网络安全:智能建筑是黑客的“蜜罐”

多年来,网络犯罪一直是开发商面临的现实和现实的威胁,但嵌入式建筑技术的兴起给该行业带来了一些严峻的挑战。通过基础软件开发和现代化,建筑正变得越来越智能。

开发人员和资产管理人员现在必须应用网络安全规程、工具和持续改进技术,这些技术在传统企业IT环境中更为常见。必须有一个持续的战略来保护资产,支持客户的网络安全标准。

那些记忆深刻的人会想起2013年美国消费品巨头Target的儿童网络事件。

黑客通过连接塔吉特公司主要IT网络的空调系统进入了该系统。这让开发公司负责人和资产所有者不寒而栗,因为这可能发生在任何拥有房地产的企业身上。

如今,智能建筑比以往任何时候都更加互联,因此,了解在开发过程中和之后会收集和保留哪些数据至关重要。

开发智能商业建筑时收集的一些数据包括身份证明文件、财务文件以及个人信息,如联系电话、地址和近亲详细信息。问题是,一旦收集到这些数据,是否真的需要长期存储。

个人信息可能通过照片获取,然后通过短信或电子邮件发送回开发者办公室。这就创造了一个黑客只要进入电子邮件就能获得所有这些个人信息的世界。

开发人员和管理人员可能很快就会发现,他们已经成为了大量有关行为的深度个人信息的保管人。但他们可能没有管理安排和实际控制到位,以管理和减轻数据带来的风险。

因此,开发人员需要考虑是否真的需要长期存储这些信息。因为如果他们被黑客攻击,数据被窃取并在暗网上出售,后果将非常严重。

各国新立法加大了对侵犯隐私行为的惩罚力度

11月28日,美国在两党支持下,国会两院通过了一项新立法,大幅增加对严重或反复侵犯隐私行为的处罚,这表明人民和议会对企业数据的行为越来越失去耐心。

《2022年隐私立法修正案(执行和其他措施)法案》将财务处罚从250万美元提高到5000万美元,这是通过滥用数据获得的任何利益价值的三倍,或企业在相关期间调整营业额的30%,以更大的数字为准。

抛开个人数据不谈,由于过时且管理不善的技术系统,房地产企业通常很容易受到黑客攻击。

如果没有可靠的网络安全计划,威胁和漏洞就会增加。除了供暖、通风和空调(HVAC)系统外,房地产企业还通过监控摄像头和员工自己的设备暴露在网络风险中。

一种渗透场景可能是对手监视安全摄像头,收集信息,并可能将人员锁定在室内,控制暖通空调系统对室内人员造成伤害,并要求赎金。

在另一个假设的场景中,黑客可以访问并控制照明或HVAC系统,并打开空调,让灯整夜亮着。这是一种看似无形的渗透,但会带来严重后果。

资产管理人员和开发人员需要知识、资源和技能来不断应对这些威胁。

任何强大的网络安全战略都始于标准和框架

例如遵循国家标准与技术协会的网络安全框架来管理黑客攻击风险。这为物业管理人员提供了应对网络威胁并从中恢复的工具。

NIST只是开发人员用来指导其网络安全策略的方法之一。澳大利亚企业使用的另一个常见框架是联邦政府的澳大利亚网络安全中心建议实施的“八项基本缓解策略”以防止攻击。这些措施包括取消不需要的员工的不必要的网络管理特权,并实施多因素身份验证。

或者是将企业网络与建筑管理系统分离。这些系统应该能够独立运行,因此对房地产开发商办公室的攻击不会影响建筑物和租户。

多年来,保险企业在评估承保财产风险时,一直关注投保人运营技术的稳健性。这是因为这些系统越来越多地被网络犯罪分子利用。

建筑物管理系统通常具有较长的运行寿命,而且不像其他系统那样频繁地修补,因此它们可能是犯罪分子瞄准的薄弱资产。许多企业在运营技术没有启动和运行的情况下无法继续交易,以防重大漏洞导致这些系统崩溃。

所以重要的是,建筑管理系统设计了手动控制系统,以便人们可以进出建筑物,在发生袭击时不会被困在电梯和其他地方。

虽然网络保险是开发商和资产所有者为网络安全所需要的工具之一,但对他们来说,了解和管理建筑具体的网络风险也很重要。如果没有充分的网络安全控制,大多数企业将无法获得网络保险。

房地产企业应该从不同的角度考虑数据安全,以保护自己。

随时可用的数据隐私技术可以隐藏敏感数据,包括个人身份信息,即使在发生泄露的情况下也是如此。代币化涉及用个人信息代替组织网络中的代币,因为代币对犯罪分子的价值要低得多。

如果Optus或Medibank应用了这种技术,网络犯罪分子将不得不重新识别数据,然后才能从中获得价值,这对未经授权的人来说是一个困难的过程。这使得盗取的数据对犯罪分子来说用处不大。

房地产行业在提高IT员工的技能、实施正确的网络安全解决方案,并意识到黑客在短期和长期内的潜在影响。我们要传达的信息是,在黑客摧毁建筑物和企业之前,将此作为优先事项。

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
搜索