제조업체가 지금 사이버 보안에 대해 알아야 할 사항 — Pat Toth와의 인터뷰

사이버 공격의 수는 계속 증가하고 사이버 범죄자는 점점 더 결단력이 높아지고 있습니다. 기업은 빠르게 변화하는 디지털 환경에서 혼란스러운 기술 지침을 탐색해야 합니다. 소규모 제조업체는 종종 회사가 위험에 처해 있다고 생각하지 않습니다. 결국, 목표로 삼을 더 큰 기업이 있는데 누군가가 시골의 작은 제조업체를 목표로 삼고 싶어하는 이유는 무엇입니까?

무슨 일이 일어나고 있는지 이해하고 제조업체가 사이버 보안에 대해 정말로 알아야 하는 것이 무엇인지 알아보기 위해 저는 Pat Toth와 함께 앉았습니다. Pat은 NIST Manufacturing Extension Partnership의 컴퓨터 과학자로 30년 이상의 사이버 보안 경험을 갖고 있으며 수많은 NIST 사이버 보안 지침 문서를 작업했습니다.

질문:제조업체가 다른 산업과 비교할 때 사이버 공격의 위험이 실제로 있습니까? 그렇다면 왜?

팻: 미국 국토 안보부에 따르면 제조 산업은 보고된 사이버 공격 수를 기준으로 두 번째로 가장 표적이 되는 산업입니다.

소규모 제조업체는 더 큰 공급망에 쉽게 진입할 수 있기 때문에 특히 취약하다고 생각합니다. 다음과 같이 생각하십시오. 귀하가 범죄자이고 건물에 침입하여 강도를 계획하는 경우 감시 장비, 경보 시스템 및 경비원이 있는 건물에 침입하려고 합니까, 아니면 표적으로 삼을 가능성이 더 높습니까? 이러한 보안 기능이 없는 건물이 있습니까? 사이버 범죄자가 특히 제조업체를 표적으로 삼는 이유는 일반적으로 후자입니다. 유감스럽게도 많은 소규모 기업이 자신을 표적으로 생각하지 않기 때문에 적절한 보안 조치를 취하지 않습니다.

사이버 범죄자는 귀하의 지적 재산(IP)에 관심이 있거나 귀하와 함께 일하는 사람 또는 고용한 사람에 대한 정보에 액세스하려고 할 수 있습니다. Target의 2013년 고객 데이터 유출은 이에 대한 가장 잘 알려진 사례 중 하나입니다. 그들의 HVAC 시스템 제공자는 사이버 범죄자의 표적이 되었습니다. 해커가 이 HVAC 제공자를 통해 Target의 시스템에 액세스할 수 있다는 것을 알고 있었기 때문입니다. 데이터 유출로 인해 수백만 명의 신용 카드 정보가 도난당했습니다.

질문:SMM(중소 제조업체)이 주요 대상인 경우가 많지만 리소스가 제한된 경우가 많다는 점을 감안할 때 이러한 SMM은 무엇을 할 수 있습니까?

팻: 복잡하고 다소 압도적으로 보일 수 있지만 SMM이 할 수 있는 일이 저렴하거나 무료이며 구현하기 쉽습니다.

실제로 중요한 것은 정책을 수립하고 직원을 교육하는 것입니다. 다양한 연구에 따르면 직원은 모든 회사의 보안에서 가장 취약한 지점 중 하나입니다. 대부분의 직원은 너무 늦을 때까지 주의해야 할 사항과 잠재적 또는 실제 사이버 사고를 식별하는 방법을 모르고 있습니다. 회사는 직원들이 사이버 범죄자 전술과 사이버 사건을 예방하는 데 중요한 역할을 이해할 수 있도록 정기적으로 소통해야 합니다.

예를 들어, 회사에는 직장에서 소셜 미디어 사용에 대한 정책이 있어야 합니다. 일부 직원은 근무 시간 동안 소셜 미디어에 액세스할 것으로 예상합니다. 직원이 소셜 미디어에 액세스하고 시스템을 보호하는 등 기업이 직면한 균형 조정 작업이 있습니다. 그러면 어떻게 하시겠습니까? 정책을 시행하고 있습니다. 정책에 따라 회사 시스템에서 소셜 미디어 사용을 허용하지 않을 수 있습니다. 회사를 위험에 노출시키지 않으면서 사람들이 하루 종일 소셜 미디어에 액세스할 수 있는 별도의 반 공개 네트워크를 제공할 수 있습니다. 귀하의 정책이 무엇이든 직원이 이를 인지하고 정책이 존재하는 이유와 정책 위반 시 잠재적인 결과를 이해하도록 하십시오.

질문:제조업체가 구현할 수 있는 무료 및 저비용 솔루션이 있다는 소식을 듣게 되어 좋습니다. 회사가 사이버 보안을 개선할 준비가 되었다면 어디서부터 시작해야 합니까?

팻: NIST 사이버 보안 프레임워크 및 NISTIR 7621 중소기업 정보 보안:기본 사항을 살펴보는 것으로 시작하십시오. 사이버 보안 프레임워크는 사이버 보안 관련 위험을 관리하기 위한 표준, 지침 및 모범 사례로 구성됩니다. 시스템 보호에 대한 우선 순위가 지정되고 유연하며 비용 효율적인 접근 방식을 제공합니다. Small Business Information Security:Fundamentals는 Cybersecurity Framework를 기반으로 하며 기술적 배경이 없는 회사 의사 결정권자를 위해 보다 관리하기 쉬운 개요를 제공합니다. 또한 보안 기능을 평가하고 우선 순위를 지정하는 방법에 중점을 둡니다.

시작하기 위해 다음은 프레임워크에서 찾을 수 있는 내용에 대한 간략한 요약입니다.

첫 번째 단계는 식별입니다. . 회사에 가장 중요한 정보를 식별하십시오. 이것은 분실 또는 수정될 경우 작업이 중단될 수 있는 정보입니다. 예를 들어, 당신이 식품 제조업체이고 할머니의 레시피를 사용하여 초콜릿 칩 쿠키를 만든다고 가정해 보겠습니다. 이 레시피는 비즈니스에 매우 중요하며 비즈니스를 계속할 수 있도록 도난이나 수정으로부터 보호되어야 합니다.

두 번째 단계는 보호입니다. . 관리자 및 직원과 이야기를 나누었고 이 피드백을 사용하여 회사에 가장 중요한 정보를 식별했습니다. 이제 해당 정보를 적절하게 보호하기 위해 수행해야 할 작업을 결정할 때입니다. 이 단계는 주로 귀하의 비즈니스에 특정한 위협 및 취약성에 따라 달라집니다. 단순히 대면 또는 전화를 통해 고객과 협력하는 소규모 회사는 이메일 및 웹 포털을 통해 비즈니스를 수행하는 회사만큼 보호할 수 없습니다. 실제로 어떤 보호 조치를 취해야 하는지는 운영 환경에 따라 다릅니다.

세 번째 단계는 감지입니다. . 사이버 사고가 발생한 시점을 감지할 수 있어야 합니다. 최신 안티스파이웨어, 안티바이러스 및 침입 탐지 시스템을 갖추고 있어야 합니다. 물리적 공간도 고려해야 합니다. 사람들이 접근해서는 안 되는 영역에 접근할 때 알림을 받아야 하는지 여부와 같은 사항을 고려하십시오. 사건이 디지털이든 물리적이든 관계 없이 사건이 발생한 시간과 그 사람이 액세스한 대상을 아는 것이 중요합니다.

네 번째 단계는 응답입니다. . 사이버 사고가 발생하면 회사는 잠재적인 피해를 완화하기 위해 신속하게 대응해야 합니다. 어떤 일이 일어나기 전에 미리 계획을 세워야 합니다. 계획에는 책임자와 일이 발생했을 때 연락해야 하는 사람이 포함되어야 합니다. 또한 직원은 업무 시간 중 및 이후에 플랜에 액세스하는 방법을 알고 있어야 합니다.

일 년에 몇 번씩 소방 훈련을 하던 초등학교 때를 기억하십니까? 이러한 소방 훈련과 마찬가지로 회사는 사이버 사고 대응을 정기적으로 연습하여 직원들이 사이버 사고가 발생했을 때 어떻게 해야 하는지 정확히 알 수 있도록 해야 합니다.

다섯 번째이자 마지막 단계는 복구입니다. . 시스템을 복구할 수 있도록 정기적인 백업을 수행해야 합니다. 이러한 백업은 별도의 위치나 클라우드에 저장해야 합니다. 백업을 테스트해야 합니다. 백업 정보를 테스트하지 않으면 이벤트에서 완전히 복구할 수 있는지 확신할 수 없습니다. 백업을 테스트하기로 결정하는 빈도는 정보가 회사 운영에 얼마나 중요한지에 따라 결정되어야 합니다.

이것은 "모든 경우에 적용되는" 상황이 아니며 회사와 해당 문화에 적합한 것이 무엇인지 결정해야 합니다. 한 회사의 경우 1년에 한 번 테스트하면 충분할 수 있습니다. 다른 회사의 경우 일주일에 한 번 테스트해야 할 수도 있습니다. 듣기 쉬운 대답은 아니지만 실제로 시스템을 살펴보고 취약한 부분을 확인하고 직면한 위협과 이에 대응하는 방법을 알아야 합니다.

질문:회사에서 적절한 안전 조치를 취하고 대응 계획을 세웠다고 가정해 보겠습니다. 다음 단계는 무엇인가요?

팻: 이것은 "일단 완료" 활동이 아닙니다. 대응 계획을 작성해서 선반에 놓을 수는 없습니다. 이것은 살아있는 문서여야 합니다. 모든 사람이 귀하의 사이버 보안 상태와 이를 지속적으로 개선할 수 있는 방법을 알아야 합니다.

새 장비를 구입하거나 새 직원을 고용할 때마다 이러한 활동이 보안에 어떤 영향을 미치는지 생각해야 합니다. 소규모 회사의 경우 이것이 어려울 수 있습니다. 회사가 빠르게 성장하고 모든 사람이 모든 정보에 액세스할 필요가 없다는 사실을 잊어버리는 경우를 너무나 자주 봅니다. 시간이 걸릴 수 있지만 경영진은 직원 목록을 살펴보고 액세스해야 하는 항목과 액세스하지 않아야 하는 항목을 확인해야 합니다. 작업 현장의 누군가는 급여 정보에 액세스할 필요가 없습니다. 역할을 정의하고 역할 분리를 구현하는 것은 어려울 수 있지만 사이버 위협으로부터 회사를 보호할 때 필요합니다.

사이버 보안과 품질은 채택 측면에서 많은 유사점이 있다고 생각합니다. 많은 회사들이 ISO 9000과 같은 품질 시스템을 더디게 채택했습니다. 품질의 주요 구성 요소는 회사의 사고 방식입니다. 사이버 보안은 IT 담당자나 사이버 담당자에게만 국한되지 않습니다. 회사의 모든 수준에 있는 모든 직원은 어떤 형태의 책임이 있습니다. 사이버 보안은 품질과 마찬가지로 기업 문화의 일부가 되어야 효과적입니다.

질문:직원에게 회사의 사이버 위험을 줄이기 위해 할 수 있는 일을 교육하기 위한 정보는 어디에서 찾을 수 있습니까?

팻: NIST MEP 사이버 보안 리소스 웹 페이지로 이동합니다. 이 페이지에서는 회사의 사이버 위험 수준을 자체 평가하는 데 사용할 수 있는 간단한 자체 평가 도구(NIST의 사이버 보안 프레임워크 기반)를 비롯한 다양한 리소스를 찾을 수 있습니다. 자체 평가는 회사의 약점이 어디에 있고 이를 개선하기 위해 리소스를 집중할 위치를 결정하는 데 도움이 될 수 있습니다. 우리는 귀하의 정보를 추적하거나 결과를 보관하지 않습니다. 평가를 받은 후 점수를 받게 되어 사이버 보안 노력과 관련하여 약점이 어디에 있는지 알 수 있습니다. MEP National Network ^TM 에 속한 50개 주 전체와 푸에르토리코에 있는 51개 MEP 센터 중 하나에 연락할 수도 있습니다. 질문이나 지원을 위해.