智慧城市计划的好处包括解决城市地区的人口增长问题、减少资源枯竭、节省成本、减少气候变化、为公民和组织提供更准确的服务以及更高效的交通等等,所有这些都远远超过了互联城市的弊端或风险。
但是,必须从根本上考虑保护关键基础设施、应用、身份和敏感数据。尽管智慧城市应用可能是新的,但网络风险不大。但是,在我们深入研究部署完全智慧城市的潜在风险和解决方案之前,重要的是认识到物联网在智慧城市中的作用。
了解智慧城市中的物联网
连接的传感器可以进行数据收集以及对设备(例如需要更换的路灯灯泡)进行集中监视和管理,或者在对特定位置进行抢劫调查期间从附近的商店收集视频监控摄像机录像。
每个部署的设备都包含许多传感器。每个传感器可以在特定的系统中运行,或者与部署在同一物理设备上的所有传感器共享网络上的系统和资源。这种具有网络功能的传感器具有与环境互动、收集数据,与其他传感器跟踪人员共享更新和更改以及检测或警告该区域活动的能力(例如:自动驾驶汽车)。
尽管这项技术可能会带来令人难以置信的好处,例如在启用诸如自动驾驶汽车之类的先进技术或协助监视摄像机镜头上的嫌疑人识别的情况下,但依赖于该技术的整个城市都存在固有的风险。
有什么风险?
维护收集到的数据的机密至关重要,例如个人信息、监控录像、医疗细节、车辆路线和财务信息。一个传感器中的一个安全漏洞可能导致所有传感器以及设备或传感器所驻留的整个网段上的数据受到损害。
IoT漏洞的一个主要例子是Mirai僵尸网络,它是迄今为止最大的IoT僵尸网络之一,通过分布式拒绝服务(DDOS)攻击,危害全球超过500000 IoT设备。
与当今的硬件和软件应用程序相比,世界各地的城市都在购买和部署类似的物联网技术。在一个城市中发现的漏洞很可能在其他许多城市中出现,从而增加了遭受全球攻击的可能性。
仅仅因为存在这些风险,并不意味着它们是不可避免的。但是,在了解这些漏洞之后,城市可以努力解决这些漏洞,避免其变成正在的问题。
该怎么办?
目前,我们正在创建或调整传感器以满足智慧城市的需求,因此,在将其部署到设备中之前,可以采取一些网络安全措施来保护传感器和数据的安全:
定义安全要求:这必须是市政当局、安全供应商、传感器制造商、行业专家和标准组织之间的协作。包括美国国家标准技术研究院(NIST)、国土安全部、IEEE智能城市委员会和IoT安全基金会在内的标准组织正在努力制定智慧城市的IoT准则。
软件安全性:传感器上运行的应用程序必须包括安全编码,并经常测试漏洞和缺陷。
实体管理:联网的汽车、个人应用和IoT设备分别代表一个人或一个实体。确保应用或传感器的安全开发以及监视其活动对于保护个人及其数据的隐私是必要的。
数据分析:建设智慧城市的主要动力是为公民提供更好的服务。可以通过数据集的关联以及实时连续收集和更新数据来改善运输、警务、基础设施和医疗保健等服务。
符合规定
收集具有不同敏感度的多组数据进行集中和分析,也为不法分子提供了可乘之机。
想象一下,目标数据是一个城市中所有公民的个人健康信息,这些信息是从医院设备、成像系统、诊所和测试实验室收集的。也许这是接受癌症治疗的一部分公民。或者,也许数据与未成年人有关。如果遭到破坏,则可以利用此数据进行勒索、患者身份盗用、医疗保健欺诈、治疗延误、误诊或任何其他恶意意图。
从隐私合规性的角度来看,当今的法规适用于智慧城市收集的个人信息,其中包括对不合规组织的罚款和违法行为。
未来可能会看到对现有法律的修订,或专门针对智能城市的定制法规的创建。同时,避免合规性问题的一些优秀做法包括:
- 实施数据治理框架以立即进行分类(基于敏感度和合规性控制)并保护敏感数据,这将应用相关策略来降低数据被盗/破坏的风险。通过预先进行数据分类,可以减少数据的误用、错放和不合规的可能性。
- 将安全控制应用于敏感数据,例如加密或假名化,以在整个生命周期内保护数据。
- 定义并实施策略或标准,以管理设备收集、存储和使用敏感数据。
- 制定事件或危机管理计划,并定期对其进行测试。
智慧城市代表着未来,但在这之前应首先考虑确保公民安全,数据和服务访问的安全,而不是事后才考虑。值得庆幸的是,城市可以采取一些特定步骤来确保所实施的技术符合一组严格的安全标准。