对于技术专家来说,建设智慧城市不是一个雄心勃勃的目标,而是一个必要的问题。世界银行估计,到2050年,世界人口的70%将生活在城市地区,高于目前的56%。这种大规模的人口转移将给城市基础设施和用于管理城市地区的技术带来慢慢的变大的压力。自动化程度的提高也将带来新的威胁。
商业咨询公司德勤的美国网络数据市场负责人Piyush Pandey表示,虽然智慧城市的概念可能看起来是单一的,但实际上它是相互通信的独立技术和系统的集合,以及一个中央管理中心,创造了一个多样化的技术生态系统——一个需要很好保护的生态系统。他说,在许多情况下,这些技术并没有正真获得充分的单独保护,更加不用说作为一个相互依存的生态系统向公众开放了。
Pandey说:“这显然不单单是一个需要安全的系统……有了这个智能生态系统和大量的互联,我们有意识地让我们的网络暴露出来。”。“安全性并不局限于在设备级别应用某种防火墙或物理安全。我们一定要从整体上看待这一点。”
许多国家都在推行智慧城市的概念,从中东和非洲的政府到号称世界上最智慧城市的新加坡。根据德勤最近发布的一份关于保护智能ECO的报告,一个城市每天可以从其各种系统(智能电表、路灯、交通监控器和应急管理系统)收集超过 5 亿个事件。虽然信息技术 (IT)、运营技术 (OT)、物联网 (IoT) 和自动化的融合将提高效率,但智慧城市的智能也将导致更容易受到威胁。
勒索软件已成为地方政府面临的一个主体问题,而城市自动化程度的提高也增加了运营挑战,人们担心勒索软件可能会导致市政运营停止。
从智能交通系统到智能电网,再到即时关键基础设施,智能城市系统将大量设备(其中许多设备本身没有内置安全功能)与不受信任的系统(如智能手机、传统技术和运行过时软件的台式机)连接起来。根据加州大学伯克利分校长期网络安全中心 (CLTC) 于 2020 年对智能城市安全专家进行的一项调查,最脆弱和影响最大的三个系统是用于紧急警报、街道视频监控和智能交通信号灯的系统。
CLTC 下属城市和区域规划研究生研究员 Rowland Herbert-Faulkner 表示,其中许多系统的建立并没有最大限度地考虑网络安全问题。
“很多产品都没有内置安全措施,如果我们不实施,那么威胁范围就会扩大。风险会成倍增加,”他说。“这样的一个问题在研究中已经存在了很久:我们该怎么样处理产品安全问题,尤其是当我们处理这些互联系统时?尤其是当某人的设备能用作攻击媒介或进入系统的入口点时。”
德勤的报告说明,三个重要的因素——融合、互操作性和集成——推动了智慧城市生态系统的风险。网络和物理系统的结合——融合——允许一个领域影响另一个领域,从而大幅度提升了攻击面。来自不同系统的设备——一些旧的,一些新的——相互操作,使从未打算连接的旧系统面临风险。最后,跨系统的设备紧密集成意味着攻击可以迅速影响其他系统,由此产生连锁影响。
“智能ECO中不仅没有组织边界,边界也变得模糊,因为现在我们谈论的是网络和物理融合,所以系统边界也变得模糊,”德勤的 Pandey 说道。“我们有多家不同的供应商,他们提供不同的设备和不同的系统,这些系统的安全控制程度各不相同,所以现在当它们相互连接时,最薄弱的系统就会成为问题。”
不同的系统因用途而异——智能车牌阅读器与智能电网的架构不同——也因协议而异。虽然它们可能通过无线技术进行通信,但它们也可能通过集中式集线器相互通信。XIoT 安全公司 NetRise 的首席执行官 Tom Pace 表示,大多数设备无法运行安全代理,因为这种附加安全措施会对许多可编程逻辑控制器、物联网设备和其他低功耗硬件的性能造成太大的影响。
“它可能会到达那里,但这就像一个 20 年的问题,”他说。 “你真正需要做的是让大多数设备制造商在操作系统和处理器架构上实现标准化。否则,你就是在要求公司创建 1,000 个需要安装的不同代理。这根本行不通。”
除了技术层面的问题外,还需要开发大量的网络安全专业相关知识来应对智慧城市。加州大学伯克利分校的 Herbert-Faulkner 表示,改善智慧城市的网络安全态势至关重要。例如,由于勒索软件对地方政府机构的影响,网络保险公司已不再发布保单,而且变得更严格。
“网络保险公司对覆盖城市不太感兴趣,因为很多地方政府人员不了解基本知识——他们没一个能够在一定程度上帮助他们降低这种风险的框架,”他说。“让城市和地方政府人员了解基本的网络安全卫生知识将至关重要,我们在谈论风险缓解时尤其如此。”