リスクを知る
今日、セキュリティ規格と安全規格は両方とも、すでに安全とセキュリティリスクとの間の関連性を認識しています。
サイバーセキュリティ規格ISA/IEC 62443-1-1は、セキュリティ侵害が情報を危険にさらす以上のダメージをもたらすことに触れています。規格では次のように記されています。「予想される人命や生産の損失、環境への悪影響、規制違反、およびオペレーションの安全を危うくすることは、はるかに深刻な結果をもたらします。これらは、対象となる組織を超えて影響を及ぼす可能性があり、対象となる組織の地域や国のインフラに重大な損害を与える恐れがあります。」
機能安全規格IEC 61508-1は、機器に関連した危険事象および制御システムは、 すべての合理的に予見できる状況の下で決定されなければならないことを規定しています。規格では次のように記されています。「これは関連するあらゆる人的要因の問題を含み、異常なめったに起こらないEUCの動作モードに特に注意を払うものとします。危険事象分析が、セキュリティの脅威を構成する悪意のあるまたは不正な行動を合理的に予見できるものとして特定した場合、セキュリティの脅威分析を実行すべきです。」
セキュリティは安全と同じように、リスク管理、継続的な評価の活用、および確実にリスクを入り口で管理できるためのベースラインに基づいて問題にアプローチします。許容できるリスクのレベルは、業界や予想される結果により異なります。
ほとんどのサイバーセキュリティ攻撃は、業界や知名度のために特別にターゲットとされるのではなく、攻撃者が単に脆弱なターゲットを見つけたということに基づいています。サイバーセキュリティ攻撃は、実質的にどの産業でも起こりうる状況です。サイバーセキュリティリスクを評価し、 許容可能なリスクのレベルを決定して、特定したリスクを許容可能なレベルにまで軽減することは、今や基本的に「妥当な」手順であり、人々を予見できる誤用や悪意、不正な行動から守るのに役立ちます。
安全とともに、サイバーセキュリティと関連するリスクを無視することは、「リスクについて知らなければ、責任を取る必要はない」という誤った認識です。それは、倫理的にまたはコンプライアンスのために、特に命がかかっている場合には許容できる姿勢ではありません。