但是，大多數(shù)商業(yè)建筑中的數(shù)千個物聯(lián)網(wǎng)端點也造成了網(wǎng)絡安全鏈中的薄弱環(huán)節(jié)。有很多通過這些薄弱環(huán)節(jié)進行黑客攻擊的例子，大多數(shù)專家都認為，在改進之前，它們可能會變得更糟。

　　企業(yè)在遷移到云時花費大量資金來保護他們的網(wǎng)絡。Bloomberg Intelligence 的一份報告估計，到 2024 年，網(wǎng)絡安全支出每年將超過 2000 億美元。然而，即使在網(wǎng)絡安全上花費了這么多錢，許多企業(yè)用戶仍讓他們的網(wǎng)絡容易受到數(shù)十萬個未受保護的物聯(lián)網(wǎng)端點的攻擊。

　　對于物聯(lián)網(wǎng)設備，安全性并不是大多數(shù)人的首要任務。根據(jù) Stringify 首席技術官 Dave Evans的說法，最大的挑戰(zhàn)是大多數(shù)設備沒有太多的內(nèi)置安全性，這令人不安，因為每秒有 127 臺新的物聯(lián)網(wǎng)設備連接到網(wǎng)絡。專家預測，到 2025 年，全球?qū)⒂?750 億臺聯(lián)網(wǎng)的物聯(lián)網(wǎng)設備。與筆記本電腦和其他種類的消費電子硬件不同，這些設備中的許多設備背后都沒有提供定期安全更新的大公司(如微軟和蘋果)。較小的公司使用更少的資源和通常較弱的安全協(xié)議來構建傳感器，這對物業(yè)經(jīng)理構成了越來越大的威脅。

　　更糟糕的是，一些建筑經(jīng)理并沒有完全看到所有這些物聯(lián)網(wǎng)端點。根據(jù) IoT For All 的一份報告，一般高管認為物聯(lián)網(wǎng)設備僅占其網(wǎng)絡的 1%，而事實上，這些設備約占所有端點的 43% 。而我們只是在物聯(lián)網(wǎng)硬件爆炸式增長的開始。筆記本電腦的年復合增長率約為 0.3%，而物聯(lián)網(wǎng)的年增長率接近 36%。如果建筑物對其網(wǎng)絡一無所知會對其造成巨大傷害，而且物聯(lián)網(wǎng)連接還有很多未知數(shù)。忽略企業(yè)辦公室中種類繁多的物聯(lián)網(wǎng)設備太正常了，因此給了黑客絕佳的機會。

　　已知的未知數(shù)

　　卡內(nèi)基梅隆大學計算機科學系教授 Jason Hong 說：“它的工作方式通常是災難首先發(fā)生?！?nbsp;“我們將看到更多的物聯(lián)網(wǎng)攻擊，可能還有一些真正的噩夢場景?！北M管經(jīng)常有更多的網(wǎng)絡攝像頭和較小的設備遭到破壞，但全球許多主要科技制造商仍然優(yōu)先考慮適銷性和易用性，而不是安全性。

　　以美國為例，物聯(lián)網(wǎng)安全最近最重要的動作是特朗普政府在 2020 年通過了兩黨的物聯(lián)網(wǎng)網(wǎng)絡安全改進法案。法律沒有具體規(guī)定要求，但指示美國國家標準與技術研究院 (NIST) 這樣做。從技術上講，該法律僅涵蓋使用美國政府資金購買的物聯(lián)網(wǎng)設備，但私營企業(yè)可能必須遵守該標準。該法律要求至少每五年更新一次標準和政策，但專家強調(diào)這可能只會影響新的物聯(lián)網(wǎng)購買。這將使現(xiàn)有設備暴露在外。不管怎樣，很多人認為這是一個好的開始?！敖裉斓奈锫?lián)網(wǎng)是一個狂野的西部，沒有人關心，”汽車零部件制造商耐世特汽車公司的首席信息安全官 Arun DeSouza對媒體表示。“沒有人考慮過。因此，無論 NIST 推薦什么，都將是一個很大的改進。”

　　識別網(wǎng)絡端點對于希望加強物聯(lián)網(wǎng)安全的企業(yè)來說至關重要，但這并不像聽起來那么容易。如果允許員工訪問網(wǎng)絡，那么商業(yè)建筑中的連接設備可能會比占用它的人多。IT 團隊通常知道設備存在，但對其內(nèi)容知之甚少。即使他們在網(wǎng)絡上看到該設備，他們也可能不知道它在建筑物中的什么位置?？偟膩碚f，計算機科學教授 Hong 表示，很難管理和跟蹤所有聯(lián)網(wǎng)設備。

　　大多數(shù)這些被遺忘的設備的安全性都非常薄弱。許多設備使用默認密碼安裝，并且與大多數(shù)軟件不同，它們沒有定期自動更新和補丁。一些建筑物和企業(yè)住戶有專門的 IT 人員來檢查物聯(lián)網(wǎng)網(wǎng)絡安全，但不是全部。

　　管理、監(jiān)控和保護

　　各種報告表明，物聯(lián)網(wǎng)設備具有易受攻擊的固件。許多設備在更新方面落后了五到七年，這使得它們很容易成為目標。專家估計，多達一半的物聯(lián)網(wǎng)設備具有默認憑據(jù)，因此無需天才黑客即可猜測憑據(jù)并滲透到網(wǎng)絡中。這些設備的定期修補、固件更新和憑證更改對于企業(yè)網(wǎng)絡安全至關重要，但有多少公司這樣做是有爭議的。

　　去年，一項對超過 100 萬臺客戶物聯(lián)網(wǎng)設備的評估顯示，26% 的設備已“報廢”，這意味著它們不再受支持。評估顯示，18% 的設備存在嚴重漏洞，允許黑客在不使用憑據(jù)的情況下完全控制。

　　在大多數(shù)建筑物中，應將此類設備從網(wǎng)絡中移除，或者至少將其分段到它們自己的網(wǎng)絡中。分段曾經(jīng)是物聯(lián)網(wǎng)設備安全的最佳方法，但專家表示它不再是可用的最佳措施。通過分段，設備被隔離在單獨的網(wǎng)絡上，使不安全的設備遠離任何更重要的設備。分段可以提供幫助，但這不是永久的解決方案。如果黑客使用不同類型的進入技術，不安全的設備即使被分割，仍然構成威脅。

　　這就是為什么當今最好的網(wǎng)絡安全實踐是為設備提前預防漏洞，這樣可確保物聯(lián)網(wǎng)設備的補丁和固件是最新的，定期檢查憑證并保持最新安全數(shù)據(jù)庫。自動化使許多物業(yè)管理 IT 團隊能夠控制和保護其網(wǎng)絡上的物聯(lián)網(wǎng)。盡管如此，即使實現(xiàn)了自動化，也需要制定管理、監(jiān)控和保護物聯(lián)網(wǎng)生態(tài)系統(tǒng)免受威脅的計劃。

　　案例

　　采取這些措施來確保物聯(lián)網(wǎng)安全是明智的，因為違規(guī)可能會產(chǎn)生重大的負面影響。有時違規(guī)是通過 HVAC 控制發(fā)生的，但最臭名昭著的案例是一家賭場的魚缸被黑客入侵。安裝在賭場大廳的高科技魚缸具有物聯(lián)網(wǎng)連接，可以遠程監(jiān)控溫度和鹽度等。賭場將浴缸配置為使用單獨的 VPN 來隔離連接，但該設備偶爾會與建筑物中的其他連接設備進行通信。

　　賭場的威脅系統(tǒng)注意到魚缸設備正在導出大量數(shù)據(jù)，但為時已晚。到物業(yè)管理部門發(fā)現(xiàn)黑客攻擊時，設備已經(jīng)向芬蘭發(fā)送了大約 10 GB 的數(shù)據(jù)，這是泄露的一個例子。魚缸黑客事件在網(wǎng)絡安全界堪稱傳奇，我為這個故事采訪過的所有消息來源都提到了它。這是物聯(lián)網(wǎng)設備易受攻擊的一個明顯例子。

　　無論您怎么看，網(wǎng)絡安全都是企業(yè)租戶和物業(yè)經(jīng)理日益關注的問題，并且最近獲得了更多關注，這是理所當然的。多年來，網(wǎng)絡安全對話在媒體中變得越來越普遍，甚至小型企業(yè)也在加強安全性。但是對于物聯(lián)網(wǎng)，我們?nèi)匀恢饕窃谧汾s。前幾代物聯(lián)網(wǎng)設備并未將安全放在首位，因為一些小公司急于將產(chǎn)品推向市場。

　　物聯(lián)網(wǎng)行業(yè)正在逐漸將重點轉(zhuǎn)移到更好的安全性上，而且還不能很快到來。美國政府的新物聯(lián)網(wǎng)網(wǎng)絡安全法應該會有所幫助。如果賭場魚缸系統(tǒng)可能被黑客入侵，那么商業(yè)建筑中幾乎任何東西都容易受到攻擊。物聯(lián)網(wǎng)設備為物業(yè)經(jīng)理創(chuàng)造了奇跡，使他們能夠使用智能建筑技術來極大地改善他們的資產(chǎn)。但是，如果這些設備不安全并且仍然容易受到黑客攻擊，那么該技術可能會以驚人的方式適得其反。物聯(lián)網(wǎng)是迄今為止商業(yè)建筑安全中最薄弱的環(huán)節(jié)，比以往任何時候都需要更多的關注。