귀하의 기업은 안전합니까?

귀하의 기업은 안전합니까?

운영 환경이 더 많이 연결된다는 것은 보안 위협도 그만큼 커진다는 것을 의미합니다. 산업 보안에 대한 포괄적인 접근으로 위험을 완화하는 방법에 대해 알아보십시오.

Daniel Deyoung, 로크웰 오토메이션 시장 개발 이사

지금의 제조 및 산업 설비는 몇 십 년 전만 해도 상상하기 어려웠던 방식으로 운영되고 있습니다.

광범위한 연결과 정보 공유는 기업과 기업의 운영 방식에 대대적인 변화를 이끌고 있습니다. 기업들은 IT와 운영 기술(OT) 시스템을 통합 중이며 모바일, 분석, 클라우드, 가상화와 같은 새로운 기술을 사용하여 과거와는 비교할 수 없을 정도로 많은 일을 합니다.

그러나 제조 및 산업 운영의 속성과 함께 보안 위험도 바뀌었습니다. 환경이 더욱 폭넓게 연결되면 보안 위협 요소의 잠재적 진입 지점도 그만큼 늘어납니다. 이러한 위협은 물리적 형태나 디지털 형태, 내부 또는 외부, 악의적 또는 무의식적 행동 등 다양한 형태로 유입될 수 있습니다.

따라서 산업 보안은 포괄적이어야 합니다. 기업에서 공장 수준을 넘어 최종 장비까지 포괄해야 하며 사람, 프로세스, 기술 전반에서 위험에 대처해야 합니다. 또한 IT와 OT 부서 간의 협업도 필요합니다. 두 부서 모두 핵심적인 역할을 수행합니다.

포괄적인 접근

보안에 대한 포괄적인 접근의 세 가지 핵심 요소는 다음과 같습니다.

  1. 보안 평가: 시설 전반에 대한 평가를 수행하여 위험 영역과 잠재적 위협을 파악합니다.
  2. 심층 방어 접근: 여러 방어 전선과 층을 형성하는 다계층 보안 접근 방법을 전개합니다.
  3. 신뢰할 수 있는 공급업체: 자동화 공급업체가 제품을 설계할 때 핵심 보안 원칙을 따르는지 확인합니다.

보안 평가

효과적인 산업 보안 프로그램을 개발 및 구현하기 위해서는 먼저 현재 조직에 존재하는 위험 및 취약성 영역을 파악해야 합니다.

보안 평가는 소프트웨어, 네트워크, 제어 시스템, 정책 및 절차, 나아가 직원 행동과 관련한 현재 보안 상태를 파악하는 데 도움이 됩니다. 보안 평가는 모든 보안 정책의 시작점이어야 합니다.

최소한 보안 평가에는 다음 요소가 포함되어야 합니다.

  • 승인된 장비 및 승인되지 않은 장비와 소프트웨어 재고.
  • 시스템 성능에 대한 세부적인 관찰 및 문서화.
  • 포용 임계점 및 위험/취약성 조짐 파악.
  • 영향과 악용 가능성을 기반으로 한 각 취약성의 우선 순위화.

모든 보안 평가의 최종 결과물에는 운영의 위험을 용인 가능한 수준으로 억제하는 데 필요한 문서화된, 실천 가능한 위험 완화 기술 목록이 포함되어야 합니다.

심층 방어 보안:

산업 보안의 최선은 조직 전반에 완전한 하나의 시스템으로 구현되는 것입니다. 심층 방어(DiD) 보안 프레임워크는 이러한 접근 방법을 지원합니다. 모든 단일 보호 지점은 침해될 수 있고 실제 침해될 가능성이 높다는 개념을 바탕으로 하는 DiD 보안은 물리적, 전자적, 절차적 세이프가드의 조합을 통해 여러 보호 계층을 설정합니다.

DiD 보안 접근 방법은 다음 여섯 가지 기본 컴포넌트로 구성됩니다(그림 참조). 정의된 정책 및 절차, 물리적 보안, 네트워크 인프라, 컴퓨터/소프트웨어, 애플리케이션 및 장비 인증과 식별.

심층 방어 보안 접근 방법은 다음을 포함한 여섯 개의 주 컴포넌트로 구성됩니다. [확대하려면 클릭]

신뢰할 수 있는 공급업체:

자동화 공급업체는 생산, 품질 및 안전 목표 달성에서와 마찬가지로 보안 목표를 달성하는 데도 꼭 필요한 요소입니다.

공급업체를 선택하기 전에 보안 정책 및 관행을 공개할 것을 요청하십시오. 제어 시스템에 사용되는 제품을 설계할 때 다섯 가지 핵심 보안 원칙을 따르는 업체인지 확인하십시오. 이러한 원칙에는 다음이 포함됩니다.

  • 보안 네트워크 인프라. 공급업체는 자동화 계층의 정보를 안전하게, 기밀로 유지하는 데 도움이 될 수 있습니다. 예를 들어 임베디드 기술은 네트워크에 대한 액세스 권한을 부여하기 전에 장비를 검증 및 인증할 수 있습니다.
  • 인증 및 정책 관리. 회사 정책은 직원을 위한 데이터 액세스 수준을 결정합니다. 자동화 제품은 액세스 제어 목록을 사용하여 장비 및 애플리케이션에 대한 사용자 액세스를 관리함으로써 이러한 정책을 지원할 수 있습니다.
  • 콘텐츠 보호. 지적재산권은 기업 운영의 생명선과 같습니다. 자동화 솔루션은 루틴 및 애드온 명령어 암호를 할당하고 디지털 권한 관리를 사용하여 장비 데이터를 보고 편집할 수 있는 사용자 권한을 제한함으로써 지적재산권을 보호하는 데 도움이 될 수 있습니다.
  • 변형 감지. 내장된 변형 감지는 무단 시스템 활동을 감지하고 적절한 직원에게 경고를 보낼 수 있습니다. 또한 침입 시도가 발생한 위치, 방법과 수정된 사항 등에 대한 주요 세부 사항을 기록합니다.
  • 견고함. 견고한 공급업체 보안 접근 방법에는 보안 설계 개발 관행을 사용하여 직원을 대상으로 보안 교육을 실시하고 글로벌 보안 표준에 맞추어 제품을 테스트하는 것이 포함됩니다. 또한 제품 출시에 앞서 최종 보안 검토를 수행하고, 프로세스가 최신 표준과 기술에 부합하는지 확인하고, 취약성을 해결하기 위한 계획을 마련하는 것도 포함됩니다.

모니터링과 발전

보안 위협은 사라지지 않습니다. 산업 보안 관행이 바뀌고 새로운 방어가 구현됨에 따라 보안 위협도 지속적으로 발전합니다. 위험 관리 전략은 이러한 흐름에 맞추어 지속적으로 시행되면서 변화하는 위협 환경과 함께 또는 그보다 앞서 발전해야 합니다.

운영 환경의 연결 기능이 계속 발전하면서 보안에 대한 우려는 심대한 영향을 미칠 수 있습니다. 여기 기술된 접근 방법은 기업이 지적재산권과 시설, 자산, 직원 및 경쟁 우위를 보호하기 위한 산업 모범 사례에 따르는 데 도움이 될 수 있습니다.

로크웰 오토메이션 산업 보안 솔루션에 대해 자세히 알아보기.

로크웰 오토메이션과 PartnerNetwork™가 제공하는 The Journal은 Putman Media, Inc가 발행합니다.

발행물 신청

로크웰 오토메이션과 파트너는 탁월한 지식으로 고객의 자동화 투자를 설계, 구현 및 지원합니다.

구독하기

구독하셔서 로크웰 오토메이션이 제공하는 최신 뉴스를 받아보십시오.