보안 기반 설계 원칙은 위기 상황에서 매우 중요합니다.

“계획에 실패하면 당신은 실패할 계획입니다." —현대 속담

단기적인 COVID-19 혼란에 너무 집중하면서 기술 채택에 대한 장기적 영향에 대한 논의는 적었습니다.

한 가지 가능한 시나리오는 팬데믹으로 인해 산업용 기계에서 HVAC(난방 환기 및 공조) 시스템, 공급망에 이르는 자산의 자동화 및 원격 관리가 장기적으로 증가한다는 것입니다. 의료 분야에서는 가상 의료 및 원격 의료가 장기적으로 증가할 가능성이 있습니다. 예산 압박을 받는 많은 조직이 운영을 중단했지만 팬데믹은 더 나은 위치에 있는 조직이 프로세스를 자동화할 수 있는 길을 열 것입니다.

3월 초, 세계보건기구(WHO)가 COVID-19를 팬데믹으로 분류한 후 기업들은 비즈니스 프로세스 및 기타 운영을 재고하기 시작했습니다. 경영 컨설팅 회사인 그레이 헤론(Gray Heron)의 전무 이사인 크리스 코처(Chris Kocher)는 “협업을 위해 보고된 슬랙과 마이크로소프트 팀즈 사용자가 가장 많이 늘었다”고 말했다. 원격 회의 공급업체도 빠른 성장을 보였습니다. Kocher는 "원격 의료를 위한 Teladoc도 엄청난 성장을 보였습니다."라고 덧붙였습니다.

[ IoT 세계 는 전략가, 기술자 및 구현자가 연결하여 IoT, AI, 5G 및 에지를 산업 분야 전반에 걸쳐 실행하는 북미 최대 IoT 이벤트입니다. 지금 티켓을 예약하세요. ]

Shodan 데이터에 따르면 산업용 제어 시스템(ICS)에 대한 원격 액세스도 최근 몇 년 동안 감소한 이후 증가했습니다. 미국에서만 현재 거의 50,000개의 ICS 장치가 인터넷에 연결되어 있습니다. Windows 사용자가 원격으로 워크스테이션이나 서버를 관리할 수 있도록 하는 원격 데스크톱 프로토콜의 사용도 2019년 말 보안 취약성으로 인해 프로토콜이 인기를 끌기 시작한 후 증가했습니다.

One Tech의 CEO인 Yasser Khan은 많은 산업 조직이 이미 "기본 수준의 원격 모니터링"을 갖추고 있다고 말했습니다. 작업자가 여전히 직접 기계를 검사할 수 있을 때 이러한 비교적 간단한 기능으로 충분합니다. 그러나 많은 시설이 해골 승무원으로 축소되었기 때문에 우선 순위가 바뀌었습니다. Khan은 공장 관리자가 "원격으로 기계 상태에 대한 추가 통찰력을 얻을 수 있는 방법을 결정"하는 방법을 점점 더 많이 찾고 있다고 말했습니다.

Appnomic의 CEO인 Nitin Kumar에 따르면 많은 조직에서 재해 복구 계획을 재고하고 있습니다. Kumar는 "자연재해나 컴퓨터 바이러스가 조직에 영향을 미치고 시스템이 다운될 때 일어나는 일에 일종의 수동 모드로 전환합니다."라고 말했습니다. "사업은 계속되지만 더 느린 속도로 진행됩니다." 하지만 코로나19는 일반적인 재난이 아니다. “이제 수동 및 수요 용량에 도달했고 시스템 용량이 막혔거나 액세스할 수 없습니다. 따라서 더 많은 인력이 아니라 더 많은 시스템이나 자동화가 필요합니다." 자동화를 확장할 여유가 있는 조직은 재해 복구 계획 및 비즈니스 연속성 계획을 재고하면서 그렇게 할 가능성이 높습니다.

물론 연결성과 자동화의 확산은 새로운 것이 아닙니다. 2016년에 보안 전문가인 Bruce Schneier는 사람의 개입이 점점 더 불필요해지는 것을 관찰했습니다. “인터넷은 이제 감지하고 생각하고 행동합니다.”라고 그는 적었습니다. "우리는 세계적인 크기의 로봇을 만들고 있는데 그것을 깨닫지도 못합니다." Schneier는 그가 "세계에 걸친 새로운 로봇"이라고 명명한 것을 고려하는 것이 중요하다고 결론지었습니다.

소프트웨어의 사회적 역할은 수십 년 동안 확대되어 왔지만 자동화 또는 반자동 IoT 지원 장치가 널리 보급된 세계의 보안에 미치는 영향은 심오할 수 있습니다. Linux Foundation의 전략 프로그램 수석 이사인 Kate Stewart는 “컴퓨터는 우리의 삶을 돕고 더 나은 삶을 만드는 데 엄청난 힘을 가지고 있지만 시스템이 복잡할수록 잘못될 수 있는 일도 많아집니다. "무엇이 잘못될 수 있는지 이해하고 피해를 완화하며 소프트웨어 신뢰성을 높이는 방법을 알아 내려고 노력해야 합니다."

에 설계에 의한 에큐어

설계에 따른 보안과 같은 기존 사이버 보안 개념은 조직이 위기 대응 모드에 있을 때 때때로 빗나가게 됩니다. Verizon의 사이버 보안 전략 글로벌 책임자인 John Loveland는 COVID-19로 인해 "Secure-by-Design 원칙을 준수하는 것이 어려울 것"이라고 말했습니다. “다들 빠르게 움직이고 있습니다.” 위기 상황에서 조직이 원격 작업 및 자동화 기능을 확장함에 따라 실수할 가능성이 높아집니다. “기술이나 새로운 비즈니스 프로세스가 그 이면의 보안을 앞지르도록 내버려 둘 수는 없습니다. 내부 보안 팀이 새로운 기술, 프로세스 또는 작업 방식과 관련하여 내리는 모든 결정의 일부가 되도록 해야 합니다."

전문가들은 기술 배포를 계획할 때 가능한 한 초기 단계에서 보안을 고려할 것을 권장합니다. Industrial Internet Consortium의 Software Trustworthiness Task Group의 공동 의장인 Bob Martin은 "이해관계자, 비즈니스 및 운영자를 보안 토론에 참여시켜야 합니다."라고 권장했습니다.

UL의 보안 및 기술 이사인 Andrew Jamieson은 "[보안]을 모든 솔루션의 기본 측면 중 하나로 고려해야 하며 집의 기초와 마찬가지로 다른 모든 것이 그 위에 구축됩니다. Jamieson은 올바른 기초 구축을 소홀히 하는 조직은 기초를 재건하거나 "적어도 이전에는 훨씬 더 쉽게 해결할 수 있었던 문제를 수정하는 데 많은 시간과 노력을 소비"할 위험이 있다고 말했습니다.

그러나 조직이 갑자기 원격 작업, 자산 원격 제어 및 자동화 기능 확장으로 전환함에 따라 설계 기반 보안 원칙이 우선 순위 목록에 있을 가능성은 거의 없습니다. 독립적인 보안 컨설턴트인 Frank Hißen은 "보안 기술을 사용하더라도 보안 기술을 안전하게 적용할 시간이 없기 때문에 이는 실제로 큰 보안 문제입니다."라고 말했습니다.

Security-by-Design 원칙은 종종 일련의 하드웨어 및 기술 부분을 통합합니다. 그것들을 조립하는 것은 일종의 퍼즐이 될 수 있습니다. One Tech의 솔루션 엔지니어링 이사인 Chris Catterton은 "때때로 배포를 구성하는 '퍼즐 조각'을 판매하는 공급업체는 적절한 보안 조치가 부족합니다."라고 말했습니다. IoT 배포의 원격 액세스 기능 범위를 확장하면 "클라우드를 통해 액세스하든 VPN을 통해 액세스하는 온프레미스 시스템을 통해서든 시스템 수준뿐만 아니라 엔드 포인트에서도 보안을 포함"해야 할 필요성이 높아집니다.

F 보안 균형 찾기 및 재정의

제품과 프로세스에 보안 기능을 구축하는 것이 중요하지만, 미래의 모든 위협을 예측할 수는 없습니다. Jamieson은 "항상 프로젝트 초기에 보안에 대한 설계 결정을 내리고 그 결정을 유효하게 유지할 수는 없습니다."라고 말했습니다.

소프트웨어에 새로운 기능을 추가하는 것과 소프트웨어를 안전하게 사용하고 안전하게 유지하는 것 사이에는 종종 긴장이 있습니다. 스튜어트는 "휴대폰에 무작위로 충돌하는 기능이 많이 표시되며 그 결과는 성가시지만 생명을 위협하지는 않습니다."라고 말했습니다. "소프트웨어를 신뢰할 수 없는 경우 누군가에게 피해를 줄 수 있는 애플리케이션에서 오픈 소스가 점점 더 많이 사용되고 있습니다."

궁극적으로 시스템 보안은 탄력성과 민첩성으로 귀결됩니다. Jamieson은 "복원력만을 위해 빌드하면 새로운 보안 취약점이 나타날 때 곤경에 처하게 될 것입니다."라고 말했습니다. "따라서 오늘날의 세계에서는 민첩성도 필요합니다. 상황이 변할 때 시스템을 빠르게 변경, 패치, 업데이트 또는 리팩터링하는 능력입니다."

보안의 민첩성은 보안 기반 설계 원칙과도 연결됩니다. Jamieson은 "처음부터 보안을 강화해야 하며 해당 보안 접근 방식에는 탄력성과 민첩성 측면이 포함되어야 합니다."라고 말했습니다. "보안을 위해 설계하지 않으면 실패를 위해 설계하는 것입니다."