近期,数据勒索黑客组织Lapsus$频繁针对大公司的网络攻击,其中就包括已证实的针对英伟达、三星、沃达丰(Vodafone)、知名游戏厂商育碧(Ubisoft)和在线商务平台Mercado Libre的网络攻击。Lapsus$不会在受害者的设备上安装勒索软件,但是他们通过破坏公司系统,窃取源代码、客户名单、数据库和其他有价值的数据。然后,他们试图以赎金勒索受害者,要求不公开泄露数据。
3月11日国家互联网应急中心发布:2月下旬以来,我国互联网持续遭受境外网络攻击,境外组织通过攻击控制我境内计算机,进而对相关国家及机构进行网络攻击。
建筑与基础设施行业是传统产业,信息安全意识一直不高,而中国相关企业尤甚:
1)大型建筑企业都有企业ERP系统,但很多企业的系统好似不设防一样,技术部为了图省事,用户名和初始密码设置逻辑非常简单,再加上很多员工嫌麻烦懒得更改密码,幕后黑手通过简单信息分析和少数几次尝试很快就能进入系统。前几年疯狂售卖人员信息的机构基本都在这么做,这些人员还没有很高深的技术,只是利用简单的漏洞就能得手。
2)BIM数据更密集,十多年的BIM推广,BIM数据安全问题可能偶尔会在高层管理者脑海中一闪而过,但从未真正的得到重视,也许以前一直处于发展初期,先乱而后致吧。但就笔者的实践观察,其中问题颇多:比如很多BIM建模咨询项目,甲方甚至都不会要求服务团队签署信息保密协议,很多项目BIM模型都成为公开的展示案例;再比如BIMer实际都是核心数据的生产或加工者,但BIMer并未得到企业真正的重视和关注,从而导致BIMer人员很高的流动性,从而造成隐形的数据外泄问题;还比如,关键建模软件及很多平台类工具软件,所有BIM数据都要通过这些软件,而大多数机构在软件采购及日常管控过程中却没有任何的政策及程序安排以确保数据不会被第三方软件企业所非法获取并使用。
建筑4.0正在以一种不可预测的方式改变行业格局。人工智能(Artificial Intelligence)和高级分析(Advanced Analytics)正在实现新效率并创造风险管理新途径。
信息物理系统应加强绿地和棕地项目互联建筑设施的交付与管理。数字安全是避免混乱和增强复原力的关键所在。多数分析员表示,建筑和基础设施(Construction &Infrastructure)行业将在2022年实现增长 。
建筑和基础设施将支持国家的增长计划,加大医疗、公共安全和其他公共基础设施的投资。由于疫情已经将该行业从传统遗留限制性IT转向数字加速计划,网络安全的立足点需要从基于外围演变为面向数据。在勒索软件战争时代,完整性和可用性作为高级分析和人工智能的本质属性应该予以留存。一流的运营商如果想要保持对竞争对手的创新投资优势,就必须保护其流程技术。由此而论,数据治理应该优先考虑分类和安全性。
数字身份
据Gartner称,“对关键基础设施领域组织的网络攻击急剧增加,从2013年的不到10次增加到2020年的近400次,增长达3,900%”。建筑和基础设施正面临诸多挑战?疫情危机、绿色革命和供应短缺,不一而足。为应对数不胜数的严峻挑战,建筑和基础设施应该转变其整体价值链。垂直整合需打破产业链层层障碍。应当部署数字身份和特权访问管理,以确保访问控制的同时整合供应商和承包商。
安全备份
采用建筑信息模型(Building Information Modeling)和数字孪生需要特别注意,确保数据的完整性和可用性。应当部署网络分段和日志监控,以最大限度减少网络攻击造成的业务影响。安全的备份环境,包括现场或基于云的备份,保障在必要时恢复数据,使生产和上市时间持续连贯。
信息物理系统(Cyber-Physical Systems)安全
那些以大量投资扩展其业务组合,提供特许经营、水和废弃物管理、能源系统和工厂、维护和资产管理解决方案的公司,正在尽其所能嵌入信息物理系统。这一发展将扩大网络威胁的暴露面。尽管“传统”的IT安全如今已很难维持,信息物理系统安全更是难以实现。针对运营技术(Operational Technology)环境中信息物理系统的网络攻击已经从干扰流程(如关闭水厂)演变为破坏工业环境的完整性。此等威胁场景可能会被更快的5G连接所放大。为了应对新的信息物理系统威胁情形,企业应以全局视野制定信息物理系统安全战略,将运营技术、物联网(IoT)、工业物联网(IIoT)和IT安全作为统筹协调工作的一环来管理。预计在未来五年内,网络攻击将不断增长,网络安全人才的短缺亦将加剧。
网络安全管理即服
务建筑和基础设施等众多行业将因此获得保护其运营的能力。网络安全治理需要多学科资源才能生效。网络安全的自给自足方法不再是一种选择,建筑和基础设施企业应采取多种投资模式,以确保达到适当的网络安全成熟度。
信息安全管理的四个领域将被重点关注
风险评估和业务影响分析、漏洞评估工具和红队、安全意识和培训以及安全事故及事件管理。建筑和基础设施行业应将网络安全融入其良好企业治理战略,以便支持在利益相关者和投资者之间建立信任。
- BIM学习群
- 微信扫一扫
-
- 微信公众号
- 微信扫一扫
-
