了解三個(gè)主要的痛點(diǎn)(或漏洞)��,可以幫助設(shè)施管理人員與IT部門合作��,以確保設(shè)施的安全�。
在我們的建筑環(huán)境中,物聯(lián)網(wǎng)(IoT)設(shè)備的使用越來(lái)越多�����,特別是物聯(lián)網(wǎng)設(shè)備系統(tǒng)����,這是由對(duì)可持續(xù)、高性能建筑的渴望����,以及對(duì)該空間用戶具有競(jìng)爭(zhēng)力的增值系統(tǒng)(如能源監(jiān)測(cè)��、ESG一致性)的驅(qū)動(dòng)。然而�����,樓宇自動(dòng)化系統(tǒng)(BAS)�、能源管理和監(jiān)控系統(tǒng)以及其他物聯(lián)網(wǎng)系統(tǒng)越來(lái)越成為犯罪分子和民族國(guó)家惡意團(tuán)體的目標(biāo),這些攻擊的結(jié)果代價(jià)高昂����。網(wǎng)絡(luò)設(shè)備數(shù)量的增加意味著業(yè)主的網(wǎng)絡(luò)安全漏洞的增加,這可能導(dǎo)致建筑運(yùn)營(yíng)中斷���、敏感或有價(jià)值的數(shù)據(jù)丟失��、對(duì)居住者的潛在傷害以及責(zé)任和聲譽(yù)風(fēng)險(xiǎn)����。這些漏洞部分是由于大型所有者組織內(nèi)部的組織以及供應(yīng)商關(guān)系中的組織和文化挑戰(zhàn)造成的�。
通常,圍繞如何解決這些類型的智能建筑網(wǎng)絡(luò)安全挑戰(zhàn)的討論集中在培訓(xùn)設(shè)施專業(yè)人員的IT技能上����。然而����,我們最近對(duì)高等教育機(jī)構(gòu)的研究發(fā)現(xiàn)��,網(wǎng)絡(luò)安全挑戰(zhàn)遠(yuǎn)比技能問(wèn)題復(fù)雜得多�,尤其是對(duì)于大型建筑業(yè)主而言。設(shè)施和IT專業(yè)人員經(jīng)常被排除在智能建筑設(shè)計(jì)和采購(gòu)決策之外���。此外��,設(shè)施和IT部門之間的歷史孤島導(dǎo)致了不同的技術(shù)語(yǔ)言�����、專業(yè)文化和協(xié)調(diào)困難��。
盡管存在這些復(fù)雜性�����,設(shè)施經(jīng)理和IT人員已經(jīng)開(kāi)始應(yīng)對(duì)這些挑戰(zhàn)�����。這包括了解增加智能建筑風(fēng)險(xiǎn)的三個(gè)主要痛點(diǎn)�,我們將提供建議,幫助設(shè)施管理人員提高網(wǎng)絡(luò)安全�����,并降低從設(shè)計(jì)和施工(D&C)到運(yùn)營(yíng)的風(fēng)險(xiǎn)����。
挑戰(zhàn)
物聯(lián)網(wǎng)設(shè)備和設(shè)備系統(tǒng)可以在多個(gè)不同階段進(jìn)入建筑生命周期���。在物聯(lián)網(wǎng)系統(tǒng)設(shè)計(jì)�、設(shè)備部署和運(yùn)營(yíng)過(guò)程中����,有三個(gè)關(guān)鍵的痛點(diǎn)阻礙了IT和設(shè)施專業(yè)人員以有效和高效的方式合作。這些痛點(diǎn)發(fā)生在:
設(shè)計(jì)與施工(D&C)
設(shè)備和系統(tǒng)采購(gòu)
運(yùn)營(yíng)
在D&C期間��,當(dāng)物聯(lián)網(wǎng)系統(tǒng)設(shè)計(jì)和采購(gòu)決策發(fā)生時(shí)��,很少有標(biāo)準(zhǔn)化流程可以在設(shè)計(jì)階段的早期讓IT和設(shè)施人員參與進(jìn)來(lái)����。此外���,IT和設(shè)施專業(yè)人員并不總是有機(jī)會(huì)向D&C項(xiàng)目團(tuán)隊(duì)提供重要的技術(shù)和網(wǎng)絡(luò)安全輸入。項(xiàng)目交付合同中的差異也決定了在設(shè)計(jì)階段何時(shí)以及是否可以與設(shè)施和IT人員接觸�����。此外�����,資本項(xiàng)目人員并不總是知道其需要在流程的早期就網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行IT投入�����。D&C中的這些復(fù)雜性導(dǎo)致系統(tǒng)選擇不當(dāng)��、系統(tǒng)部署不當(dāng)以及缺乏物聯(lián)網(wǎng)系統(tǒng)運(yùn)營(yíng)監(jiān)督���,
其次�����,大多數(shù)大型業(yè)主缺乏網(wǎng)絡(luò)安全標(biāo)準(zhǔn)��、標(biāo)準(zhǔn)和成熟的物聯(lián)網(wǎng)設(shè)備和系統(tǒng)采購(gòu)審查流程����,這也增加了風(fēng)險(xiǎn)。這包括缺乏關(guān)于數(shù)據(jù)治理的標(biāo)準(zhǔn)�����,以及與物聯(lián)網(wǎng)設(shè)備維修�����、安全更新和一般系統(tǒng)管理相關(guān)的角色和責(zé)任�。此外��,IT網(wǎng)絡(luò)安全專家通常不會(huì)在采購(gòu)過(guò)程的早期咨詢��,或根本沒(méi)有咨詢��。
最后�,運(yùn)營(yíng)挑戰(zhàn)主要圍繞IT和設(shè)施的組織歷史和文化之間的差異。這些差異導(dǎo)致物聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)不明確���、未管理或管理不善且記錄不當(dāng)�����。當(dāng)特定任務(wù)需要兩組專業(yè)知識(shí)時(shí)��,IT和設(shè)施之間的這種分歧導(dǎo)致了協(xié)調(diào)和調(diào)度問(wèn)題�。這種分歧還導(dǎo)致缺乏共享的工作語(yǔ)言來(lái)支持對(duì)物聯(lián)網(wǎng)系統(tǒng)、數(shù)據(jù)管理和分析以及安全性的相互理解�����。
新興解決方案和建議
盡管存在這些挑戰(zhàn)���,許多大型業(yè)主組織一直在探索和實(shí)施新的解決方案來(lái)改善物聯(lián)網(wǎng)安全和運(yùn)營(yíng)�。其中許多解決方案都致力于改善IT與設(shè)施之間在運(yùn)營(yíng)��、工作實(shí)踐和政策方面的協(xié)作和知識(shí)綜合�。
根據(jù)我們對(duì)高等教育校園趨勢(shì)的研究,建議其他大型建筑業(yè)主可以采用以下框架來(lái)提高自己的物聯(lián)網(wǎng)安全和運(yùn)營(yíng)�。
D&C
向項(xiàng)目團(tuán)隊(duì)闡明并傳達(dá)自己對(duì)建筑物物聯(lián)網(wǎng)系統(tǒng)、網(wǎng)絡(luò)�、數(shù)據(jù)和數(shù)據(jù)管理的長(zhǎng)期需求。
確定設(shè)施和IT聯(lián)絡(luò)員參加項(xiàng)目團(tuán)隊(duì)會(huì)議��,以確定物聯(lián)網(wǎng)系統(tǒng)的長(zhǎng)期所有者需求和要求���。
確定IT和設(shè)施人員應(yīng)在何時(shí)何地向項(xiàng)目團(tuán)隊(duì)提供有關(guān)物聯(lián)網(wǎng)設(shè)備和系統(tǒng)的信息���。示例包括RFP規(guī)劃�����、提交審查和調(diào)試�����。
規(guī)范網(wǎng)絡(luò)安全和設(shè)施專業(yè)人員在早期設(shè)計(jì)/施工前審查物聯(lián)網(wǎng)系統(tǒng)的咨詢���,并正式記錄所有審查意見(jiàn)。
采購(gòu)
闡明���、記錄和傳播建筑環(huán)境中物聯(lián)網(wǎng)設(shè)備和系統(tǒng)的所有者網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。建立物聯(lián)網(wǎng)的管理����、角色和責(zé)任,以及評(píng)估供應(yīng)商風(fēng)險(xiǎn)的標(biāo)準(zhǔn)����。
要求物聯(lián)網(wǎng)系統(tǒng)提供商提供網(wǎng)絡(luò)責(zé)任保險(xiǎn)。確定當(dāng)系統(tǒng)或設(shè)備被惡意團(tuán)體破壞時(shí)由誰(shuí)負(fù)責(zé)����。
要求設(shè)備軟件更新計(jì)劃(即“補(bǔ)丁計(jì)劃”)�����,并確定誰(shuí)將執(zhí)行其并為此付費(fèi)�����。
在采購(gòu)流程的早期整合網(wǎng)絡(luò)安全審查和IT主題專家��。
運(yùn)營(yíng)
建立針對(duì)網(wǎng)絡(luò)�、設(shè)備和數(shù)據(jù)的物聯(lián)網(wǎng)系統(tǒng)管理��。認(rèn)真考慮IT和設(shè)施之間物聯(lián)網(wǎng)系統(tǒng)管理的協(xié)作形式����,包括系統(tǒng)和網(wǎng)絡(luò)的期望和性能。
明確IT和設(shè)施專業(yè)人員在特定任務(wù)上協(xié)同工作的角色和職責(zé)����。知道誰(shuí)負(fù)責(zé)特定的系統(tǒng)和設(shè)備,并知道如何與該人聯(lián)系��。責(zé)任-解釋-咨詢-通知(RACI)圖表是用于在多個(gè)組織中建立角色和職責(zé)以及設(shè)定期望的工具的一個(gè)示例。
通過(guò)跨部門規(guī)劃會(huì)議�����、組織間聯(lián)絡(luò)和非正式活動(dòng)�,建立和維護(hù)IT與設(shè)施部門和人員之間的關(guān)系。這建立了信任����,并開(kāi)始融合和整合組織文化。
考慮開(kāi)發(fā)運(yùn)營(yíng)技術(shù)(OT)團(tuán)隊(duì)����,將傳統(tǒng)設(shè)施與IT專業(yè)人員和方法相結(jié)合。
對(duì)于大型業(yè)主組織��,更好地了解D&C����、采購(gòu)和運(yùn)營(yíng)期間出現(xiàn)的挑戰(zhàn)將降低近期和長(zhǎng)期智能建筑風(fēng)險(xiǎn)——即使考慮到實(shí)施這些新步驟的成本。雖然用于物聯(lián)網(wǎng)管理和安全的勞動(dòng)力和資源增加成本�,以及開(kāi)發(fā)新工作流程和破壞傳統(tǒng)工作流程的成本可能很高����,但這是必要的。在這個(gè)日益惡意的網(wǎng)絡(luò)世界中�����,與財(cái)務(wù)和聲譽(yù)考慮、品牌管理�����、運(yùn)營(yíng)績(jī)效和人身安全問(wèn)題的成本相比��,準(zhǔn)備和盡職調(diào)查的成本將顯得微不足道����。物聯(lián)網(wǎng)設(shè)備和系統(tǒng)提供了相當(dāng)大的潛在價(jià)值,但前提是它們帶來(lái)的風(fēng)險(xiǎn)經(jīng)過(guò)深思熟慮的規(guī)劃和管理��。
文章內(nèi)容僅供閱讀�����,不構(gòu)成投資建議����,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作��,風(fēng)險(xiǎn)自擔(dān)。
京公網(wǎng)安備 11010502041587號(hào)