智慧城市很智慧 但是否同樣安全?
編譯/黃竣凱
鑑於智慧城市對數據的收集、儲存和處理,這項技術已經成為駭客的重要目標。為此,全球專家警告,希望部署智慧城市技術的政府當局要加強網路安全系統。近日,美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)也發表了一篇關於智慧城市如何保護自己和居民的報告。
以下是由加拿大法律諮詢公司 MLT Aikins 所統整的關鍵建議:
- 以安全為設計核心
智慧城市在設計上應該是安全的。也就是說,在設計上,該技術應該把減少漏洞放在第一位。而傳統的基礎設施可能需要在與智慧技術整合之前重新設計。
- 最小權限原則(PoLP)
網路環境應該應用最小權限原則,即在用戶、服務提供商、硬體和軟體對預定功能所需的系統和數據的訪問,進行限制,並提供最小的訪問權限。當有新的管理員或改變時,訪問權限應立即更新。而訪問級別應該是分級的,並根據管理員的工作需求來決定。
- 多重要素驗證(MFA)
應該要在本地、遠端帳號和設備上使用多重要素驗證,特別是對會執行特權操作、或可能訪問敏感數據的用戶時。
- 零信任架構(Zero Trust Architecture)
為了提高安全性和識別風險的能力,管理者應該考慮零信任架構,並對每個連接都要求新的認證和授權。
- 及時修補漏洞
管理者必須積極監測網路威脅、隔離關鍵業務系統,並啟用所有軟體和硬體設備的自動補丁,及盡可能的包括真實和完整的驗證程序。
與此同時,管理員也應該要有計畫的更換處於或接近其使用壽命的零件和軟體。如果開發人員沒有創建新的補丁來解決已知的威脅,這些零件和軟體可能將變得特別脆弱。
- 管理供應商的風險
在採購智慧城市技術時,只相信值得信賴的資訊及通訊科技供應商和零件。並確實地將最低安全要求傳達給供應商,並簽署合約,明確規範違反這些要求的後果。
- 做好手動操作系統的準備
制定好緊急計畫,並確保關鍵基礎設施在發生網路事件時可以手動操作。在發生漏洞的情況下,管理者應該要隨時準備好斷開基礎設施系統間的連接或與網路的連接,並要有能力可以在隔離受影響系統的情況下,繼續運行其他的基礎設施,將影響降到最低。
- 實施前審查法律、安全和隱私風險
在實施新技術之前,智慧城市應確保他們了解並採取了措施來,減輕相關的法律和隱私風險。
參考資料:MLT Aikins
瀏覽 2,408 次
