据相关调查统计,目前价值 806.2 亿美元的全球智能建筑市场预计到 2029 年将达到 3286.2 亿美元。这些互联的智能建筑是一个由控制、芯片、传感器和最重要的遗留系统组成的复杂网络。最近,这些网络还与物联网设备分层,这些设备增加了设施运营商管理建筑性能各个方面的能力——从安全到租户的需求、远程操作控制、暖通空调、访问控制、照明解决方案等等,而先进的地理定位服务现已进入市场。
从第三方角度来看,这些系统有助于降低不断上升的运营支出成本。商业天然气价格在两年内上涨了 42%,并用于电力生产(两年内上涨了 15%),这是一个特殊的起点,根据一份世邦魏理仕报告,数据与运营数据相结合可以节省开支。
物联网 (IoT) 具有巨大的全球经济和社会意义,但也存在重大安全问题。尽管几十年来人们一直关注安全和保护网络的想法,但物联网由于其多样化且通常是随意的部署而带来了混乱。建筑技术、运营技术以及商业信息技术现在共享空间的想法令人不安,其中大部分归结为定价。不管是好是坏,物联网已经使技术民主化,并将自动化和监控的价格提高到现在人们和行业都可以接受的水平,而这些人和行业从未想过这种范围的技术改进是可能的。
这当然是有代价的。设备的激增打开了不再受典型 IT 安全规定保护的攻击媒介,市场已经证明它不愿意为物联网安全支付高额费用。这是一个尚未解决的困境。
考虑物联网安全的业务方面
技术正在快速发展,监管机构和管理机构需要迎头赶上。
2022年9 月,欧盟委员会提出了欧盟首个针对物联网行业的网络安全法规《网络弹性法案》,价值近 1.5 万亿欧元,以强制“对物联网设备提供更强有力的网络安全保护”。
10 月,白宫宣布了一项产品标签系统计划,以提醒消费者注意“与联网设备相关”的安全风险,这将涉及利益相关者、企业和贸易协会,以提供“符合美国政府标准的产品的通用标签”由经过审查和批准的实体进行测试。
这些只是微不足道的开始,即使有了这些进步,很明显法规也跟不上技术的步伐。市场是这里唯一的答案,但我们花了太多时间试图防范攻击,我们几乎忘记了防范某事不如检测攻击重要,更重要的是,优雅地缓解问题。
多年来,我们一直在执行试图保护的愚蠢任务。这是不可持续的,敌人有优势。相反,每个人都应该谈论我们在出现漏洞时所做的事情,而答案过去是“停止、关闭并等待修复”。然而,现在的世界已经超出了这个范围,这是对物联网中一个问题的糟糕回答,物联网中的设备在道路上的汽车中运行,而在医疗保健中则是人们的生命支持设备。对不可避免的事情进行分类是“保护和祈祷”投资的更好途径。
最后,IoT 安全性比 IT 更深层次涉及内存访问——黑客利用软件缺陷在硬件级别控制设备或系统。它不同于IT设备安全。微软和谷歌最近的一项研究表明,70% 的漏洞实际上是内存安全问题。此外,使用内存安全语言可以完全避免 95 个错误中的 53 个。考虑 Morello 的 CHERI 架构扩展,它通过指向计算机代码中引用数据在内存中存储位置的变量来帮助缓解内存安全漏洞。这限制了这些引用的使用方式、它们“接触”的地址范围以及它们的整体功能。
从市场角度来看,迄今为止业界最雄心勃勃的网络安全项目是剑桥大学(英国)、谷歌和微软之间的合作。去年,IT 治理发现了 1,243 起安全事件,涉及超过 5,126,930,507 条违规记录——安全事件比上一年增加了 11%。医院和医疗保健提供商是去年全球超过 3 亿次针对设备的勒索软件攻击的主要站点。
鉴于迄今为止市场力量反应平淡,监管机构正在尽其所能(尽管主要在欧洲和英国),几乎所有标准都基于 EN-303-645——消费者物联网网络安全的全球适用标准。虽然相当冗长,但可以总结为:
没有默认密码。漏洞产品报告机制。产品安全生命周期的透明度。
最后一个,透明度,很可能是最重要的。当我们进入一个“万物互联”的世界时,我们的冰箱在某个时候停止更新的想法应该会吓到我们。
美国国家安全与技术研究所 (NIST) 框架推荐的最佳实践是:识别、保护、检测、响应和恢复。虽然安全永远不会是绝对的,但迄今为止还没有规定性标准。即使您想要标准(一个月后就会过时),这些标准也需要花费 9000 英镑,并包含 61 份不同的文件。没有制造商愿意处理这个问题,当然也没有用户。
行业的回答似乎是说我们正在招聘更多的网络安全专业人员。问题是我们不需要更多的网络安全专家。我们需要更多的贸易和供应商网络安全能力。
什么是安全与隐私
互联智能建筑的安全预防措施侧重于安全与隐私。
虽然确保隐私的最佳方式首先是不要拥有数据,但我们知道数据无处不在。
根据 Forrester Consulting 的 2019 年“北美企业物联网安全状况:不受管理和不安全”的研究,虽然 67% 的企业经历过物联网安全事件,但只有 16% 的安全经理表示他们对物联网设备有足够的了解在他们的环境中。还值得注意的是:
69% 的企业在其网络上拥有比计算机更多的物联网设备。(实际上,比例是 3:1:每 1 名员工有 3 台物联网设备)。84% 的安全专家认为物联网设备比计算机更容易受到攻击。93% 的企业计划增加物联网和非托管设备的安全支出。5% 的公司愿意以物联网安全的名义限制其运营和业务数据。
我们可以通过协作、系统和多学科的方法建立大多数安全措施。但安全不仅仅是一个 IT 问题——它是一个组织范围的问题,涉及所有利益相关者——运营商、租户、访客、股东和所有相关供应商。
安全和隐私之间的相互联系是显而易见的。没有安全,我们就没有隐私。小的安全弱点可能成为主要的攻击区域。请记住,96% 的攻击并不复杂 - 简单的事情,例如员工在一张纸上记下密码,任何经过办公桌的人都可以看到,或者在信息被收集和滥用的不安全网站上输入密码。
影子世界
远程工作已将数以百万计的个人“影子物联网设备”带入企业网络,扩大了攻击面。员工不考虑安全预防措施,网络管理员对影子设备缺乏可见性,这意味着安全漏洞可能来自:
设施网络上开放的 Wi-Fi 接入点可打开对网络的浏览访问。交换机上不安全、不受管理的以太网端口提供访问权限——允许任何人插入并访问您的网络。将未锁定的计算机留在办公室或公共场所,可以访问网络上的文件。
企业通常会忽视现有的系统性物联网从他们所在的建筑物中渗透。然后再考虑远程工作人员及其连接的网络,这会变得非常复杂。
设施操作员通常没有想到有关添加到网络的设备(通常是在不知不觉中):
您的设备在网络上连接到什么?它是如何配置的?它对什么说话——它是如何说话的?什么是受信任和不受信任的表面?需要采取哪些行动与观察?它相互作用的主要潜力是什么?谁是制造商——软件还是硬件?目前的运营透明度是多少?
通往物联网安全的共同道路
改进的物联网安全性应该成为行业信任标志计划。使用最低限度的可行政策规范开放标准和制造商的透明度可以提供互操作性作为所有相关行业的规范。迄今为止,这还不是物联网领域的事情,尽管美国以外的国家也在努力。
在 IoT 世界中,构建系统需要安全的驱动力和易用性作为其基础(遗憾的是需要匹配的价格点)。我们现在从比以往更多的来源获取数据。每个组织都必须分析我们如何保护它。没有适合所有人的尺寸,但同时说物联网不会影响业务的东西对于那些只想保留它的人来说是个谎言。物联网就在这里,它会一直存在,而且它已经在您的设施中……你现在不能真正阻止它。