信息安全(InfoSec)在构建具有包含专有协议和有限数据的封闭基础设施的操作系统时,历来不是一个重要问题。随着这些系统越来越多地转向开放、可互操作的架构以收集和处理来自连接的操作技术(OT)设备的信息以支持智能建筑计划,它们面临勒索软件的风险,这会带来巨大的补救成本,并且网络物理攻击可以停止设施运行、财产损失和生命危险。OT攻击可能造成广泛的危害,尤其是当目标包括为公众提供重要服务并对经济产生重大影响的机构时,例如医疗保健、公用事业、能源和公共安全。值得庆幸的是,项目利益相关者已经解决了这个问题。更多地方的更多数据意味着更大的风险,江森自控副总裁兼首席产品安全官JasonChristman说。最初,黑客使用构建系统作为辅助工具来更深入地访问IT系统以及机密的公司和财务信息。.现在,黑客直接瞄准构建系统。“今天的建筑系统包含了更多的设备,”他说。“每个系统都有设定点、配置和有价值的信息,例如门禁系统的生物识别、HVAC系统的空气质量读数、生命安全系统的灭火设置,以及符合保险、监管和……环境法规所需的数据.这些系统现在成为勒索软件的目标——更多的资金用于跟踪处于风险中的公司,例如操作系统被锁定、由于系统无法工作而失去许可证或保险范围,或者出现可能影响生命安全的情况,例如比如关闭监视和访问控制系统。”据《哈佛商业评论》报道,2020年,企业支付给黑客的金额与上一年相比增长了300%。在2021年6月的情况说明书中,网络安全和基础设施安全局(CISA)呼吁提高OT系统的信息安全性。今年早些时候,全球网络安全公司Mandiant的研究人员发现,2021年勒索软件攻击导致的3,000起数据泄露事件中有1,300起发生在关键的OT基础设施上。最近对OT的攻击包括对ColonialPipeline、JBS(世界上最大的肉类加工商)和华盛顿大都会警察局的攻击。Christman观察到COVID-19大流行增加了对远程网络访问的需求,他说:“云、5G和集成技术在建筑环境中发生的速度,[以及]越来越多的解决方案,已经使黑客更加了解OT系统中的漏洞。我们还看到更多远程访问解决方案的部署,当服务技术人员无法安全地设置这些系统时,这为勒索软件攻击敞开了大门。“提高意识推动创新智能建筑行业越来越意识到这种风险——尤其是在CISA最近发布的证据表明俄罗斯入侵乌克兰导致与俄罗斯结盟的网络犯罪集团对关键基础设施构成威胁之后。教育是解决方案的关键保护系统和应对IT/OT集成带来的安全挑战所需的知识差距和网络安全人才短缺。关键基础设施和OT网络安全培训课程现在是InfoSec教育提供商和协会的关键,包括国际自动化协会最热门的课程之一课程。克里斯特曼还指出,新兴OT安全公司、供应商合作以及建筑物所有者和运营商对评估的需求显着增加。安全评估在寻求集成多个遗留系统的棕地站点中尤其呈上升趋势,这些遗留系统可能已经过时安全专长ures、缺乏可见性以及旧的、易受攻击的硬件和软件。”我们看到整个OT安全市场正在通过收购、供应商在网络联盟下聚集在一起,而较大的房地产资产所有者在定义OT安全政策和审查他们的供应商方面变得非常积极,”他说。“建筑行业正在使安全成为一个采购过程的关键部分和要求认证,而供应商正在响应。“新兴的商业建筑行业信息安全最佳实践指南、标准和框架包括建筑网络安全(BCS)风险框架和SPIRE智能建筑倡议。美国联邦政府也在处理这个问题。拜登总统的网络安全令要求供应商与联邦政府签订合同,为每件产品提供软件材料清单(SBOM),这一命令将进入私营部门。“我们需要知道成分表是什么样子的对于任何给定的软件,”他说。“我们看到这些SBOM要求开始遍及能源、制药和金融实体。“虽然在信息安全方面仍有很大的改进空间,但智能建筑专家了解开放、可互操作的系统、融合IT和OT系统之间的数据流以及提供数据分析的基于云的解决方案的价值。”建筑物正在成为有生命的实体,数据为我们提供了优化其功能和健康所需的宏观视图,”克里斯特曼说。“如果以正确的方式部署这项技术以安全地分段、监控、控制和响应,我们可以保留智能建筑策略并降低风险。“
