영향 평가에 비디지털(Non-Digial) 측면의 ICS 통합

종종 내결함성을 제공하고 산업제어시스템(ICS)이 허용 가능한 매개 변수 범위 밖에서 동작하는 것을 방지하는 비디지털(Non-Digial) 메커니즘을 사용할 수 있기 때문에 시스템의 디지털 측면에만 집중해서는 산업제어시스템(ICS)에 대한 영향을 적절히 결정할 수 없다. 따라서 이러한 메커니즘은 디지털 사고가 산업제어시스템(ICS)에 줄 수도 있는 모든 악영향을 줄이는 데 도움이 되며, 위험 평가 절차에 통합되어야 한다. 예를 들어, 산업제어시스템(ICS)에는 종종 산업제어시스템(ICS)이 안전한 경계 밖에서 작동함으로써 공격의 영향을 제한(예: 기계 압력 방출 밸브)하는 것을 방지하는 비디지털(Non-Digial) 제어 메커니즘이 있다. 추가로, 디지털 판독 값을 수용할 수 없거나 이 판독 값이 손상되었을 경우 물리적 시스템 상태를 관찰하여 운영자에게 신뢰할 수 있는 데이터를 제공하기 위해 아날로그 메커니즘(예: 계량기, 경보기)을 사용할 수 있다. 표 3-1은 산업제어시스템(ICS) 사고의 영향을 줄일 수 있는 비디지털(Non-Digial) 제어 메커니즘의 범주를 제공한다.

Table 3-1. Categories of Non-Digital ICS Control Components

Determination of the potential impact that a cyber incident may have on the ICS should incorporate analysis of all non-digital control mechanisms and the extent to which they can mitigate potential negative impacts to the ICS. There are multiple considerations when considering the possible mitigation effects of non-digital control mechanisms, such as:

< Non-digital control mechanisms may require additional time and human involvement to perform necessary monitoring or control functions and these efforts may be substantial. For example, such mechanisms may require operators to travel to a remote site to perform certain control functions. Such mechanisms may also depend on human response times, which may be slower than automated controls.

< Manual and analog systems may not provide monitoring or control capabilities with the same degree of accuracy and reliability as the digital control system. This may present risk if the primary control system is unavailable or corrupted due to reduced quality, safety, or efficiency of the system. For example, a digital/numeric protection relay provides more accuracy and reliable detection of faults than analog/static relays, therefore, the system maybe more likely to exhibit a spurious relay tripping if the digital relays are not available.

표 3-1. 비디지털(Non-Digial) 산업제어시스템(ICS) 제어 구성요소의 범주

산업제어시스템(ICS)에 대한 사이버 사고의 잠재적인 영향의 결정에는 모든 비디지털(Non-Digial) 제어 메커니즘의 분석과 함께, 해당 메커니즘이 산업제어시스템(ICS)에 대한 잠재적인 악영향을 완화할 수 있는 범위를 통합해야 한다. 비디지털(Non-Digial) 제어 메커니즘의 가능한 완화 효과를 고려하는 경우 다음과 같은 여러 고려 사항이 있다.

n 비디지털(Non-Digial) 제어 메커니즘에는 필수 모니터링 또는 제어 기능을 수행하기 위해 추가 시간과 인간의 개입이 필요할 수 있으며, 이러한 수고는 상당할 수 있다. 예를 들어, 이러한 메커니즘에서 운영자가 특정 제어 기능을 수행하기 위해서는 멀리 떨어진 현장으로 출장을 가야할 수 있다. 또한 이러한 메커니즘은 자동화 제어보다 느릴 수 있는 인간의 대응 시간에 의존한다.

n 수동 시스템과 아날로그 시스템은 디지털 제어시스템과 동급의 정확성 및 신뢰성을 갖춘 모니터링 또는 제어 기능을 제공하지 않을 수 있다. 이것은 시스템의 저하된 품질, 안전 또는 효율 때문에 주 제어시스템을 사용할 수 없거나 손상된 경우 위험해질 수 있다. 예를 들어, 디지털/수치식 보호

시스템 유형 설명

아날로그 디스플레이 또는 경보기

물리적 시스템의 상태(예: 온도, 압력, 전압, 전류)를 측정 및 표시하고, 디지털 디스플레이를 사용할 수 없거나

손상된 상황에서 정확한 정보를 운영자에게 제공할 수 있는 비디지털(Non-Digial) 메커니즘. 정보는 일부

비디지털(Non-Digial) 디스플레이(예: 온도계, 압력계)와 잘 들리는 경보를 통해 운영자에게 제공될 수 있다.

수동 제어 메커니즘

수동 제어 메커니즘(예: 수동 밸브 제어, 물리적 차단기 스위치)은 디지털 제어시스템에 의존하지 않고

액추에이터를 수동으로 제어할 수 있는 기능을 운영자에게 제공한다. 이를 통해 제어시스템을 사용할 수 없거나 훼손되었더라도 액추에이터를 제어할 수 있다.

아날로그 제어시스템 아날로그 제어시스템은 비디지털(Non-Digial) 센서 및

액추에이터를 사용하여 물리적 공정을 모니터링하고 제어한다. 이로써 디지털 제어시스템을 사용할 수 없거나 손상된 상황에서 물리적 공정이 원하지 않는 상태에

진입하는 것을 방지할 수 있다. 아날로그 제어에는 조절기, 거버너 및 전기기계식 계전기 등의 장치가 있다.

3.3.5 Incorporating the Impact of Safety Systems

Safety systems may also reduce the impact of a cyber incident to the ICS. Safety systems are often deployed to perform specific monitoring and control functions to ensure the safety of people, the environment, process, and ICS. While these systems are traditionally implemented to be fully redundant with respect to the primary ICS, they may not provide complete redundancy from cyber incidents, specifically from a sophisticated attacker. The impact of the implemented security controls on the safety system should be evaluated to determine that they do not negatively impact the system.

3.3.6 Considering the Propagation of Impact to Connected Systems

Evaluating the impact of an incident must also incorporate how the impact from the ICS could propagate to a connected ICS or physical system. An ICS may be interconnected with other systems, such that failures in one system or process can easily cascade to other systems either within or external to the organization. Impact propagation could occur due to both physical and logical dependencies. Proper communication of the results of risk assessments to the operators of connected or interdependent systems and processes is one way to mitigate such impacts.

Logical damage to an interconnected ICS could occur if the cyber incident propagated to the connected control systems. An example could be if a virus or worm propagated to a connected ICS and then impacted that system. Physical damage could also propagate to other interconnected ICS. If an incident impacts the physical environment of an ICS, it may also impact other related physical domains. For example, the impact could result in a physical hazard which degrades nearby physical environments.

Additionally, the impact could also degrade the common shared dependencies (e.g., power supply), or result in a shortage of material needed for a later stage in an industrial process.

계전기는 아날로그/정지형 계전기 보다 더 정확하고 신뢰할 수 있는 고장 감지를 제공한다. 따라서 디지털 계전기를 사용할 수 없는 경우 해당 시스템은 의사 계전기 개폐를 나타낼 가능성이 높을 수 있다.