智慧城市是一个令人兴奋的概念,其中技术被用来改善市民的生活,使得城市治理更加有效,资源消耗更加高效和可持续。
在全球范围内,有许多从零开始构建的功能完善的智慧城市。
但是,从巴塞罗那到米尔顿凯恩斯和迈阿密,这些举措在大多数情况下正在我们周围逐渐出现,包括从太阳能供电的智能垃圾箱到通过物联网提供的大量运行数据自动优化的“智能公用事业”的广泛技术传感器。
然而,随着所有事物之间的联系和对技术的依赖程度越来越高,城市变得越来越“智能”意味着它们必将越来越多地承载着更多的技术基础设施和数据,这也意味着它们将越来越容易受到新威胁的攻击。
去年,我们目睹了针对城市、城镇和政府组织的大量勒索软件攻击。例如,在美国,缅因州的奥古斯塔(Augusta)看到网络攻击,冻结了其网络并迫使其市中心关闭;黑客从佛罗里达州塔拉哈西市偷走了大约498000美元,并且勒索软件攻击也关闭了路易斯安那州立网站和其他在线政府服务。
这些只是数百个例子中的几个,但它们说明了如果不充分保护公民基础设施的数字化,那么整个市政当局置于黑客的控制之下。
在上述情况下,损害主要是经济上和声誉上的损害。就像大多数私人和公共部门的网络攻击一样,它们受到金钱的激励。
但是,智慧城市也面临由政治和激进动机发起的攻击的风险,针对关键基础设施的部署可能会使工业控制系统停止为市民提供公用事业服务,它们可能会操纵传感器数据(例如灾难警报系统)引起公众恐慌或虹吸市民数据。最近,在全美各地因警察暴力事件引起的内乱之后,黑客主义者集体Anonymous从美国各部门发布了大量警察档案。
“城市规模的物联网设备”
“智慧城市运动的骨干是物联网—无线连接的传感器,可以管理交通、操作公交系统并监控空气污染,这些仅仅只是一小部分潜在应用的示例。”Radware全球副总裁Michael O'Malley指出。
“我们应该预期到该技术将可能被用作勒索软件的切入点、黑客行为的载体以及引起普遍混乱的手段。”
普华永道表示,互联技术的融合(无论是在移动、大数据、人工智能等方面的创新),实质上使智慧城市成为一个巨大的、城市规模的物联网设备,它们可以与居民的智能手机或可穿戴设备相互通信,打开和关闭智能门锁。然而,现实是,许多智能城市的“门”从未完全锁好。
鉴于智慧城市基础设施的互联性质,破坏性恶意软件随时都有威胁可以进入,因此风险可以迅速从一个系统转移到另一个系统,而链条中的一个薄弱环节使人们可以访问一系列其他设备和系统。
例如,入侵交通信号灯系统,不仅可以使攻击者控制信号灯(即使在这种情况下也足够令人恐惧),而且他们还可以访问服务器,随后获得有关个人客户行为的数据以及对公民个人信息的访问权限。
当前,网络安全的发展跟不上全球智慧城市技术的急切采用。在关键基础设施的网络安全方面,能源、医疗保健、公共安全、运输、水和废物等行业在很大程度上被忽视了,而金融、ICT和国防工业的需求被认为更高。
智慧城市项目带来巨大收益,尤其是在管理城市人口持续增长方面。普华永道(PwC)预计,这些计划的市场在未来两年内将超过1.7万亿美元。同时,如果这些项目未能尽早解决网络安全问题,将面临争取公民信任的持久性争议与挑战。
O'Malley说:“对于智慧城市项目来说,最重要的也许是城市与其市民之间的关系的价值。” “最近的民意测验表明,公众信任地方官员。这种信任是可以建立的,但是安全漏洞会迅速侵蚀公民的信任和支持。
“从安全角度来看,智慧城市规划者需要认真研究物联网设备本身。许多漏洞都存在重大缺陷,并且有大量研究记录了智慧城市项目中使用的IoT设备如何受到坚定的攻击者的影响。”
“接下来,城市需要考虑将使用的API。API在传感器,应用和大型系统之间传输数据。这是一个日益增长的攻击媒介,可以被数据盗窃或网络入侵利用。”
O’Malley补充说,网络分段也是安全性的关键方面。“例如,开发人员需要确保入侵监视空气污染的系统不会使另一个系统也容易受到攻击。 这是隔离系统的情况,并确保任何一次入侵都不会像野火一样在整个城市的网络中扩散。”