物联网时代,智能建筑物构成巨大风险

  在物联网时代,建筑物变得越来越智能化,其中部署了很多基于web的技术,用于管理建筑物的温度、照明、通风和其他系统,然而,这给企业带来了更直接的安全风险,甚至超过了消费者技术的风险。

  随着人们越来越追求更节能、更安全和智能的建筑物,这产生了大量基于web的技术。现在,建筑物管理系统不仅更加紧密地相互集成,而且它们还与建筑物外的系统相连接,例如智能电网。

  分析师称,这种系统带来的威胁是双重的。很多现代建筑物内内置的web智能设备并没有安全保障,这使它们很容易受到攻击,从而影响建筑物内的运作以及带来安全风险。

  这些没有受到良好保护的连接网络的建筑物管理系统还可以为恶意攻击者提供一种新途径来入侵企业业务系统。

  例如,Target公司遭遇的大规模数据失窃就是因为,攻击者利用了另一家公司的访问凭证来进入该公司的网络,这家公司负责远程维护Target公司的供暖、通风和空调(HVAC)系统。在Target的事件中,泄漏事故发生的原因在于,该公司没有适当分隔其数据网络。

  工程和技术协会网络安全负责人Hugh Boyes表示,随着建筑物和管理系统变得越来越智能和互联,这些问题会变得越来越常见。

  “这给企业IT带来了有趣的挑战,”Boyes表示,“他们需要知道他们的建筑物中增加了一些复杂的网络,而且这些网络不在其控制范围内。”

  作为一个例子,Boyes提到了很多建筑物内越来越多的IP闭路监控摄像头。在某些情况下,这些摄像头可能被用来检测房间内是否有人,或者是否开着灯或关了灯。

  在这种情况下,摄像头、照明和加热系统将所有需要被集成在一起,每个系统还将需要通过网络连接到外部第三方,以获得维护和支持。Boyes表示:“你很快会遇到这样的情况,你内部的网络会连接到建筑物外的位置。”

  同时,不只是供暖、照明和安全系统是这样。电梯制造商可能会在建筑物内的所有电梯中内置智能传感器来检测和发现故障。或者,建筑物负责人会部署技术来监控和控制用水情况。

  很多这些技术将会与建筑物外建立连接,通过IP网络连接到第三方供应商或者服务供应商。通常情况下,来自这些系统的数据不仅会用于实时据测支持,而且还会用于长期分析。

  Smart Buildings LLC公司负责人Jim Sinopoli表示,让这个问题更加严重的是,用于建筑物自动化和控制网络的很多通信协议(例如BACnet和LonTalk)都是开放和透明的。

  设备制造商已经部署了这些协议用于产品兼容性和互操作性目的,然而,这种开放性和透明度同时也增加了建筑物自动化网络的受攻击可能性。

  Sinopoli表示:“这些系统不再是隔离的。”一个系统中的数据泄漏事故可能会给多个建筑物自动化系统和网络带来影响。

  这种威胁不仅涉及攻击者渗透入建筑物系统来造成严重破坏,而且还可能对IT造成潜在影响,例如因为建筑物系统中断造成的通信故障,或者因为建筑物自动化网络和IT网络之间糟糕的分隔导致未经授权访问企业数据。

  Sinopoli表示,现在在越来越多的公司,IT开始渗透入建筑物系统。

  德国安全咨询公司Forta总裁Rolf von Roessing表示,随着建筑物变得越来越智能,消费电子设备供应商也开始进入智能建筑市场。Rolf von Roessing也是ISACA职业影响和宣传委员会的成员,ISACA是专注于IT管理问题的组织,拥有128000名成员。

  von Roessing表示:“建筑物自动化(包括关键功能)现在已经可以通过网络商店和硬件及电子商店来实现。虽然专业解决方案通常具有内置安全和保护,消费者产品则没有受到很好的保护。”

  在准备方面,IT从业人员应该扩展其信息安全和网络安全管理过程,以涵盖建筑物和建筑管理系统。

  “在很多情况下,这些系统将通过基于windows或兼容界面来控制,并且使用标准IP的标准PC设备和网络连接,”von Roessing表示,“对于远程控制,安全从业人员应该关注移动设备、远程控制应用程序和底层流程。如果关键建筑功能可以通过不受保护的移动设备来控制和操作,这将存在很大的安全险。”