NIST 프레임워크 구현 성과로 인정받은 물 부문

현대 사회의 많은 부분이 안정적이고 안전한 중요 인프라에 의존하고 있지만 사이버 보안 위협은 복잡하고 연결된 시스템에 끊임없이 도전하여 국가 안보, 경제 안정성, 공공 안전을 위험에 빠뜨리고 있습니다. 이번 달에 발표된 GAO 보고서는 16개 중요 인프라 부문과 미국 국립표준기술연구소(NIST)의 중요 인프라 사이버 보안 개선 프레임워크의 이행 상황을 조사했습니다. 다양하고 자원이 부족한 분야인 상하수도는 정부 시설 및 방위 산업 기지와 함께 보고서에서 해당 분야 내 기관의 프레임워크 채택률이 결정된 것으로 확인된 단 세 가지 분야 중 하나입니다.

다른 중요 인프라 부문은 프레임워크 구현 측면에서 그다지 진보적이지 않았습니다. 에너지, 식품 및 농업, 정보 기술, 교통 시스템과 같은 일부 산업은 프레임워크 도입을 위한 조치를 취했지만, 중요 제조, 댐, 원자력 시설 등 나머지 9개 산업은 그렇지 못했다고 GAO는 보고서에서 밝혔습니다.

물과 폐수에서 사이버 보안 제어의 사용 증가 추세

이 보고서에 따르면 환경 보호국(EPA)이 실시한 146개 수도 시설에 대한 자발적 기술 평가 결과 보고서에서 권장하는 사이버 보안 제어의 사용이 32% 증가한 것으로 나타났습니다. "개선 및 진행 상황에 대한 데이터에는 NIST 프레임워크의 다섯 가지 기능 영역(식별, 보호, 탐지, 대응, 복구)에서 각 기관이 총체적으로 이룬 성장이 포함되었습니다."라고 보고서는 수자원부의 결과에 대해 설명했습니다. 또한, 초기 평가에서는 기관들이 5개 기능 영역에 해당하는 활동의 38%를 이행한 것으로 나타났으며, 이후 두 차례의 후속 평가에서는 그 수치가 최대 50%까지 증가했습니다. 이러한 구체적인 활동에는 분야별 모범 사례 목록 개발, 교육 및 인식 제고 프로그램 시행 등이 포함됩니다. 이 보고서는 또한 보안 프로그램의 포괄성을 평가하는 등 사이버 보안을 개선하기 위해 프레임워크를 사용하는 상하수도 기관의 사례를 공유합니다.

NIST 프레임워크는 산업 전반의 위험 관리 표준으로 간주되며 정보 기술(IT), 산업 제어 시스템(ICS), 사이버 물리 시스템(CPS), 확장 사물 인터넷(XIoT)에 이르는 다양한 분야와 기술 전반의 위험을 관리하는 데 사용할 수 있습니다. 그러나 각 공간마다 고유한 위협, 취약성, 위험 허용 범위가 있기 때문에 이 프레임워크는 사이버 보안 위험을 관리하는 데 있어 만능 접근 방식이 아닙니다. 각 공간마다 관행을 맞춤화하는 방식은 다르지만 전반적인 위험 관리의 필수 요소는 중요한 전략을 세우는 것입니다.

100일간의 스프린트에서 물과 폐수 사용량 줄이기

물은 지능형 공격자들에게 기회주의적인 표적이 되어 왔으며, 이에 따라 EPA는 지난달 4가지 사이버 보안 실행 계획을 발표하고 작년에 바이든 행정부가 산업 제어 시스템 사이버 보안 이니셔티브에서 의무화한 것과 유사한 100일간의 스프린트를 시작하게 되었습니다. CISA가 선정한 16개 중요 인프라 부문과 마찬가지로 상하수도 부문에도 문제가 있습니다. 예를 들어, 대형 상하수도 회사가 몇 개 있지만 대부분은 카운티, 지자체 또는 타운십 규모로 운영되는 소규모 기업입니다.

EPA는 성명에서 미국의 52,000개 지역 사회 상수도 시스템과 16,000개 폐수 시스템이 조기 사이버 보안 위협 탐지를 개선하고 위협 지표 및 기타 정보를 공유하여 연방 정부의 조치를 신속히 처리하는 방법을 전략화할 것이라고 밝혔습니다.

연결된 사이버-물리 시스템 보호

연결된 자산과 취약성을 정확하게 식별하고 해결 전략을 제공할 수 있는 기술에 투자하는 것이 가장 중요합니다. 보안 액세스 솔루션은 시설에서 안심하고 연결하고 역할 및 정책 기반 액세스 제어, 알림, 악성 활동을 감사, 조사 및 종료할 수 있는 기능을 제공할 수 있습니다.

위험을 줄이고 사이버 보안 위협을 더 잘 관리하는 것 외에도, XIoT용 솔루션은 컨버지드 엔터프라이즈의 사이버 보안 활동을 조정하고 우선순위를 정하는 데 도움을 줄 수 있습니다. 지속적이고 반복 가능한 개선 기회를 파악하고 우선순위를 지정함으로써 조직은 위험 관리 원칙과 모범 사례를 적용하여 규모, 사이버 보안 위험 정도 또는 사이버 보안의 정교함에 관계없이 보안과 복원력을 개선할 수 있습니다.

사이버 보안 위험은 수익에 영향을 미칩니다. 비용을 증가시키고 매출에 영향을 미치며 혁신과 고객 확보 및 유지 능력에 해를 끼칠 수 있습니다. 사이버-물리 보안 솔루션을 사용하면 경영진이 사이버 보안 활동을 안내하고 위험 관리 프로세스를 고려할 수 있는 비즈니스 동인에 집중할 수 있습니다. 이러한 도구는 조직이 중요한 서비스 제공에 필요한 조치를 결정하고 ROI 투자 우선순위를 정하는 데 도움이 될 수 있습니다.