잠재적 결과

상호연결에 대한 비즈니스 의존도가 증가함에 따라 보안 시스템의 중요성은 더욱 강조되어야 한다. 서비스 거부(DoS) 공격 및 악성코드(예: 웜, 바이러스)는 모두 너무 흔해졌으며, 이미 산업제어시스템(ICS)에 영향을 끼쳤다. 사이버 공격은 상당히 중대한 물리적 영향을 끼칠 수 있다. 위험 관리는 제3절에서 다루어진다. 영향의 주요 범주는 다음과 같다.

n 물리적 영향. 물리적 영향에는 산업제어시스템(ICS) 결함의 직접적인 결과들이 포함된다. 가장 중요한 잠재적인 영향에는 신체적 상해 및 인명 손실이 포함된다. 기타 영향에는 재산(데이터 포함)의 손실 및 환경에 대한 잠재적인 손상이 포함된다.

n 경제적 영향. 경제적 영향은 산업제어시스템(ICS) 사고의 결과로 뒤따라 발생하는 물리적 영향의 2차 효과이다. 물리적 영향은 시스템 작동에 후탈을 초래할 수 있으며, 그 다음으로 산업제어시스템(ICS)에 의존하는 시설, 조직 등에 더 큰 경제적 손실을 가할 수 있다. 주요기반시설(예:

전력, 운송)의 비가동률은 직접적이고 물리적 손상을 버티는 시스템을 훨씬 넘는 경제적 영향을 미칠 수 있다. 이러한 영향은 지방, 지역, 국가 또는 어쩌면 세계 경제에 악영향을 줄 수 있다.

n 사회적 영향. 다른 2차 효과 즉, 조직에 대한 국가 또는 대중의 신뢰의 손실의 결과는 거듭 간과된다. 하지만, 이것은 산업제어시스템(ICS) 사고에서 초래될 수 있는 매우 실제적인 결과이다.

The program to control such risks is addressed in Section 3. Note that items in this list are not independent. In fact, one can lead to another. For example, release of hazardous material can lead to injury or death. Examples of potential consequences of an ICS incident are listed below:

< Impact on national security—facilitate an act of terrorism.

< Reduction or loss of production at one site or multiple sites simultaneously.

< Injury or death of employees.

< Injury or death of persons in the community.

< Damage to equipment.

< Release, diversion, or theft of hazardous materials.

< Environmental damage.

< Violation of regulatory requirements.

< Product contamination.

< Criminal or civil legal liabilities.

< Loss of proprietary or confidential information.

< Loss of brand image or customer confidence.

Undesirable incidents of any sort detract from the value of an organization, but safety and security incidents can have longer-term negative impacts than other types of incidents on all stakeholders— employees, shareholders, customers, and the communities in which an organization operates.

The list of potential business consequences needs to be prioritized to focus on the particular business consequences that senior management will find the most compelling.

The highest priority items shown in the list of prioritized business consequences should be evaluated to obtain an estimate of the annual business impact, preferably but not necessarily in financial terms.

The Sarbanes-Oxley Act requires corporate leaders to sign off on compliance with information accuracy and protection of corporate information.10 Also, the demonstration of due diligence is required by most internal and external audit firms to satisfy shareholders and other organization stakeholders. By implementing a comprehensive information security program, management is exercising due diligence.

이러한 위험을 통제하는 프로그램은 제3절에서 다루어진다. 이 목록의 항목들은 독립적이지 않다. 실제로, 한 항목은 다른 항목으로 이어질 수 있다.

예를 들어, 유해 물질의 방출은 부상이나 사망을 초래할 수 있다.

산업제어시스템(ICS) 사고의 잠재적 결과의 사례는 다음과 같다.

n 국가 보안에 대한 영향 —테러 행위 촉진.

n 한 곳의 현장 또는 여러 현장에서 동시에 생산의 감소 또는 손실.

n 직원의 부상 또는 사망.

n 지역사회 구성원의 부상 또는 사망.

n 장비 손상.

n 유해 물질의 방출, 유용 또는 도난.

n 환경적 손상.

n 규제 요구사항의 위반.

n 제품 오염.

n 형사 또는 민사상의 법적책임.

n 독점 또는 기밀 정보의 손실.

n 브랜드 이미지 또는 고객 신뢰의 손실.

모든 종류의 원하지 않는 사고는 조직의 가치를 손상시키지만, 안전 및 보안 사고는 모든 관계자(직원, 주주, 고객 및 조직이 운영되는 지역사회 구성원)에 대해 기타 유형의 사고 보다 더 장기적으로 악영향을 줄 수 있다.

고위 경영진이 주목하지 않을 수 없는 특정 비즈니스 결과에 중점을 둘 수 있도록 잠재적인 비즈니스 결과 목록의 우선순위를 정해야 한다. 우선순위 비즈니스 결과의 목록에 표시된 우선순위가 높은 항목은 연간 비즈니스 영향의 추정치를 얻을 수 있도록 평가해야 한다. 재정적인 관점이 바람직하지만 필수적인 것은 아니다.

사베인스-옥슬리법(Sarbanes-Oxley Act)에 따라 기업 책임자는 정보의 정확성 및 기업 정보 보호의 준수에 서명해야 한다¹⁰. 또한, 주주 및 기타 조직 관계자를 수긍시키기 위해 대부분의 내부 및 외부 감사 회사에 의한 자산 실사의 입증이 필요하다. 포괄적인 정보 보안 프로그램을 구현함으로써, 경영진은 근면의무를 이행한다.

10 사베인스-옥슬리법(Sarbanes-Oxley Act)에 대한 자세한 내용과 복사본은 http://www.sec.gov/about/laws.shtml에서 제공된다.

4.1.3 Resources for Building Business Case

Significant resources for information to help form a business case can be found in external resources in other organizations in similar lines of business–either individually or in information sharing exchanges, trade and standards organizations, consulting firms–

and internal resources in related risk management programs or engineering and operations. External organizations can often provide useful tips as to what factors most strongly influenced management to support their efforts and what resources within their organizations proved most helpful. For different industries, these factors may be different, but there may be similarities in the roles that other risk management specialists can play. Appendix D— provides a list and short description of some of the current activities in ICS security.

Internal resources in related risk management efforts (e.g., information security, health, safety and environmental risk, physical security, business continuity) can provide tremendous assistance based on their experience with related incidents in the organization. This information is helpful from the standpoint of prioritizing threats and estimating business impact. These resources can also provide insight into which managers are focused on dealing with which risks and, thus, which managers might be the most appropriate or receptive to serving as a champion. Internal resources in control systems engineering and operations can provide insight into the details of how control systems are deployed within the organization, such as the following:

< How networks are typically partitioned and segregated.

< What remote access connections are generally employed.

< How high-risk control systems or safety instrumented systems are typically designed.

< What security countermeasures are commonly used.

4.1.4 Presenting the Business Case to Leadership

Section 3 describes a three-tiered approach that addresses risk at the: (i) organization level; (ii) mission/business process level; and (iii) information system level. The risk management process is carried out seamlessly across the three tiers with the overall objective of continuous improvement in the organization’s risk-related activities and effective inter-tier and intra-tier communication among all stakeholders having a shared interest in the mission/business success of the organization.

It is critical for the success of the ICS security program that organization level