사이버 보안 FAQ

OT 사이버 보안의 책임은 누구에게 있나요?

사이버 보안 FAQ

OT 사이버 보안의 책임은 누구에게 있나요?

최근의 규제 변화는 이제 CISO가 기업 사이버 보안 위험에 대한 책임과 함께 책임을 져야 한다는 것을 의미합니다. 산업 조직의 경우, 여기에는 OT 디바이스와 네트워크로 인한 위험도 포함됩니다. IT, IoT , OT 네트워크 간의 경계가 그 어느 때보다 모호해지면서 위험에 대한 포괄적인 감독이 필요한 시기가 지났습니다. 위험에 대한 엔터프라이즈 접근 방식으로의 전환은 긍정적이지만, (IT 부서에) 익숙하지 않은 사이버-물리적 환경에 대한 사이버 보안 솔루션의 구매, 배포 및 유지 관리를 누가 담당해야 하는지에 대한 의문이 제기됩니다. 그리고 변화의 이 단계에서는 그 해답이 명확하지 않습니다.

IEC62443 파트 2-1 표준은 산업 자동화 및 제어 시스템을 위한 사이버 보안 관리 시스템을 구축하기 위한 요구 사항을 간략하게 설명하며, 이 지침은 필수 불가결하지만 이를 구현할 적절한 인력을 파악하는 것은 여전히 각 조직의 몫입니다. 예를 들어 OT 엔지니어, 기술자, 프로세스 운영자 및 제어실 운영자를 위한 사이버 보안 정책은 존재하지 않는 경우가 많습니다. 누가 정책을 작성하고 해당 개인을 교육할까요? 마찬가지로 사고 대응 계획은 물리적 안전에 영향을 미치기 때문에 일반적으로 OT 상당히 다를 수 있으므로 누가 작성할까요?

CISO는 엔터프라이즈 리스크를 소유할 수 있지만, 일반적으로 OT 보안에 대해 충분히 알고 있기 때문에 자신의 영역 밖의 일이라는 것을 알고 있습니다. 이들은 기술 및 비즈니스 의사 결정에 광범위한 영향력을 가지고 있기 때문에 프로젝트의 총괄 스폰서 역할을 하기에 가장 적합합니다. 여기에는 전략적 방향 제공, 필요한 리소스 확보, 에스컬레이션 관리, 경영진과 이사회에 대한 진행 상황 전달 등이 포함됩니다. 가장 중요한 것은 OT 보안 솔루션을 평가하고 배포하며 지속적인 감독을 제공할 수 있는 적절한 인력을 채용해야 한다는 점입니다.

이상적인 OT 보안 팀에는 사이버 보안에 대해 잘 모르거나 회의적일지라도 산업 제어 시스템을 안팎으로 이해하는 공장 관리자, 엔지니어 및 운영자가 포함됩니다. 사이버 측면에서는 보안 및 네트워크 관리자, 분석가, 관리자를 채용해야 하며, 이들 중 일부는 공장 현장에 한 번도 발을 들여놓은 적이 없더라도 채용하는 것이 좋습니다. 사이버 보안 규정이 적용되는 기업의 경우, 설치하는 솔루션이 보고를 포함한 주요 요구 사항을 충족하는지 확인하기 위해 규정 준수 전문가를 포함시켜야 합니다.  

이러한 역할 중 하나라도 누락된 경우 정보에 입각한 구매 결정을 내릴 수는 있지만 내부적인 문제가 발생하여 지연이 발생할 수 있습니다. 예를 들어, 네트워킹 팀에 아무도 참석하지 않은 경우 SPAN 트래픽 모니터링을 구현하려고 할 때 추가 설득이 필요하거나 완전히 다른 아이디어를 가지고 있어 다시 원점으로 돌아가야 할 수도 있습니다. 주요 OT 이해관계자가 기술 구매 결정에 참여하지 않는다면 기술 도입이 지연되거나 아예 설치하지 못할 수도 있습니다. 

이러한 팀원 중에서 일상적인 프로젝트를 감독할 수 있는 적절한 리더를 찾아야 합니다. 작업 현장에 OT 보안을 도입한다는 것은 매우 다른 행동을 도입하는 것을 의미합니다. 더 엄격한 액세스 관리와 같은 새로운 정책, 구성 및 제어가 도입되어 운영자가 일상 업무를 수행하는 방식이 바뀔 것입니다. 이러한 변화 중 상당수는 대중적이지 않을 것입니다. 이 사람이 이러한 변화가 필요할 뿐만 아니라 모든 사람에게 최선의 이익이 된다고 옹호할 수 있을까요? 임원 스폰서로서 CISO도 이 책임을 주도하겠지만, 자세한 질문에 답하고 반대하는 사람들을 설득할 수 있는 신뢰할 수 있는 동료가 필요합니다. 보안 공급업체나 시스템 통합업체가 나타날 때쯤에는 예상되는 사항을 알고 준비된 교육을 받은 직원이 있어야 합니다.

구현 후에는 훨씬 더 많은 부서 간 협력이 필요합니다. 엔터프라이즈 위험 관리를 활성화하려면 OT 환경의 데이터를 보안 정보 이벤트 관리 시스템(SIEM)에 제공하거나 기존 IT 보안 플랫폼과 통합하여 보안 운영 센터(SOC) 또는 관리형 보안 서비스 제공업체(MSSP)가 문제를 식별할 수 있도록 해야 합니다. OT 전문가(이상적으로는 OT 보안 전문가)가 이러한 그룹에 OT 네트워크의 민감성과 문제 해결에 산업 프로세스와 네트워크에 대해 잘 알고 있는 인력이 참여해야 하는 이유를 지속적으로 교육하는 것이 중요합니다.  

 요컨대, 프로그램이 성공하려면 조직 전체에서 수십 명의 사람들이 OT 사이버 보안을 공동으로 소유해야 합니다. Nozomi Networks 모든 산업 및 중요 인프라 부문에 걸쳐 수천 개의 환경에 OT 보안 솔루션을 배포했습니다. 우리는 프로젝트가 순조롭게 진행되는 경우도 보았고, 모든 단계에서 프로젝트가 중단되는 경우도 보았습니다. 모든 구현 킥오프의 일부로, 우리는 일반적인 OT 문화적 문제를 검토하고 이를 극복할 수 있는 방법을 제시합니다.

최근의 규제 변화는 이제 CISO가 기업 사이버 보안 위험에 대한 책임과 함께 책임을 져야 한다는 것을 의미합니다. 산업 조직의 경우, 여기에는 OT 디바이스와 네트워크로 인한 위험도 포함됩니다. IT, IoT , OT 네트워크 간의 경계가 그 어느 때보다 모호해지면서 위험에 대한 포괄적인 감독이 필요한 시기가 지났습니다. 위험에 대한 엔터프라이즈 접근 방식으로의 전환은 긍정적이지만, (IT 부서에) 익숙하지 않은 사이버-물리적 환경에 대한 사이버 보안 솔루션의 구매, 배포 및 유지 관리를 누가 담당해야 하는지에 대한 의문이 제기됩니다. 그리고 변화의 이 단계에서는 그 해답이 명확하지 않습니다.

IEC62443 파트 2-1 표준은 산업 자동화 및 제어 시스템을 위한 사이버 보안 관리 시스템을 구축하기 위한 요구 사항을 간략하게 설명하며, 이 지침은 필수 불가결하지만 이를 구현할 적절한 인력을 파악하는 것은 여전히 각 조직의 몫입니다. 예를 들어 OT 엔지니어, 기술자, 프로세스 운영자 및 제어실 운영자를 위한 사이버 보안 정책은 존재하지 않는 경우가 많습니다. 누가 정책을 작성하고 해당 개인을 교육할까요? 마찬가지로 사고 대응 계획은 물리적 안전에 영향을 미치기 때문에 일반적으로 OT 상당히 다를 수 있으므로 누가 작성할까요?

CISO는 엔터프라이즈 리스크를 소유할 수 있지만, 일반적으로 OT 보안에 대해 충분히 알고 있기 때문에 자신의 영역 밖의 일이라는 것을 알고 있습니다. 이들은 기술 및 비즈니스 의사 결정에 광범위한 영향력을 가지고 있기 때문에 프로젝트의 총괄 스폰서 역할을 하기에 가장 적합합니다. 여기에는 전략적 방향 제공, 필요한 리소스 확보, 에스컬레이션 관리, 경영진과 이사회에 대한 진행 상황 전달 등이 포함됩니다. 가장 중요한 것은 OT 보안 솔루션을 평가하고 배포하며 지속적인 감독을 제공할 수 있는 적절한 인력을 채용해야 한다는 점입니다.

이상적인 OT 보안 팀에는 사이버 보안에 대해 잘 모르거나 회의적일지라도 산업 제어 시스템을 안팎으로 이해하는 공장 관리자, 엔지니어 및 운영자가 포함됩니다. 사이버 측면에서는 보안 및 네트워크 관리자, 분석가, 관리자를 채용해야 하며, 이들 중 일부는 공장 현장에 한 번도 발을 들여놓은 적이 없더라도 채용하는 것이 좋습니다. 사이버 보안 규정이 적용되는 기업의 경우, 설치하는 솔루션이 보고를 포함한 주요 요구 사항을 충족하는지 확인하기 위해 규정 준수 전문가를 포함시켜야 합니다.  

이러한 역할 중 하나라도 누락된 경우 정보에 입각한 구매 결정을 내릴 수는 있지만 내부적인 문제가 발생하여 지연이 발생할 수 있습니다. 예를 들어, 네트워킹 팀에 아무도 참석하지 않은 경우 SPAN 트래픽 모니터링을 구현하려고 할 때 추가 설득이 필요하거나 완전히 다른 아이디어를 가지고 있어 다시 원점으로 돌아가야 할 수도 있습니다. 주요 OT 이해관계자가 기술 구매 결정에 참여하지 않는다면 기술 도입이 지연되거나 아예 설치하지 못할 수도 있습니다. 

이러한 팀원 중에서 일상적인 프로젝트를 감독할 수 있는 적절한 리더를 찾아야 합니다. 작업 현장에 OT 보안을 도입한다는 것은 매우 다른 행동을 도입하는 것을 의미합니다. 더 엄격한 액세스 관리와 같은 새로운 정책, 구성 및 제어가 도입되어 운영자가 일상 업무를 수행하는 방식이 바뀔 것입니다. 이러한 변화 중 상당수는 대중적이지 않을 것입니다. 이 사람이 이러한 변화가 필요할 뿐만 아니라 모든 사람에게 최선의 이익이 된다고 옹호할 수 있을까요? 임원 스폰서로서 CISO도 이 책임을 주도하겠지만, 자세한 질문에 답하고 반대하는 사람들을 설득할 수 있는 신뢰할 수 있는 동료가 필요합니다. 보안 공급업체나 시스템 통합업체가 나타날 때쯤에는 예상되는 사항을 알고 준비된 교육을 받은 직원이 있어야 합니다.

구현 후에는 훨씬 더 많은 부서 간 협력이 필요합니다. 엔터프라이즈 위험 관리를 활성화하려면 OT 환경의 데이터를 보안 정보 이벤트 관리 시스템(SIEM)에 제공하거나 기존 IT 보안 플랫폼과 통합하여 보안 운영 센터(SOC) 또는 관리형 보안 서비스 제공업체(MSSP)가 문제를 식별할 수 있도록 해야 합니다. OT 전문가(이상적으로는 OT 보안 전문가)가 이러한 그룹에 OT 네트워크의 민감성과 문제 해결에 산업 프로세스와 네트워크에 대해 잘 알고 있는 인력이 참여해야 하는 이유를 지속적으로 교육하는 것이 중요합니다.  

 요컨대, 프로그램이 성공하려면 조직 전체에서 수십 명의 사람들이 OT 사이버 보안을 공동으로 소유해야 합니다. Nozomi Networks 모든 산업 및 중요 인프라 부문에 걸쳐 수천 개의 환경에 OT 보안 솔루션을 배포했습니다. 우리는 프로젝트가 순조롭게 진행되는 경우도 보았고, 모든 단계에서 프로젝트가 중단되는 경우도 보았습니다. 모든 구현 킥오프의 일부로, 우리는 일반적인 OT 문화적 문제를 검토하고 이를 극복할 수 있는 방법을 제시합니다.

FAQ로 돌아가기