云的阴暗面——能源效率计划如何使物联网更安全

首先，我要承认网络安全不容易谈论(或写)。互联技术之所以具有大众吸引力，很大程度上是因为它易于使用。网络安全使事情变得复杂。一个特性，比如2足总这种做法会影响用户体验，但考虑到数十亿用户名和密码已被泄露，这种做法至关重要。所以昨天是谈论网络安全的最佳时机。2017年，我们估计地球上有大约27B台连接设备。我们预计到2030年，设备数量将增加100倍左右[1]．帕洛阿尔托网络公司最近发现:“所有物联网设备流量中有98%是未加密的，暴露了网络上的个人和机密数据。”[２]正是这些物联网设备实现了思想领袖在全球大型会议上设想的未来电网。

的主要趋势之一4.0行业是信息技术/操作技术的融合——简单地创建和连接物理/网络系统。例如，一个支持互联网的照明系统是一个提供照明的物理建筑系统(OT)，还是一个使用不同传感器网络来报告非照明变量(it)的云支持分析平台?答案:两者都有!IT/OT融合背后的驱动力是数字化，以及通过利用数字技术创造价值来寻求新的收入来源。数字化正在重塑地球上每个行业的竞争格局和成本结构，包括公用事业部门。

C&I客户出于竞争原因正在进行数字化，而公用事业经理将明智地利用这些市场力量，创建帮助他们的建筑库存完全与电网集成的程序。网格集成建筑有助于公用事业优化运营，并为扩大可再生能源供应提供灵活性。以一种不让C&I客户暴露于巨大漏洞的方式获取电网集成价值是构建真正智能电网的下一个障碍。如上所述，我们的连接技术的当前状态缺乏基本的保护，如AES 128加密。让我们探讨商业智能建筑的一个可能的噩梦场景，然后讨论一些程序可以采取的简单步骤，以开始减轻这些风险。

攻城器-当罪犯把你锁在你的建筑外面

在企业层面，企业正在放弃遗留的专有系统，转而采用边缘和云架构。在设施层面，建筑物通常有各种已安装的传统自动化系统和应用程序，它们运行在封闭的网络和专有协议上。C&I建筑的应用空间复杂;BAS, EMS，照明控制，视频监控，电梯控制系统等-每个系统以及单个组件都有其独特的风险。设施现代化意味着将遗留系统的已知风险叠加在与无处不在的连接和物联网系统远程控制相关的新风险之上，这使得保护这些网络的艰巨工作更加困难。攻城软件是指犯罪分子利用这些漏洞来控制基本的建筑系统，如暖通空调或照明系统，将建筑物的主人锁在系统之外，直到他们支付赎金。2019年2月，网络安全专家斯蒂芬·科布(Stephan Cobb)发现全球有3.5万个BAS系统连接到公共互联网，并估计其中3万个系统位于美国[3]．许多这样的系统依赖于默认用户名和密码。

在这里是现实世界围城软件攻击的一个例子，由IMB的道德黑客团队，即X-Force实施。他们通过一个不安全的BAS系统进入系统，并“发现了BAS体系结构中的几个值得关注的领域，这些领域可能允许恶意攻击者不仅控制单个建筑系统，还可以访问由系统操作员操作的中央服务器，这可能会将控制扩展到其他几个地理上分散的建筑物。[4]”。虽然公用事业项目可能永远无法完全防止网络犯罪，但在推广互联网技术时，它可以开始采取一些常识性步骤来主动保护客户。

项目促进网络安全的三种方式

1. 教育你的贸易盟友和客户改善网络安全的第一步只是说说而已。许多组织承认使用电力或天然气工作的内在危险，因此每次会议都以安全信息开始。在启动活动中预留时间，或在技术培训中谈论网络安全是推广最佳实践(如分离企业和设施网络)的一种免费方式。对于积极创建集成EE/DR计划的公用事业公司，我建议将培训提升到一个新的水平，并主动与大客户接触网络安全的重要性。例如，今年早些时候，我为一家三大汽车制造商的工程团队主持了一次网络研讨会，在那里我提供了选择网络安全无线照明系统的最佳实践。
2. 修改现有程序设计:许多现有的程序设计自然可以进行修改，以增强网络安全。例如，大多数新建筑项目需要一个设计研讨会——一个集中于解决特定设计问题的利益相关者的密集研讨会。程序规格可以修改，以将业主的IT团队集成到Charrette。物联网设备需要网络和互联网连接，因此需要将软件和硬件专业人员整合到更大的设计团队中。所有物联网设备都需要一个本地网络来移动数据进出设备，一些设备还需要一个网关来实现互联网连接。系统架构师应该被纳入Charrette，以制定基本的组织结构，并设置系统的管理规则，将网络安全纳入建筑物的施工文件。
3. 与技术工作组协调当前位置许多聪明人正在努力使联网设备更加安全。例如，我是ANSI C137小组委员会的成员，负责制定网络照明控制的网络安全标准。公用事业项目经理还应该考虑加入由DOE等组织主办的技术工作组。这些小组提供了对技术问题的洞察，以及让设备更安全的消费者采用挑战。项目经理可以利用这些见解来修改现有的合格产品清单(QPL)，以确保激励设备满足公用事业定义的网络安全水平。例如，我以前曾帮助一家大型公用事业公司设计了一个自动需求响应试点，该试点直接安装了商用智能恒温器。在选择供应商时，我们考虑了一些变量，如网关是否可以位于客户的防火墙之外、设备的通信协议及其数据加密级别。然后，我们的团队将这项技术尽职调查推广给客户，以帮助扩大注册规模。

总之，互联网设备的增值使它们对C&I消费者和为这些设备供电的公用事业公司都有吸引力。虽然将互联技术的积极方面社会化很重要，但我们不能忽视这些设备带来的风险。网络安全带来了许多挑战，没有灵丹妙药可以解决这些挑战。为了实现工业4.0的承诺，我们将需要多种解决方案，包括教育最终用户、交叉培训IT和设计构建专业人员、主流化加密等简单解决方案，并通过标准流程与设备制造商合作，以整合硬件可信平台模块连接设备。

[1]https://www.martechadvisor.com/articles/iot/by - 2030 -每个人将自己的希烈- 15 -连接-设备- - -这意味着什么-你-业务-和- content/ #: ~:文本= 200亿年% 202017% 2 c % 2027% % 20设备% 20% 24561% 200亿202022年% % 20。

[２]https://threatpost.com/half-iot-devices-vulnerable-severe-attacks/153609/

[3]https://www.welivesecurity.com/2019/02/20/siegeware-when-criminals-take-over-your-smart-building/

[4]https://regmedia.co.uk/2016/02/10/567584334543.pdf