未来,智慧城市将为企业提供前所未有的经济机遇。实际上,当今城市向智慧城市的转变将是两项主要技术的融合,物联网(IoT)和将所有这些节点连接在一起,并实现实时通信的网络。2020年,有超过500亿台联网设备,这改变了我们的生活和工作方式。
智慧城市的脆弱性
基于物联网(IoT)的智能设备,作为有效将城市转变为智慧城市的推动者。这些广泛应用于交通和监控摄像头、仪表、路灯、交通信号灯、智能管道和传感器,易于实施。
每一项新技术和创新都会带来新的风险和漏洞。这些漏洞将影响城市管理、居民、企业和其他在那里开展业务的企业。
随着物联网技术的实施,城市变得更加智能,请考虑如果一项或多项技术依赖的服务无法运行会发生什么。
- 如果交通控制系统不起作用、没有路灯、没有公共交通,通勤会是什么样子?
- 市民将如何应对电力或水供应不足,或黑暗的街道和没有摄像头的情况?
- 如果夏天垃圾收集中断,街道上弥漫着垃圾味怎么办?
任何人都猜测,这可能会在任何一个城市造成很多混乱和不便,很快这些问题就会引起人们的关注。
不过,物联网(IoT)很容易实现。同时,由于缺乏严格的安全协议和不安全的加密机制,它们更容易被黑客攻击。这是一个值得关注的主要问题,因为智慧城市正在以非常快的速度实施物联网技术,而没有测试它们的网络威胁及其漏洞。
在智慧城市中,很少有非常可怕的网络威胁会出现前所未有的攻击面,因为互联物联网设备的数量将大幅增加。
智能物联网设备由于存在众多漏洞,为网络攻击创造了巨大的潜力,使未来的智慧城市比今天的电脑和智能手机更容易受到攻击。居住在这样一个城市的人们,当他们成为“网络主人/罪犯勒索赎金”的奴隶时,可能会面临恐慌发作。这种情况可能并不像你想象的那样不可能发生。
在实施万无一失的网络安全方面的空白可能随时触发,造成毁灭性的影响。在智慧城市中,很少有可能引发网络攻击的漏洞如下:
- 物联网和传感器技术(系统、设备等)无需任何安全测试即可部署。
- 易用性和快速部署与漏洞困扰的安全性(供应商对安全性一无所知)。
- 网络中几乎每个组件都是无线的,很容易被黑客攻击。
- 自定义协议和加密相关问题(即使在射频收发器芯片中)。
- 安全事件协调沟通不力,缺乏计算机安全应急响应组(cert)。
- 智慧城市中的物联网设备为黑客提供了巨大且未知的攻击面。
- 复杂性、相互依赖性、连锁反应、补丁部署和系统更新。
- 如何保持补丁更新:如果没有针对某个漏洞的补丁,请停止该服务,供应商的补丁延迟和补丁难以应用传统系统(易受攻击)与新系统通信。
- 作为智慧城市网络一部分部署的不同设备之间缺乏协议标准化。
- 不安全的传统系统:新旧技术之间的集成和互操作性可能会导致漏洞。一些缺乏标准的旧技术需要中间技术来在新旧系统之间,进行通信并转换协议。
对智慧城市的网络攻击
简单的漏洞如果不解决就会导致大问题并产生巨大影响,无论是水坝还是电网、金融机构、供水系统还是在线网络,所有这些基础设施都将面临风险,并将受到前所未有的威胁,我们需要采取更多措施来保护这些关键基础设施。
智慧城市使用的技术将构成重大网络安全威胁,并为多种可能的网络攻击打开大门。每一项新的城市技术或系统都为网络攻击者创造了新的机会。共同构成智慧城市复杂攻击面的一些关键技术和系统包括:
交通控制系统:交通控制系统很容易被黑客攻击,因为所使用的一些物联网和传感器设备在交通控制系统与交通灯、交通控制器等之间没有任何加密通信,从而允许攻击者侵入并改变交通灯。
监控摄像头:交通和监控摄像头是城市的眼睛,攻击者通过DoS攻击可以让城市“失明”。
智能街道照明系统:无线街道照明系统正在世界各地的许多城市部署。大多数系统使用无线通信,并且几乎没有任何强加密。对智能街道照明系统的攻击并不复杂,可能会造成大面积街道停电,从而产生巨大影响。
城市管理系统:每个城市都有数百个系统来管理不同的服务和任务。入侵这些系统将为攻击者提供多种造成伤害的选择。正如简单的软件错误可能会造成重大危害一样,操纵简单的信息也可能产生看似过大的安全效应。
城市云基础设施:城市服务器和云基础设施容易遭受常见的分布式拒绝服务(DDoS)攻击。服务器和云基础设施是网络犯罪分子或网络恐怖分子的廉价目标。
智能电网和水网:对智能电网和水的攻击可能是毁灭性的,造成数百万美元的损失,甚至人员伤亡。
公共交通:仅通过操纵公共交通信息系统来显示不正确的信息,就有可能影响人们的行为,导致延误、过度拥挤等。
基于位置的服务:由于许多服务都是基于位置的,这意味着GPS欺骗和其他攻击是可能的。人们获得实时位置信息,如果位置错误,那么人们就会根据不正确的信息做出决策。影响的性质取决于一个城市对受影响服务的依赖程度。
确保智慧城市安全
智慧城市的一些漏洞应该从设计阶段本身就纳入安全性来填补,同时制定政策和程序、风险框架和架构,让利益相关者承担责任。它应遵循整体方法,并具有确保智慧城市安全的关键指标:
- 了解法律、监管和合规框架
- 未经漏洞评估和渗透测试,不应实施任何网络/系统和物联网设备。
- 一旦发现网络安全问题,立即修复。如果问题不尽快解决,一座城市可能会持续受到攻击。
- 能力建设:制定标准、人力;开展专业认证和机构认证。
- 国家内部、机构内部、公私伙伴关系和国际参与者之间的合作。
- 创建城市CERT,可以处理事件、漏洞报告和修补、协调、信息共享等。