從我們的家到我們的工作場所,智能技術(shù)的部署正變得越來越普遍?���!度A爾街日報》指出,美國與智能建筑相關(guān)的公司在 2021 年籌集了 28.8 億美元的風(fēng)險投資���。在之前的文章中,我們已經(jīng)討論了智能技術(shù)在商業(yè)地產(chǎn)中越來越多的使用����,徹底和嚴(yán)格的研究和評估過程的重要性��,以及智能技術(shù)合同中需要考慮的各種因素�。
這些評估和合同流程對于制定智能技術(shù)供應(yīng)商必須遵守的安全保障至關(guān)重要���。對智能家居技術(shù)采取嚴(yán)格的�、以安全為中心的方法���,可以幫助房地產(chǎn)公司免受安全事件帶來的災(zāi)難性公關(guān)和財務(wù)影響��,比如2016年針對不安全的物聯(lián)網(wǎng)設(shè)備的Mirai惡意軟件攻擊���。
數(shù)據(jù)泄露事件的平均成本每年都在增加,2021年����,一次數(shù)據(jù)泄露事件的平均成本為424萬美元。與以往任何時候相比����,企業(yè)不僅必須意識到這些技術(shù)的網(wǎng)絡(luò)安全風(fēng)險,還必須采取必要措施來解決它們的漏洞����。
更加脆弱
隨著物聯(lián)網(wǎng)連接的增加�,網(wǎng)絡(luò)安全風(fēng)險呈指數(shù)級增長�����。每一個增加建筑物便利性的智能項目——例如識別員工面部并為他們招呼電梯的攝像頭��、空氣質(zhì)量監(jiān)測器���、揚聲器、門和安全系統(tǒng)——都代表了建筑物網(wǎng)絡(luò)安全環(huán)境中的安全漏洞點�。每個連接點都是黑客可以攻擊的目標(biāo)。請記住����,黑客只需要一個入口點:黑客通過瞄準(zhǔn) Target 的 HVAC 承包商,從 Target 竊取了 4000 萬個信用卡和借記卡號碼�����,這是美國歷史上已知最大的企業(yè)違規(guī)事件之一�。
更加敏感
智能技術(shù)的發(fā)展帶來了獨特的隱私和安全問題。收集什么數(shù)據(jù)���、收集多少數(shù)據(jù)�、收集多長時間?智能技術(shù)解決方案是否收集個人聯(lián)系信息,是否與第三方共享這些數(shù)據(jù)?帶有攝像頭的設(shè)備是否會收集�、存儲和共享圖像?如果是的話,記錄的圖像將存儲多久��,存儲在哪里?員工可以訪問這些數(shù)據(jù)嗎?企業(yè)將如何處理兒童圖像或其他敏感記錄?如果涉及語音識別���,設(shè)備是否“總是在聽”���、存儲和共享對話?人們越來越意識到他們的隱私正在減少;然而,消費者和員工仍然對他們在家里和辦公室的隱私抱有期望�。企業(yè)必須知道正在收集哪些數(shù)據(jù),并制定內(nèi)部控制來管理這些數(shù)據(jù)����,同時要求供應(yīng)商遵守嚴(yán)格的隱私標(biāo)準(zhǔn)。
此外����,企業(yè)還必須確保他們收集了需要收集的數(shù)據(jù)。通常情況下��,企業(yè)對數(shù)據(jù)收集的態(tài)度可以總結(jié)為:現(xiàn)在收集所有數(shù)據(jù)���,然后再考慮如何處理這些數(shù)據(jù)�����。這種方法是錯誤的�����。一方面�����,對數(shù)據(jù)的分析可能會對用戶行為產(chǎn)生重要的見解��。另一方面�,所收集的數(shù)據(jù)也必須根據(jù)兼容的隱私策略進行保護和處理����。收集“太多”數(shù)據(jù)可能意味著一個企業(yè)會忽視它正在收集的一切。當(dāng)企業(yè)不知道他們擁有什么��,他們就不知道什么需要保護���。而那些被忽視�、被遺忘的數(shù)據(jù)往往缺乏保護。當(dāng)黑客攻擊��、消費者受到傷害時��,“我們不知道我們有這個”不是立法者�����、最終用戶或監(jiān)管機構(gòu)會接受的回答�。
合規(guī)性
所有收集個人身份信息的企業(yè)都必須遵守有關(guān)數(shù)據(jù)隱私的國家和國際法律。由于這些法律處于不斷變化的狀態(tài)��,這一監(jiān)管框架變得更具挑戰(zhàn)性����。例如,在美國���,越來越多的州通過了數(shù)據(jù)隱私法��,這些法律既賦予消費者權(quán)利��,又對企業(yè)實施安全和評估要求��。受監(jiān)管行業(yè)(如金融服務(wù))的公司必須應(yīng)對更高的安全協(xié)議要求和額外的數(shù)據(jù)隱私法律����。監(jiān)管規(guī)定可能會讓公司承擔(dān)保護自己免受違約的責(zé)任,無論是意外還是非意外�����。企業(yè)應(yīng)該確保與供應(yīng)商的合同要求供應(yīng)商解決安全問題�,作為保護企業(yè)及其最終用戶的整體方法的一部分。
建議
這些漏洞�、敏感性和責(zé)任似乎令人生畏,但通過在合同中提供健壯的安全條款和完善內(nèi)部操作協(xié)議�����,產(chǎn)權(quán)所有者可以大大降低風(fēng)險�����。
合同方面:在智能技術(shù)和服務(wù)外包給第三方的情況下�����,合同應(yīng)考慮供應(yīng)商將如何保護收集���、處理��、存儲和共享的任何數(shù)據(jù)��。合同還應(yīng)該將數(shù)據(jù)的收集�����、處理����、存儲和共享限制在必要的范圍內(nèi)�。確保合同分配了任何潛在安全漏洞的風(fēng)險。合同還應(yīng)概述供應(yīng)商在發(fā)生數(shù)據(jù)安全事件后必須采取的措施�����?��?紤]包括在任何事件發(fā)生之前和之后對供應(yīng)商系統(tǒng)進行審查的審核權(quán)��。合同承諾可能意味著�,如果由于供應(yīng)商的技術(shù)�����、服務(wù)或安全協(xié)議存在缺陷而導(dǎo)致數(shù)據(jù)泄露,則供應(yīng)商應(yīng)承擔(dān)責(zé)任���。
運營方面:除了合同預(yù)防措施外����,企業(yè)還可以實施運營方面的變化����,以更好地保護自己免受任何潛在數(shù)據(jù)安全事故的影響。企業(yè)應(yīng)該限制處理敏感信息的設(shè)備���,并限制每一種連接技術(shù)只能訪問嚴(yán)格必要的信息��。處理敏感信息的設(shè)備也應(yīng)該移動或隔離到具有更高安全控制的單獨網(wǎng)絡(luò)中。使用多因素身份驗證保護對敏感系統(tǒng)和應(yīng)用的訪問��,并限制具有高度特權(quán)的訪問�����。企業(yè)應(yīng)該重新審視和更新現(xiàn)有的安全協(xié)議����?���?紤]雇傭具有數(shù)據(jù)安全專業(yè)知識的人員����,對員工進行協(xié)議培訓(xùn),確保他們理解政策�����。實施這些業(yè)務(wù)組成部分可以補充合同中減少風(fēng)險的規(guī)定�。
智能建筑和住宅將繼續(xù)占據(jù)我們的天際線,因為盡管智能技術(shù)帶來了更多的信息安全風(fēng)險���,但它們也允許運營效率和個人方便�,一旦獲得這些�����,承租人和居住者都不愿放棄���。實施和利用這些創(chuàng)新技術(shù)和服務(wù)需要謹(jǐn)慎的戰(zhàn)略����,以減輕這些安全風(fēng)險。最終���,智能技術(shù)將繼續(xù)存在�����,那些現(xiàn)在就采取必要措施的人將在未來幾年獲益�。
沃卡惠
