據相關調查統計，目前價值 806.2 億美元的全球智能建筑市場預計到 2029 年將達到 3286.2 億美元。這些互聯的智能建筑是一個由控制、芯片、傳感器和最重要的遺留系統組成的復雜網絡。最近，這些網絡還與物聯網設備分層，這些設備增加了設施運營商管理建筑性能各個方面的能力——從安全到租戶的需求、遠程操作控制、暖通空調、訪問控制、照明解決方案等等，而先進的地理定位服務現已進入市場。

從第三方角度來看，這些系統有助于降低不斷上升的運營支出成本。商業天然氣價格在兩年內上漲了 42%，并用于電力生產（兩年內上漲了 15%），這是一個特殊的起點，根據一份世邦魏理仕報告，數據與運營數據相結合可以節省開支。

物聯網 (IoT) 具有巨大的全球經濟和社會意義，但也存在重大安全問題。盡管幾十年來人們一直關注安全和保護網絡的想法，但物聯網由于其多樣化且通常是隨意的部署而帶來了混亂。建筑技術、運營技術以及商業信息技術現在共享空間的想法令人不安，其中大部分歸結為定價。不管是好是壞，物聯網已經使技術民主化，并將自動化和監控的價格提高到現在人們和行業都可以接受的水平，而這些人和行業從未想過這種范圍的技術改進是可能的。

這當然是有代價的。設備的激增打開了不再受典型 IT 安全規定保護的攻擊媒介，市場已經證明它不愿意為物聯網安全支付高額費用。這是一個尚未解決的困境。

考慮物聯網安全的業務方面

技術正在快速發展，監管機構和管理機構需要迎頭趕上。

2022年9 月，歐盟委員會提出了歐盟首個針對物聯網行業的網絡安全法規《網絡彈性法案》，價值近 1.5 萬億歐元，以強制“對物聯網設備提供更強有力的網絡安全保護”。

10 月，白宮宣布了一項產品標簽系統計劃，以提醒消費者注意“與聯網設備相關”的安全風險，這將涉及利益相關者、企業和貿易協會，以提供“符合美國政府標準的產品的通用標簽”由經過審查和批準的實體進行測試。

這些只是微不足道的開始，即使有了這些進步，很明顯法規也跟不上技術的步伐。市場是這里唯一的答案，但我們花了太多時間試圖防范攻擊，我們幾乎忘記了防范某事不如檢測攻擊重要，更重要的是，優雅地緩解問題。

多年來，我們一直在執行試圖保護的愚蠢任務。這是不可持續的，敵人有優勢。相反，每個人都應該談論我們在出現漏洞時所做的事情，而答案過去是“停止、關閉并等待修復”。然而，現在的世界已經超出了這個范圍，這是對物聯網中一個問題的糟糕回答，物聯網中的設備在道路上的汽車中運行，而在醫療保健中則是人們的生命支持設備。對不可避免的事情進行分類是“保護和祈禱”投資的更好途徑。

最后，IoT 安全性比 IT 更深層次涉及內存訪問——黑客利用軟件缺陷在硬件級別控制設備或系統。它不同于IT設備安全。微軟和谷歌最近的一項研究表明，70% 的漏洞實際上是內存安全問題。此外，使用內存安全語言可以完全避免 95 個錯誤中的 53 個。考慮 Morello 的 CHERI 架構擴展，它通過指向計算機代碼中引用數據在內存中存儲位置的變量來幫助緩解內存安全漏洞。這限制了這些引用的使用方式、它們“接觸”的地址范圍以及它們的整體功能。

從市場角度來看，迄今為止業界最雄心勃勃的網絡安全項目是劍橋大學（英國）、谷歌和微軟之間的合作。去年，IT 治理發現了 1,243 起安全事件，涉及超過 5,126,930,507 條違規記錄——安全事件比上一年增加了 11%。醫院和醫療保健提供商是去年全球超過 3 億次針對設備的勒索軟件攻擊的主要站點。

鑒于迄今為止市場力量反應平淡，監管機構正在盡其所能（盡管主要在歐洲和英國），幾乎所有標準都基于 EN-303-645——消費者物聯網網絡安全的全球適用標準。雖然相當冗長，但可以總結為：

• 沒有默認密碼。
• 漏洞產品報告機制。
• 產品安全生命周期的透明度。

最后一個，透明度，很可能是最重要的。當我們進入一個“萬物互聯”的世界時，我們的冰箱在某個時候停止更新的想法應該會嚇到我們。

美國國家安全與技術研究所 (NIST) 框架推薦的最佳實踐是：識別、保護、檢測、響應和恢復。雖然安全永遠不會是絕對的，但迄今為止還沒有規定性標準。即使您想要標準（一個月后就會過時），這些標準也需要花費 9000 英鎊，并包含 61 份不同的文件。沒有制造商愿意處理這個問題，當然也沒有用戶。

行業的回答似乎是說我們正在招聘更多的網絡安全專業人員。問題是我們不需要更多的網絡安全專家。我們需要更多的貿易和供應商網絡安全能力。

什么是安全與隱私

互聯智能建筑的安全預防措施側重于安全與隱私。

雖然確保隱私的最佳方式首先是不要擁有數據，但我們知道數據無處不在。

根據 Forrester Consulting 的 2019 年“北美企業物聯網安全狀況：不受管理和不安全”的研究，雖然 67% 的企業經歷過物聯網安全事件，但只有 16% 的安全經理表示他們對物聯網設備有足夠的了解在他們的環境中。還值得注意的是：

• 69% 的企業在其網絡上擁有比計算機更多的物聯網設備。（實際上，比例是 3:1：每 1 名員工有 3 臺物聯網設備）。
• 84% 的安全專家認為物聯網設備比計算機更容易受到攻擊。
• 93% 的企業計劃增加物聯網和非托管設備的安全支出。
• 5% 的公司愿意以物聯網安全的名義限制其運營和業務數據。

我們可以通過協作、系統和多學科的方法建立大多數安全措施。但安全不僅僅是一個 IT 問題——它是一個組織范圍的問題，涉及所有利益相關者——運營商、租戶、訪客、股東和所有相關供應商。

安全和隱私之間的相互聯系是顯而易見的。沒有安全，我們就沒有隱私。小的安全弱點可能成為主要的攻擊區域。請記住，96% 的攻擊并不復雜 - 簡單的事情，例如員工在一張紙上記下密碼，任何經過辦公桌的人都可以看到，或者在信息被收集和濫用的不安全網站上輸入密碼。

影子世界

遠程工作已將數以百萬計的個人“影子物聯網設備”帶入企業網絡，擴大了攻擊面。員工不考慮安全預防措施，網絡管理員對影子設備缺乏可見性，這意味著安全漏洞可能來自：

• 設施網絡上開放的 Wi-Fi 接入點可打開對網絡的瀏覽訪問。
• 交換機上不安全、不受管理的以太網端口提供訪問權限——允許任何人插入并訪問您的網絡。
• 將未鎖定的計算機留在辦公室或公共場所，可以訪問網絡上的文件。

企業通常會忽視現有的系統性物聯網從他們所在的建筑物中滲透。然后再考慮遠程工作人員及其連接的網絡，這會變得非常復雜。

設施操作員通常沒有想到有關添加到網絡的設備（通常是在不知不覺中）：

• 您的設備在網絡上連接到什么？
• 它是如何配置的？
• 它對什么說話——它是如何說話的？
• 什么是受信任和不受信任的表面？
• 需要采取哪些行動與觀察？
• 它相互作用的主要潛力是什么？
• 誰是制造商——軟件還是硬件？
• 目前的運營透明度是多少？

通往物聯網安全的共同道路

改進的物聯網安全性應該成為行業信任標志計劃。使用最低限度的可行政策規范開放標準和制造商的透明度可以提供互操作性作為所有相關行業的規范。迄今為止，這還不是物聯網領域的事情，盡管美國以外的國家也在努力。

在 IoT 世界中，構建系統需要安全的驅動力和易用性作為其基礎（遺憾的是需要匹配的價格點）。我們現在從比以往更多的來源獲取數據。每個組織都必須分析我們如何保護它。沒有適合所有人的尺寸，但同時說物聯網不會影響業務的東西對于那些只想保留它的人來說是個謊言。物聯網就在這里，它會一直存在，而且它已經在您的設施中……你現在不能真正阻止它。