정부 사이버 보안 요구 사항에 대해 제조업체에서 자주 묻는 질문 5개

이 기사는 원래 Industry Today에 실렸습니다. 콜로라도의 NIST MEP 센터이자 MEP National Network ^TM 대표인 Manufacturer's Edge의 사이버 프로그램 책임자인 Jennifer Kurtz의 게스트 블로그 게시물 .

미국 국토안보부에 따르면 보고된 사이버 공격 건수를 기준으로 볼 때 제조업은 두 번째로 가장 표적이 되는 산업입니다. 또한 사이버 범죄자는 중소 규모 제조업체(SMM)를 주요 표적으로 삼고 있는 이유는 이들 기업 중 상당수가 적절한 예방 조치를 갖추고 있지 않기 때문입니다.

국방부(DoD), 계약자 및 하청 계약자에게 평소와 같은 업무는 더 이상 필요하지 않습니다. 비즈니스를 수행하기 위해 외부 서비스 제공자에 점점 더 의존하고 있는 연방 정부는 비연방 정보 시스템 및 조직에서 통제된 미분류 정보(CUI)를 보호하는 데 앞장서고 있습니다. 2017년 12월 31일부터 모든 연방 정부 계약자는 DFARS(Defense Acquisition Regulation Supplement) 최소 사이버 보안 요구 사항을 충족해야 하며 그렇지 않으면 계약을 잃을 위험이 있습니다. 마감 기한이 지났음에도 불구하고 많은 SMM은 시스템을 업그레이드할 지식과 리소스가 부족하고 이러한 110가지 새로운 보안 요구 사항을 충족하는 방법을 모르고 있습니다. 중요한 사실은 GSA(General Services Administration) 및 NASA(National Aeronautics and Space Administration)를 대신하여 일하는 정부 계약자에게 적용되는 연방 획득 규정(Federal Acquisition Regulation)에 유사한 사이버 보안 요구 사항이 곧 포함될 것이라는 점입니다.

미국 제조업체에 포괄적이고 입증된 솔루션을 제공하는 민관 파트너십인 MEP National Network는 미국 제조업체가 사이버 공격의 위험으로부터 정보 자산을 보호할 수 있도록 인식과 지원을 적극적으로 제공하고 있습니다. 조직과 파트너는 또한 저장, 처리 및 전송되는 미분류 통제 정보를 보호하기 위해 적절한 보안을 구현하려는 미국 제조업체의 국가 자원 역할을 합니다.

다음은 연방 정부의 DFARS 보안 지침에 대해 SMM으로부터 가장 자주 받는 질문 5가지입니다.

Q:CUI(Controlled Unclassified information)란 무엇이며 계약의 일부로 이러한 유형의 정보를 처리하고 있는지 어떻게 알 수 있습니까?

A:CUI(Controlled Unclassified Information)는 정부 소유의 데이터입니다. 정부가 보안을 유지하기를 원하는 정보이지만 국가 안보에 필수적인 정보는 아닙니다. DFARS 조항 252.204.7012가 귀하의 계약에 나타날 수 있지만 CUI를 처리, 저장 또는 전송하는 경우에만 제정됩니다. CUI에는 연구 및 엔지니어링 데이터, 엔지니어링 도면, 사양, 매뉴얼, 기술 보고서, 연구 및 분석, 컴퓨터 소프트웨어 실행 코드 및 소스 코드가 포함될 수 있습니다. CUI에는 FOUO(공식 사용 전용)와 같은 특수 표시 및 취급 지침이 있습니다. CUI 표시에 대한 자세한 내용은 CUI 레지스트리를 참조하십시오.

Q:DFARS 규정 준수가 법으로 요구됩니까?

A:계약서에 DFARS 조항이 있는 계약자 또는 하도급자는 법적으로 준수해야 합니다. 규정을 준수한다고 거짓으로 주장하는 경우 정부 계약 및 모든 관련 수입을 잃을 위험이 있으며 향후 정부 계약 자격도 상실할 수 있습니다.

Q:소규모 사업체를 소유하고 있으며 정부 계약 규모가 작습니다. DFARS 규정 준수가 나에게 적용되나요?

A:회사 또는 계약의 규모에 관계없이 CUI를 처리, 저장 또는 전송하는 연방 정부 계약자 또는 하청 계약자라면 준수해야 합니다. 사이버 범죄자는 일반적으로 보안 조치가 적기 때문에 소규모 회사를 표적으로 삼습니다. 공급망의 하위 계층에 있는 회사는 주요 목표의 네트워크에 침입하는 것보다 침투하기가 더 쉬울 수 있습니다. 공급망 공격은 정부 네트워크에 직접 액세스하려고 시도하는 것보다 분류되지 않은 통제된 정부 정보에 대한 더 쉬운 경로일 수 있습니다.

Q:우리 회사가 현재 DFARS를 준수하는지 어떻게 알 수 있습니까?

A:NIST 핸드북 162를 참조하십시오. 이 핸드북은 DFARS 보안 요구 사항에 대해 제조업체의 정보 시스템을 평가하기 위한 단계별 가이드를 제공합니다.

Q:우리 조직이 최소 DFARS 가이드라인을 충족하지 않지만 규정 준수 프로세스를 어디서 시작해야 할지 모르겠습니다.

A:정부가 승인한 사이버 보안 계획을 실행하는 것은 어려운 작업일 수 있습니다. DFARS 요구 사항을 설명하는 NIST SP 800-171 간행물을 검토하여 시작할 수 있습니다. MEP National Network에 연락하여 지역 MEP 센터에 연결할 수도 있습니다. 지역 MEP 센터는 규정 준수 프로세스를 통해 제조업체를 안내하기 위해 광범위한 무료 또는 저렴한 서비스와 이니셔티브를 제공합니다. 이러한 서비스에는 프로토콜 및 절차의 상세한 격차 분석을 개발하고 취약점 및 기타 규정 준수 문제를 해결하는 조치 계획을 작성할 수 있는 사이버 보안 전문가와의 연결이 포함됩니다.

Q:우리 회사는 정부 계약자가 아니지만 사이버 보안 프로토콜을 강화하고 싶습니다. DFARS 가이드라인을 사용할 수 있나요?

A:물론입니다. 상업적 공급망에서 운영되는 제조업체는 DFARS 보안 요구 사항을 조직 위험 관리의 필수적인 측면으로 구현하는 것을 진지하게 고려해야 합니다.

제조 부문이 점점 디지털화됨에 따라 점점 더 복잡해지는 사이버 위협을 이해하고 완화하고 대응해야 하는 필요성이 비즈니스 수행 비용이 되었습니다.