如何规划智能建筑的网络安全

了解三个主要的痛点(或漏洞),可以帮助设施管理人员与IT部门合作,以确保设施的安全。

如何规划智能建筑的网络安全

在我们的建筑环境中,物联网(IoT)设备的使用越来越多,特别是物联网设备系统,这是由对可持续、高性能建筑的渴望,以及对该空间用户具有竞争力的增值系统(如能源监测、ESG一致性)的驱动。然而,楼宇自动化系统(BAS)、能源管理和监控系统以及其他物联网系统越来越成为犯罪分子和民族国家恶意团体的目标,这些攻击的结果代价高昂。网络设备数量的增加意味着业主的网络安全漏洞的增加,这可能导致建筑运营中断、敏感或有价值的数据丢失、对居住者的潜在伤害以及责任和声誉风险。这些漏洞部分是由于大型所有者组织内部的组织以及供应商关系中的组织和文化挑战造成的。

通常,围绕如何解决这些类型的智能建筑网络安全挑战的讨论集中在培训设施专业人员的IT技能上。然而,我们最近对高等教育机构的研究发现,网络安全挑战远比技能问题复杂得多,尤其是对于大型建筑业主而言。设施和IT专业人员经常被排除在智能建筑设计和采购决策之外。此外,设施和IT部门之间的历史孤岛导致了不同的技术语言、专业文化和协调困难。

尽管存在这些复杂性,设施经理和IT人员已经开始应对这些挑战。这包括了解增加智能建筑风险的三个主要痛点,我们将提供建议,帮助设施管理人员提高网络安全,并降低从设计和施工(D&C)到运营的风险。

挑战

物联网设备和设备系统可以在多个不同阶段进入建筑生命周期。在物联网系统设计、设备部署和运营过程中,有三个关键的痛点阻碍了IT和设施专业人员以有效和高效的方式合作。这些痛点发生在:

  • 设计与施工(D&C)
  • 设备和系统采购
  • 运营

在D&C期间,当物联网系统设计和采购决策发生时,很少有标准化流程可以在设计阶段的早期让IT和设施人员参与进来。此外,IT和设施专业人员并不总是有机会向D&C项目团队提供重要的技术和网络安全输入。项目交付合同中的差异也决定了在设计阶段何时以及是否可以与设施和IT人员接触。此外,资本项目人员并不总是知道其需要在流程的早期就网络安全风险进行IT投入。D&C中的这些复杂性导致系统选择不当、系统部署不当以及缺乏物联网系统运营监督,

其次,大多数大型业主缺乏网络安全标准、标准和成熟的物联网设备和系统采购审查流程,这也增加了风险。这包括缺乏关于数据治理的标准,以及与物联网设备维修、安全更新和一般系统管理相关的角色和责任。此外,IT网络安全专家通常不会在采购过程的早期咨询,或根本没有咨询。

最后,运营挑战主要围绕IT和设施的组织历史和文化之间的差异。这些差异导致物联网系统网络不明确、未管理或管理不善且记录不当。当特定任务需要两组专业知识时,IT和设施之间的这种分歧导致了协调和调度问题。这种分歧还导致缺乏共享的工作语言来支持对物联网系统、数据管理和分析以及安全性的相互理解。

新兴解决方案和建议

尽管存在这些挑战,许多大型业主组织一直在探索和实施新的解决方案来改善物联网安全和运营。其中许多解决方案都致力于改善IT与设施之间在运营、工作实践和政策方面的协作和知识综合。

根据我们对高等教育校园趋势的研究,建议其他大型建筑业主可以采用以下框架来提高自己的物联网安全和运营。

D&C
  • 向项目团队阐明并传达自己对建筑物物联网系统、网络、数据和数据管理的长期需求。
  • 确定设施和IT联络员参加项目团队会议,以确定物联网系统的长期所有者需求和要求。
  • 确定IT和设施人员应在何时何地向项目团队提供有关物联网设备和系统的信息。示例包括RFP规划、提交审查和调试。
  • 规范网络安全和设施专业人员在早期设计/施工前审查物联网系统的咨询,并正式记录所有审查意见。

采购

  • 阐明、记录和传播建筑环境中物联网设备和系统的所有者网络安全标准。建立物联网的管理、角色和责任,以及评估供应商风险的标准。
  • 要求物联网系统提供商提供网络责任保险。确定当系统或设备被恶意团体破坏时由谁负责。
  • 要求设备软件更新计划(即“补丁计划”),并确定谁将执行其并为此付费。
  • 在采购流程的早期整合网络安全审查和IT主题专家。
运营
  • 建立针对网络、设备和数据的物联网系统管理。认真考虑IT和设施之间物联网系统管理的协作形式,包括系统和网络的期望和性能。
  • 明确IT和设施专业人员在特定任务上协同工作的角色和职责。知道谁负责特定的系统和设备,并知道如何与该人联系。责任-解释-咨询-通知(RACI)图表是用于在多个组织中建立角色和职责以及设定期望的工具的一个示例。
  • 通过跨部门规划会议、组织间联络和非正式活动,建立和维护IT与设施部门和人员之间的关系。这建立了信任,并开始融合和整合组织文化。
  • 考虑开发运营技术(OT)团队,将传统设施与IT专业人员和方法相结合。

对于大型业主组织,更好地了解D&C、采购和运营期间出现的挑战将降低近期和长期智能建筑风险——即使考虑到实施这些新步骤的成本。虽然用于物联网管理和安全的劳动力和资源增加成本,以及开发新工作流程和破坏传统工作流程的成本可能很高,但这是必要的。在这个日益恶意的网络世界中,与财务和声誉考虑、品牌管理、运营绩效和人身安全问题的成本相比,准备和尽职调查的成本将显得微不足道。物联网设备和系统提供了相当大的潜在价值,但前提是它们带来的风险经过深思熟虑的规划和管理