智能楼宇技术可能带来新的信息安全威胁

编者注：皮特·迪金森(PeterDickinson)是领先的能源管理软件公司 BuildingIQ 首席技术官。过去15年中，他曾是能源管理和商业地产行业的一名创业者和经理人。

上月，一些家喻户晓的大公司，例如Evernote、TweetDeck和Feedly遭到了互联网黑客的攻击。许多人认为，这一现象值得担忧，但更严重的是，一些公司可能并没有意识到，在面对这样的攻击时它们有多脆弱。如果你所在的大楼成为被勒索对象，那么情况会是怎样？我们能否采取一些措施，阻止这样的攻击？

当我们谈论物联网时，我们通常会谈到手机、汽车、平板电脑和多种多样的其他消费类设备。但请不要忘记，建筑物本身也是其中之一。许多公司都在整合能控制一切的联网技术，可控制对象包括供暖、照明、电梯和门锁等设备。那么请想象一下，一次攻击关闭了你所在大楼的灯光和电梯。由于这样的安全漏洞，企业员工将需要回家工作。而根据公司的规模不同，这可能导致数千到数百万美元的损失。

楼宇控制正逐渐不需要人工来完成，因此大楼可以被视为一种IT设备，而不仅仅是砖瓦构成的死板物体。尽管基于云计算和IP网络技术，有着更高运行效率的互联楼宇并不新鲜，但我们需要部署新的安全防卫措施，来抵御入侵者。关于这一问题，更多的强调和教育是必要的。

去年 ，谷歌澳大利亚办公室被成功攻破，这给智能楼宇行业敲响了警钟。两名信息安全研究人员展示了谷歌Wharf 7办公室存在漏洞的楼宇管理系统。通过 TridiumNiagara AX平台 ，研究人员成功访问到多个控制面板，从而可以查看整个大楼的平面图以及给排水系统。如果他们希望，那么甚至可以点击“活动覆盖”、“活动警报”和“日程计划”等按钮。这并不是一次恶意攻击，因此没有造成损失，但可能造成破坏的信息安全漏洞就在那里。

一旦进入系统，那么访问多种楼宇控制功能将非常简单。谷歌的情况证明了这一点。用于楼宇自动化的许多通信协议已被整合到这些设备中，以提供兼容性和互操作性。此外，与企业网络和管理系统集成在一起的自动化系统将给企业带来更大的风险。在谷歌的案例中，楼宇管理系统使用了专用线路，而没有使用其企业网络和管理系统的线路，因此黑客将面临更多的障碍。

预防信息安全攻击的方法并不是将你的大楼与云计算平台断开。整个行业和终端用户应当接受关于信息安全风险的更多培训，并为此做好准备。有时，问题可能是由于人工失误或错误地信任系统，这可能更容易带来危害。

以 塔吉特遭遇的数据泄露事故 为例。这一事故引起了全球媒体的关注，但最初仅仅是由于有人进入了大楼的暖通和空调系统。如果不深入分析，那么很容易认为，所采用的技术是主要的问题所在以及引起事故的唯一原因。实际上，如果没有人工干预，这一黑客攻击可以被限制在发生的几个瞬间之中。

在塔吉特的案例中，自动化、智能、自愈的IT安全系统被重写，从而成为了一个被动的报警系统。而这样的报警被监控人员忽略。病毒和蠕虫探测系统已探测到POS系统遭到入侵，如果功能没有受到限制，那么将可以自动阻止事故的发生。不幸的是，由于塔吉特坚持使用人工监督和干预，这一黑客攻击获得了成功。尽管系统发出了警报，但在几天时间里似乎没有人采取任何措施。

与任何与科技有关的行业类似，智能楼宇行业预计也将出现越来越多的问题。而事实情况在于，楼宇目前已经是IT设备。以上提到的黑客活动并非是对整个行业现实的反映，但给我们提供了很好的教训。当为楼宇选择自动化系统时，信息安全是一个必须考虑的因素。

利用云计算并不可怕，云计算服务的用户只会越来越多。缺乏相关的教育才是可怕的。因此，在楼宇智能水平提升的过程中，我们自己也应当更好地了解，楼宇中的系统是如何工作的。

过去30年中，我们的建筑物已成为了地球上最庞大的机器人系统。自动化的快速发展将带来很多优势，新的优势正逐渐成为现实，但如果不认真思考信息安全问题，那么我们有可能丢失30年的发展成果，并错失下一轮的发展。(译：维金)

Smart Building Technologies Could Expose Companies To A New Breed Of Cyber Attack