在房地产网络安全

2016年2月11日

由汤姆Shircliff和罗伯·默奇森
从2016年1月/ 2月的问题

Wi头条新闻的网络攻击的受害者从银行卡和目标好莱坞电影工作室,网络安全已经成为最重要的问题。现在的房地产行业是觉醒为建设重大的网络安全风险监测和控制设备。系统,如暖通空调、照明、火灾警报,自动喷水灭火系统和电梯都使用计算机等信息技术(IT),服务器、操作系统、协议和网络包括网络连接,不难想象一个数组的可怕场景。黑客可以控制空调和CRAC热敏设备系统损害,禁用电梯或生命安全系统,甚至“跳”攻击企业计算机networks-not提及生产力损失和品牌的伤害。这些远程访问控制系统创建大量暴露的房地产业在许多不同的环境中,包括商业办公室,公司办公室,校园,零售、工业等等。

然而,正确的一个常见的误解,最近的接触并不是因为智能建筑的革命。,而这是所谓的“愚蠢的建筑”与标准控制系统建立在过去的25年里,这些固有的风险,但没有使用任何cyber-safe需求。标准的控制系统和承包商安装他们使用联网的计算机远程维护和软件升级。除了添加方便,这也创造了一个危险的通路,其控制系统,乘客和其他网络。

你不能买一个没有计算机控制系统服务器和远程访问能力,和几乎所有这些系统已经被不同的供应商有不同的安装标准很少或者根本不关心网络安全。估计有95%的建筑系统连接到互联网有不安全的连接,和65%的厂商建立系统的远程访问。

让我们更深刻地审视为什么房地产行业是脆弱的。使用的控制体系结构和后台的技术能力超过了典型的工业供应商资源,如建筑师、工程师和设施和物业经理。这些供应商通常没有集成现代实践的设计,建设和运营标准,同时房地产开发商和业主没有对齐的内部部门新的现实的监测和控制系统。结果只是足够的连接,打开系统,系统由不同的供应商分别放在不同的可靠性标准,备份,网络,和其他重要的原则。

有很多例子的承包商建立远程连接使用低成本、现成的路由器,提供免费wi - fi建于不断广播,并简单地插入DSL线不改变通用密码(如“管理员管理”)。乘以几十个供应商有不同的系统安装在整个大楼(年代)。

该行业缓慢的部分原因应对风险的根源在于历史上它和设施管理之间的不同的方法。在大多数企业IT环境中,所有它的所有者控制设备和网络即使使用承包商对于某些任务和设备。但是在房地产和设施环境中,有一个大的生态系统供应商,几乎完全控制和管理的所有组件本身,只负责自己的水平的可靠性和安全性。

桥这些文化差异,部门之间的中介,甚至语言解释常常需要解释设施正试图做什么然后将组织的IT需求集成到设备采购和管理。解决典型的问题是:谁买软件,设施管理或吗?谁决定了需求?有多敏感数据?远程访问策略和需求是什么?谁管理合规?它是谁的预算出来的?

年前更多的网络安全设施的第一步是一个库存和脆弱性评估。这需要在多个领域的技能,包括设备管理、控制系统和风险管理。智能建筑,例如,我们的公司已经开发出一种计分卡(如上所示),适用于现有最佳实践从国家标准与技术研究院(NIST)的风险安全框架(RSF)和国际标准化组织(ISO)以及国土安全部(DHS),然后嫁接这些设施环境的最佳实践。评价领域包括计算机系统、控制软件和硬件,网络,承包商实践和内部实践。

关键是解决所有领域一样因为这个链是最薄弱的环节。例如,一个值得信赖的供应商,通过许多IT安全层可以创建风险没有密码保管政策在员工流动率。快速网站评估一些准备和后续可以产生一组分类得分和总分导致逐步修复计划。

时的遗留系统的基础问题,随着物联网的现象(物联网),这个行业仅仅看到开始的架构和操作数字构建监视和控制系统的漏洞。

网络事件的数量涉及工业控制系统(包括建筑)向国土安全部报告增加了74%,从140年到243年,财政年2011年和2014年之间。2012年,黑客渗透到建筑能量管理系统(EMS)的新泽西制造公司。在2012事件中,入侵者改变了温度设置政府机构的建立EMS。美国政府问责办公室(GAO)最近警告说,即使是国土安全部缺乏一个策略来保护敏感建筑物免受网络攻击。

虽然这些例子表明更多的事件的可能性,重要的是要保持观点的风险。我们需要考虑现实和风险,同时也利用效率。例如,“大数据”和分析也提供强大的机会帮助设施管理高管数据驱动的决策,降低运营成本,提高工作效率以及改善居住体验和整体的可持续发展。

好消息是,智能建筑技术的出现有可能降低网络风险,促使姗姗来迟的谈话是关于网络安全的重要性。

例如,在咨询,政府机构在其智能建筑项目,我们公司曾与设施和IT开发策略和标准构建系统网络,将是安全的和独立于核心业务操作。这不仅创造了分离的业务数据,而且还降低了恶作剧的机会和安全风险相关的电力、电梯、照明、和空调。在大型商业办公大楼的设计,与我们合作17个不同的系统控制公司将这些整合到一个共同的骨干和赋予一个新的、更安全的方式管理的大楼也“分析做好准备。”

是否减少网络风险或利用智能建筑的机会,重要的是要记住,任何策略必须包括三大支柱:建筑,人,和技术。先进的软件只是有效构建能够访问数据。和技术实现其潜力只有在人,决策流程和工作流也到位。不只是新技术;这是一个新的工作方式。

Shircliff和Murchison的共同创始人智能建筑有限责任公司房地产咨询服务公司,为新建筑提供下一代战略的规划和实施,现有的投资组合,和智能社区。成立于2004年,智能建筑已经广泛在85多个城市,并开发了智能建筑标准为美国和加拿大联邦政府。它在多个房地产咨询环境,包括企业、政府、公用事业、机构和校园。智能建筑在2015年被评为全国发展最快的私营企业5000年公司列表。