网络犯罪多年来一直是开发商面临的真实威胁,但嵌入式建筑技术的兴起给行业带来了一些严峻的挑战。通过底层软件开发和现代化,建筑物变得更加智能。开发人员和资产经理现在必须应用在传统企业IT环境中更为常见的网络安全规程、工具和持续改进技术。必须有一个持续的策略来保护资产和支持客户的网络安全标准。记忆深刻的人都会想起2013年美国消费品巨头塔吉特的儿童网络事件。黑客通过连接到Target主IT网络的空调系统进入系统。这让开发公司负责人和资产所有者不寒而栗,因为任何拥有房地产的企业都可能发生这种情况。如今,智能建筑的连接比以往任何时候都更加紧密,因此了解在开发期间和之后收集和保留的数据至关重要。在开发智能商业建筑时收集的一些数据包括身份证明文件、财务文件以及联系电话、地址和近亲详细信息等个人信息。问题是一旦收集到这些数据,是否真的需要长期存储。可以通过照片获取个人信息,然后将照片通过短信或电子邮件发送回开发商办公室。这创造了一个黑客可以通过进入他们的电子邮件来获取所有这些个人信息的世界。开发人员和管理人员可能很快就会发现,他们已经成为大量关于行为的深度个人信息的保管人。但他们可能没有适当的管理安排和物理控制来管理和减轻数据带来的风险。因此,开发者需要考虑是否真的需要长期存储这些信息。因为如果他们遭到黑客攻击,数据被盗并在暗网上出售,后果可能很严重。各国新立法加大对侵犯隐私行为的处罚力度11月28日,在两党支持下,美国国会两院通过新立法,大幅提高对严重或屡次侵犯隐私行为的处罚力度,表明民众和议会对他们的行为越来越不耐烦与企业数据。《2022年隐私立法修正案(执行和其他措施)法案》将罚款从250万美元增加到5000万美元,这是通过滥用数据获得的任何利益价值的三倍,或者相关期间企业调整后营业额的30%,以较高者为准。除了个人数据之外,由于技术系统过时且管理不善,房地产企业往往容易受到黑客攻击。如果没有可靠的网络安全计划,威胁和漏洞就会增加。除了供暖、通风和空调(HVAC)系统外,房地产企业还通过监控摄像头和员工自己的设备面临网络风险。一种渗透场景可能是对手监控安全摄像头、收集信息并可能将人员锁在室内、控制HVAC系统对室内人员造成伤害并索要赎金。在另一个假设的场景中,黑客可以获得控制照明或HVAC系统的权限并打开空调,让灯整夜亮着。这是一种看似无形的渗透,但后果却很严重。资产管理者和开发人员需要知识、资源和技能来持续应对这些威胁。任何强大的网络安全战略都始于标准和框架,例如遵循美国国家标准与技术研究院的网络安全框架来管理黑客攻击的风险。这为物业经理提供了应对网络威胁并从中恢复的工具。NIST只是开发人员用来指导其网络安全策略的方法之一。澳大利亚企业使用的另一个常用框架是联邦政府澳大利亚网络安全中心推荐的“八项基本缓解策略”,以防止攻击。这些措施包括从不需要的员工那里删除不必要的网络管理权限,并实施多因素身份验证。或者将企业网络与楼宇管理系统分开。这些系统应该能够独立运行,因此对房地产开发商办公室的攻击不会影响建筑物及其租户。多年来,保险公司在评估承保财产风险时,一直关注投保人操作技术的稳健性。这是因为这些系统越来越多地被网络犯罪分子利用。楼宇管理系统通常具有较长的运行寿命,并且不像其他系统那样经常打补丁,因此它们可能成为犯罪分子攻击目标的薄弱资产。许多企业在没有启动和运行运营技术的情况下无法继续交易,以防重大漏洞导致这些系统崩溃。因此,楼宇管理系统设计手动控制系统很重要,这样人们可以进出楼宇,而不会在发生攻击时被困在电梯和其他地方。虽然网络保险是开发商和资产所有者实现网络安全所需的工具之一,但了解和管理特定建筑的网络风险对他们来说也很重要。如果没有足够的网络安全控制,大多数企业将无法获得网络保险。房地产企业应从不同角度考虑数据安全,以保护自己。即用型数据隐私技术可以隐藏敏感数据,包括个人身份信息,即使发生泄露也是如此。令牌化涉及用个人信息替换组织网络中的令牌,因为令牌对犯罪分子的价值要小得多。如果Optus或Medibank应用了这种技术,网络犯罪分子将不得不重新识别数据,然后才能从中获取价值,这对未经授权的人来说是一个困难的过程。这使得被盗数据对犯罪分子的用处不大。房地产行业正在提高IT员工的技能,实施正确的网络安全解决方案,并意识到黑客在短期和长期的潜在影响。我们的信息是在黑客破坏建筑物和企业之前将此作为优先事项。
