如何减轻商业房地产中的物联网网络安全风险

从我们的家到我们的工作场所，智能技术的部署正变得越来越普遍。 《华尔街日报》指出，智能建筑相关公司在 2021 年筹集了 28.8 亿美元的风险投资。在之前的帖子中，我们已经讨论了智能技术在商业房地产中的更多使用，以及进行彻底和严格的研究和评估的重要性过程，以及智能技术合同中要考虑的各种因素。这些评估和合同流程对于开发智能技术供应商必须遵守的安全护栏至关重要。对智能家居技术采取严格的、以安全为中心的方法可以帮助保护房地产公司免受灾难性公关和财务后果的影响，例如 2016 年针对不安全物联网 (IoT) 设备的 Mirai 恶意软件攻击等安全事件。数据泄露事件的平均成本每年都在增加，到 2021 年，数据泄露事件的平均成本为 424 万美元。公司比以往任何时候都更需要意识到这些技术的网络安全风险，而且必须采取必要的措施来解决它们的漏洞。

脆弱性增加

随着物联网连接的增加，网络安全风险呈指数级增长。每一个增加建筑物便利性的智能项目——例如识别员工面部并为他们招呼电梯的摄像头、空气质量监测器、扬声器、门和安全系统——都代表了建筑物网络安全环境中的安全漏洞点。每个连接点都是黑客可以攻击的目标。请记住，黑客只需要一个入口点：黑客通过瞄准Target 的 HVAC 承包商，从 Target 窃取了 4000 万个信用卡和借记卡号码，这是美国历史上已知最大的企业违规事件之一。

灵敏度提高

智能技术的增加带来了独特的隐私和安全问题。正在收集哪些数据，收集了多少数据，收集了多长时间?智能技术解决方案是否收集个人联系信息，解决方案是否与第三方共享该数据?带有摄像头的设备是否会收集、存储和共享图像?如果是这样，记录的图像将存储多长时间，存储在哪里?员工可以访问这些数据吗?公司将如何处理儿童图像或其他敏感记录?如果涉及语音识别，设备是否“一直在聆听”以及存储和共享对话?个人越来越意识到隐私的减少;但是，消费者和员工仍然希望在家中和办公室享有隐私。公司必须知道正在收集哪些数据并制定内部控制措施来管理数据，同时还要求供应商遵守严格的隐私标准。

公司还必须确保他们收集需要收集的数据。很多时候，一家公司对数据收集的态度可以总结如下：现在全部收集，以后再考虑如何处理。这种方法是错误的。一方面，对数据的分析可能会产生有关用户行为的重要见解。另一方面，收集的数据也必须按照合规的隐私政策进行保护和处理。收集“太多”数据可能意味着公司忽略了它正在收集的一切。当公司不知道自己拥有什么时，他们就不知道需要保护什么。而被忽视、被遗忘的数据通常受到的保护较少。当黑客发动攻击，消费者受到伤害时，“我们不知道我们有过这种情况”不是立法者、最终用户或监管机构会接受的答案。

合规性

所有收集个人身份信息的公司都必须遵守有关数据隐私的州、联邦和国际法律。由于这些法律处于不断变化的状态，这一监管框架变得更具挑战性。在美国，各州越来越多地通过数据隐私法，这些法既创造了消费者权利，又对企业提出了安全和评估要求。受监管行业(如金融服务)的公司必须应对更高的安全协议要求和额外的数据隐私法。法规可能会让公司有责任保护自己免受违规行为，无论是否是意外。公司应确保与供应商签订的合同要求供应商解决安全问题，作为保护企业及其最终用户的整体方法的一部分。

建议

这一系列漏洞、敏感性和责任似乎令人生畏，但业主可以通过合同中强大的安全条款和完善内部运营协议来大大降低风险。

合同：在将智能技术和服务外包给第三方的情况下，合同应说明供应商将如何保护收集、处理、存储和共享的任何数据。合同还应将数据的收集、处理、存储和共享限制在必要的范围内。确保合同为任何潜在的安全漏洞分配风险。合同还应概述供应商在发生数据安全事件后必须采取的措施。考虑包括审计权，以便在任何事件之前和之后对供应商的系统进行审查。合同承诺可能意味着供应商在由于其技术、服务或安全协议的缺陷而导致数据泄露的情况下要承担责任。

运营：除了合同预防措施外，公司还可以实施运营变更，以更好地保护自己免受任何潜在的数据安全事件的影响。公司应限制处理敏感信息的设备，并限制每种连接技术对严格必要信息的访问。处理敏感信息的设备也应移动或隔离到具有增强安全控制的单独网络。使用多因素身份验证保护对敏感系统和应用程序的访问，并限制那些具有高特权的访问。公司应该重新审视和更新他们现有的任何安全协议。考虑雇用具有数据安全专业知识的人员，并对员工进行协议培训，并确保他们了解政策。实施这些运营组件可以补充合同中的风险缓解条款。

智能建筑和住宅将继续占据我们的天际线，因为虽然智能技术带来了更高的信息安全风险，但它们也带来了运营效率和个人便利，租赁持有者和居住者一旦获得就不愿放弃。实施和利用这些创新技术和服务需要谨慎的策略来降低这些安全风险。最终，智能技术将继续存在，那些现在采取必要措施的人将在未来几年中获益。