从历史上看,信息安全 (InfoSec) 在构建包含专有协议和数据有限的封闭基础设施的操作系统时并不是一个重要问题。随着这些系统越来越多地转向开放、可互操作的架构,从连接的操作技术 (OT) 设备收集和处理信息以支持智能建筑计划,它们面临着勒索软件的风险,这带来了巨大的补救成本,以及网络物理攻击可能会停止设施运营、损坏财产并危及生命。
OT 攻击可能造成广泛的危害,尤其是当目标包括为公众提供重要服务并对经济产生重大影响的机构时,例如医疗保健、公用事业、能源和公共安全。值得庆幸的是,这个问题已经项目利益相关者正在注意。
更多地方的更多数据意味着更大的风险
江森自控副总裁兼首席产品安全官Jason Christman表示,最初,黑客利用建筑系统作为辅助工具,以更深入地访问IT系统以及机密的企业和财务信息。现在,黑客们把目标直接对准了建筑系统。“今天的建筑系统包含了更多的设备,”他说。“每个系统都有设定值、配置和有价值的信息,比如门禁系统的生物识别、暖通空调系统的空气质量读数、生命安全系统的灭火设置,以及遵守保险、法规和……环境法规所需的数据。这些系统现在成为勒索软件的目标——有更多的资金用于跟踪那些有风险的公司,比如运营系统被锁住,因为系统无法工作而失去许可证或保险覆盖,或者出现可能影响生命安全的情况,比如关闭监控和访问控制系统。”
根据哈佛商业评论的数据,2020 年,企业支付给黑客的金额比上一年增长了 300% 。在 2021 年 6 月的情况说明书中,网络安全和基础设施安全局 (CISA) 呼吁改进 OT 系统上的信息安全。今年年初,全球网络安全公司 Mandiant 的研究人员发现, 2021 年勒索软件攻击导致的 3,000 次数据泄露中有 1,300次发生在关键的 OT 基础设施上。最近对 OT 的攻击包括针对 Colonial Pipeline、JBS(世界上最大的肉类加工商)和华盛顿大都会警察局的攻击。
观察到 COVID-19 大流行增加了对远程网络访问的需求,Christman 说:“云、5G 和集成技术在建筑环境中发生的速度,[以及] 越来越多的解决方案,已经让黑客更了解 OT 系统中的漏洞。我们还看到了更多远程访问解决方案的部署,当服务技术人员无法安全地设置这些系统时,就会为勒索软件攻击敞开大门。”
意识的提高推动创新
智能建筑行业越来越意识到这种风险——尤其是在CISA最近公布的证据怀疑俄罗斯入侵乌克兰导致与俄罗斯结盟的网络犯罪集团对关键基础设施构成威胁之后。
教育是解决保护系统和应对 IT/OT 集成带来的安全挑战所需的知识差距和网络安全人才短缺的关键。关键基础设施和 OT 网络安全培训课程现在是 InfoSec 教育提供商和协会(包括国际自动化学会)的热门课程之一。
Christman 还指出,新兴的 OT 安全公司、供应商合作以及建筑业主和运营商对评估的需求显着增加。在寻求集成多个旧系统的棕地站点中,安全评估尤其呈上升趋势,这些旧系统可能具有过时的安全功能、缺乏可见性以及旧的、易受攻击的硬件和软件。“我们看到整个 OT 安全市场都在通过收购、供应商在网络联盟下走到一起,以及更大的房地产资产所有者在定义 OT 安全政策和审查他们的供应商方面变得非常积极主动,”他说。“建筑行业正在将安全作为采购流程的关键组成部分并要求获得认证,而供应商正在做出回应。”
用于商业建筑行业的新兴信息安全最佳实践指南、标准和框架包括建筑网络安全 (BCS) 风险框架和 SPIRE 智能建筑计划。美国联邦政府也在解决这个问题。Christman 认为,拜登总统的网络安全命令要求供应商与联邦政府签订合同,为每种产品提供软件材料清单 (SBOM),该命令将进入私营部门。“我们需要知道任何给定软件的成分列表是什么样的,”他说。“我们看到这些 SBOM 要求开始在能源、制药和金融实体中普及。”
虽然信息安全仍有很大的改进空间,但智能建筑专家了解开放、可互操作的系统、融合 IT 和 OT 系统之间的数据流以及提供数据分析的基于云的解决方案的价值。“建筑物正在成为有生命的实体,数据为我们提供了优化其功能和健康所需的宏观视角,”Christman 说。“如果以正确的安全分段、监控、控制和响应方式部署该技术,我们就可以保留智能建筑策略并降低风险。”