiske systemer udgør i dag en reel risiko for drift, økonomi og samarbejde i bygge- og anlægsbranchen. Og med NIS2-direktivet har de dele af branchen, der arbejder med kritisk infrastruktur helt specifikke forpligtelser og ansvar for cybersikkerhed. Det er netop denne cybervirkelighed i byggeriet som ConTech Lab og en række partnere beskæftiger sig med i analyseprojektet 'Sikkert digitalt samarbejde'.
Et let mål for cyberkriminelle
Center for Cybersikkerhed vurderer den generelle trussel fra cyberkriminalitet som meget høj i Danmark (CFCS, 2024). Byggebranchen er ingen undtagelse. Ifølge tal fra Danmarks Statistik og Styrelsen for Samfundssikkerhed ligger sikkerhedsniveauet blandt danske SMV’er generelt er lavt - og bygge- og anlægsbranchen ligger lavest, når det gælder fokus på digital sikkerhed.
Det hænger sammen med, at branchen har mange aktører, midlertidige ansættelser og samarbejdskonstellationer samt en lav grad af standardiseret sikkerhed, hvilket netop er forhold, som cyberkriminelle ofte udnytter.
Christina Juell-Sundbye, projektchef i ConTech Lab, forklarer: "Et byggeprojekt er ikke som i en almindelig virksomhed, hvor alle arbejder inden for samme firewall. På byggepladsen har vi et kludetæppe af virksomheder, som hver især har forskellige sikkerhedsniveauer."
Det betyder også, at små virksomheder skal kunne opfylde de krav, som større samarbejdspartnere er underlagt, og på den måde.
Hun uddyber: “En lille virksomhed kan ende med at skulle leve op til mange forskellige krav, afhængigt af hvem de samarbejder med. Der er stadig ikke fælles standarder, og det gør det svært at navigere i for de mindre virksomheder.”
Byggeriets sårbarheder
Et byggeprojekt kan i dag fungere som et digitalt økosystem, hvor entreprenører, rådgivere, og underleverandører arbejder på tværs af systemer og digitale platforme. Maskiner, sensorer og kameraer kan kobles til netværk og medarbejdere kan dele tegninger, BIM-modeller og projektdata via tablets og smartphones.
Et nedbrud i ét led kan føre til, at andre parter mister adgang til data, betalinger forsinkes, eller at arbejdet på byggepladsen går i stå.
Samtidig kæmper branchen med en række strukturelle udfordringer, som øger risikoen for cyberangreb:
- Ældre software og systemer, der ikke bliver sikkerhedsopdateret løbende.
- Midlertidig adgang for mange forskellige aktører på byggepladsen. Mange underleverandører og konsulenter, hvilket gør det vanskeligt at bevare fuldt overblik over, hvem der har adgang til hvad, og hvor data ender.
- Flade netværk, hvor der ikke er klare adskillelser mellem enheder, betyder, at en hacker, der først får adgang, kan bevæge sig mellem systemer og maskiner. Det kan for eksempel gælde operationel teknologi som kraner, ventilationssystemer eller sensorer, der er koblet på netværk
- Manglende træning og opmærksomhed blandt medarbejdere gør branchen mere sårbar over for f.eks. phishing
”Et enkelt svagt punkt kan i værste fald være nok til at lamme et helt projekt,” siger Christina Juell-Sundbye fra ConTech Lab. ”Virksomheder kan rammes af både målrettede og tilfældige angreb – fra ransomware, hvor data låses og angriberne kræver løsesum, til DDoS angreb (distributed denial of service attack), der overbelaster netværk og stopper arbejdet midlertidigt. Udfordringen er, at ét åbent netværk eller én kompromitteret partner hurtigt kan påvirke mange flere.”
Et fælles ansvar
Cybersikkerhed er ikke længere et isoleret it-anliggende. Det er et fælles ansvar, der rækker på tværs af værdikæden. Når byggeriet digitaliseres, skal sikkerheden følge med og den skal tænkes ind både teknisk og organisatorisk.
Som Malene Stidsen, programchef for cybersikkerhed i Industriens Fond siger:
”Et af de emner vi har særligt fokus på at belyse, er cybersikkerhed i værdikæderne. Cybersikkerhed inden for byggeriet skal tænkes meget bredere end bare virksomhedens egne it-systemer.”
NIS2 skærper ansvaret og ISO viser vejen
NIS2-loven er en ny dansk lov, der implementerede EU’s NIS2-direktiv, som trådte i kraft i juli 2025. Loven pålægger skærpede krav til virksomheders cybersikkerhed i forskellige kritiske sektorer (samsik.dk).
Fremover skal virksomheder dokumentere deres arbejde med cybersikkerhed, herunder hændelsesrapportering, hvis de udsættes for angreb.
Indtil videre anbefales byggeriets virksomheder at holde sig orienteret om de krav, der stilles i NIS2, og andre standarder såsom ISO 19650, del 5, som er en international standard, der viser, hvordan data og digitalisering i byggeriet organiseres med fokus på informationssikkerhed i det tværfaglige samarbejde.
Analyseprojekt: Sikkert digitalt samarbejde i byggeriet
Kan byggebranchens datadelingsplatforme og midlertidige systemer på pladsen håndtere følsomme data? Er vi klædt på til at håndtere de digitale sikkerhedsudfordringer?
I et analyseprojekt ledet af ConTech Lab undersøges og afdækkes de væsentligste cybertrusler i byggeriet, og der stilles skarpt på løsningstiltag og anbefalinger til øget cybersikkerhed.
Analyseprojektet gennemføres i samarbejde med COWI, DI Byggeri, Implement Consulting Group, HD Lab, Molt Wengel Advokater og buildingSMART Danmark
