從歷史上看，信息安全 (InfoSec) 在構建包含專有協議和數據有限的封閉基礎設施的操作系統時并不是一個重要問題。隨著這些系統越來越多地轉向開放、可互操作的架構，從連接的操作技術 (OT) 設備收集和處理信息以支持智能建筑計劃，它們面臨著勒索軟件的風險，這帶來了巨大的補救成本，以及網絡物理攻擊可能會停止設施運營、損壞財產并危及生命。

OT 攻擊可能造成廣泛的危害，尤其是當目標包括為公眾提供重要服務并對經濟產生重大影響的機構時，例如醫療保健、公用事業、能源和公共安全。值得慶幸的是，這個問題已經項目利益相關者正在注意。

更多地方的更多數據意味著更大的風險

江森自控副總裁兼首席產品安全官Jason Christman表示，最初，黑客利用建筑系統作為輔助工具，以更深入地訪問IT系統以及機密的企業和財務信息。現在，黑客們把目標直接對準了建筑系統。“今天的建筑系統包含了更多的設備，”他說。“每個系統都有設定值、配置和有價值的信息，比如門禁系統的生物識別、暖通空調系統的空氣質量讀數、生命安全系統的滅火設置，以及遵守保險、法規和……環境法規所需的數據。這些系統現在成為勒索軟件的目標——有更多的資金用于跟蹤那些有風險的公司，比如運營系統被鎖住，因為系統無法工作而失去許可證或保險覆蓋，或者出現可能影響生命安全的情況，比如關閉監控和訪問控制系統。”

根據哈佛商業評論的數據，2020 年，企業支付給黑客的金額比上一年增長了 300% 。在 2021 年 6 月的情況說明書中，網絡安全和基礎設施安全局 (CISA) 呼吁改進 OT 系統上的信息安全。今年年初，全球網絡安全公司 Mandiant 的研究人員發現， 2021 年勒索軟件攻擊導致的 3,000 次數據泄露中有 1,300次發生在關鍵的 OT 基礎設施上。最近對 OT 的攻擊包括針對 Colonial Pipeline、JBS(世界上最大的肉類加工商)和華盛頓大都會警察局的攻擊。

觀察到 COVID-19 大流行增加了對遠程網絡訪問的需求，Christman 說：“云、5G 和集成技術在建筑環境中發生的速度，[以及] 越來越多的解決方案，已經讓黑客更了解 OT 系統中的漏洞。我們還看到了更多遠程訪問解決方案的部署，當服務技術人員無法安全地設置這些系統時，就會為勒索軟件攻擊敞開大門。”

意識的提高推動創新

智能建筑行業越來越意識到這種風險——尤其是在CISA最近公布的證據懷疑俄羅斯入侵烏克蘭導致與俄羅斯結盟的網絡犯罪集團對關鍵基礎設施構成威脅之后。

教育是解決保護系統和應對 IT/OT 集成帶來的安全挑戰所需的知識差距和網絡安全人才短缺的關鍵。關鍵基礎設施和 OT 網絡安全培訓課程現在是 InfoSec 教育提供商和協會(包括國際自動化學會)的熱門課程之一。

Christman 還指出，新興的 OT 安全公司、供應商合作以及建筑業主和運營商對評估的需求顯著增加。在尋求集成多個舊系統的棕地站點中，安全評估尤其呈上升趨勢，這些舊系統可能具有過時的安全功能、缺乏可見性以及舊的、易受攻擊的硬件和軟件。“我們看到整個 OT 安全市場都在通過收購、供應商在網絡聯盟下走到一起，以及更大的房地產資產所有者在定義 OT 安全政策和審查他們的供應商方面變得非常積極主動，”他說。“建筑行業正在將安全作為采購流程的關鍵組成部分并要求獲得認證，而供應商正在做出回應。”

用于商業建筑行業的新興信息安全最佳實踐指南、標準和框架包括建筑網絡安全 (BCS) 風險框架和 SPIRE 智能建筑計劃。美國聯邦政府也在解決這個問題。Christman 認為，拜登總統的網絡安全命令要求供應商與聯邦政府簽訂合同，為每種產品提供軟件材料清單 (SBOM)，該命令將進入私營部門。“我們需要知道任何給定軟件的成分列表是什么樣的，”他說。“我們看到這些 SBOM 要求開始在能源、制藥和金融實體中普及。”

雖然信息安全仍有很大的改進空間，但智能建筑專家了解開放、可互操作的系統、融合 IT 和 OT 系統之間的數據流以及提供數據分析的基于云的解決方案的價值。“建筑物正在成為有生命的實體，數據為我們提供了優化其功能和健康所需的宏觀視角，”Christman 說。“如果以正確的安全分段、監控、控制和響應方式部署該技術，我們就可以保留智能建筑策略并降低風險。”