Published 2020년 1월 20일 (월)
제어 시스템 네트워크에서 가장 중요한 정보는 무엇입니까? 생명과학 OT/IT 전문가라면 이 질문에 쉽게 답변할 수 있을 것입니다.
중요한 시스템 데이터를 식별하고 이를 보호할 필요성을 인식하는 것은 어렵지 않습니다. 그러나 사이버 보안 위험을 줄이고 최신 사물 인터넷(IoT) 기술을 활용할 수 있는 네트워크 인프라를 설계하는 것은 쉽지 않습니다.
오늘날의 생명과학 기업들은 전자 배치 기록 및 보고를 개선하고, 고급 분석 기술과 디지털 기술을 도입하기 위해 준비하고 있습니다. 더불어 기업 전반에 걸친 많은 정보를 연결함으로써 얻을 수 있는 이점을 인지하고 있습니다.
그러나, 연결성을 높이는 과정에서 의도하지 않은 위험을 초래하는 네트워크를 선택할 수 있습니다.
생각해 보십시오. 서로 다른 시스템이 데이터를 공유하려면 어떻게 해야 할까요?
물론 이 목표를 달성하는 가장 쉬운 방법은 모든 제품과 솔루션에 동일한 네트워크를 사용하는 것입니다. 그리고 이 방법은 흔하게 사용되고 있습니다.
하지만, 편리성을 위해, 정보를 자유롭게 교환할 수 있는 세분화 되지 않은 네트워크를 선택할 수 있습니다. 일반적으로, 세분화 되지 않은 네트워크는 VLAN, 방화벽 및 기타 경계가 없어, 기존에 구축된 인프라가 시간이 지남에 따라 자연스럽게 확장된 결과인 경우가 많습니다.
그 원인과 상관없이, 세분화 되지 않은 네트워크는 쉽게 액세스하고 통신할 수 있지만 많은 비용이 듭니다.
첫째로, 세분화 되지 않은 네트워크 인프라는 중요하지 않은 데이터와 중요한 데이터를 모두 사이버 보안 위험에 노출시킵니다. 네트워크 경계나 액세스 제한이 없을 경우, 공격자는 가장 취약한 진입 지점을 악용하여 네트워크나 네트워크에 연결된 제품과 솔루션으로 더 깊이 이동할 수 있습니다.
위험에 노출된 콘텐츠는 제조 및 레시피 정보에서 임상 시험 데이터, 가격 및 마케팅 전략에 이르기까지 다양합니다.
뿐만 아니라, 세분화 되지 않은 네트워크는 비효율적입니다. 초기에는 네트워크 이슈가 있어도 운영에 큰 영향이 없기 때문에, 기업들은 네트워크 성능 문제를 인식하지 못할 수 있습니다. 그러나 시스템이 업데이트 되고 새로운 기능이 추가되면서 네트워크 트래픽이 증가하고, 네트워크 충돌 및 속도 저하가 더욱 빈번히 발생하면서 생산 문제가 표면화 되는 경우가 많습니다.
데이터나 시스템 가시성을 잃은 적이 있습니까? 이런 일은 언제 어디서나 발생할 수 있습니다.
심층 방어 액세스법의 일환으로 네트워크 세분화(네트워크를 더 작은 네트워크로 세분화)을 구현하면 불필요한 브로드캐스트 트래픽을 완화하고, 공격자가 즉각 사용 가능한 트래픽을 제한할 수 있습니다.
자동화 시스템을 구축할 때 네트워크 설계 및 성능을 고려하셨습니까? 그리고 잠재적 침해의 범위를 제한하고 네트워크 성능을 향상시키기 위해 어떻게 통합된 네트워크 세분화를 구축할지 고민하고 계십니까?
대부분의 생명과학 기업들은 생산 공정 관리에 능숙합니다. 그러나 선택한 옵션이 네트워크 인프라에 어떤 영향을 미치는지 알지 못합니다. 결과적으로 기존 인프라의 콘텐츠 범위와 트래픽 패턴 그리고 잠재적인 위험과 성능 제한에 대해 잘 모를 수 있다는 것을 의미합니다.
시스템 감사는 시스템에 포함된 콘텐츠, 장비 통신 방식 및 정보 이동 방식을 이해하는 데 도움이 됩니다. 가장 첫 단계인 시스템 감사는 잠재적인 위험을 파악하고 성능 개선을 평가하는 데 필요한 기본 정보를 제공합니다.
시스템 감사 완료 후 IEC 62443 지침에 따라 위험 평가를 수행하는 것은 더 나은 네트워크 설계 및 세분화를 향한 모범 사례입니다.
IEC 62443은 산업 자동화 및 제어 시스템(IACS)에서 현재와 미래의 보안 취약점을 해결하고 완화하기 위한 유연한 프레임워크를 제공하는 일련의 국제 표준입니다. 특히 IEC 62443-3-2는 위험 평가 지침을 제공합니다.
위험 평가는 현재의 보안 상태와 허용 가능한 위험 상태를 달성하는 데 필요한 것을 보여줍니다.
의심의 여지 없이, 시스템의 각 영역마다 보안 요구 사항이 다르다는 것을 알게 될 것입니다. 위험 평가는 새로운 기술을 구현하기 위해 감수할 수 있는 위험 수준과, 보안 및 생산성 목표를 달성하기 위해 논리적으로 네트워크를 세분화하는 방법에 대해 합리적인 결정을 내리는데 도움이 될 수 있습니다.
요구 사항에 따라 액세스 제어 목록, 방화벽, VLANS, IDMZ(Industrial Demilitarized Zone) 등의 기술을 포함한 다양한 세분화 방법을 선택할 수 있습니다.
네트워크 세분화는 사이버 보안에 대한 심층 방어 액세스의 일환으로 권장되는 여러 가지 방법 중 하나에 불과합니다. 효과적인 전략에는 문과 같은 단순한 물리적 보안 장치에서 최첨단 전자적 및 절차적 보호 장치에 이르기까지 다양한 보호 계층이 포함됩니다.
또한 효과적인 전략은 신중한 설계뿐만 아니라 적극적인 개입과 유지보수를 필요로 하는 지속적인 프로세스입니다.
로크웰 오토메이션이 IEC 62443 지침에 따라 시스템 설계 및 유지보수에 어떤 도움을 줄 수 있는지 알아보십시오. 또한 로크웰 오토메이션의 최신 IEC 62443 인증서도 확인해보십시오.
추천
