智能建筑OT信息安全已引發(fā)業(yè)主及黑客的關(guān)注

從歷史上看，信息安全 (InfoSec) 在構(gòu)建包含專(zhuān)有協(xié)議和數(shù)據(jù)有限的封閉基礎(chǔ)設(shè)施的操作系統(tǒng)時(shí)并不是一個(gè)重要問(wèn)題。隨著這些系統(tǒng)越來(lái)越多地轉(zhuǎn)向開(kāi)放、可互操作的架構(gòu)，從連接的操作技術(shù) (OT) 設(shè)備收集和處理信息以支持智能建筑計(jì)劃，它們面臨著勒索軟件的風(fēng)險(xiǎn)，這帶來(lái)了巨大的補(bǔ)救成本，以及網(wǎng)絡(luò)物理攻擊可能會(huì)停止設(shè)施運(yùn)營(yíng)、損壞財(cái)產(chǎn)并危及生命。

OT 攻擊可能造成廣泛的危害，尤其是當(dāng)目標(biāo)包括為公眾提供重要服務(wù)并對(duì)經(jīng)濟(jì)產(chǎn)生重大影響的機(jī)構(gòu)時(shí)，例如醫(yī)療保健、公用事業(yè)、能源和公共安全。值得慶幸的是，這個(gè)問(wèn)題已經(jīng)項(xiàng)目利益相關(guān)者正在注意。

江森自控副總裁兼首席產(chǎn)品安全官Jason Christman表示，最初，黑客利用建筑系統(tǒng)作為輔助工具，以更深入地訪(fǎng)問(wèn)IT系統(tǒng)以及機(jī)密的企業(yè)和財(cái)務(wù)信息。現(xiàn)在，黑客們把目標(biāo)直接對(duì)準(zhǔn)了建筑系統(tǒng)?！敖裉斓慕ㄖ到y(tǒng)包含了更多的設(shè)備，”他說(shuō)?！懊總€(gè)系統(tǒng)都有設(shè)定值、配置和有價(jià)值的信息，比如門(mén)禁系統(tǒng)的生物識(shí)別、暖通空調(diào)系統(tǒng)的空氣質(zhì)量讀數(shù)、生命安全系統(tǒng)的滅火設(shè)置，以及遵守保險(xiǎn)、法規(guī)和……環(huán)境法規(guī)所需的數(shù)據(jù)。這些系統(tǒng)現(xiàn)在成為勒索軟件的目標(biāo)——有更多的資金用于跟蹤那些有風(fēng)險(xiǎn)的公司，比如運(yùn)營(yíng)系統(tǒng)被鎖住，因?yàn)橄到y(tǒng)無(wú)法工作而失去許可證或保險(xiǎn)覆蓋，或者出現(xiàn)可能影響生命安全的情況，比如關(guān)閉監(jiān)控和訪(fǎng)問(wèn)控制系統(tǒng)?！?/p>

根據(jù)哈佛商業(yè)評(píng)論的數(shù)據(jù)，2020 年，企業(yè)支付給黑客的金額比上一年增長(zhǎng)了 300% 。在 2021 年 6 月的情況說(shuō)明書(shū)中，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 呼吁改進(jìn) OT 系統(tǒng)上的信息安全。今年年初，全球網(wǎng)絡(luò)安全公司 Mandiant 的研究人員發(fā)現(xiàn)， 2021 年勒索軟件攻擊導(dǎo)致的 3,000 次數(shù)據(jù)泄露中有 1,300次發(fā)生在關(guān)鍵的 OT 基礎(chǔ)設(shè)施上。最近對(duì) OT 的攻擊包括針對(duì) Colonial Pipeline、JBS（世界上最大的肉類(lèi)加工商）和華盛頓大都會(huì)警察局的攻擊。

觀(guān)察到 COVID-19 大流行增加了對(duì)遠(yuǎn)程網(wǎng)絡(luò)訪(fǎng)問(wèn)的需求，Christman 說(shuō)：“云、5G 和集成技術(shù)在建筑環(huán)境中發(fā)生的速度，[以及] 越來(lái)越多的解決方案，已經(jīng)讓黑客更了解 OT 系統(tǒng)中的漏洞。我們還看到了更多遠(yuǎn)程訪(fǎng)問(wèn)解決方案的部署，當(dāng)服務(wù)技術(shù)人員無(wú)法安全地設(shè)置這些系統(tǒng)時(shí)，就會(huì)為勒索軟件攻擊敞開(kāi)大門(mén)?！?/p>意識(shí)的提高推動(dòng)創(chuàng)新

智能建筑行業(yè)越來(lái)越意識(shí)到這種風(fēng)險(xiǎn)——尤其是在CISA最近公布的證據(jù)懷疑俄羅斯入侵烏克蘭導(dǎo)致與俄羅斯結(jié)盟的網(wǎng)絡(luò)犯罪集團(tuán)對(duì)關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成威脅之后。

教育是解決保護(hù)系統(tǒng)和應(yīng)對(duì) IT/OT 集成帶來(lái)的安全挑戰(zhàn)所需的知識(shí)差距和網(wǎng)絡(luò)安全人才短缺的關(guān)鍵。關(guān)鍵基礎(chǔ)設(shè)施和 OT 網(wǎng)絡(luò)安全培訓(xùn)課程現(xiàn)在是 InfoSec 教育提供商和協(xié)會(huì)（包括國(guó)際自動(dòng)化學(xué)會(huì)）的熱門(mén)課程之一。

Christman 還指出，新興的 OT 安全公司、供應(yīng)商合作以及建筑業(yè)主和運(yùn)營(yíng)商對(duì)評(píng)估的需求顯著增加。在尋求集成多個(gè)舊系統(tǒng)的棕地站點(diǎn)中，安全評(píng)估尤其呈上升趨勢(shì)，這些舊系統(tǒng)可能具有過(guò)時(shí)的安全功能、缺乏可見(jiàn)性以及舊的、易受攻擊的硬件和軟件?！拔覀兛吹秸麄€(gè) OT 安全市場(chǎng)都在通過(guò)收購(gòu)、供應(yīng)商在網(wǎng)絡(luò)聯(lián)盟下走到一起，以及更大的房地產(chǎn)資產(chǎn)所有者在定義 OT 安全政策和審查他們的供應(yīng)商方面變得非常積極主動(dòng)，”他說(shuō)。“建筑行業(yè)正在將安全作為采購(gòu)流程的關(guān)鍵組成部分并要求獲得認(rèn)證，而供應(yīng)商正在做出回應(yīng)?！?/p>

用于商業(yè)建筑行業(yè)的新興信息安全最佳實(shí)踐指南、標(biāo)準(zhǔn)和框架包括建筑網(wǎng)絡(luò)安全 (BCS)風(fēng)險(xiǎn)框架和SPIRE 智能建筑計(jì)劃。美國(guó)聯(lián)邦政府也在解決這個(gè)問(wèn)題。Christman 認(rèn)為，拜登總統(tǒng)的網(wǎng)絡(luò)安全命令要求供應(yīng)商與聯(lián)邦政府簽訂合同，為每種產(chǎn)品提供軟件材料清單 (SBOM)，該命令將進(jìn)入私營(yíng)部門(mén)?！拔覀冃枰廊魏谓o定軟件的成分列表是什么樣的，”他說(shuō)?！拔覀兛吹竭@些 SBOM 要求開(kāi)始在能源、制藥和金融實(shí)體中普及?！?/p>

雖然信息安全仍有很大的改進(jìn)空間，但智能建筑專(zhuān)家了解開(kāi)放、可互操作的系統(tǒng)、融合 IT 和 OT 系統(tǒng)之間的數(shù)據(jù)流以及提供數(shù)據(jù)分析的基于云的解決方案的價(jià)值。“建筑物正在成為有生命的實(shí)體，數(shù)據(jù)為我們提供了優(yōu)化其功能和健康所需的宏觀(guān)視角，”Christman 說(shuō)。“如果以正確的安全分段、監(jiān)控、控制和響應(yīng)方式部署該技術(shù)，我們就可以保留智能建筑策略并降低風(fēng)險(xiǎn)?！?/font>