안전과 보안: 다른 하나 없이는 나머지 하나도 없습니다.

커넥티드 엔터프라이즈의 안전과 보안

산업용 사물인터넷(IIoT), 안전 및 보안에 관한 대화는 대부분 두 가지 주제, 즉 사람과 장비를 보호하기 위한 "스마트" 장비 또는 프로세스 안전이나 산업 제어 시스템 보안에 관한 것입니다.

이러한 대화는 중요하고 타당합니다. 그러나 너무 많은 산업 기업이 일반적인 보안 위험에 내포된 안전 문제에 초점을 맞추지 않고 있습니다.

터키에서 송유관이 해킹되어 폭발이 발생하고 3만 배럴의 원유가 유출되었을 때, 사이버 공격자들은 기존의 안전 시스템을 무력화하여 경보와 통신을 차단하고 송유관의 원유에 초고압을 가했습니다.

안전을 통한 보안 확보: 산업 보안 위협으로부터 사람,중요 인프라를 보호

한 지역 상수도 공급업체는 고객 데이터를 손상시켰을 뿐만 아니라 수처리 및 공공 안전을 관리하는 PLC의 조작을 포함해 알 수 없는 밸브 및 덕트 이동을 유발했던 사이버 보안 침해를 경험했습니다.

산업 생산에서 안전 프로그램과 보안 프로그램은 밀접하게 연결되어 있습니다.

많은 고객이 IIoT 기술을 이용해 생산 장비에 원격으로 액세스하거나, 펌프 스테이션에 무선 액세스를 허용하거나, 공장 설비를 IT 인프라에 연결하고 있습니다. 이것이 미래의 모습입니다. 이것이 기업이 자산 활용 개선, 제품 출시 시간 단축, 총 소유 비용 감소를 실현하는 방법입니다. 그러나 연결성이 높아지면 안전에 영향을 줄 수 있는 보안 위험이 증가할 수 있습니다. 더 나은 전사적 위험 관리가 중요한 이유가 바로 여기에 있습니다.

 

안전과 보안의 통합

안전과 보안은 전통적으로 별개의 것으로 간주되어 왔지만, 위험을 분석하고 완화하는 데 사용되는 접근법에는 공통점이 있습니다. 예를 들어, "액세스 제어"의 개념은 안전과 보안 간에 공통적입니다. 두 경우 모두 정책 및 절차는 비즈니스 관행, 위험 관리 접근법, 애플리케이션 요구사항 및 산업 표준을 기반으로 구축됩니다.

보안 관련 안전 사고의 가능성을 줄이려는 제조업체와 산업 운영자는 이러한 방식으로 안전을 재고해야 합니다. 구체적으로 상호 관계 속에서 안전과 보안에 대해 생각해야 합니다. 이것이 가장 큰 영향을 미칠 수 있는 3가지 핵심 영역이 있습니다.

  1. 행동: 지적재산권, 프로세스 및 물리적 자산을 보호하는 것 이외에도 보안 담당자는 안전 시스템을 모든 측면에서 핵심 가치로 보호해야 합니다. EHS, 운영 및 IT 팀 간의 협력 증대도 중요합니다. 예를 들어, 세 팀 모두가 협력을 통해 안전 및 보안을 위한 공동 관리 목표를 수립하고 공장 시스템에서 중요한 안전 데이터 요구사항을 파악해야 합니다. 또한 확고한 안전 문화는 모든 직원을 포함하기 때문에 보안과 안전의 관계에 대한 전사적인 이해가 필요합니다.
  2. 절차: 규정 준수 노력은 IEC 61508이나 61511 같은 안전 표준의 보안 요구사항을 충족해야 합니다. 반대로 보안 노력은 심층 방어(defense-in-depth) 접근법을 따라야 하고 조직의 모든 수준에서 안전 관련 보안 위험을 해결해야 합니다. 심층 방어는 IEC 62443("산업 자동화 및 제어 시스템을 위한 보안") 표준 시리즈(이전의 ISA99) 등에서 권장하는 접근법입니다.
  3. 기술: 모든 안전 기술에는 보안 기능이 내장되어 있어야 합니다. 또한 안전 시스템 침해로부터 보호하고 침해가 발생하면 신속하게 복구할 수 있는 보안 기술을 사용해야 합니다.

 

위험 완화

안전에 영향을 미칠 수 있는 잠재적 보안 위협은 매우 광범위합니다. 따라서 기업의 보안 관련 안전 위험을 완화하려면 먼저 기업이 가장 취약한 곳을 파악해야 합니다.

이를 위해 별도의 안전 및 보안 위험 평가를 수행한 다음 보고서를 비교하여 보안이 안전에 가장 큰 영향을 미치는 곳을 검토해야 합니다. 이렇게 하면 고유한 위험을 가장 효과적으로 해결할 수 있습니다.

백서 "보안을 통한 안전: 산업 보안 위협으로부터 사람, 환경 및 중요 인프라 보호"에는 제조업체와 산업 운영자가 이행해야 할 주요 완화 조치가 설명되어 있습니다.

디지털 전환은 운영의 거의 모든 측면을 평가하고 개선하기 위해 고객에게 생산 인텔리전스를 제공하는 것입니다. 이는 또한 조직 전체에서 즉각적인 정보 공유와 원활한 협업을 보장합니다.

이 모든 기회에서 연결 지점이 많아질수록 보안 위협에 대한 더 많은 진입 지점을 만들 수 있습니다. 이러한 위협이 운영과 관련된 인력, 인프라 및 환경의 안전에 미치는 영향을 이해하고 해결해야 합니다. IIoT는 안전 프로그램과 보안 프로그램을 전체적으로 통합하여 운영을 최적화할 수 있는 기회, 위험 및 능력을 제공합니다.

Lee Lane
게시됨 2017-10-02 게시자 Lee Lane, Chief Product Security Officer, Rockwell Automation
  • 문의처:

발행물 신청

로크웰 오토메이션과 파트너는 탁월한 지식으로 고객의 자동화 투자를 설계, 구현 및 지원합니다.

구독하기

구독하셔서 로크웰 오토메이션이 제공하는 최신 뉴스를 받아보십시오.