당신의 강점은 가장 약한 고리만큼입니다. 취약점은 어디에 있습니까?

어떤 위험도 감수하지 않고서는 디지털 트랜스포메이션의 보상을 얻을 수 없습니다.

공급망, 수요망 및 설계망을 연결함에 따라 다중 조직 종속성이 생성됩니다. 그리고 이러한 체인은 가장 약한 연결 고리만큼만 강합니다.

특히 전담 사이버보안 팀이 없는 소규모 제조업체가 취약합니다. 그러나 전문 팀을 보유한 대기업도 위험에 직면해 있습니다.

국제 표준은 이러한 위험을 다양한 방식으로 다루는 경우가 많아 조직의 사이버보안 위험을 가장 잘 최소화할 수 있는 표준을 파악하기 어려울 수 있습니다.

기업이 사이버보안에 대해 사전 예방적 조치를 취하더라도 공급망은 그렇지 않을 수 있습니다. 한 주요 글로벌 소매 체인의 침해는 오프라인 매장에 서비스를 제공하는 타사 업체에 의해 발생했습니다. 이 업체의 자격증명이 도난당하면서 궁극적으로 4100만 명의 신용카드 소지자의 정보가 노출되었고, 소매업체는 수백만 USD의 합의금을 지불해야 했습니다.

행동 계획

사이버보안 위험을 관리하기 위해 다음과 같은 조치를 취하고 있습니다.

• 사이버보안 기술의 지속적인 개선 추진
• 위협에 대한 인식 제고 및 취약성 관리를 위한 모범 사례 홍보
• 산업, 학계 및 정부 간 협력을 통해 글로벌 제조 사이버보안 표준의 조화 추진

자신을 보호하기 위해 할 수 있는 세 가지 방법:

• 사이버보안 기술의 지속적인 개선에 전념하는 기업과만 파트너 관계를 맺으십시오.
• 제조 환경 및 공급망에 대한 위협을 파악하고, 모범 사례를 구현하여 취약성을 관리하십시오.
• 국제 표준 기구에 참여하여 글로벌 제조 사이버보안 표준의 조화를 촉진하십시오.

표준 조화의 중요성

경쟁 목표나 보안 정의가 상충할 수 있는 여러 표준을 적용할 때 위험이 발생할 수 있습니다. 특정 표준을 보안 지표로 채택할 때 위험을 최소화하려면 표준을 조화시키는 것이 중요합니다.

ISA/IEC 62443(산업 프로세스 측정 및 제어를 위한 네트워크 및 시스템 보안)은 제조업에서 사이버보안 위험을 위한 프레임워크가 되고 있습니다.

ISO/IEC 15408(IT 보안 평가 기준), UL 2900(네트워크 연결 제품을 위한 소프트웨어 사이버보안 위험 표준) 및 TC 260(중국 국가 보안 표준)에서 추가 작업이 정의되고 있습니다.

취약점을 해결하기 위해 노력하는 사이버보안 위험 전문가가 있다는 것은 좋은 일이지만, 진정한 영향을 미치기 위해서는 이러한 활동이 조화를 이루어야 합니다.

대부분의 제조업체가 사이버보안 표준 하나를 채택하기도 어려운데, 네 가지를 모두 채택하는 것은 더욱 어렵습니다. 그래서 우리는 실질적인 영향을 미칠 수 있도록 표준을 개발하고 조화시키는 데 적극적으로 참여하고 있습니다.

그리고 여기서 멈출 수는 없습니다.

조화 없이 IT/OT 장벽을 넘어 다수 업체 공급망을 연결하면 상당한 통합 문제가 발생할 수 있으므로, OT와 IT 간의 사이버보안 표준도 조화시켜야 합니다.

조화는 상호운용성을 촉진하고 위험을 최소화하여 모두에게 이익이 됩니다. 

우리는 제조업체와 그 공급망의 모든 사람의 이익을 위해 전 세계 표준 위원회와 다양한 노력에 참여하고 있습니다.

공통 표준을 통해 미래의 상호운용성을 촉진하고 연결성을 달성하며 진화하는 사이버보안 위협과 과제를 해결할 수 있습니다.