從我們的家到我們的工作場(chǎng)所，智能技術(shù)的部署正變得越來(lái)越普遍?！度A爾街日?qǐng)?bào)》指出，美國(guó)與智能建筑相關(guān)的公司在 2021 年籌集了 28.8 億美元的風(fēng)險(xiǎn)投資。在之前的文章中，我們已經(jīng)討論了智能技術(shù)在商業(yè)地產(chǎn)中越來(lái)越多的使用，徹底和嚴(yán)格的研究和評(píng)估過(guò)程的重要性，以及智能技術(shù)合同中需要考慮的各種因素。

這些評(píng)估和合同流程對(duì)于制定智能技術(shù)供應(yīng)商必須遵守的安全保障至關(guān)重要。對(duì)智能家居技術(shù)采取嚴(yán)格的、以安全為中心的方法，可以幫助房地產(chǎn)公司免受安全事件帶來(lái)的災(zāi)難性公關(guān)和財(cái)務(wù)影響，比如2016年針對(duì)不安全的物聯(lián)網(wǎng)設(shè)備的Mirai惡意軟件攻擊。

數(shù)據(jù)泄露事件的平均成本每年都在增加，2021年，一次數(shù)據(jù)泄露事件的平均成本為424萬(wàn)美元。與以往任何時(shí)候相比，企業(yè)不僅必須意識(shí)到這些技術(shù)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，還必須采取必要措施來(lái)解決它們的漏洞。

更加脆弱

隨著物聯(lián)網(wǎng)連接的增加，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)呈指數(shù)級(jí)增長(zhǎng)。每一個(gè)增加建筑物便利性的智能項(xiàng)目——例如識(shí)別員工面部并為他們招呼電梯的攝像頭、空氣質(zhì)量監(jiān)測(cè)器、揚(yáng)聲器、門(mén)和安全系統(tǒng)——都代表了建筑物網(wǎng)絡(luò)安全環(huán)境中的安全漏洞點(diǎn)。每個(gè)連接點(diǎn)都是黑客可以攻擊的目標(biāo)。請(qǐng)記住，黑客只需要一個(gè)入口點(diǎn)：黑客通過(guò)瞄準(zhǔn) Target 的 HVAC 承包商，從 Target 竊取了 4000 萬(wàn)個(gè)信用卡和借記卡號(hào)碼，這是美國(guó)歷史上已知最大的企業(yè)違規(guī)事件之一。

更加敏感

智能技術(shù)的發(fā)展帶來(lái)了獨(dú)特的隱私和安全問(wèn)題：

• 收集什么數(shù)據(jù)、收集多少數(shù)據(jù)、收集多長(zhǎng)時(shí)間？
• 智能技術(shù)解決方案是否收集個(gè)人聯(lián)系信息，是否與第三方共享這些數(shù)據(jù)？
• 帶有攝像頭的設(shè)備是否會(huì)收集、存儲(chǔ)和共享圖像？
• 如果是的話(huà)，記錄的圖像將存儲(chǔ)多久，存儲(chǔ)在哪里？
• 員工可以訪問(wèn)這些數(shù)據(jù)嗎？
• 企業(yè)將如何處理兒童圖像或其他敏感記錄？
• 如果涉及語(yǔ)音識(shí)別，設(shè)備是否“總是在聽(tīng)”、存儲(chǔ)和共享對(duì)話(huà)？

人們?cè)絹?lái)越意識(shí)到他們的隱私正在減少;然而，消費(fèi)者和員工仍然對(duì)他們?cè)诩依锖娃k公室的隱私抱有期望。企業(yè)必須知道正在收集哪些數(shù)據(jù)，并制定內(nèi)部控制來(lái)管理這些數(shù)據(jù)，同時(shí)要求供應(yīng)商遵守嚴(yán)格的隱私標(biāo)準(zhǔn)。

此外，企業(yè)還必須確保他們收集了需要收集的數(shù)據(jù)。通常情況下，企業(yè)對(duì)數(shù)據(jù)收集的態(tài)度可以總結(jié)為：現(xiàn)在收集所有數(shù)據(jù)，然后再考慮如何處理這些數(shù)據(jù)。這種方法是錯(cuò)誤的：

• 一方面，對(duì)數(shù)據(jù)的分析可能會(huì)對(duì)用戶(hù)行為產(chǎn)生重要的見(jiàn)解。
• 另一方面，所收集的數(shù)據(jù)也必須根據(jù)兼容的隱私策略進(jìn)行保護(hù)和處理。

收集“太多”數(shù)據(jù)可能意味著一個(gè)企業(yè)會(huì)忽視它正在收集的一切。當(dāng)企業(yè)不知道他們擁有什么，他們就不知道什么需要保護(hù)。而那些被忽視、被遺忘的數(shù)據(jù)往往缺乏保護(hù)。當(dāng)黑客攻擊、消費(fèi)者受到傷害時(shí)，“我們不知道我們有這個(gè)”不是立法者、最終用戶(hù)或監(jiān)管機(jī)構(gòu)會(huì)接受的回答。

合規(guī)性

所有收集個(gè)人身份信息的企業(yè)都必須遵守有關(guān)數(shù)據(jù)隱私的國(guó)家和國(guó)際法律。由于這些法律處于不斷變化的狀態(tài)，這一監(jiān)管框架變得更具挑戰(zhàn)性。例如，在美國(guó)，越來(lái)越多的州通過(guò)了數(shù)據(jù)隱私法，這些法律既賦予消費(fèi)者權(quán)利，又對(duì)企業(yè)實(shí)施安全和評(píng)估要求。受監(jiān)管行業(yè)(如金融服務(wù))的公司必須應(yīng)對(duì)更高的安全協(xié)議要求和額外的數(shù)據(jù)隱私法律。監(jiān)管規(guī)定可能會(huì)讓公司承擔(dān)保護(hù)自己免受違約的責(zé)任，無(wú)論是意外還是非意外。企業(yè)應(yīng)該確保與供應(yīng)商的合同要求供應(yīng)商解決安全問(wèn)題，作為保護(hù)企業(yè)及其最終用戶(hù)的整體方法的一部分。

建議

這些漏洞、敏感性和責(zé)任似乎令人生畏，但通過(guò)在合同中提供健壯的安全條款和完善內(nèi)部操作協(xié)議，產(chǎn)權(quán)所有者可以大大降低風(fēng)險(xiǎn)。

(1) 合同方面

在智能技術(shù)和服務(wù)外包給第三方的情況下，合同應(yīng)考慮供應(yīng)商將如何保護(hù)收集、處理、存儲(chǔ)和共享的任何數(shù)據(jù)。合同還應(yīng)該將數(shù)據(jù)的收集、處理、存儲(chǔ)和共享限制在必要的范圍內(nèi)。確保合同分配了任何潛在安全漏洞的風(fēng)險(xiǎn)。合同還應(yīng)概述供應(yīng)商在發(fā)生數(shù)據(jù)安全事件后必須采取的措施?？紤]包括在任何事件發(fā)生之前和之后對(duì)供應(yīng)商系統(tǒng)進(jìn)行審查的審核權(quán)。合同承諾可能意味著，如果由于供應(yīng)商的技術(shù)、服務(wù)或安全協(xié)議存在缺陷而導(dǎo)致數(shù)據(jù)泄露，則供應(yīng)商應(yīng)承擔(dān)責(zé)任。

(2) 運(yùn)營(yíng)方面

除了合同預(yù)防措施外，企業(yè)還可以實(shí)施運(yùn)營(yíng)方面的變化，以更好地保護(hù)自己免受任何潛在數(shù)據(jù)安全事故的影響。企業(yè)應(yīng)該限制處理敏感信息的設(shè)備，并限制每一種連接技術(shù)只能訪問(wèn)嚴(yán)格必要的信息。處理敏感信息的設(shè)備也應(yīng)該移動(dòng)或隔離到具有更高安全控制的單獨(dú)網(wǎng)絡(luò)中。使用多因素身份驗(yàn)證保護(hù)對(duì)敏感系統(tǒng)和應(yīng)用的訪問(wèn)，并限制具有高度特權(quán)的訪問(wèn)。企業(yè)應(yīng)該重新審視和更新現(xiàn)有的安全協(xié)議。考慮雇傭具有數(shù)據(jù)安全專(zhuān)業(yè)知識(shí)的人員，對(duì)員工進(jìn)行協(xié)議培訓(xùn)，確保他們理解政策。實(shí)施這些業(yè)務(wù)組成部分可以補(bǔ)充合同中減少風(fēng)險(xiǎn)的規(guī)定。

智能建筑和住宅將繼續(xù)占據(jù)我們的天際線，因?yàn)楸M管智能技術(shù)帶來(lái)了更多的信息安全風(fēng)險(xiǎn)，但它們也允許運(yùn)營(yíng)效率和個(gè)人方便，一旦獲得這些，承租人和居住者都不愿放棄。實(shí)施和利用這些創(chuàng)新技術(shù)和服務(wù)需要謹(jǐn)慎的戰(zhàn)略，以減輕這些安全風(fēng)險(xiǎn)。最終，智能技術(shù)將繼續(xù)存在，那些現(xiàn)在就采取必要措施的人將在未來(lái)幾年獲益。