관점: 영향력 있는 아이디어
산업 자동화, 홈 컴포트 등 다양한 부문의 에머슨 리더들이 제공하는 혁신적인 아이디어, 영감을 주는 정보, 각종 인사이트를 살펴보십시오.
저자: Michael T. Lester
중요 인프라의 제조업체, 유틸리티 및 작업자들이 점점 더 교묘한 사이버 보안 위협에 직면하고 있습니다. 범용 맬웨어와 고급 기술이 위협 행위자에게 새로운 공격 기능을 제공함에 따라 공격이 지속적으로 진화하고 있습니다.
사이버 공격의 동기는 여전히 대부분 금전적 이익이지만 국가 행위자들이 점점 늘어나고 있으며, 산업 지배 공간을 겨냥한 다양한 위협 행위자들의 공격도 늘어나고 있습니다.
효과적인 사이버 보안을 위해서는 최신 위협에 대한 최신 정보를 유지하고 자산의 실시간 인벤토리를 수행하며, 위협 탐지 기능을 개선하고 장비 및 장치에 최신 방어 기능을 갖추며, 시스템을 패치 및 업데이트하고 사고 대응 기능을 개선해야 합니다. 또한 정책 및 절차, 인력의 직무 기술 향상 및 주기적 교육도 모두 위험 기반 접근 방식을 수행하여 중요 시스템을 보호하기 위해 배포해야 하는 사이버 보안의 핵심 측면입니다.
산업용 사물 인터넷(IIoT)의 잠재력을 활용하고자 하는 제조업체들의 주요 관심사는 사이버 보안입니다. 효과적인 사이버 보안의 필요성은 잘 알려져 있지만 업계 내에서 이 주제에 대한 이해도가 높지 않습니다. IIoT 기술을 설계 및 구현하려면 신기술과 사이버 보안 전문 지식이 필요합니다. 새로운 솔루션은 안전하게 구현 및 유지하지 않으면 오히려 새로운 위협 경로가 될 수 있습니다.
취약성 확인
제조 분야에서 자본 지출 비용이 높은 엔지니어링 솔루션은 시스템 업데이트를 꺼려하면서 변화 속도가 느립니다. 심층 방어 접근 방식에 따른 패치 및 적절한 보호가 구현되지 않은 구식 시스템이 가장 취약합니다.
산업용 사물 인터넷(IIoT)의 잠재력을 활용하고자 하는 제조업체들의 주요 관심사는 사이버 보안입니다.
사용자는 식별된 위협 및 공격에 대응하기 위해 취할 조치의 우선순위를 정하고 해당 조치의 로드맵을 수립해야 합니다. 조직 내 모든 인력, 공정 및 기술에 대해 각 수명주기 중에 사고 대응 및 백업/복구 계획을 실시하고 정기적으로 테스트하는 것을 말합니다. 사용자 계정 관리와 같은 간단한 작업도 각 사용자가 처음 승인된 시점부터 조직을 떠날 때까지의 수명주기를 관리해야 합니다.
조직이 디지털 방식으로 전환하는 데 유용한 새로운 시스템 및 서비스를 구현하기 위해 IT와 OT 이해 관계자들 간의 협업의 필요성이 증가하고 있습니다. 사이버 보안 전략을 개발할 때 IT 및 OT 이해 관계자는 최고 수준의 보안을 유지하면서 상호간의 강점 및 비즈니스 목표 달성 방법을 이해해야 합니다.
각 전문 분야는 상이한 관점을 제시하는데, IT는 고도로 표준화된 공정을 제시하고 OT는 엔지니어링 수준이 상대적으로 높은 솔루션을 제시합니다. 두 이해 관계자의 목표를 검토하고 요구사항을 수립하여 운영에서 발생 가능한 격차 및 위험을 방지해야 합니다. 자동화 공급업체는 계층적인 시스템 보안 통제 조치, 절차 및 서비스 포트폴리오를 제공하여 시스템 보안을 개선하고 최종 사용자가 사이버 보안 평가 작업의 우선순위를 지정할 수 있도록 지원함으로써 성공 가능성을 높인 시스템을 안전하게 배포할 수 있습니다.
조직은 통제 시스템 프로젝트의 프런트엔드 엔지니어링 및 설계를 수행하는 중에 사이버 보안을 고려해야 합니다. 종종 사이버 보안 방어를 나중에 추가하게 되면서 비용이 더 많이 들고 사이버 보안을 프로젝트에 내장하는 방안만큼 효과적이지 못합니다. 이를 '시프트 레프트' 개념이라고 합니다. 적절한 사이버 위험 분석과 통합된 보안 내재화 방식에서는 보안 기능 및 통제 조치를 검토하여 악화하는 사이버 위협 환경에 대한 효과성을 확보해야 합니다.
사이버 보안 이니셔티브의 비즈니스 근거를 뒷받침하려면 평가를 지금까지 구현된 사이버 이니셔티브의 진도와 추가 사이버 보호 기능의 배포에 따른 보호 능력을 의미하는 위험 감소 지표로 사용할 수 있습니다. 사이버 보안 기능을 정당화할 수 있는 좋은 방법은 '시프트 레프트' 개념을 사용하는 것입니다. 이 경우에 발생하는 사전 예방적 보안 비용의 1유로는 사후 보안 비용의 60유로 이상에 해당합니다.
공격이 발생하는 경우에 이를 극복할 수 있는 가장 좋은 방법은 잘 문서화된 사고 대응 계획을 실시하는 것입니다. 요컨대, 사이버 보안 기능, 통제 조치 및 세심한 계획 수립 없이는 사이버 공격을 극복할 수 없습니다.
문화 문제
사이버보안이 조직 문화의 일부가 아닌 경우 해당 직원은 취약성을 초래하는 의도하지 않은 조치를 통해 상당한 사이버 위험을 만듭니다. 침투성 사이버보안 문화는 외부 및 내부 위협으로부터의 위험을 줄입니다. 신기술 및 사이버보안 관련 인력 양성은 사이버보안 문화 조성을 지원합니다.
요컨대, 사이버 보안 기능, 통제 조치 및 세심한 계획 수립 없이는 사이버 공격을 극복할 수 없습니다.
직원에 기술 및 사이버 보안 역량을 향상할 수 있는 교육 기회를 제공하는 것이 중요합니다. 숙련도 개선은 시간이 걸릴 수 있지만 사이버 보안 책임을 의식적으로 수용할 수 있도록 인력을 교육하는 것은 훌륭한 첫 번째 단계입니다. 사이버 보안이 더 이상 다른 사람의 책임이 아니라면 사람들은 자연스럽게 훨씬 더 많은 질문을 제기하고 우발적인 결과를 방지하기 위한 전문성을 보유한 사람들과 협력할 것입니다.
사이버 보안에는 단순한 기술 이상의 것이 필요합니다. 사이버 보안에는 행동 및 문화의 변화가 필요합니다. 사이버 보안의 '이유'와 '어떻게'에 대한 조직 전체의 심층적인 이해는 의미 있는 행동 변화를 달성하는 데 중요합니다. 따라서 사람, 공정 및 기술을 포함한 사이버 보안 문화를 구축하는 것이 중요합니다.