從歷史上看,信息安全 (InfoSec) 在構(gòu)建包含專有協(xié)議和數(shù)據(jù)有限的封閉基礎(chǔ)設(shè)施的操作系統(tǒng)時并不是一個重要問題。隨著這些系統(tǒng)越來越多地轉(zhuǎn)向開放、可互操作的架構(gòu),從連接的操作技術(shù) (OT) 設(shè)備收集和處理信息以支持智能建筑計劃,它們面臨著勒索軟件的風險,這帶來了巨大的補救成本,以及網(wǎng)絡(luò)物理攻擊可能會停止設(shè)施運營、損壞財產(chǎn)并危及生命。
OT 攻擊可能造成廣泛的危害,尤其是當目標包括為公眾提供重要服務(wù)并對經(jīng)濟產(chǎn)生重大影響的機構(gòu)時,例如醫(yī)療保健、公用事業(yè)、能源和公共安全。值得慶幸的是,這個問題已經(jīng)項目利益相關(guān)者正在注意。
更多地方的更多數(shù)據(jù)意味著更大的風險江森自控副總裁兼首席產(chǎn)品安全官Jason Christman表示,最初,黑客利用建筑系統(tǒng)作為輔助工具,以更深入地訪問IT系統(tǒng)以及機密的企業(yè)和財務(wù)信息?,F(xiàn)在,黑客們把目標直接對準了建筑系統(tǒng)?!敖裉斓慕ㄖ到y(tǒng)包含了更多的設(shè)備,”他說?!懊總€系統(tǒng)都有設(shè)定值、配置和有價值的信息,比如門禁系統(tǒng)的生物識別、暖通空調(diào)系統(tǒng)的空氣質(zhì)量讀數(shù)、生命安全系統(tǒng)的滅火設(shè)置,以及遵守保險、法規(guī)和……環(huán)境法規(guī)所需的數(shù)據(jù)。這些系統(tǒng)現(xiàn)在成為勒索軟件的目標——有更多的資金用于跟蹤那些有風險的公司,比如運營系統(tǒng)被鎖住,因為系統(tǒng)無法工作而失去許可證或保險覆蓋,或者出現(xiàn)可能影響生命安全的情況,比如關(guān)閉監(jiān)控和訪問控制系統(tǒng)?!?/p>
根據(jù)哈佛商業(yè)評論的數(shù)據(jù),2020 年,企業(yè)支付給黑客的金額比上一年增長了 300% 。在 2021 年 6 月的情況說明書中,網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 呼吁改進 OT 系統(tǒng)上的信息安全。今年年初,全球網(wǎng)絡(luò)安全公司 Mandiant 的研究人員發(fā)現(xiàn), 2021 年勒索軟件攻擊導(dǎo)致的 3,000 次數(shù)據(jù)泄露中有 1,300次發(fā)生在關(guān)鍵的 OT 基礎(chǔ)設(shè)施上。最近對 OT 的攻擊包括針對 Colonial Pipeline、JBS(世界上最大的肉類加工商)和華盛頓大都會警察局的攻擊。
觀察到 COVID-19 大流行增加了對遠程網(wǎng)絡(luò)訪問的需求,Christman 說:“云、5G 和集成技術(shù)在建筑環(huán)境中發(fā)生的速度,[以及] 越來越多的解決方案,已經(jīng)讓黑客更了解 OT 系統(tǒng)中的漏洞。我們還看到了更多遠程訪問解決方案的部署,當服務(wù)技術(shù)人員無法安全地設(shè)置這些系統(tǒng)時,就會為勒索軟件攻擊敞開大門?!?/p>意識的提高推動創(chuàng)新
智能建筑行業(yè)越來越意識到這種風險——尤其是在CISA最近公布的證據(jù)懷疑俄羅斯入侵烏克蘭導(dǎo)致與俄羅斯結(jié)盟的網(wǎng)絡(luò)犯罪集團對關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成威脅之后。
教育是解決保護系統(tǒng)和應(yīng)對 IT/OT 集成帶來的安全挑戰(zhàn)所需的知識差距和網(wǎng)絡(luò)安全人才短缺的關(guān)鍵。關(guān)鍵基礎(chǔ)設(shè)施和 OT 網(wǎng)絡(luò)安全培訓(xùn)課程現(xiàn)在是 InfoSec 教育提供商和協(xié)會(包括國際自動化學會)的熱門課程之一。
Christman 還指出,新興的 OT 安全公司、供應(yīng)商合作以及建筑業(yè)主和運營商對評估的需求顯著增加。在尋求集成多個舊系統(tǒng)的棕地站點中,安全評估尤其呈上升趨勢,這些舊系統(tǒng)可能具有過時的安全功能、缺乏可見性以及舊的、易受攻擊的硬件和軟件。“我們看到整個 OT 安全市場都在通過收購、供應(yīng)商在網(wǎng)絡(luò)聯(lián)盟下走到一起,以及更大的房地產(chǎn)資產(chǎn)所有者在定義 OT 安全政策和審查他們的供應(yīng)商方面變得非常積極主動,”他說?!敖ㄖ袠I(yè)正在將安全作為采購流程的關(guān)鍵組成部分并要求獲得認證,而供應(yīng)商正在做出回應(yīng)?!?/p>
用于商業(yè)建筑行業(yè)的新興信息安全最佳實踐指南、標準和框架包括建筑網(wǎng)絡(luò)安全 (BCS)風險框架和SPIRE 智能建筑計劃。美國聯(lián)邦政府也在解決這個問題。Christman 認為,拜登總統(tǒng)的網(wǎng)絡(luò)安全命令要求供應(yīng)商與聯(lián)邦政府簽訂合同,為每種產(chǎn)品提供軟件材料清單 (SBOM),該命令將進入私營部門。“我們需要知道任何給定軟件的成分列表是什么樣的,”他說。“我們看到這些 SBOM 要求開始在能源、制藥和金融實體中普及?!?/p>