多年來�����,網(wǎng)絡(luò)犯罪一直是開發(fā)商面臨的現(xiàn)實和現(xiàn)實的威脅��,但嵌入式建筑技術(shù)的興起給該行業(yè)帶來了一些嚴(yán)峻的挑戰(zhàn)。通過基礎(chǔ)軟件開發(fā)和現(xiàn)代化����,建筑正變得越來越智能。
開發(fā)人員和資產(chǎn)管理人員現(xiàn)在必須應(yīng)用網(wǎng)絡(luò)安全規(guī)程�����、工具和持續(xù)改進(jìn)技術(shù)����,這些技術(shù)在傳統(tǒng)企業(yè)IT環(huán)境中更為常見。必須有一個持續(xù)的戰(zhàn)略來保護(hù)資產(chǎn)�����,支持客戶的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)�����。
那些記憶深刻的人會想起2013年美國消費(fèi)品巨頭Target的兒童網(wǎng)絡(luò)事件�。
黑客通過連接塔吉特公司主要IT網(wǎng)絡(luò)的空調(diào)系統(tǒng)進(jìn)入了該系統(tǒng)。這讓開發(fā)公司負(fù)責(zé)人和資產(chǎn)所有者不寒而栗�,因為這可能發(fā)生在任何擁有房地產(chǎn)的企業(yè)身上。
如今���,智能建筑比以往任何時候都更加互聯(lián)�����,因此�,了解在開發(fā)過程中和之后會收集和保留哪些數(shù)據(jù)至關(guān)重要。
開發(fā)智能商業(yè)建筑時收集的一些數(shù)據(jù)包括身份證明文件���、財務(wù)文件以及個人信息��,如聯(lián)系電話���、地址和近親詳細(xì)信息。問題是�,一旦收集到這些數(shù)據(jù),是否真的需要長期存儲�。
個人信息可能通過照片獲取,然后通過短信或電子郵件發(fā)送回開發(fā)者辦公室�。這就創(chuàng)造了一個黑客只要進(jìn)入電子郵件就能獲得所有這些個人信息的世界。
開發(fā)人員和管理人員可能很快就會發(fā)現(xiàn)����,他們已經(jīng)成為了大量有關(guān)行為的深度個人信息的保管人�����。但他們可能沒有管理安排和實際控制到位,以管理和減輕數(shù)據(jù)帶來的風(fēng)險����。
因此,開發(fā)人員需要考慮是否真的需要長期存儲這些信息�。因為如果他們被黑客攻擊,數(shù)據(jù)被竊取并在暗網(wǎng)上出售���,后果將非常嚴(yán)重�����。
各國新立法加大了對侵犯隱私行為的懲罰力度
11月28日�,美國在兩黨支持下��,國會兩院通過了一項新立法��,大幅增加對嚴(yán)重或反復(fù)侵犯隱私行為的處罰����,這表明人民和議會對企業(yè)數(shù)據(jù)的行為越來越失去耐心。
《2022年隱私立法修正案(執(zhí)行和其他措施)法案》將財務(wù)處罰從250萬美元提高到5000萬美元�,這是通過濫用數(shù)據(jù)獲得的任何利益價值的三倍��,或企業(yè)在相關(guān)期間調(diào)整營業(yè)額的30%�����,以更大的數(shù)字為準(zhǔn)�。
拋開個人數(shù)據(jù)不談�,由于過時且管理不善的技術(shù)系統(tǒng),房地產(chǎn)企業(yè)通常很容易受到黑客攻擊���。
如果沒有可靠的網(wǎng)絡(luò)安全計劃�,威脅和漏洞就會增加�����。除了供暖��、通風(fēng)和空調(diào)(HVAC)系統(tǒng)外���,房地產(chǎn)企業(yè)還通過監(jiān)控攝像頭和員工自己的設(shè)備暴露在網(wǎng)絡(luò)風(fēng)險中�。
一種滲透場景可能是對手監(jiān)視安全攝像頭��,收集信息,并可能將人員鎖定在室內(nèi)�,控制暖通空調(diào)系統(tǒng)對室內(nèi)人員造成傷害,并要求贖金��。
在另一個假設(shè)的場景中����,黑客可以訪問并控制照明或HVAC系統(tǒng)��,并打開空調(diào)��,讓燈整夜亮著��。這是一種看似無形的滲透����,但會帶來嚴(yán)重后果。
資產(chǎn)管理人員和開發(fā)人員需要知識���、資源和技能來不斷應(yīng)對這些威脅���。
任何強(qiáng)大的網(wǎng)絡(luò)安全戰(zhàn)略都始于標(biāo)準(zhǔn)和框架
例如遵循國家標(biāo)準(zhǔn)與技術(shù)協(xié)會的網(wǎng)絡(luò)安全框架來管理黑客攻擊風(fēng)險。這為物業(yè)管理人員提供了應(yīng)對網(wǎng)絡(luò)威脅并從中恢復(fù)的工具��。
NIST只是開發(fā)人員用來指導(dǎo)其網(wǎng)絡(luò)安全策略的方法之一。澳大利亞企業(yè)使用的另一個常見框架是聯(lián)邦政府的澳大利亞網(wǎng)絡(luò)安全中心建議實施的“八項基本緩解策略”以防止攻擊��。這些措施包括取消不需要的員工的不必要的網(wǎng)絡(luò)管理特權(quán)��,并實施多因素身份驗證�。
或者是將企業(yè)網(wǎng)絡(luò)與建筑管理系統(tǒng)分離。這些系統(tǒng)應(yīng)該能夠獨(dú)立運(yùn)行���,因此對房地產(chǎn)開發(fā)商辦公室的攻擊不會影響建筑物和租戶���。
多年來,保險企業(yè)在評估承保財產(chǎn)風(fēng)險時����,一直關(guān)注投保人運(yùn)營技術(shù)的穩(wěn)健性。這是因為這些系統(tǒng)越來越多地被網(wǎng)絡(luò)犯罪分子利用��。
建筑物管理系統(tǒng)通常具有較長的運(yùn)行壽命��,而且不像其他系統(tǒng)那樣頻繁地修補(bǔ)����,因此它們可能是犯罪分子瞄準(zhǔn)的薄弱資產(chǎn)。許多企業(yè)在運(yùn)營技術(shù)沒有啟動和運(yùn)行的情況下無法繼續(xù)交易���,以防重大漏洞導(dǎo)致這些系統(tǒng)崩潰�����。
所以重要的是�,建筑管理系統(tǒng)設(shè)計了手動控制系統(tǒng),以便人們可以進(jìn)出建筑物�����,在發(fā)生襲擊時不會被困在電梯和其他地方�����。
雖然網(wǎng)絡(luò)保險是開發(fā)商和資產(chǎn)所有者為網(wǎng)絡(luò)安全所需要的工具之一��,但對他們來說�����,了解和管理建筑具體的網(wǎng)絡(luò)風(fēng)險也很重要����。如果沒有充分的網(wǎng)絡(luò)安全控制����,大多數(shù)企業(yè)將無法獲得網(wǎng)絡(luò)保險�����。
房地產(chǎn)企業(yè)應(yīng)該從不同的角度考慮數(shù)據(jù)安全����,以保護(hù)自己����。
隨時可用的數(shù)據(jù)隱私技術(shù)可以隱藏敏感數(shù)據(jù),包括個人身份信息��,即使在發(fā)生泄露的情況下也是如此���。代幣化涉及用個人信息代替組織網(wǎng)絡(luò)中的代幣���,因為代幣對犯罪分子的價值要低得多。
如果Optus或Medibank應(yīng)用了這種技術(shù)��,網(wǎng)絡(luò)犯罪分子將不得不重新識別數(shù)據(jù)��,然后才能從中獲得價值��,這對未經(jīng)授權(quán)的人來說是一個困難的過程。這使得盜取的數(shù)據(jù)對犯罪分子來說用處不大�����。
房地產(chǎn)行業(yè)在提高IT員工的技能����、實施正確的網(wǎng)絡(luò)安全解決方案,并意識到黑客在短期和長期內(nèi)的潛在影響��。我們要傳達(dá)的信息是��,在黑客摧毀建筑物和企業(yè)之前��,將此作為優(yōu)先事項���。
