Smart-системы и угроза безопасности зданий

04.12.2017

Диджитализация и удаленное управление системами зданий создает риски для кибер-безопасности. Управление безопасностью стало одной из ключевых задач при внедрении инноваций в строительстве.

Первая система автоматизации зданий была впервые представлена 10 лет назад, и за это время претерпела существенные изменения. Инновации в сенсорах, цифровых технологиях и Интернет вещей позволили подключить здания к единой сети. С одной стороны, это повышает эффективность работы, с другой – создает угрозы кибербезопасности.   


Первая система автоматизации зданий была впервые представлена 10 лет назад

Удаленных доступ позволяет производителям контролировать работу смарт-систем, улучшать их и удаленно обновлять программное обеспечение. При этом количество таких удаленно управляемых точек в каждом здании постепенно растет.

После перехода от флуоресцентного освещения к светодиодному следующим этапом повышения эффективности здания и создания добавочной стоимости является усиление контроля за расходом, которое достигается с помощью цифровых систем, объясняет Бен Майерс, менеджер по устойчивому развитию Boston Properties.

Усиление контроля предполагает увеличение точек доступа к интернету, каждая их которых, в свою очередь, повышает уязвимость к кибер-атакам. Поэтому управлению кибер-безопасностью стало одной из ключевых задач при внедрении инноваций в строительстве.

Первым тревожным сигналом в сфере недвижимости стал взлом в 2013 году системы безопасности Target. Он был осуществлен через подрядчика HVAC, который использовал сайт управления проектами. Через него хакеру удалось получить доступ к системе, затем проникнуть в другие системы и получить данные кредитных карт миллионов клиентов Target.

«Способность управлять и использовать Big Data помогает нам быть более эффективными и имеет значительные преимущества, связанные с устойчивостью и экологическим контролем», – говорит Майкл А. Турзански, управляющий директор по инженерным операциям с инвесторами Cushman & Wakefield. – Но инженеры часто не думают о безопасности и ее значении. Небезопасные системы могут нанести большой ущерб и стать причиной неэффективности арендных площадей».

Угрозы кибер-атак для зданий

Угрозы кибер-безопасности создает доступ производителей к цифровым системам через интернет.  «Всего одна уязвимость может предоставить кому-то доступ ко всей платформе и нанести серьезный ущерб зданию и оборудованию. Это очень страшная перспектива», – говорит Джеймс М. Розенблют, директор по глобальной безопасности и устойчивому развитию Cushman & Wakefield.

Главные угрозы для устройств, подключенных к интернету, – это способность хакеров получить контроль над системами, управлять ими, и использование подключенных устройств для получения доступа к конфиденциальной информации в телекоммуникационной сети. «Было множество случаев нарушений кибер-безопасности, совершенных отдельным злоумышленником, организованными преступными организациями, программистами-фанатиками, хакерами или даже детьми со смартфонами – рассказывает Джеймс М. Розенблют. – Возможности есть у многих. Важнее, есть ли умысел, и если да, то какой».


Управлению кибер-безопасностью стало одной из ключевых задач при внедрении инноваций в строительстве

В некоторых случаях взломщики вымогали деньги, угрожая взять под контроль одну или несколько систем, либо фактически сделав это. К примеру, недавно отель в Европе должен был заплатить выкуп злоумышленникам, которые захватили контроль над электронными замками и заблокировали большую группу туристов, не допуская их доступа в комнаты до тех пор, пока не был получен выкуп, отмечает Розенблют.

Владельцы и менеджеры недвижимости все чаще взвешивают преимущества и экономическую целесообразность новых технологий, с одной стороны, и потенциальные угрозы кибер-безопасности – с другой. По словам Линдси Бейкер, президента компании Comfy, которая занимается разработкой программного обеспечения в Окленде, Калифорния, к проблемам безопасности, с которыми сталкиваются объекты недвижимости, относятся защита персональных данных, корпоративных данных, хакинг, контроль доступа и обеспечение безопасности сетей других компаний.

Защита от рисков кибер-безопасности

Управление системами кибер-безопасности зданий схоже с управлением безопасностью другими корпоративными системами. «Компании часто владеют конфиденциальной, финансовой или личной информацией, которую они пытаются защитить от хакеров. Тот же поход следует использовать и в отношении зданий, – говорит вице-президент и директор по IТ Boston Properties Джеймс Уэйлен. –Например, если внешнему подрядчику требуется доступ к системе, этот доступ должен контролироваться теми же инструментами, которые управляют корпоративной средой».

Один из подходов обеспечения кибер-безопасности заключается в применении программы безопасности предприятия в разных системах. Компании также могут применять сегментацию, которая ставит системы в отдельные сегменты памяти с использованием технологий брандмауэра. Таким образом, если одна система будет скомпрометирована, как в случае с HVAC, проблема будет сосредоточена в этом одном сегменте, и хакер не сможет использовать доступ к системе в качестве точки перехода к другим зданиям или бизнес-системам, таким как освещение или корпоративная электронная почта.

«Когда мы обнаруживаем, что у клиента есть инфраструктурная сеть, которая отделена от корпоративной сети, для нас это праздник, – говорит Линдси Бейкер. – Это означает, что компания уже потратила время на то, что многие другие и только планируют сделать, – на разделение и изоляцию всей конфиденциальной информации в корпоративной сети».

Компании также могут контролировать доступ удаленных подрядчиков к системе за счет такого протокола как двухфакторная аутентификация. В дополнение к имени учетной записи и паролю для аутентификации требуется дополнительный шаг, например, код аутентификации или персональный идентификационный номер (ПИН).

Поиск уязвимостей

Самое слабое звено в кибер-безопасности и, в то же время, наименее поддающееся контролю – это человек. Компании могут построить прочную линию защиты с помощью брандмауэров и систем, но достаточно одного человека, который перейдет по ссылке в фишинговом электронном письме, отмечает Джеймс Уэйлен. Поэтому для защиты своего кибер-пространства компаниям необходимо постоянно проводить занятия для сотрудников и подрядчиков, а также имитировать кибер-атаки. «Необходимо повышать осведомленность и удерживать ее на переднем плане – так, чтобы при получении подобного письма сотрудник мог понять, что это», – говорит Уэйлен. Это особенно важно еще и потому, что хакеры становятся все более изощренными.


Для защиты своего кибер-пространства компаниям необходимо постоянно проводить занятия для сотрудников

Еще одним камнем преткновения является отсутствие связи между недвижимостью и ИТ. Команда, управляющая объектом недвижимости, может не знать, с какими ИТ-специалистами им стоит разговаривать, или какие условия необходимы для внедрения новых технологий, говорит Бейкер. Она отмечает, что в некоторых случаях специалисты по недвижимости могут быть даже немного запуганы ИТ-специалистами. Поэтому важно взаимопонимание между специалистами из этих двух областей по протоколам, процессам и утверждениям для применения новых технологий.

Другим важным шагом является включение специалистов в области ИТ и безопасности в состав команды по проектированию зданий. «Специалисты по автоматизации и инженеры иногда не привлекаются к обсуждению зданий на ранних этапах. Это отраслевая тенденция, которая должна измениться, – подчеркивает Майкл Турзански. – Если вы привлечете к работе соответствующих сотрудников в рамках команды, вы сможете лучше решать проблемы безопасности и предотвращать их».

Источник ULI


Читати інші статті