21세기 사이버보안 시장조사
인프라 보호
전 세계적으로 중요성이 증가하고 인간 활동의 모든 측면에 컴퓨터가 통합됨에 따라 사이버 범죄가 확산되어 이제 인구, 국가, 정부, 기업 및 주요 인프라에 심각한 위험을 초래하고 있습니다. 인터넷에서 생성된 범죄 활동으로 인해 세계 경제에 연간 $4000억 달러 이상의 손실이 발생하는 것으로 추산됩니다.. 1 금전적 가격과 잠재적 위험 확인하지 않으면 사이버 범죄는 확실히 계속해서 증가할 것입니다..
에너지 인프라에 대한 공격은 아마도 가장 잠재적으로 재앙적인 공격일 것입니다. 에 의해 시작 핵티비스트, 적대적인 정부, 불량 국가, 유사 종교 세력, 단독으로 또는 동시에 컴퓨터 공격이 증가하고 있으며 어떤 경우에는 종종 오래되거나 부적절한 인프라 보루의 경계에 침투하는 데 성공하고 있습니다. 그러한 범죄적 노력의 의미는 불길합니다. 수처리 시설, 에너지 파이프라인, 통신, 위성 시스템, 은행 기관, 발전소가 사이버 공격으로 인해 비활성화되거나 심지어 파괴되는 것을 상상해 보십시오. 그러한 침입의 결과는 피해를 입은 인구 사이에 불안과 혼란을 야기할 수 있으며 경제는 심각하게 약화되고 손상됩니다.
급증하는 사이버 범죄의 배후에 있는 사람들은 매 순간 기술적으로 더욱 발전하고 있으며 간첩 활동, 정치적 책략, 테러, 노골적인 전쟁 등의 행위를 통해 중요한 인프라 시스템을 교란, 파괴 및 손상시킬 수 있는 방법을 찾고 있습니다. 2013년에만 미국 국토안보부 관리들은 중요 인프라를 겨냥한 사이버 범죄 미수 사건을 256건 보고했으며 이들 중 대부분은 에너지 부문에 집중되어 있습니다. 2 레온 패네타 전 국방장관은 심지어 미국이 자신이 '사이버 진주만', '9/11 이전의 순간'이라고 부르는 위협에 직면하고 있다고 주장하기까지 했습니다. 그는 잠재적으로 오염된 물 공급, 대규모 정전, 강제 탈선되는 열차에 대한 끔찍한 그림을 그렸습니다.3
맬웨어, 바이러스, 웜, 스파이웨어, 비밀번호 공격, 무차별 침입, DoS(서비스 거부) 공격 등 사이버 공격을 수행하는 방법은 무수히 많습니다. 이러한 사이버 공격 방법은 중요 인프라의 보호 시스템에 과부하를 걸거나 감염시켜 침투를 더 쉽게 만들 수 있습니다. 공격 방법론과 사이버 범죄의 가해자를 적절하게 식별하고 저지하지 않으면 방어 시스템과 대상 인프라가 비활성화되거나 심지어 파괴될 수도 있습니다.
2월 12일th, 2013년 버락 오바마 미국 대통령이 발행한 행정명령 13636, “핵심 기반 시설 사이버 보안 개선”은 “국가의 중요 기반 시설의 보안과 회복력을 강화하고 안전, 보안, 비즈니스 기밀 유지, 개인 정보 보호 및 시민의 자유.”4
이 명령으로 인해 조직이 사이버 범죄 문제를 처리하는 데 도움을 주기 위해 설계된 사이버 보안 프레임워크가 확립되었습니다. 민간 부문과 정부 간의 이러한 공동 노력은 의사소통을 위한 통일된 언어를 확립하고 효과적인 사이버 보안 조치를 구현하는 비용에 민감한 방법에 중점을 두었습니다. 행정명령 13636과 관련하여 제정된 직접적인 규정은 없습니다.
오바마 대통령이 지시했다. NIST, 국립 표준 기술 연구소(National Institute of Standards and Technology)는 국가의 중요 인프라에 대한 사이버 범죄의 위험을 최소화하기 위한 자발적인 계획을 수립하기 위해 행정 명령의 직접적인 영향을 받는 기관 및 기업과 협력합니다. 이러한 모든 노력은 다양한 부문의 표준과 절차를 통합하고 신속하게 시행할 수 있는 지침을 만들기 위해 수행되었습니다. 이를 위해 산업간 소통과 협력도 장려됐다. NIST는 2014년 2월에 프레임워크에 대한 연구소의 의도된 미래 방향을 밝히는 로드맵과 함께 프레임워크의 첫 번째 초안을 공개했습니다.
예상대로, 사이버 범죄, 핵티비즘, 사이버 테러 활동, 사이버 전쟁을 줄이려는 노력에는 정부 기관과 민간 부문의 이익이 확대되는 과정이 수반됩니다. 그 중에는 NERC, 북미 전기 신뢰성 공사. NERC는 “북미 지역의 대량 전력 시스템의 신뢰성을 보장하는 것을 임무로 하는 비영리 국제 규제 기관입니다.” 5 미국, 캐나다 및 멕시코 바하칼리포르니아 일부 지역을 담당하는 NERC는 신뢰성 표준을 만들고 이를 시행합니다. 또한 업계 인력의 교육 및 인증에도 참여하고 있습니다.
그만큼 CIPC (중요 인프라 보호 위원회)는 NERC 산하에서 운영됩니다. 업계의 사이버, 운영, 물리보안 전문가들로 구성되어 있습니다. 또한 전력 하위 부문 조정 협의회도 포함됩니다. (ESCC) 이는 연방 정부와 협력하여 중요한 인프라를 보호하고 확인된 체계적 약점에 관한 중요한 정보의 교환을 촉진하도록 설계된 개념과 자원을 개발합니다.
NERC는 감독을 받습니다. FERC, 연방 에너지 규제위원회. FERC는 “전기, 천연가스, 석유의 주간 송전을 규제하는 독립 기관입니다. FERC는 또한 액화천연가스(LNG) 터미널과 주 간 천연가스 파이프라인 건설 제안뿐 아니라 수력 발전 프로젝트 허가도 검토합니다. “6 2005년 에너지 정책법은 인프라 안전, 신뢰성 및 보안 증진을 포함하여 FERC에 더 많은 책임을 부여했습니다.
오바마 대통령은 2015년 2월 스탠포드 대학에서 연설하면서 미국 정부와 기술 부문이 사이버 범죄에 맞서기 위해 협력할 것을 요청했습니다. 에드워드 스노든의 국가안보국 관련 유출 이후 신뢰 회복 노력 (NSA), 오바마 대통령은 국가의 중요한 인프라와 컴퓨터 네트워크의 상당 부분이 민간 부문에 존재하므로 제안된 공동 노력이 필요하다는 점을 인정했습니다. 그는 또한 정부가 사이버 보안 위협과 관련된 정보를 가장 먼저 수신하는 경우가 많아 통합된 위협 퇴치 노력의 이점을 더욱 강화한다는 사실을 강조했습니다. 대통령의 발언은 최근 북한이 자행한 것으로 추정되는 공격을 계기로 촉발됐을 가능성이 있다. 또한 1월에는 지하디스트 네트워크의 이슬람 국가 동조자들이 미국 중부 사령부, 트위터, YouTube를 포함한 해킹 활동을 목격했습니다. 7 Home Depot, JP Morgan Chase, Anthem도 최근 해킹 사건의 대상이 되었습니다.
대통령의 핵심 고문들은 3개의 새로운 사이버 보안 그룹이 창설되었다고 밝혔습니다. 이는 민간 부문과 정부 간의 정보를 대조하는 연준의 능력을 강화하는 새로운 행정 명령에 따른 것입니다. 창립 기관에는 사이버 대응 그룹, 사이버 위협 인텔리전스 통합 센터, 국가 사이버 보안 및 통신 통합 센터가 포함됩니다. 앞으로도 지속적인 발전을 보일 것입니다. ISAO의 (정보 및 분석 공유 조직)은 중요한 사이버 보안 정보의 집계를 크게 촉진해야 합니다.
NERC 규정 준수를 위한 주요 동인
NERC 신뢰성 표준은 전력 회사에 지울 수 없는 영향을 미쳤습니다. 에너지 부문 내 기업이 이러한 새로운 표준의 의무적 구현을 다루기 때문에 규정 준수 및 제정의 주요 동인은 영향을 받는 회사의 규모, C Suite의 태도, 주주의 압력, 공급업체의 외부 영향력에 따라 달라집니다. NERC는 플랫폼 전반에 걸쳐 광대역 기술을 향상하고 대량 전력 시스템 내에서 사이버 보안 입지를 강화하기 위한 노력의 일환으로 중요한 보안 전문가의 교육 및 인증을 지속적으로 촉진하고 있습니다. 사이버 범죄자의 기술적 역량이 성장함에 따라 취약한 에너지 인프라를 보호하는 임무를 맡은 사람들은 업계 간 의사소통과 NERC 및 관련 정부 기관과의 협력을 통해 한발 앞서 나가야 합니다.
NERC CIP
NERC CIP 준수는 사이버 공격 및 서비스 중단으로부터 중요한 인프라 자산을 보호하기 위한 보안 안건 및 프로토콜을 개발하는 유틸리티를 지원합니다. CIP(중요 인프라 보호) 규범은 규정 준수를 위한 필수 요구 사항을 정의하고 대량 전력 시스템이 신뢰성을 유지하도록 보장합니다. 급속한 기술 발전과 사이버 공격자의 능력 확대로 인해 규정 준수가 점점 더 어려워지고 중요해졌습니다. 이제 다섯 번째 통합(버전 5)에서 CIP 표준은 회사의 중요 자산을 식별하는 데 도움이 되며 해당 자산에 연결된 사람과 해당 자산에 액세스할 수 있는 엔터티를 식별하는 데 도움이 됩니다. NERC CIP는 논리적 보호, 물리적 보안 및 보안 관리 제어를 포함합니다. 8단계와 9단계에서는 효과적인 사이버 보안 대응 및 재해 복구를 다룹니다.
이러한 표준과 규정에도 불구하고 일부 사람들은 충분하지 않다고 생각합니다. 질문이 생깁니다. 단순한 준수만으로 충분합니까? 그것이 실제로 21세기에 우리의 필수 전력 인프라에 필요한 보안과 보호를 제공합니까?성 세기? 이 문서에서는 계속해서 해당 문제를 다룰 것입니다.
NIST 프레임워크
NIST 사이버보안 프레임워크는 모든 부문에서 미래 행동을 주도할 수 있는 잠재력을 갖고 있습니다. 프레임워크는 사이버 보안에 대해 이야기하는 사람들 간의 대화의 정상화를 촉진하고 일련의 아이디어, 개념 및 원칙을 중심으로 융합할 수 있다는 점에서 불가지론적입니다.
NIST 특별 간행물 800-53 개정 4는 "주로 사이버 공격의 정교함 증가와 적의 작전 속도(즉, 그러한 공격의 빈도, 공격자의 표적화 지속성).”8 800-53은 애플리케이션 보안, 모바일/클라우드 컴퓨팅, 공급망 방어와 직접적으로 관련된 보안 제어 개발을 가속화하고 있습니다.
NIST 프레임워크는 중요한 에너지 인프라에 대한 사이버 보안을 개선하는 핵심 구성 요소입니다. 이는 위협 기반을 더 잘 이해하고 업계 전문가가 이러한 사이버 위협(고급적이고 지속적인 위협인지 또는 일상적인 해커의 작업인지 여부)에 가장 잘 대응할 수 있는 방법을 더 잘 이해하는 데 필요한 대화를 생성할 수 있는 잠재력을 가지고 있습니다.
준수를 위한 노력
전력 부문과 기타 산업이 발전함에 따라 규정 준수 자체가 진화된 사이버 보안 조치 구현과 관련된 변화의 주요 동기이자 원동력이 되었습니다. 종종 다국적 파이프라인 벤처에 참여하는 석유 및 가스 분야의 최대 규모 조직만이 글로벌 규모의 사이버 공격의 매력적인 표적으로 간주됩니다. 자율적으로 사이버보안 표준 준수에 앞장서고 있는 기업들입니다. 이렇게 인식된 타겟팅은 실제로 동인입니다. 소규모 회사는 목표가 있다고 느끼는 경향이 적기 때문에 주로 규정 준수 요구 사항 자체에 의해 동기가 부여됩니다.
최고 경영진의 영향
많은 조직은 NERC 규정 준수와 관련하여 주로 최고 경영진의 결정에 따라 움직입니다. 영향을 받는 조직 내에서는 누가 무엇을 통제하고 누가 특정 회사 내에서 일을 수행할 권한과 추진력을 가지고 있는지에 대해 많은 권력 투쟁이 있습니다. IT 직원과 OT 직원 사이의 단절로 인해 유용한 협업이 결여되는 경우가 많습니다. 규정은 무시할 수 없으며 조직이 의무적인 방식으로 운영하도록 인센티브를 제공하지만 규정 준수는 보안과 다릅니다. 실제 보안이 무엇인지 또는 규정 준수만으로 충분한지에 대해서는 회사마다 큰 차이가 있습니다. 단순한 규정 준수에 안주하는 사람들은 해킹과 사이버 공격에 취약해질 수 있습니다.
이해관계자 및 주주 만족
정부 및 민간 업계에서는 NERC 표준 구현 시 고려해야 할 다른 사항이 있습니다. 로비스트와 그들이 대표하는 사람들은 민간 부문 업계의 주주들과 마찬가지로 사이버 보안 노력과 관련하여 많은 위험에 처해 있습니다. 두 가지 모두 만족되어야 하며 이를 달성하는 것은 결코 작은 일이 아닙니다. 정부는 규정 준수 임계값을 낮게 유지해야 한다는 압력을 받고 있으며, 이는 전력 부문이 실제로 달성하기 어렵게 만듭니다. 진짜 사이버 공격에 대한 보안. 유틸리티 산업에서는 모든 규제 감독으로 인해 비용이 발생하며 이는 결국 주주에게 영향을 미칩니다. 의미 있는 정보 교환에는 함께 노력해야 합니다. 오바마 대통령은 최근 사이버보안 정상회의에서 다음과 같이 언급했습니다. “정부 혼자서는 이 일을 할 수 없습니다. 하지만 새로운 위협에 대한 최신 정보를 갖고 있는 곳이 정부이기 때문에 민간 부문도 혼자서는 할 수 없는 것이 사실입니다.”9
공급업체의 영향
공급업체는 에너지 부문에서 사이버 보안 조치를 지속적으로 구현하는 데 자체 영향력을 행사하려고 시도하고 있습니다. 국제 통제 시스템을 갖춘 대부분의 회사는 다양한 공급업체의 장비를 활용합니다. 이러한 공급업체는 자체 보안 및 가시성을 제품에 통합합니다. “모든 서로 다른 데이터베이스 관리 시스템을 통합하고 사용자에게 단일 통합 쿼리 인터페이스를 제공하기 위해 HDB(이기종 데이터베이스 시스템)를 생성하는 단일 개체는 없는 것 같습니다.” 10 이를 위해서는 표준 기관만이 제조업체와 소통해야 하는 것이 아닙니다. 또한 제조업체가 컨소시엄을 구성하기 위해 서로 대화하는 것도 포함됩니다. 모든 것을 고려해 볼 때, 어느 하나의 주체가 NERC 준수의 핵심 동인이 될 수는 없습니다. 최종 사용자, 표준 기관 및 국제 제어 시스템 공급업체는 성공적인 구현을 달성하기 위해 노력을 통합해야 합니다.
에너지 부문 보안의 주요 영향 요인
NERC가 가장 큰 영향력을 갖고 있는 반면, 다른 외부 회사, 규정 준수 기관 및 포럼도 에너지 부문의 보안 운영을 지원하고 강화합니다. NERC는 연방에너지규제위원회의 위임된 권한이기 때문에 가장 강력한 것입니다. (FERC). 이들은 어떤 보안 표준을 준수해야 하는지 규정하는 규제 감독권을 갖고 있으며 상당한 재정적 영향을 미치는 벌금을 부과할 수 있는 능력을 보유하고 있습니다. NERC는 소셜 미디어에서 전력 회사에 영향을 미치고 회사 문화에 영향을 미치며 평판을 높이는 능력을 갖추고 있습니다. 이들의 명백한 영향력에도 불구하고 NERC가 필요한 작업을 수행할 수 있는 기술적 역량을 갖추고 있는지 의심스럽습니다.
연방 공간에 법인이 존재하지 않는 한 NERC CIP를 준수해야 합니다. TVA 및 Bonneville Power와 같은 연방 측의 특정 발전소에는 추가 작업이 있습니다. NERC CIP 규정 준수 표준을 충족해야 하며 FISMA(연방 정보 보안 관리법) 및 NIST(국립 표준 기술 연구소) 요구 사항 및 지침도 충족해야 합니다. 그들은 CIP 목표와 NIST 제어 목표를 충족하고 프로세스 중복과 불필요한 작업 참여를 방지하기를 원합니다.
스페인계 미국인 인도 찬디가르의 정보기술진흥협회(The Society for the Promotion of Information Technology)는 산업 표준화를 위한 스마트 그리드 개발에 영향력을 발휘해 왔습니다. 유럽에서는 국제전기기술위원회(International Electrotechnical Commission) (IEC) “기업, 산업, 정부가 요구하는 국제 표준을 충족하고 논의하고 개발할 수 있는 플랫폼을 제공합니다. 업계, 상업, 정부, 테스트 및 연구소, 학계, 소비자 단체 등 10,000명 이상의 전문가가 IEC 표준화 작업에 참여하고 있습니다.”11 IEC는 국제표준화기구(International Organization for Standardization)와 협력하고 있습니다. (ISO) 국제전기통신연합(International Telecommunication Union) (ITU) 글로벌 표준을 통합 및 통합하고 전 세계 업계 전문가의 지식을 융합합니다.
미래는 NERC 표준에 어떤 영향을 미칠까요?
항상 존재하는 사이버 공격, 해킹 및 간첩 행위의 위협은 에너지 인프라를 보호하기 위해 고안된 NERC 표준 및 관련 산업 조치의 미래 발전을 계속해서 형성하고 지시할 것입니다. 다른 국가, 정부, 적대적인 정치/종교 세력은 잠재적으로 북미와 대량 전력 시스템을 표적으로 삼을 수 있습니다. 이는 미국과 해외의 사이버 보안의 미래를 살펴볼 때 확실히 역동적인 요소입니다. 앞으로 몇 년 동안은 현재의 학습된 예측 및 추세 분석에 의존하는 것과는 달리 더욱 실시간 탐지 기능이 출현하게 될 것입니다.
최근 에너지 인프라의 보안을 강화하려는 업계 전반의 노력에도 불구하고 일부에서는 오늘날 구축 및 배포된 시스템이 고급 사이버 공격을 견딜 수 없다고 생각합니다. 이를 위해 NIST 특별 출판물 800-160은 "잘 확립된 국제 표준 기반 시스템 및 소프트웨어 엔지니어링 프로세스와 긴밀하게 연결되고 완전히 통합되는 시스템 보안 엔지니어링 프로세스"를 정의하려고 시도합니다.12 "올바른 구축, 지속적 모니터링"이라는 모토로 시스템 개발자와 통합자가 NIST 보안 방식을 소프트웨어 및 시스템에 통합할 수 있도록 하는 4단계 프로젝트를 시작했습니다. 또한 800-160이 사이버 공격의 위협을 축소하기 위해 시스템 엔지니어와 시스템 보안 엔지니어 간의 향상된 대화를 촉진할 것으로 기대됩니다.
기술이 주도하는 변화
북미 지역의 에너지 부문 사이버 보안 노력에는 시간이 편해지지 않는 것 같습니다. 규제 기관은 점진적인 변화를 촉진하려고 노력하고 있지만 국제 제어 시스템 공급업체는 느리게 움직이는 경우가 많으며 대기업은 자체 시스템을 넘어서는 어떤 것에도 투자할 의향이 없는 경우가 많습니다. 새로운 기술은 시장을 깨우고 OT 직원이 운영을 방해하지 않는 혁신적인 제품을 설치할 수 있도록 하는 데 필요한 변화의 주체가 될 수 있습니다. 또한 이러한 기술을 통해 IT 전문가는 적절한 보안 조치를 제공할 수 있습니다.
변화 자체는 민간 에너지 부문에 종사하는 대부분의 대기업에게 장애물입니다. 종종 그들이 현재 보유하고 있는 기술은 수년 동안 운영되어 왔습니다. 이는 보다 새롭고 안전한 보안 제품과 통합되도록 설계되지 않았습니다. 기업 보안 공급업체가 제시하는 새로운 접근 방식은 종종 저항에 부딪히며, 활용되는 새로운 제품은 기존 시스템과의 통합을 위해 조정해야 하는 다양한 기업 솔루션이 뒤죽박죽된 형태입니다.
이상적으로는 벌크 전력 산업을 포괄하는 보호 기술 보안 패브릭이 필요하지만 이를 위해서는 초기 투자가 필요합니다. IT와 OT 그룹이 실제로 새로운 기술을 설치하는 데 함께 협력할 수 있도록 통합하려는 의제를 추진하는 사람은 아무도 없습니다. HMI나 운영과 관련된 기계를 패치하는 것과 같은 초보적인 프로세스조차도 엄청난 도전입니다. NERC 버전 5 패치 규정을 제정했지만 프로세스가 자동화되더라도 공급업체가 패치를 승인하는 데 수개월이 걸리고 그 사이에 발전소가 보호되지 않습니다.
보안 수명주기의 주류 조직 프로세스
보안 제어를 더욱 포괄적이고 효과적으로 만들기 위해서는 기관 간 매핑이 절실히 필요합니다. NERC CIP, ISO 27000 통제, 기업이 사이버 보안 노력을 강화하기 위해 사용하는 모든 제품 이것이 NIST나 ISO가 수행한 작업에 매핑됩니까? 이러한 서로 다른 표준과 통제를 초월하려면 일련의 "모범 사례"가 필요합니다. 액세스 제어 및 식별, 인증, 시스템 암호화 기능을 내장한 제조업체의 경우 프로세스가 훨씬 더 복잡할 수 있습니다. 개발자에게 중요한 소스 코드와 기타 중요한 디자인 요소에 액세스할 수 없는 경우가 많습니다. 액세스할 수 없는 시스템의 하드웨어, 소프트웨어, 펌웨어에 묻혀 있습니다. 이러한 상황을 해결하려면 보안 수명주기의 설계 및 개발 프로세스 초기에 NERC CIP, NIST 및 ISO 제어를 통합해야 합니다. 궁극적으로 사이버 보안 방어는 팀 스포츠입니다. 중요 인프라는 작동 가능해야 할 뿐만 아니라 연중무휴 24시간 작동해야 합니다. 공공 및 민간 부문에는 많은 주요 관계자들이 참여하고 있으며, 긍정적인 측면에서는 개발자들이 이미 해야 할 일을 많이 하고 있습니다.
사이버보안 보험
사이버 사고(데이터 도난, 네트워크 파괴, 상거래 중단)로 인해 발생하는 손실을 최소화하도록 설계되었습니다. 사이버 보안 보험은 구현 초기 단계에 있습니다. 이는 신용카드/결제 업계에서 이미 자명합니다. 보험 회사는 캠페인의 초기 단계에 있어 큰 위험 전력 생산업체가 사이버 위험에 대해 보험에 가입한다면 보험은 어떤 모습일까요? 에너지 부문에서 보험 통계 테이블을 생성하기 위한 사이버 범죄 데이터가 급증하지 않기 때문에 시간이 좀 걸릴 수 있습니다. “사이버 범죄로 인해 기업은 평균 $1~$3백만의 손해를 입게 되며, 이로 인해 중소기업이 파산하고 민사 소송이 제기되며 벌금이 부과될 수 있습니다.”13
건전한 사이버 보안 보험 시장이 존재하면 사이버 공격을 잠재적으로 줄일 수 있습니다.
예방 조치와 "모범 사례"를 제정하는 에너지 관련 분야에 더 많은 적용 범위가 제공될 수 있습니다. 현재 많은 기업에서는 비용이 엄청나다고 생각하고, 보장 범위가 불확실하며, 사이버 공격의 대상이 되지 않을 것이라는 위험을 감수하고 있기 때문에 이용 가능한 보장을 거부하고 있습니다. 국토안보부(DHS)는 최근 “사이버 보안 보험 시장의 현재 상태를 조사하고 더 나은 사이버 위험 관리를 장려하기 위한 역량을 가장 잘 발전시킬 수 있는 방법을 조사하기 위해 광범위한 공공 및 민간 부문 이해 집단을 모았습니다..”14
사이버 보안 구현의 주요 영향 요인
NERC 보안 표준이 지속적으로 발전하고 개정됨에 따라 FERC 및 유틸리티 회사는 지속적인 개선을 촉진하기 위해 중요한 의견과 건설적인 의견을 제공하고 있습니다. 공급업체는 확실히 표준 개발을 주도하고 지침을 지원하고 있습니다. 각 세력이 얼마나 많은 영향력을 갖고 있는지는 논쟁의 대상입니다. 모든 아이디어가 환영받고 타당하다는 전제 하에 표준을 사용하려는 사람들은 최종적으로 표준이 확정되기 전에 영향을 미칠 수 있습니다. 일단 설치되면 다음 버전이 나올 때까지 기다리는 것 외에는 할 수 있는 일이 없습니다. 어떤 사람들은 가장 큰 소리를 지르는 사람이 가장 좋은 결과를 얻는 사람이라고 믿습니다. 많은 똑똑한 개인들이 다양한 위원회에서 자신의 소중한 의견을 공유하며, 그들 중 가장 영향력 있는 사람이 실제로 변화에 영향을 미칠 수 있습니다.
DOE와 국토안보부
대부분의 업계 관계자는 에너지부(DOE)와 국토안보부를 NERC CIP 표준 및 규정 개발에 영향력을 행사하고 감독하는 주요 제공자로 꼽습니다. DOE는 주도권을 잡고 사이버 보안 환경의 다양한 영역에서 우수한 인력을 배치하는 데 중점을 두고 있는 다양한 연구소와 우수 센터를 식별해 왔습니다. NEI와 같은 다른 그룹은 NERC 표준 개발에 큰 영향을 미칠 수 있습니다. "NEI 로비스트들은 2014년에 영향력을 행사하여 로비 지출로 $2백만이 넘는 금액으로 그들의 의제에 대한 관심을 끌었습니다."15 이러한 기관과 기타 여러 기관은 국가의 에너지 인프라에 영향을 미치는 시급한 문제를 해결하기 위해 대량 전력 시스템 기관과 상호 작용합니다. 프로세스에 가장 적극적으로 참여하는 회사, 특히 대규모 회사는 프로세스에 더 큰 영향을 미치는 경향이 있습니다.
유용한 지침을 제공하기는 하지만 제안된 표준을 준수하는 것이 법은 아닙니다. 유틸리티 및 벤더는 몇 가지 실용적인 표준 관행을 제안했지만 이는 필수 사항은 아니므로 개별 회사가 이를 따를지 여부를 결정합니다. 유틸리티 회사와 공급업체가 표준과 지침을 만들기 위해 더욱 적극적으로 협력하는 것이 중요합니다. NERC와 NIST는 자체적으로 이를 수행할 수 없지만 NERC는 기본 기준에 영향을 미치고 궁극적으로 정의할 수 있습니다.
전력 회사의 영향
NERC의 초안 작성 팀은 업계 인력으로 구성되어 있으므로 협력적인 노력을 기울이고 있습니다. 이들은 실제 현장에서 일상 업무를 수행하며 표준 초안 작성 팀에 의견을 제공하는 사람들입니다. 많은 사람들이 매우 분산화된 전력 산업에 종사하고 있습니다. 에너지 부문의 회사는 수익성과 제공하는 서비스에 대해 부과할 수 있는 비용에 영향을 미치는 다양한 주별 요율 구조를 가지고 있습니다.
발전소에서 사이버 보안을 강화하려면 상당한 투자가 필요하며 누군가는 이에 대한 비용을 지불하게 됩니다. 회사의 수익은 비즈니스 현실이고 만족해야 할 이해관계자가 있기 때문에 사이버 보안 논의의 일부로 고려해야 합니다. 재정적 고려 사항에 따라 보안 통제 구현 여부가 결정될 수 있으며, 새로운 표준 및 규정의 적용에 대한 모든 논의에서 이 사실을 강조해야 합니다. 국가는 반드시 힘을 가져야 합니다. 이는 정보 기술과 마찬가지로 중요한 인프라 분야 중 가장 중요한 분야 중 하나입니다. 그것은 모든 것을 초월합니다.
연구소의 영향
EPRI, Cyber Security Center of Excellence, NSCO와 같은 연구 기관은 높은 수준의 전문성으로 인해 NERC CIP 보안 표준 개발에 영향력을 행사하고 있습니다. 다양한 조직의 이해관계자들이 차세대 표준을 만들기 위해 합의하여 테이블에 모였습니다. 물론, 각 조직에는 홍보해야 할 고유한 의제가 있으며 이는 궁극적으로 표준이 더 좋아지거나 나빠지는 방식을 결정합니다. 공개 심사 프로세스와 하위 표준도 새로운 NERC CIP 개정의 세부 사항을 결정하는 역할을 합니다.
NERC 준수의 어려움
NERC CIP 규정 및 표준이 개정되고 합의되면 에너지 부문에서 시행됩니다. 불행하게도 규정 준수 팀, 법률 팀 및 관리자는 이러한 권장 사항과 요구 사항을 정확하게 해석하는 방법에 어려움을 겪고 있습니다. 그들은 어떤 조치를 취해야 할지 확신이 없는 경우가 많습니다. 대부분은 기꺼이 준수할 준비가 되어 있지만 일부는 규제 언어의 공식적인 의미를 식별하는 데 어려움을 겪습니다. 이는 NERC 표준 및 규정에 대한 변덕스럽고 모호한 해석에 의존해야 하는 규정 준수 담당자에게 혼란을 야기할 수 있습니다.
그만큼 ISA (계측, 시스템 및 자동화)은 모든 사람이 같은 방향으로 나아갈 수 있도록 NERC의 조항을 구현하는 방법에 대한 지침과 지침에 대한 철저한 참조를 제공합니다. ISA의 2014 사이버 보안 컨퍼런스는 "사이버 위협으로 인한 심각하고 잠재적으로 파괴적인 피해로부터 산업 네트워크 및 제어 시스템을 보호하기 위해 무엇을 할 수 있는지 조명합니다."16
NERC CIP의 불명확한 특성에 대응하기 위해 많은 기업에서는 요구 사항을 이행, 완화 또는 준수하려는 방법을 적극적으로 문서화하고 있으며 감사자가 이러한 부지런한 기록 보관에서 장점을 찾을 수 있기를 바랍니다. 현재 매우 많은 해석이 존재하기 때문에 감사자는 회사가 NERC CIP 준수와 관련하여 의도한 대로 수행했는지 여부만 확인할 수 있습니다. 또한 일부 발전소에는 표준 및 규정 준수를 가능하게 하는 전자 제품 및 장치(예: Seimans 및 GE에서 제조한 제품)가 부족하기 때문에 표준 및 규정을 준수하는 데 어려움을 겪고 있습니다.
NIST와 Ir7628의 영향
NIST(국립표준기술연구소)는 최근 NISTIR 7628 개정 1, 스마트 그리드 사이버 보안 지침을 발표했습니다. "조직이 스마트 그리드 관련 특성, 위험 및 취약성의 특정 조합에 맞는 효과적인 사이버 보안 전략을 개발하는 데 사용할 수 있는 포괄적인 프레임워크"를 제공하기 위해.17 NIST 지침은 NERC CIP에 대한 규제 감독을 부과하지 않지만 여전히 에너지 부문에 영향을 미칩니다.
NERC가 더 심각하게 받아들여지고 있지만 NIST 표준은 정기적으로 많은 사이버 보안 플랫폼에 통합되어 중요한 인프라 보호가 진행되는 방식을 제시할 수 있습니다. NIST의 중요성에 대해서는 의견이 다양합니다. NIST 지침 준수는 자발적이므로 기업이 이를 따라야 할 의무는 없습니다. 또한 에너지 시장은 극도로 세분화되어 있으며 많은 기업이 사이버 보안과 관련하여 NIST가 제안한 많은 조치를 구현하는 데 적절한 인력이나 필요한 자금이 없습니다.
기업이 NIST를 따를지 아니면 NERC를 따를지 여부를 결정하는 가장 큰 요인은 돈일 것입니다. 에너지 기업이 갖고 있는 수백 가지 우선 순위를 고려할 때, 사이버 보안 구현의 예산 영향은 종종 더 시급하고 즉각적인 문제로 보이는 것보다 뒷자리에 놓이게 됩니다. 존재감 그 이상으로 유행어, 프레임워크를 통합하는 데 비용이 많이 들고 종종 그러한 비용에 대한 예산이 존재하지 않습니다. 그 외에도 많은 사람들은 산업 제어 시스템 공급업체가 다른 공급업체의 제품과 함께 작동하는 작업 솔루션을 제공할 수 있는지 의심합니다. 그들은 제3자의 개입을 경계합니다. 보안 전문가는 자신이 무엇을 해야 하는지 알고 있지만 예산을 어디서 찾을 수 있는지 모르고 NERC와 NIST가 제안하는 좋은 아이디어를 구현하기 위해 어떤 기술을 사용해야 하는지 확신하지 못합니다.
공개 댓글이 실제로 영향을 미치나요?
"전국의 개인과 조직은 중요한 인프라 사이버 보안을 의미있게 향상시킬 표준, 모범 사례 및 지침에 대한 생각을 제공했습니다."18 사이버보안 프레임워크의 방향에 관한 의견은 언제나 환영합니다. 궁극적인 목표는 기업, 공급업체, 고객 및 정부 기관이 자신을 가장 잘 보호할 수 있는 방법을 결정할 수 있는 공통 언어와 방법론을 제공하는 것입니다. Microsoft, FERC 출신이거나 훌륭한 아이디어를 갖고 있는 관심 있는 시민 개인이든 모두 동등한 존경심을 가지고 대우받습니다. NIST는 주로 아이디어가 기술적으로 타당하고 비용 효과적인지, 구현 가능한지에 관심이 있습니다.
때때로 NIST는 계약을 맺고 항공우주와 연결된 연방 자금 지원 연구 개발 센터 또는 국방 분석 연구소(Institute for Defense Analysis)로부터 첫 번째 초안을 작성하는 데 도움을 주는 지원을 받습니다. 초안이 완성되면 공공 및 민간 이해관계자가 이를 보고 의견을 제시할 수 있는 웹사이트에 게시됩니다. NERC는 사람들이 제안된 표준에 대한 반응을 스스로 평가할 수 있도록 접수된 의견을 요약하고 게시합니다. NIST는 업계 전문가 팀이 개별 의견을 검토하고 답변을 제공하는 판정 프로세스를 사용합니다. 결국 의견은 NIST가 각 특정 의견에 대한 최종 판결(철저한 프로세스)에 도달하는 데 도움이 됩니다. NIST가 달성하려는 목표는 사람들이 사이버 보안에 대해 논의할 때 발생하는 대화의 정상화입니다. 이를 통해 다양한 부문의 아이디어, 개념 및 원칙을 통합할 수 있으며 프레임워크 구현 방법에 대한 다양한 선택 사항을 제시할 수 있습니다.
NIST의 미래
향후 몇 년 동안 승인된 프레임워크의 5개 개정판이 지속적으로 구현될 것입니다. 버전 6과 7이 곧 출시될 예정이며 설명을 위해 언어가 일부 변경될 예정입니다. 순환도로에서 충격적인 격변이 발생하지 않는 한, NERC CIP는 NIST 표준과 데이터를 통합하고 구현 지침에 추가적인 특수성을 추가하여 계속 발전하고 있습니다. NIST 표준은 전력 시스템 내에서 외부 세력의 공격과 침입을 방지하고 에너지 그리드에 대한 제어를 유지하기 위해 존재합니다. 재해 복구와 관련하여 대량 전력 시스템의 모든 측면이 고려됩니다.
NERC CIP와 마찬가지로 NIST 지침에는 구현이 많은 해석의 여지가 있는 모호함이 있습니다. 현재 NIST는 회사에 제3자 문서를 많이 참조하고 있는데, 이는 사람들에게 많은 세부 사항이 부족한 것처럼 보입니다. NIST 문서 "IEC 62443-2-1:2010(E)는 산업 자동화 및 제어 시스템(IACS)을 위한 사이버 보안 관리 시스템(CSMS)을 구축하는 데 필요한 요소를 정의하고 해당 요소를 개발하는 방법에 대한 지침을 제공합니다."19
발전하는 기술은 이러한 진화의 핵심인 컴퓨터 하드웨어와 소프트웨어를 중심으로 가까운 미래에도 삶의 모든 측면에 계속해서 영향을 미칠 것입니다. 상황이 점점 더 복잡해짐에 따라 사이버 보안 제품 및 시스템 구축과 관련하여 더 많은 성찰이 필요할 것입니다. 과학자와 기술자가 자신의 소프트웨어에 내장된 내용을 완전히 이해하지 못하는 지점에 도달할 수도 있습니다. 너무 복잡해져서 보호 방법을 이해하지 못할 수도 있습니다. 어떤 사람들은 업계가 이미 그 지점을 지났다고 생각합니다. 현재와 미래의 사이버 공격으로부터 운영 체제를 방어하려면 시스템 및 제품 수준에서 IT 인프라를 대폭 리엔지니어링해야 할 수도 있습니다.
이를 위해서는 고도로 보장된 구성 요소와 시스템을 구축하기 위해 기술적 원리, 개념 및 방법론에 대한 신뢰가 필요합니다. 가장 큰 과제는 모범 사례를 적용할 수 있도록 미래 운영 체제의 크기를 관리 및 이해하기 쉽게 유지하는 것입니다. 침투에 더욱 강한 시스템이 개발될 것이라는 희망이 있습니다. 공격이 성공하여 외부 경계에 침투하는 경우, 에너지 부문은 악성 코드가 전체 발전소나 전체 그리드를 중단시키는 것을 방지하는 기술을 개발하기 위해 노력해야 합니다.
실시간 보안의 미래
벌크 에너지 산업은 미래를 향한 거대한 도전에 직면해 있습니다. 네트워크를 재설계하고, 세분화하고, 보안 관리를 구현하는 데는 엄청난 비용이 소요됩니다. 기업이 하드웨어, 소프트웨어, 라이선스, 설치에 드는 높은 비용과 인프라 운영 및 유지 관리 비용을 평가하여 과소평가할 위험이 있습니다. 대부분의 경우 그들은 저렴한 경로를 선택하며 반복 또는 규정 준수가 필요한 유지 관리를 예약할 자동화 소프트웨어가 없습니다. 물론 회사 규모가 클수록 통합해야 하는 보안 제품이 많아지고 따라야 하는 절차도 더욱 복잡해집니다. 사람이 보안 시스템을 수동으로 작동할 것으로 기대하는 것은 위험할 수 있지만, 이익을 위해 많은 발전소에서는 보다 안정적인 자동화 시스템을 포기할 것입니다.
사이버 보안 장치를 유지 관리하는 것은 비교적 새로운 분야입니다. 전력회사는 지난 50년 동안 송전 시스템의 작동을 유지하는 방법을 알고 있었습니다. 그들은 설계, 보호, 전력 운반, 전송 시스템 연결 및 전력 분배 방법을 알고 있었습니다. 이제 이들 회사는 새로운 기술에 적응하고 있으며 학습 곡선은 극적입니다. 파일, 서버, 네트워킹 전문가 등 더욱 세분화된 기술자가 필요합니다. 현재의 모든 방어 수단이 이미 마련되어 있음에도 불구하고 스펙트럼 전반에 걸쳐 공격을 탐지하고 저지할 수 있는 인프라가 아직 존재하지 않을 수 있습니다. 선제적인 방어를 구축하려면 더 많은 모니터링 기능이 필요합니다. 유틸리티 회사가 더 많은 클라우드 서비스를 사용함에 따라 스마트 그리드 보급률이 계속 증가함에 따라 위험이 무엇인지 더 잘 인식해야 합니다.
보안 분야에서는 5년, 10년 후에 어떤 일이 일어날지 예측하기 어렵습니다. 확실히 사람들은 무슨 일이 일어날지 알고 싶어하기 때문에 더 많은 실시간 탐지가 활용될 것입니다. 발생할 수 있는 공격 전략과 유형은 다양합니다. 방화벽 및 바이러스 백신 프로그램과 같은 이전 기술은 코드 시퀀스를 검색하여 맬웨어를 탐지하려고 합니다. 오늘날의 최신 소프트웨어는 파괴적인 "킬 체인" 활동을 탐지하기 위해 코드를 검사하지만, 이 정보를 가져와 두 가지를 합치는 데는 여전히 사람이 필요합니다. 불행히도 시간이 걸립니다. 최신 사이버 보안 제품은 전체를 탐지할 수 없습니다. 체인 이벤트의. 멀웨어를 탐지할 수도 있지만 보안 침해는 단 순간에 발생하며 의미 있는 반격 조치를 실행하기에는 너무 늦은 경우가 많습니다.
미래의 성공적인 실시간 방어 시스템은 들어오는 데이터를 분석하고 악성 공격이 킬 체인을 따라 진행되기 직전에 탐지 및 격리할 수 있습니다. 이 시점에서 자동화된 시스템이나 인간이 개입하여 보호 조치를 취할 수 있습니다.
ID 및 액세스 관리
신원 인증은 에너지 부문에서 효과적인 보안 조치를 유지하는 데 여전히 중요한 측면입니다. “정보 및 정보 기술을 확보하고 사이버 위협을 예방하는 과정에서 강력한 식별력의 부족은 전체 방어 메커니즘의 가장 약한 부분 중 하나가 되는 경우가 많습니다. 기존 자격 증명이 남용되고 잘못 구현되거나 관리되어 심각한 취약점이나 사고로 이어지는 경우가 너무 많습니다..”20
조직은 직원에 대한 믿음이 없어서가 아니라 우발적이거나 악의적인 사건의 영향을 지역화하려는 목적으로 공유 로그온의 높은 신뢰 모델에서 벗어나고 있습니다. 장기적으로는 기술적 제약을 극복하기 위한 노력을 계속할 것입니다. 유틸리티는 다음과 같은 표준 IT 도구를 계속 사용할 것입니다. 시스코 그리고 향나무그러나 작동의 다른 측면(릴레이, RTU, PLC 등)에는 동일한 보호 시스템이 없습니다. 공급업체로부터 구매할 수 있을 때까지는 로컬 방화벽으로 위협을 완화해야 할 수도 있습니다. 네트워크 시간, 제어 센터의 위치, IP 주소, 심지어 인프라를 운영하기로 선택한 공급업체와 같이 겉으로는 무해해 보이는 정보도 사이버 공격을 저지를 의도가 있는 사람들에게는 중요할 수 있습니다.
사고 예방 및 완화 비상사태
오늘날의 IT 보안 도구는 로그인의 "정상적인" 동작을 모니터링하도록 구성되어 있지만 지능형 공격에 직면하면 취약합니다. 적들은 단지 제어 시스템에 침투하기를 원하는 것이 아니라, 운영자가 개입하지 않고 안전 시스템이 제대로 작동하지 않는 상황에서 피해를 입히기를 원합니다. 정보가 정확한지 여부를 검증할 수 있는 기술이 없기 때문에 운영자는 자신이 보고 있는 데이터가 정확한지 또는 조작되었는지 실제로 알 수 없습니다. San Bruno 파이프라인 사고는 낡은 보안 시스템과 잘못된 데이터의 위험성에 초점을 맞췄습니다.
“Pacific Gas and Electric Co.는 천연가스 송전선의 특성을 추적하기 위한 컴퓨터 시스템으로 거의 20년 동안 어려움을 겪었으며, 이로 인해 회사는 파이프의 잠재적인 약점을 이해하는 데 중요한 정보가 부족했습니다. … 시스템을 개발할 때 누락 또는 데이터 입력 오류가 발생하여 수정되지 않은 채 방치된 것은 9월 9일 샌 브루노에서 폭발하여 8명이 사망한 1956년식 파이프라인이 이음매로 건설되었다는 사실을 PG&E가 인식하지 못한 이유를 설명할 수 있습니다. , 기록과 인터뷰에 따르면. … 전문가들은 파이프에 이음새 용접이 있었다는 사실이 괜찮은 파이프라인 데이터베이스에서 마우스 클릭만으로 사용할 수 있어야 하는 기본적인 정보라고 말합니다.”21
전력 시설의 취약성에도 불구하고 보안 담당자는 비상 계획의 중요성을 이해하고 있는 것 같습니다. 전력망은 전반적으로 매우 안정적이지만 사고가 발생하면 악성 코드가 기반을 확보하고 중요한 운영 체제를 손상시키기 전에 대응 계획을 실행해야 합니다. 사람들이 주어진 상황에서 어떻게 대응해야 하는지 정확히 아는 것이 중요합니다. 발전소에 대한 비상 계획에는 대체 처리 현장, 대체 통신 기능 및 대체 저장 시설이 포함될 수 있습니다. 이는 일반적으로 중점을 두는 세 가지 계층입니다. 궁극적인 목표는 공격을 탐색하고 쇠약하거나 성능이 저하된 상태에서 계속 작동하는 것입니다. 자연재해, 구조적 결함, 사이버 공격, 누락 또는 누락 오류 등 4가지 주요 유형의 위협에 대한 비상 계획이 존재합니다.
블랙홀과 알려지지 않은 위협
에너지 인프라에 대한 알려진 위협을 처리하기 위해 사이버 보안 조치가 지속적으로 구현되고 있지만 미래에는 알려지지 않은 위험과 혁신적인 방어 및 대응 능력이 필요한 "블랙홀"이 가득할 것입니다. 다행스럽게도 ES-ISAC과 현재 구축된 모든 협업 커뮤니케이션 네트워크는 그리드를 안전하고 효과적으로 유지 관리할 수 있는 전망을 개선합니다. 위협은 연중무휴 24시간 모니터링되며 ES-ISAC는 지속적으로 업데이트됩니다.
많은 국제 통제 시스템은 국내에 설치된 시스템과는 다르지만 글로벌 사이버 보안 네트워크에 연결되어 있습니다. 물론 에어갭이나 원시적인 보호, 유니콘에 대해서는 여전히 우려가 많다. 에너지 부문은 기존 보안 문제를 해결하기 위한 진보적인 솔루션을 제시하는 미래 지향적인 기업에 달려 있습니다. 사이버 범죄자는 인상적인 공격 기술을 보유하고 있으며 이들이 사용할 수 있는 해킹 도구를 사용하면 특히 산업 제어 시스템의 오래된 장비와 관련하여 새로운 공격 벤처를 쉽게 찾을 수 있습니다.
알려지지 않은 위협은 보안 시스템의 경계에 침투할 수 있는 모든 것을 구성합니다. 새로운 시스템은 너무 복잡해서 제조업체가 이해하지 못할 수도 있는 방식으로 연결되어 있습니다. 최종 사용자는 자신이 운영하는 제어 시스템의 인터페이스가 인터넷에서 공개적으로 사용 가능하다는 사실을 인식하지 못할 수도 있습니다. 사이버 범죄자는 특정 지리적 사이트나 특정 공급업체를 검색하여 해당 제어 시스템의 사용자 인터페이스(HMI)를 침해할 수 있습니다. 최종 사용자가 공급업체의 표준 비밀번호와 사용자 이름을 변경하지 않은 경우 사이버 공격자가 실제로 작업을 시작할 수 있습니다.
제로데이
알려지지 않은 취약점을 의인화하는 Zero Days에 관한 많은 연구가 진행되었습니다. “… '제로데이 익스플로잇'… 소프트웨어 제작자를 포함하여 다른 사람들이 아직 발견하지 못한 소프트웨어의 취약성을 이용할 수 있는 바이러스 또는 웜입니다. 소프트웨어 제작자가 이러한 종류의 취약점이 없는 프로그램을 출시하기 위해 열심히 노력하기 때문에 제로데이 공격은 거의 발생하지 않습니다. … 악성 코드에서 발견되면 이는 신용 카드 번호를 빼내려는 사이버 범죄자 이상의 더 높은 목적을 암시합니다.”22
또 다른 유형의 심각한 위협은 발전소나 연방 기관과 같은 조직이나 시스템 내에서 생성되는 "내부 작업"입니다. 사이버 공격 이후 가해자는 실제로 시스템을 제어하고 새로운 취약점을 포함하여 시스템을 구축할 수 있으며, 나중에 다시 돌아와 이를 악용할 수 있습니다. 에너지 부문은 이전과는 전혀 다른 방식으로 기초 기술에 의존하고 있으며 취약합니다.
감시 카메라와 로그인 데이터로 충분합니까?
표준 감시 카메라로 사이버 범죄를 탐지하고 억제하는 것은 중요한 인프라를 보호하는 가장 효과적인 방법이 아닙니다. 카메라의 성능은 모니터링하는 사람의 능력에 따라 달라지며 사람들은 쉽게 주의가 산만해집니다. 카메라는 경고 및 경보를 제공하는 분석과 결합되어야 합니다. 이러한 유형의 기술은 존재하며 기존 보안 시스템을 크게 향상시킬 수 있습니다. 소프트웨어는 점점 더 사고력이 좋아지고 있습니다. 신기술로 인력을 줄일 수는 있지만, 기술 능력을 갖춘 인력을 확보하고 유지하기에 충분한 급여를 지급하는 것은 어렵다. 따라서 에너지 부문의 이직률이 매우 높습니다.
새로운 사이버 보안 부서는 유지 관리 비용이 많이 들고, 이러한 부서가 장기적으로 비용 효율적일 수 있다는 점을 최고 경영진과 회사 주주들에게 설득하기 어려울 수 있습니다. 이 사실에 초점을 맞추려면 때로는 값비싼 사건이 필요합니다.
자동 플랫폼? 반자동?
IT 플랫폼 시스템의 점점 자동화되는 특성에도 불구하고 대부분의 내부자는 앞으로도 휴먼 인터페이스가 계속 필요할 것이라고 믿습니다. 즉, 대규모 유틸리티에 모니터링하는 자산이 수백 개 있는 경우 두세 명의 보안 운영자가 해당 공간에서 시각적 보안을 유지하는 것은 불가능합니다. 개인이 이상 현상이 발생하는지 확인하기 위해 데이터 스트림을 지속적으로 물리적으로 모니터링하는 것이 불가능하기 때문에 시각적 분석 및 자동 경고 시스템이 점점 더 많이 사용될 것입니다. 미래에는 사건을 탐지하기 위해 더 많은 실시간 분석이 활용될 것입니다. 그런 일이 벌어지고 있는 동안, 또는 사전에 감지할 수 있습니다. 다시 말하지만, 데이터를 분석하고 침입 및 위협의 원인을 인식하거나 여러 경보, 날씨 또는 심지어 난폭한 게임 문제를 처리하는 데 인간 인터페이스가 포함될 가능성이 높습니다.
사이버 공격에 대해 누가 알아야 합니까?
결국 보안팀의 최선의 노력에도 불구하고 사건은 발생하게 됩니다. 에너지 부문의 사이버 범죄에 관한 정보를 공개적으로 공유해야 하는지에 대한 논쟁이 있습니다. 업계의 많은 사람들은 그러한 정보가 알 필요가 없는 사람들에게 파싱될 필요가 없다는 사고방식을 가지고 있습니다. 대부분의 사람들은 공격이 조정될 경우 집단적으로 방어할 수 있도록 공공 기관 간에 정보를 비공개로 공유하는 것을 선호하는 것 같습니다. 전력회사는 다양한 그룹에서 발생하는 위협이나 보안 이벤트에 관한 정보를 공유하는 적절한 업무를 수행합니다. 미국에는 각각 ES-ISAC에서 파생된 규제 감독 및 이사회 그룹이 있는 8개 지역이 있습니다.
유틸리티 산업이 정보를 공유하는 것은 타당하지만, 현 시점에서는 해당 프로세스를 촉진하기 위해 구축된 수단이 많지 않습니다. 대부분의 경우 최종 사용자는 사이버 범죄 발생을 둘러싼 부정적인 평판 때문에 선택의 여지가 없을 때 사이버 범죄와 관련된 정보를 공개합니다. 정보 공유를 목적으로 일부 보안 공급업체 간에 컨소시엄이 구성되어 있습니다. 또한 시만텍과 일부 다른 대기업들은 정보를 서로 배포하고 있는 것으로 알려졌습니다. 일부에서는 이 정보 공유 모델의 ICS 버전을 만들 것을 요구했지만, 그 목표가 실현되기까지는 아직 몇 년이 걸릴 수 있습니다. “통제 시스템에 대한 위협은 적대적인 정부, 테러리스트 그룹, 불만을 품은 직원, 악의적인 침입자를 포함한 다양한 소스에서 발생할 수 있습니다. 이러한 위협으로부터 보호하려면 산업제어시스템(ICS) 주변에 안전한 사이버 장벽을 구축하는 것이 필요합니다.”23
일부는 사이버 보안 문제에 대한 전체적인 접근 방식을 선호합니다. 이를 위해서는 최대한 방어 가능한 제품과 시스템을 구축하고 지속적으로 모니터링해야 합니다. 모든 것이 가능한 최상의 사양으로 구축되더라도 여전히 소량의 공격은 불가피하게 발생합니다. 다양한 유형의 사이버 공격을 이해하고 이러한 사건과 관련된 정보를 공유하는 것은 매우 중요할 수 있지만, 대부분의 회사는 평판에 부정적인 영향을 미칠 수 있으므로 공유를 꺼릴 것입니다. 결국은 팀 스포츠다. 발전소에 특정한 취약점이 있고 공유 공급업체가 개발한 동일한 상용 구성 요소가 업계 전반에 걸쳐 사용되고 있는 경우, 신속하게 배포된 정보는 다른 회사가 다음 피해자가 되기 전에 이러한 취약점을 신속하게 해결하는 데 도움이 될 수 있습니다.
에너지 부문의 대부분은 사이버 공격 사고와 관련하여 대중이 알아야 할 우선순위가 제한되어 있다고 생각하는 것 같습니다. 선택된 기관, 기술 커뮤니티 및 공급업체가 향후 사고를 예방할 수 있도록 중요한 정보를 받는 것이 더 중요하다고 간주됩니다. 그렇지 않으면 사이버 범죄에 대한 패턴 분석을 확립하거나 손상되었을 수 있는 제품에 대해 공급업체에 알리는 것이 어려울 수 있습니다.
잠재적인 공격
사이버 보안과 관련하여 에너지 부문 기업을 위한 정보 교환소를 구축하는 것에 대해 많은 논의가 있었습니다. 실제로 국토안보정보네트워크부가 바로 그런 역할을 하려고 노력하고 있습니다. 전력회사는 잠재적인 피싱이나 맬웨어 공격에 대해 알아야 인지도를 높이고 이러한 잠재적인 위협을 완화하기 위해 노력할 수 있습니다.
다른 국가와의 정보 공유
때로는 사이버 보안 방어 조치를 시행할 때 그리드의 안정성이 정치적 국경을 넘는 유럽과 북미의 경우처럼 다른 국가와 정보를 공유해야 할 수도 있습니다. 개별 국가가 불량 행위와 안전하지 않은 사이버 상황을 추적하고 있다면 일화 이상의 이야기를 주변 국가와 공유하는 것이 유리할 것입니다. 오늘날에도 마찬가지입니다. 사이버 보안과 관련하여 국가 간에 교환되는 정보가 부족합니다. 보험회사와 안전업계는 많은 통계자료를 수집하기 위해 노력하고 있지만, 에너지 분야의 많은 기업들은 소위 말하는 방식으로 계속 운영되고 있습니다. 그만큼 이야기의 시대.
해외 벤더를 위한 여지가 있는가?
에너지 부문의 유틸리티 간 정보 공유에 대한 우려와 국가 간 공유 위협 경보에 대한 우려가 있었습니다. 사이버 공격을 예방하기 위한 보안 시스템 개발을 해외 공급업체에 맡기는 것이 안전한가요? 이러한 해외 기업이 때때로 직면하는 저항에서 외국인 혐오증과 근거 없는 두려움의 요소가 발견됩니까? 아니면 어느 정도 신중함이 보장됩니까?
사이버 보안 위협은 전 세계적으로 보편적으로 경험되기 때문에 이러한 많은 불안은 필연적으로 극복되었습니다. 결국 글로벌 정보 공유는 필수적이다. 그러나 일부에서는 해외 벤더들이 미국 시장에 진출할 가능성이 매우 낮다고 생각한다. 업계는 확고히 자리잡고 있으며 비즈니스 관계는 오랫동안 지속되어 왔습니다. 에너지 그리드는 편안함과 신뢰 수준에서 작동합니다. 북미 에너지 시장에 진출하고 그곳에서 호감을 얻으려면 독특한 기술과 역량을 갖춘 해외 국가의 제3자가 필요합니다.
이스라엘은 사이버 보안 분야에서 강력한 틈새 시장과 시장 입지를 구축했습니다. 국가는 새로운 스타트업을 시작하고 재능 있는 사이버 보안 전문가를 양성하는 데 막대한 투자를 해왔습니다. 이 나라는 매년 주요 글로벌 사이버 보안 컨퍼런스를 개최하고 버그를 식별하고 "버그 바운티"로 보상을 받는 "친절한 해커" 커뮤니티를 구축했습니다.
IC 보안 시장의 Nerc
중요한 산업 인프라가 계속해서 위협을 받고 있기 때문에 플레임, 스턱스넷, 나이트 드래곤, 그리고 두쿠 공격이 발생하더라도 ICS 보안 시장은 계속해서 확장될 것입니다. TechNavio의 분석가는 글로벌 산업 제어 시스템 시장이 2013-2018년 동안 연평균 성장률(CAGR) 8.15%로 성장할 것이라고 예측했습니다.24 NERC는 50,000개가 넘는 변전소와 수백 개의 유틸리티 회사를 통해 업계에서 계속해서 큰 입지를 차지하고 있습니다. 미국 서부에서 NERC는 NERC 표준을 준수하는 거의 500개의 등록 유틸리티를 보유하고 있습니다.
ICS 사이버 보안 시장은 연간 $3~$40억 규모로 추산됩니다. 컨설팅 회사와 기업 보안 공급업체가 이 분야의 주요 업체입니다. NERC는 규제 권한을 갖고 있으며 전기 유틸리티, 석유 및 가스 부문에 막대한 영향력을 행사합니다., 하지만 그것은 보안솔루션 시장에서 NERC의 비중이나 시장규모를 가늠하는 것은 적절한 세분화를 할 수 있는 방법이 없기 때문이다. 일정 수준의 NERC CIP 평가를 달성하는 데 사용되는 많은 제품은 제조와 같은 다른 산업에서 가시성을 제공하고 보안 관리 기능을 제공하는 데 사용될 수도 있습니다.
사이버 보안 위협에 대처하기 위한 과제
지속적으로 발전하는 기술을 따라잡는 것은 에너지 부문의 유틸리티 기업에 있어 엄청난 운영 과제입니다. 사이버 방어 기술의 새로운 발전이 지속적으로 일어나고 있는 상황에서는 미래의 위협에 대처하기 위해 "최고의" 보안 조치를 배포하는 것이 어려울 수 있습니다. 또한 시스템이 점점 더 서로 연결되고 있으므로 이러한 네트워크가 손상되거나 공격받을 가능성이 기하급수적으로 커지고 있습니다. “전문가들은 2010년 스턱스넷(Stuxnet) 컴퓨터 바이러스가 이스라엘과 미국에 의해 이란의 일부 핵 원심분리기를 스스로 파괴하는 데 사용되었다고 믿고 있습니다. 해커들이 석유 및 가스 회사를 공격하는 데 사용한 것으로 보이는 Havex 트로이 목마로 알려진 컴퓨터 바이러스의 출현으로 위협이 더욱 강화되었습니다.”25
오늘날 인프라에 배포된 기술을 업그레이드하고 진화하는 차세대 시스템과 통합할 수 있도록 만드는 것이 필수적입니다. 일부 회사는 가장 인상적인 제품을 만들지만 다른 어떤 제품과도 호환되지 않습니다. 병행하여 iPhone을 고려하십시오. 아이폰은 몇 개나 있었고, 충전기는 몇 개나 있었나요? 사이버 보안과 비슷한 상황입니다. 최신 제품을 확보하는 데 수십억 달러가 소요되지만, 제품이 호환되지 않아 재구성해야 하는 경우가 많습니다. 한편, 사이버 공격자는 게임보다 한 발 앞서 나가는 데 능숙하므로 보안 팀은 사이버 보안의 기술 경쟁에서 선두를 유지하기 위해 최선을 다해야 합니다. 그것은 결코 작은 일이 아닙니다. 대다수의 유틸리티 기업은 적절한 업그레이드를 위해 투자의 우선순위를 정하고 있습니다. 불행하게도 소규모 협동조합은 같은 일을 할 재정적 자본이 없는 경우가 많습니다.
운영 보안 인력 구조화
전력회사의 인력 배치와 운영 보안을 위한 내부 평면도에는 일반적으로 최고정보보안책임자(CISO)와 최고정보책임자(CIO)가 있다. “ICT 프레임워크를 활용해 어떻게 수익을 증대할 것인지를 계산하는 데 있어서 CIO의 중요성이 커지고 있으며, 재난에 대비한 통제와 계획을 수립해 지출을 줄이고 피해를 제한하는 중요한 역할도 점점 더 중요해지고 있습니다.”26
에너지 부문의 대규모 투자 유틸리티에는 IT 수석 이사 수준으로 여러 단계로 분리된 CIO가 있습니다. 소규모 회사는 모든 상황에 일률적으로 적용되는 경향이 있습니다. 사이버 보안 영역에서 다방면의 기술을 보유한 사람 또는 소규모 그룹이 선두에 있습니다. 때로는 전기 엔지니어나 전문 유지보수 팀이 담당하는 경우도 있습니다. 일부 조직에서는 문제를 해결하기 위해 여러 구성원으로 구성된 팀이 구성되는 산업 IT 또는 운영 OT 기술 그룹을 고용하거나 개발합니다. 80년대에는 기업에 IT 부서가 없었지만 오늘날에는 IT 부서가 있습니다. 유틸리티는 제어 그룹과 IT 조직 모두의 장점과 문제를 이해할 수 있기를 희망하면서 제어 그룹과 IT 조직 사이에서 작동하는 집합체를 구축하고 있습니다.
보안 솔루션 공급업체와 "외부 사고"
전력회사는 '외부적 사고'를 위해 보안 솔루션 공급업체에 크게 의존합니다. 이러한 공급업체는 수명 주기 관리 서비스를 제공하며 호환성 문제와 보안 제품 배포 방법을 이해하는 사람들과 잘 연관되어 있습니다. 유틸리티는 기술 회사가 아니기 때문에 보안 공급업체에 의존하여 필요한 기술 전문 지식을 제공합니다. 즉, 에너지 부문의 기업은 과거에 함께 일했던 신뢰할 수 있는 공급업체에 남아 있는 경향이 있습니다. 이러한 충성심은 개인의 오랜 관계를 기반으로 할 수 있습니다. 신기술 배포를 위한 교육 비용이 많이 들기 때문에 공공 기관에서는 직원에게 익숙한 제품을 계속 사용하는 경향이 있습니다.
가장 영향력 있는 공급업체
업계 내 대부분은 특히 영향력 있는 공급업체를 식별할 때 이름을 언급하는 것을 꺼리는 반면, 많은 유틸리티 회사는 EPC(엔지니어링, 조달, 건설) 또는 Flur와 같은 엔지니어링 회사를 찾습니다. 이러한 공급업체는 콘크리트, 금속 가공 및 전기 회로도까지 플랜트 설계를 담당합니다. 제어 시스템은 종종 외부 공급업체에 입찰하기 위해 제공됩니다. 유틸리티는 기능과 연결되는 장치 유형을 다루는 사양을 준비합니다. 그런 다음 공급업체는 프로젝트에 입찰하여 다른 보안 솔루션 공급업체와 경쟁하여 최상의 가격으로 사양을 제공합니다. 에너지 부문의 기업은 규정 준수 문제를 처리해야 하므로 사양에 사이버 보안을 포함하도록 조달 지침과 계약을 조정하고 있습니다.
미래 보안 솔루션 및 제품
미래에는 사이버 공격으로부터 에너지 인프라를 보호하는 과제를 해결하기 위해 설계된 많은 새로운 보안 솔루션과 제품이 지속적으로 빠르게 발전할 것입니다. 전력 산업에 종사하는 많은 사람들의 희망 목록에는 회사의 정책 절차를 통합하는 보안 솔루션용 통합 플랫폼이 있습니다. 여러 플랫폼이 이미 운영되고 있으며 계속해서 개선되고 개선되고 있습니다.
구식 또는 레거시 코드 기반을 사용하는 기관 및 조직에는 제어 시스템 업그레이드가 필요합니다. 특히 발전소의 제어 시스템이 10년 이상 운영된 경우에는 더욱 그렇습니다. 이러한 시스템 중 일부에는 20년 된 코드 기반이 있을 수 있습니다. 이러한 조직은 모든 코드 줄을 회귀하고 다시 작성할 가능성이 없습니다. 대신 전체 코드 기반이 안전하다는 것을 보여줄 수 있기를 바라며 안전한 새로운 방식을 개발할 것입니다. 물론, 준수해야 할 새로운 인증 표준이 필연적으로 나올 것이며, 이는 그리드 보안 개선을 향한 지속적인 발전을 가속화할 것입니다.
보안 솔루션 공급업체는 오늘날 유틸리티가 직면한 기술 부족 격차를 메우는 데 필요한 운영 체제의 이상 및 이상을 감지하는 기능을 갖춘 장치를 보유하고 있습니다. 이러한 공급업체는 앰프 로깅, 패치 적용, 변경 관리, MOC(인증 유지) 및 원격 액세스에 대한 보안도 제공할 수 있습니다. 이러한 기술 격차로 인해 발생하는 특정 요구 사항을 충족하려면 다양한 공급업체가 필요할 수 있습니다. 성공적인 벤더는 OT 환경의 사양을 충족하고 최대한 자급자족할 수 있는 보안 제품을 만들 것입니다. 이상적으로는 다른 많은 보안 제품을 합친 것보다 더 나은 운영 보안 작업을 수행해야 합니다. 물론 이 작업은 실행하는 것보다 상상하는 것이 더 쉽습니다.
전력 업계의 일부 사람들은 많은 대규모 ICS 공급업체가 혁신에 뛰어나지 않다고 생각합니다. 그들은 미래가 어떤 모습일지 상상하기 어려울 수도 있습니다. 대규모 공급업체는 더 좋고 안전한 제품을 만드는 데 집중하지만 최종 사용자가 여러 공급업체의 제품을 통합한다는 사실을 인식하지 못하는 경우가 많습니다. 유틸리티는 전체 네트워크에 대한 더 높은 시야를 갖고 단일 공급업체의 장비에 의존하지 않는 이기종 솔루션을 요구합니다. “스마트 그리드를 구축할 때 주요 과제 중 하나는 응용 기술의 이질적인 특성에 대처하는 것입니다. 제품 수명주기는 수십 년에 걸쳐 지속될 수 있으므로 다양한 프로토콜과 기술 솔루션의 적용으로 인해 향후 몇 년 동안 전체 시스템 복잡성이 상당히 증가할 것입니다. 이러한 이질성은 결국 스마트 그리드에 대한 공격 표면을 증가시키고 취약성 증가로 이어질 수도 있습니다.”27
ICS 공급업체는 전통적으로 자신의 운영 방식으로 설립된 대규모 회사입니다. 현재 시장 공간에는 공급업체 측까지 확장되는 어느 정도의 격변이 있습니다. Bedrock Automation이라는 새로운 회사는 산업 제어 시스템을 처음부터 설계하고 있습니다. 그들은 현재 사이버 보안의 많은 과제를 해결하고 혁신을 시도하고 있는데, 이는 본질적으로 노력의 집중도가 낮기 때문에 대규모 공급업체가 과묵한 일입니다.
유틸리티의 사이버 방어와 관련된 보안 솔루션 공급업체는 많지만, 그렇지 않은 경우는 많지 않습니다. 고도로 전문화된 ICS 시스템에 사용되는 구성 요소 구축에 중점을 둡니다. 이는 업계 공급업체가 제조하는 방향에 영향을 미치기를 원하는 사람들에게 유리할 수 있습니다.
이제 새로운 제품이 전 세계에서 ICS 영역으로 진입하고 있으며, 이는 믿을 수 없을 정도로 복잡하며 때로는 제품을 구매하는 회사가 진정으로 이해할 수 있는 수준을 넘어서는 경우도 있습니다. 이로 인해 공격자가 제품에 내용을 더 쉽게 숨기고 운영 체제와 코드 구조에 심각한 피해를 입힐 수 있습니다. 이러한 위협으로 인해 이전에는 고립되어 있던 회사들이 보다 신뢰할 수 있는 솔루션을 만들기 위해 함께 모여 컨소시엄을 구성하게 되었습니다.
스마트 측정기, 분석 제품, 주요 관리 인프라 및 발전하거나 확대되는 사이버 위협을 탐지하는 데 도움이 되는 모든 상품 이는 미래 지향적인 벤더가 틈새 시장을 찾거나 새롭고 실행 가능한 시장에 진출할 수 있는 혁신에 열려 있는 추가 보안 영역입니다.
ID 액세스 및 인증의 미래
취약한 비밀번호와 거의 업데이트되지 않는 소프트웨어는 국토안보부에 보고된 48,000건의 사이버 사고 뒤에 반복적으로 나타나는 주제입니다. 여기에는 "악의적인 침입자"에 의한 국가에서 가장 취약한 댐의 데이터 도난과 해커가 다음과 같은 악성 경고를 방송하는 사건이 포함됩니다. DHS 보고서에 따르면 여러 미국 TV 방송국을 통한 좀비 공격이 발견되었습니다.28
많은 사이버 공격은 자격 증명을 손상시키거나 취약한 비밀번호를 악용하여 시작됩니다. 신원 인증 관리는 더욱 신뢰할 수 있는 시스템의 핵심 구성 요소입니다. 공공, 운영 및 관리 수준 제어와 달리 기술 제어는 유틸리티 회사가 운영 능력을 향상시키기 위해 사용하는 제품입니다. 따라서 액세스 제어, 로그온 시 인증, 원치 않는 에이전트를 시스템에 차단하는 등의 제어는 공급업체 수준의 제품에만 적용할 수 있으며 공급업체의 초점이 됩니다.
이중 인증 사용자 이름과 비밀번호만 입력하면 개인이 OS에 접근하는 것을 방지할 수 있습니다. 최신 ICS 시스템에서 공급업체는 향후 언젠가 유지 관리가 필요할 것임을 알고 제품을 만드는 경우가 많습니다. 유지 관리 담당자가 사용할 수 있는 로그인 기능을 제공할 수 있습니다. 이 기능은 아마도 4자만 사용하여 본질적으로 약한 로그인 기능을 사용할 수 있습니다. 이러한 비밀번호는 때때로 제품과 함께 배포되며 최종 사용자가 변경하지 않으므로 일반적으로 알려진 비밀번호와 사용자 이름을 알고 있는 사이버 공격자가 시스템에 쉽게 침투할 수 있습니다. 이는 사이버 공격을 억제하는 데 도움이 될 수 있는 기본적이고 수정 가능하며 비용이 많이 들지 않는 것의 예입니다. 일회용 비밀번호와 보안 토큰은 로그인 시 시스템 사용자를 인증하는 유용한 수단이기도 합니다.
이중 인증의 시대가 얼마 남지 않은 것은 분명합니다. 점점 더 사이버 연결이 늘어나는 세상에서는 신원을 증명하는 보다 안전한 수단이 개발되어야 합니다. “생체인식은… 우리를 식별하는 방식의 근본적인 변화입니다. 기억하거나 휴대해야 하는 기존 신분증과 달리 생체인식은 ~이다 음성분석, 홍채패턴, 정맥매칭, 보행분석 등으로 구성되어 있습니다. 이러한 특성은 개인마다 고유하며 위조하기가 매우 어렵습니다..”29 생체인식과 더욱 안전한 인증 방법이 곧 등장할 것입니다. 에너지 부문은 사이버 보안 위협을 무효화하는 과제를 해결하기 위해 적응하고 발전할 것입니다. 그러나 업계의 적들은 매우 영리하며 새로운 기술을 활용하기 위한 동일한 경쟁에 참여하고 있습니다.
주요 구매 요인 보안업체 선정에 있어서
전력회사는 ICS 공급업체와 보안 솔루션 공급업체를 신중하게 선택합니다. 그들은 공급업체의 이력을 조사하여 과거에 어떤 종류의 연구를 수행했는지 파악하고 제품이 생산된 국가와 그 의미도 고려합니다. 물론, 에너지 부문에서는 오랜 관계와 신뢰의 유대가 중요합니다. 대규모 유틸리티 회사가 잠재적으로 파괴적인 무언가를 제공하는 소규모 스타트업과 직접 판매에 참여할 가능성은 거의 없습니다. 대부분의 경우 스타트업은 해당 채널이 제공할 수 있는 승인과 신뢰성을 확보하기 위해 보안 회사나 ICS 공급업체와 같은 채널 파트너를 거쳐야 합니다.
많은 기업들이 NERC 표준 및 규정 준수 기준을 충족하는 데 관심을 갖고 있습니다. 어떤 사람들은 좋은 보안의 부산물이 좋은 규정 준수라고 믿으며 궁극적으로 보안에 초점을 맞춰야 한다고 주장합니다. 보안을 달성하는 데 드는 비용이 높기 때문에 규정 준수가 승리하는 경우가 많습니다. 공급업체가 제공하는 보안 제품은 다양한 제어 시스템 내에서 원활하게 작동하고 기존 제품 및 운영과 통합되며 비용 효율적이고 경쟁력이 있어야 합니다.
장애물에도 불구하고, 거기에 ~이다 스타트업과 혁신가를 위한 공간입니다. 시장은 현재 안전하지 않으며 어디서든 실행 가능한 솔루션을 찾고 있습니다. 새로운 시스템이 계속해서 등장하고 있습니다. 에너지 기업은 자신을 보호하고 신속하게 대응할 수 있는 시스템 역량을 갖춘 공급업체를 찾고 있습니다. 그들은 상황 변화에 따라 쉽게 업데이트할 수 있는 실행 가능한 솔루션을 제공하는 공급업체를 원합니다. “혁신가의 역할은 유산이 없고 문제를 새로운 방식으로 보고자 하는 기업에게 맡겨졌습니다. ~이다 소규모 공급업체가 자금을 확보하고 보안 분야에 진출할 수 있는 기회입니다.”30
사이버 보안에 모든 것이 달려 있기 때문에 공급업체의 평판은 전력 회사에게 큰 고려 사항입니다. IT/OT 및 물리적 보안 담당자는 매년 여러 회의에 참석하며 공급업체 평판은 항상 관심 주제입니다. 어떤 벤더가 좋고 어떤 벤더가 나쁜지에 대한 일반적인 합의가 형성되어 있습니다. 보안 담당자는 누가 지나치게 약속하고 누가 덜 약속하는지 잘 알고 있으므로 평판이 가장 중요합니다.
해외 공급업체가 미국 안보를 신뢰할 수 있습니까?
글로벌 상거래 세계에서 에너지 회사는 때때로 보안 요구를 위해 해외 공급업체를 선택하지만 아웃소싱 결정은 내리기 어려울 수 있으며 배송에 원격으로 액세스할 수 있는 공급업체에 대한 배경 조사를 수행하는 데 문제가 될 수 있습니다. . 어떤 사람들은 이것을 뚜렷한 취약점으로 간주합니다. 때때로 정치적 상황으로 인해 기업이 특정 공급업체를 선택하지 못할 수도 있습니다(예: 특정 부품이 이스라엘에서 제조되기 때문에 북미 기업은 중동에서 제품을 판매할 수 없습니다). 소규모 회사는 작업을 완료하는 한 제품의 원산지에 대해 그다지 특별하지 않은 것 같습니다.
현재 이탈리아, 프랑스, 네덜란드에는 소규모 스타트업 ICS 보안 제공업체가 있습니다. 미국에서는 이들 중 발전되고 성숙한 사고 대응 능력을 갖춘 유틸리티 회사에 서비스를 제공하는 업체가 거의 없습니다. 해외 공급업체가 미국에서 성공하려면 미국 기반의 사고 대응이 필요합니다.. 해외 공급업체는 미국에 상당한 물리적 대표성을 보유함으로써 지리적 국경과 국가 안보 이익을 존중하는 것이 유익하다는 것을 알게 될 것입니다.
미국에서는 많은 사람들이 "미국산 구매"의 중요성에 대해 이야기합니다. 자동차 산업은 흥미로운 유사점을 제시합니다. 자동차는 최종적으로 테네시에서 조립되기 전에 전 세계 곳곳에서 제작된 다양한 부품으로 구성됩니다. 그렇다면 이 차는 정말 미국차인가 아닌가? 에너지 기업은 글로벌 시장에서 활동하고 있으며 외국 제조업체는 점점 더 미국 기업이 사용해야 하는 제품을 생산하게 될 것입니다. 수년 동안 IT, 컴퓨터, 소프트웨어는 미국에서 만들어졌지만 이제는 아웃소싱이 늘어나고 있으며 독일의 세이멘스(Seimens)와 같은 기업이 대표적인 예가 될 정도로 계속해서 확산될 것입니다.
머지않아 제품이 사양에 맞게 제작되고 신뢰할 수 있다면 어디에서 왔는지는 중요하지 않게 될 것입니다. 구매자는 특정 보안 제품을 넣기를 원하지 않을 수 있습니다. 모든 시스템이지만 다양한 제품을 통합하도록 선택할 수도 있습니다. 사이버 공격에서는 네트워크에 분산된 한 가지 유형의 제품으로 인해 전체 인프라가 중단될 수 있습니다. 구성 요소의 다양성은 운영 체제의 복원력을 향상시킵니다. 구성 요소가 어디에서 나오든 보안 솔루션 공급업체는 고객에게 제품에 대한 확신과 신뢰성을 제공하는 것이 필수적입니다.
물론 미국은 영국, 캐나다, 뉴질랜드, 호주 등 '비행' 국가들과 긴밀한 관계를 맺고 있습니다. 이러한 장소는 정보 커뮤니티에서도 긴밀한 관계를 맺고 있으며 상호 작용하고 정보를 공유하는 데 익숙합니다.
규제기관과의 관계
사이버 보안 시장에 진출하기를 희망하는 해외 공급업체는 네트워킹 및 규제 기관과의 긴밀한 관계 형성이 유익하다고 생각할 수 있지만 이러한 상호 작용에는 주의가 필요할 수 있습니다. 규제 기관의 객관성을 유지하기 위해 그러한 관계를 금지하는 정책과 지침이 있습니다. 인력이 많은 대기업은 규제 기관과 더 많이 접촉하여 다양한 의제를 추진할 수 있지만 핵심 기술 개발에 참여하는 사람들에게는 이것이 그다지 중요하지 않습니다.
이상적으로 규제 기관은 경쟁 위에서 작동해야 합니다. 그들은 해야 할 일이 있고 규제할 분야가 있으며 그것이 바로 그들이 하는 일입니다. 사이버 보안의 세계에서는 공정성, 기술적 정확성, 공개 조사 및 전반적인 투명성이 가장 중요합니다. 그보다 적은 것은 어느 방향으로든 관계에 부정적인 영향을 미칠 수 있습니다.
새로운 공급업체가 발판을 마련할 수 있습니까?
대부분의 사람들은 에너지 산업의 주요 공급업체에 대해 잘 알고 있습니다.. Shell, Exxon, Chevron은 석유 및 가스 분야의 선두주자입니다. Honeywell과 Seimens는 DCS 제어 시스템 공급업체로서 다른 업체보다 우월합니다. 업계 리더를 명확하게 정의하기는 어려울 수 있지만 한 가지는 확실합니다. 대기업일수록 더 많은 위험이 있으며 항상 더 큰 여론 관련 문제를 다루고 있습니다.
보안 솔루션 시장에서 발판을 마련하려는 신규 공급업체에게는 이는 엄청나게 어려울 수 있습니다. 이들 신생 기업 중 다수는 처음 몇 년 안에 실패합니다. 사이버 공격의 위협에도 불구하고 공급업체는 여전히 잠재 고객의 마음과 마음을 사로잡아야 하는 과제에 직면해 있습니다. 많은 에너지 기업이 적절한 보안을 제공하는 데 필요한 보호에 상당한 투자를 해야 한다는 설득력 있는 근거가 있어야 합니다. “공급업체가 실제 문제가 있고 좋은 솔루션이 부족하다는 사실을 식별할 수 없다면 아마도 시장 진출에 어려움을 겪게 될 것입니다. 스타트업의 접근 방식은 유망해야 하며 조직의 환경에 맞게 조정할 수 있는 능력이 있어야 합니다. 또한 공급업체가 변화하는 시장 상황과 진화하는 보안 추세에 대응할 수 있을 만큼 민첩하게 결속력 있는 팀을 보유하고 있다는 느낌도 있어야 합니다.”31
공급업체, 에너지 부문, 사회 전체의 문제 중 하나는 보안 실사가 무엇인지에 대해 명확하게 정의된 매개변수가 실제로 없다는 것입니다. 일부 영역의 규정은 사이버 보안 조치의 구현 및 강화와 관련하여 요구되는 행동을 정의하는 데 도움이 되지만 업계는 여전히 "해야 할 일과 해야 할 일"이라는 회색 영역에 빠져 있으며 여전히 목표에 도달해야 할 수도 있습니다. 문제점 대화를 바꾸고 불합리해 보였던 것이 갑자기 합리적으로 바뀌는 재앙이 발생하는 곳입니다.
네, 그들은 할 수 있어요!
다른 사람들은 유능한 신규 공급업체가 실제로 규정 준수 분야에서 시장 점유율을 얻을 수 있다고 믿습니다. 결국, 세상은 항상 좋은 것, 즉 새롭고 혁신적인 것을 찾고 있습니다. 많은 소규모 공급업체는 솔직하고 신뢰할 수 있으며 솔직하고 투명하기 때문에 귀중한 관계를 구축합니다. 회사가 크다고 해서 반드시 최고인 것은 아닙니다. 진정으로 도움이 되는 기술 시스템을 갖춘 소규모 회사가 성공할 수 있습니다. 인상적인 제품, 도구 및 GRC가 부족하지 않습니다. (거버넌스, 위험 관리 및 규정 준수) 패키지가 있지만 이를 운영하고 유지 관리할 수 있는 사람은 여전히 필요합니다. 결국 승리할 공급업체는 사람의 개입과 유지 관리가 덜 필요한 제품을 제공해야 합니다. 이 분야에는 개선이 필요하며 따라서 좋은 기회가 존재합니다.
이러한 기회에도 불구하고 시장 진출이 쉽지 않다는 사실은 감춰지지 않습니다. 새로운 공급업체는 좋은 제품을 보유할 수 있지만 IT와 OT의 융합을 지원하고 특정 조직의 요구와 과제를 충족하는 것은 어려운 일입니다. 신규 및/또는 소규모 공급업체가 유틸리티와의 새로운 관계를 활성화하기 위해 대규모 회사와 협력을 시도하는 것이 종종 도움이 됩니다. 궁극적으로 공급업체는 자신의 기술이 진정한 보안 솔루션을 제공하는 이유에 대해 설득력 있는 사례를 제시해야 합니다. 시장은 그런 혁신을 기다리고 있습니다. 틈새 애플리케이션은 규정 준수 측면에서 유망한 기회가 있는 또 다른 영역입니다. 지나치게 초점을 맞춘 소규모 솔루션도 시장에서 자리를 잡을 수 있지만 공급업체는 더 큰 규모의 업체와 협력해야 할 수도 있습니다.
사이버 보안 시장 조사 솔루션
사이버 보안은 새로운 개척지이며 에너지 부문과 그 이상에서 그 중요성은 앞으로 더욱 커질 것입니다. 주요 성장 영역은 사이버 보안의 암호화, 데이터 보호, 바이러스, AI 및 블록체인입니다. 사이버 공격의 실제 위협은 항상 존재하며 혼란을 일으키거나 불법적으로 이익을 얻거나 인지된 정치적 점수를 해결하려는 사람들이 계속해서 기술을 개선하고 빠르게 진화하는 기술을 사이버 공격 무기고에 통합함에 따라 증가하고 있습니다. 보안 솔루션 공급업체는 중요한 에너지 인프라와 그 인프라가 제공하는 사람들을 보호하는 데 중요한 역할을 합니다. 진정한 혁신가는 자신의 제품이 작동하고 우리나라 전력망의 전반적인 기능과 전 세계 에너지 전달의 신뢰성에 기여한다는 사실을 입증하는 사람들과 마찬가지로 번성할 것입니다.
다음 링크는 이 문서 작성에 사용된 소스와 일치합니다.
-
http://securityaffairs.co/wordpress/25240/hacking/critical-infrastructure-hackers-targeted-public-utility-scada.html
-
http://usnews.nbcnews.com/_news/2013/02/19/17019005-successful-hacker-attack-could-cripple-us-infrastructure-experts-say?lite
-
http://itlaw.wikia.com/wiki/Cybersecurity_Framework
-
http://www.dw.de/at-cybersecurity-summit-obama-asks-tech-sector-to-help-government-fight-hackers/a-18257609
-
http://csrc.nist.gov/publications/drafts/800-53-rev4/sp800_53_r4_draft_fpd.pdf
-
http://en.wikipedia.org/wiki/Heterogeneous_database_system
-
-
http://csrc.nist.gov/publications/drafts/800-160/sp800_160_draft.pdf
-
http://phys.org/news/2014-06-breaches.html
-
http://www.dhs.gov/publication/cybersecurity-insurance
-
http://csrc.nist.gov/publications/nistir/ir7628/nistir-7628_vol3.pdf
-
http://www.whitehouse.gov/blog/2013/10/29/seeking-comments-preliminary-cybersecurity-framework
-
http://www.leadersinsecurity.org/events/icalrepeat.detail/2015/01/29/84/-/-.html
-
-
http://www.marketwatch.com/story/global-industrial-control-systems-ics-security-market-2014-2018pdf-2014-08-28
-
http://news.yahoo.com/smart-technology-could-utilities-more-vulnerable-hackers-013153609–finance.html
-
http://www.jocm.us/uploadfile/2013/0827/20130827022712405.pdf
-
http://www.welivesecurity.com/2014/02/05/weak-passwords-and-ancient-software-left-u-s-government-data-vulnerable-dhs-report-finds/
-
http://www.pbs.org/wgbh/nova/next/tech/biometrics-and-the-future-of-identification/
-
http://www.darkreading.com/small-vendors-driving-innovation-in-security-venture-capitalists-say/d/d-id/1134669