사이버 로드맵을 실행하기 위해 조직의 동의를 얻으려면 경영진의 후원, 통합 전략, 효과적인 커뮤니케이션, 타 부서와의 협력적 접근이 필요합니다. 숙련된 노력에는 전담 팀과 현명한 리소스 사용이 필요하기 때문에 이러한 융합은 많은 조직에 도전이 될 수 있습니다.
이러한 융합을 달성하기 위한 적절한 전문 지식과 거버넌스가 없으면 조직은 조직의 복잡성과 중요한 프로세스를 이해하기 전에 새로운 프로세스와 기술을 조기에 도입할 수 있습니다. 아무리 정교한 보안 기술이라도 OT 보안 프로그램의 성공에는 사람이 중요합니다. 사이버 전략이 비즈니스의 실제 요구 사항에 부합하는지 확인하려면 주요 이해관계자와 협력하는 것이 필수적입니다.
산업 생산성을 지원하는 중요한 OT보안 제어를 통해 전사적 사이버 보안을 강화하고자 하는 CISO는 글로벌 제조 대기업인 처치앤드와이트(Church & Dwight)가 수행한 작업에서 통찰력을 얻을 수 있습니다. Arm & HammerTM, WaterPik® and OxiCleanTM을 포함한 브랜드의 뉴저지 포장 제품 제조기업인 유잉(The Ewing)은 생산/제조 작업의 효율성을 저하하지 않으면서 OT 보안을 개선하는 기능을 구현하기 위해 로크웰 오토메이션과 협력하기로 결정했습니다.
이 목표를 달성하기 위해 처치앤드와이트의 보안 리더는 다음과 같은 방법으로 사람 중심 전략을 활용했습니다.
- 제조, IT 및 OT 팀과 경영진 간의 강력한 비즈니스 관계 구축
- 비즈니스 요구사항과 조직의 보안 이니셔티브 간 전략 조율 추진
- 조직의 운영을 안전하게 유지하기 위해 모든 사람의 사이버 인식을 높이는 강력하고 광범위한 보안 문화 지속적 육성
내부 동의 촉진
처치앤드와이트의 주요 목표는 사이버 보안 위험 상태를 이해하고 IT 및 OT 네트워크 전반에 대한 가시성을 확보하는 것이었습니다. 가시성을 높이기 위한 첫 번째 단계는 모든 처치앤드와이트의 시설에서 제조 현장 평가를 수행하는 것이었습니다. IT 사이버 보안 팀은 권한 있는 사용자, 자산 및 기타 리소스를 포함하여 회사의 OT 네트워크 전반에 존재하는 강점과 취약점을 모두 이해해야 했습니다. 처치앤드와이트의 CISO인 데이비드 오티즈(David Ortiz)는 "우리는 각 시설을 직접 방문하여 각 공장 내의 주요 이해관계자들과 관계를 구축했습니다."라고 말했습니다. "우리는 사이버 위험을 줄이면서 제조 현장의 가용성을 유지하려는 우리의 전략적 목표를 그들이 이해했는지 확인하고 싶었습니다."
처치앤드와이트는 로크웰 오토메이션과 협력하여 NIST 사이버 보안 프레임워크를 기반으로 제조 현장에서 일련의 워크숍을 실시했습니다. 평가는 공장 운영 팀의 시간을 너무 많이 차지하지 않도록 레이저에 중점을 두었습니다. 보안팀의 우선순위는 잠재적인 악성 요소를 탐지하는 것이었습니다. 오티즈는 "올바른 접근 방식은 이러한 평가를 과도하게 설계하지 않는 것입니다."라고 말했습니다.
사이버 보안 구축으로 인해 생산에 미치는 영향을 최소화하기 위해 오티즈와 그의 팀은 각 제조 사이트에서 이해 관계자와 연계하여 각 사이트가 어떻게 운영되는지 이해하는 데 시간을 보냈습니다.
기업 리더들도 중요한 파트너이기때문에 사이버 보안 위험이 비즈니스 위험으로 어떻게 변환되는지 알아야 합니다. 이사회와 최고 경영진의 동의는 OT 사이버 보안 투자의 우선순위를 결정하는 데 매우 중요합니다. 처치앤드와이트의 사이버 보안 팀은 처음에 회사의 경영진과 협력하여 구체적인 목표와 결과에 동의했습니다.
또한, 위험 기반 프레임워크를 사용하여 소화하기 쉽고 이해하기 쉬운 형식으로 공장 평가 결과를 제공함으로써 다양한 이해관계자가 정보에 액세스할 수 있게 되었고 사이버 보안 권장 사항을 안전, 가동 시간, 평판 및 재정적 고려 사항과 같은 운영 요구 사항에 연결했습니다.
보안 강화를 위한 신뢰 구축
오늘날, 악의적인 행위자들이 소셜 엔지니어링과 AI를 사용하여 인간 행동의 약점을 이용하기 때문에 대부분의 사이버 공격의 중심에는 사람이 있습니다. IBM Security 연구원들은 스피어 피싱과 같은 OT 관련 사고의 38%가 초기 액세스 벡터라는 사실을 발견했습니다. OT와 관련된 사건의 38% 중 스피어 피싱이 초기 접근 벡터임을 발견했습니다. [i] 인적 요소를 악용한 공격에 대한 보호를 강화하려면 보안 중심의 문화를 구축하는 것이 필수적입니다.
처치앤드와이트에서 IT팀과 OT팀 간의 파트너십의 일환으로 구축된 관계와 신뢰가 보안 문화를 더욱 강화했습니다. IT, 사이버 보안 및 제조 팀 간의 분기별 미팅을 통해 협업이 유지됩니다. 오티즈는 "현장에 있는 사람들은 무슨 일이 일어나고 있는지, 왜 일어나는지 알아야 조직에 중요한 일에 기여하고 있다는 느낌을 받을 수 있습니다."라고 말했습니다.
IT 및 OT 운영 전반에 걸쳐 사이버 보안을 현대화하면 조직은 인시던트를 보다 효과적으로 방지하여 가시성을 제공하고 증가하는 위협으로부터 중요 자산을 보호할 수 있습니다. 처치앤드와이트의 보안 이니셔티브 결과에는 보다 효율적인 인시던트 대응 프로세스와 보안 팀이 가장 중요한 위험을 신속하게 식별하고 해결할 수 있는 위험 기반 접근 방식이 포함되었습니다.
오티즈는 사이버 보안이 끝없는 탐구라고 강조했습니다. "항상 개선의 여지가 있으며, 회사로서 해결해야 할 새로운 위협도 항상 존재합니다."라고 그는 말했습니다.
IT 운영 보호 경험이 있는 CISO는 제조기업의 가용성에 영향을 미칠 수 있는 잠재적인 위협으로부터 OT운영을 보호하기 위해 범위를 조정하고 확장해야 합니다. 전체적인 사이버 보안 프로그램에는 보안 격차, 취약성 및 노출 관리, 위협 모니터링, 복원력 준비 상태에 대한 지속적인 평가가 필요합니다. 생산 팀과 비즈니스 리더십 간의 좋은 파트너십을 구축하는 것도 CISO가 전략을 세심하게 조정하고 성숙시키며 다음 단계를 준비하는 데에도 도움이 됩니다.
더 자세한 내용은 여기에서 처치앤드와이트 성공사례를 확인하십시오.
[i] IBM Security, “X-Force Threat Intelligence Index 2023”
