從我們的家到我們的工作場所，智能技術的部署正變得越來越普遍。《華爾街日報》指出，美國與智能建筑相關的公司在 2021 年籌集了 28.8 億美元的風險投資。在之前的文章中，我們已經討論了智能技術在商業地產中越來越多的使用，徹底和嚴格的研究和評估過程的重要性，以及智能技術合同中需要考慮的各種因素。

這些評估和合同流程對于制定智能技術供應商必須遵守的安全保障至關重要。對智能家居技術采取嚴格的、以安全為中心的方法，可以幫助房地產公司免受安全事件帶來的災難性公關和財務影響，比如2016年針對不安全的物聯網設備的Mirai惡意軟件攻擊。

數據泄露事件的平均成本每年都在增加，2021年，一次數據泄露事件的平均成本為424萬美元。與以往任何時候相比，企業不僅必須意識到這些技術的網絡安全風險，還必須采取必要措施來解決它們的漏洞。

更加脆弱

隨著物聯網連接的增加，網絡安全風險呈指數級增長。每一個增加建筑物便利性的智能項目——例如識別員工面部并為他們招呼電梯的攝像頭、空氣質量監測器、揚聲器、門和安全系統——都代表了建筑物網絡安全環境中的安全漏洞點。每個連接點都是黑客可以攻擊的目標。請記住，黑客只需要一個入口點：黑客通過瞄準 Target 的 HVAC 承包商，從 Target 竊取了 4000 萬個信用卡和借記卡號碼，這是美國歷史上已知最大的企業違規事件之一。

更加敏感

智能技術的發展帶來了獨特的隱私和安全問題。收集什么數據、收集多少數據、收集多長時間?智能技術解決方案是否收集個人聯系信息，是否與第三方共享這些數據?帶有攝像頭的設備是否會收集、存儲和共享圖像?如果是的話，記錄的圖像將存儲多久，存儲在哪里?員工可以訪問這些數據嗎?企業將如何處理兒童圖像或其他敏感記錄?如果涉及語音識別，設備是否“總是在聽”、存儲和共享對話?人們越來越意識到他們的隱私正在減少;然而，消費者和員工仍然對他們在家里和辦公室的隱私抱有期望。企業必須知道正在收集哪些數據，并制定內部控制來管理這些數據，同時要求供應商遵守嚴格的隱私標準。

此外，企業還必須確保他們收集了需要收集的數據。通常情況下，企業對數據收集的態度可以總結為：現在收集所有數據，然后再考慮如何處理這些數據。這種方法是錯誤的。一方面，對數據的分析可能會對用戶行為產生重要的見解。另一方面，所收集的數據也必須根據兼容的隱私策略進行保護和處理。收集“太多”數據可能意味著一個企業會忽視它正在收集的一切。當企業不知道他們擁有什么，他們就不知道什么需要保護。而那些被忽視、被遺忘的數據往往缺乏保護。當黑客攻擊、消費者受到傷害時，“我們不知道我們有這個”不是立法者、最終用戶或監管機構會接受的回答。

合規性

所有收集個人身份信息的企業都必須遵守有關數據隱私的國家和國際法律。由于這些法律處于不斷變化的狀態，這一監管框架變得更具挑戰性。例如，在美國，越來越多的州通過了數據隱私法，這些法律既賦予消費者權利，又對企業實施安全和評估要求。受監管行業(如金融服務)的公司必須應對更高的安全協議要求和額外的數據隱私法律。監管規定可能會讓公司承擔保護自己免受違約的責任，無論是意外還是非意外。企業應該確保與供應商的合同要求供應商解決安全問題，作為保護企業及其最終用戶的整體方法的一部分。

建議

這些漏洞、敏感性和責任似乎令人生畏，但通過在合同中提供健壯的安全條款和完善內部操作協議，產權所有者可以大大降低風險。

合同方面：在智能技術和服務外包給第三方的情況下，合同應考慮供應商將如何保護收集、處理、存儲和共享的任何數據。合同還應該將數據的收集、處理、存儲和共享限制在必要的范圍內。確保合同分配了任何潛在安全漏洞的風險。合同還應概述供應商在發生數據安全事件后必須采取的措施。考慮包括在任何事件發生之前和之后對供應商系統進行審查的審核權。合同承諾可能意味著，如果由于供應商的技術、服務或安全協議存在缺陷而導致數據泄露，則供應商應承擔責任。

運營方面：除了合同預防措施外，企業還可以實施運營方面的變化，以更好地保護自己免受任何潛在數據安全事故的影響。企業應該限制處理敏感信息的設備，并限制每一種連接技術只能訪問嚴格必要的信息。處理敏感信息的設備也應該移動或隔離到具有更高安全控制的單獨網絡中。使用多因素身份驗證保護對敏感系統和應用的訪問，并限制具有高度特權的訪問。企業應該重新審視和更新現有的安全協議。考慮雇傭具有數據安全專業知識的人員，對員工進行協議培訓，確保他們理解政策。實施這些業務組成部分可以補充合同中減少風險的規定。

智能建筑和住宅將繼續占據我們的天際線，因為盡管智能技術帶來了更多的信息安全風險，但它們也允許運營效率和個人方便，一旦獲得這些，承租人和居住者都不愿放棄。實施和利用這些創新技術和服務需要謹慎的戰略，以減輕這些安全風險。最終，智能技術將繼續存在，那些現在就采取必要措施的人將在未來幾年獲益。