Maritime Bulk Liquids Transfer, Offshore Operations, and Passenger Vessel Cybersecurity Framework Profiles
by USCG based on NIST CSF
Executive Summary
백악관 행정명령(EO) 13636은 국립표준기술연구소(NIST) 소장에게 "중요한 인프라에 사이버 보안 위험을 줄이기 위한 프레임워크('사이버보안 프레임워크') 개발을 주도해야 한다"고 임무를 부여했다. '사이버보안 프레임워크'는 2014년 2월에 발표되었으며, 프레임워크를 조직 운영에 통합하는 중요한 작업은 많은 산업에서 잘 진행되고 있다. 산업체들이 사이버보안 프레임워크를 통합하는 주요 방법 중 하나는 사이버보안 프레임워크에 설명된 바와 같이 산업에 초점을 맞춘 프레임워크 프로파일("Profile")을 만드는 것이다.
미국 해안 경비대(USCG)는 업계와 협력하여 공동 임무 영역의 위험을 완화하기 위한 자발적 사이버 보안 프레임워크 프로파일(CFP)을 개발하고 있다. USCG는 첫 번째 프로파일을 완료하기 위해 해상 대량 액체 전송(MBLT) 임무 영역을 선택하고, 두 번째 프로파일은 해상 작전, 세 번째 프로파일은 여객선 작전을 선택했다. 이들은 모두 이 통합 문서에 나와 있다. CFP는 각 컨텍스트에서 작업을 보다 안전한 방식으로 수행하는 데 필요한 사이버 보안 프레임워크 하위 범주의 최소 하위 집합을 식별하고 우선 순위를 지정하는 동시에 조직에 고유한 위험 자세로 가장 합리적인 방식으로 서브 범주를 처리할 수 있는 유연성을 제공한다.
Background
MBLT, Offshore 및 Passenger Vessel 운영은 항상 결합된 정보 기술(IT) 및 운영 기술(OT) 프로세스에 의존하지는 않았지만 점점 더 그렇게 하고 있다. 이것은 운영자들이 관리하기 위해 일하고 있는 새로운 사이버 보안 위험을 도입한다.
시추 작업과 생산 작업 모두에서 오프쇼어 오퍼레이션은 복합적이고 통합적인 시스템, 온오프 설비 및 선박으로 발전해 왔다. MBLT와 마찬가지로 플랫폼 IT와 OT에 대한 의존도 증가와 육상 연결성은 오프쇼어 오퍼레이션에 대한 잠재적 공격 표면을 증가시켰다.
여객선박운항도 프로파일의 선박운항 측면과 호텔운항 측면 모두 IT와 OT 임무목표의 복합적이고 통합적인 혼합체이다. MBLT와 해상운항 프로파일처럼 성공적인 여객선박운항을 위해서는 복잡한 상호작용이 필요하다. 또한 현대식 여객선박의 호텔 및 엔터테인먼트 운항은 자체적인 사이버 보안의 복잡성을 보여준다.
인력, 교육, 비즈니스 커뮤니케이션 등 조직 프로세스의 적절한 운영을 지원하기 위해서는 적절한 보안 통제가 이루어져야 한다. 마찬가지로 보관, 이송, 장비, 압력 모니터링, 증기 모니터링, 비상 대응, 유출 완화 준비 등을 위한 OT 보안 통제가 모두 갖추어져 있고, 점검되어 운영에 사용될 준비가 되어 있어야 한다.
MBLT, Offshore Operations 및 Passenger Vessel Operations에 대한 사이버 보안 위험은 IT 및 OT 시스템 모두에 대한 통합적인 평가, 완화 및 복구 전략을 통해서만 적절하게 관리될 수 있다. MBLT 및 Offshore Operations는 다양한 유형의 조직 및 시스템 간의 상호 의존성을 갖는 복잡하고 정교한 석유 및 천연 가스(ONG) 산업 공급망의 일부이다.
MBLT 및 Offshore Operations 미션 영역은 엔터프라이즈 IT와 OT의 혼합물을 포괄한다. 미션 목표 및 미션 요구가 안전하고 안전한 방식으로 충족되도록 두 기술 모두 적절한 데이터 입력을 제공해야 한다. IT와 OT 간의 상호 의존성은 관리되어야 하는 엔터프라이즈에 여러 위험을 생성할 수 있다. 사이버 보안 위험은 보다 광범위한 엔터프라이즈 위험 관리 접근 방식의 일부이다. 그러한 위험 중 일부는 OT 시스템을 지원하기 위해 사용되는 IT 시스템에서 발생한다. 마찬가지로 Passenger Vessel Operations도 IT, OT, 인력, 아웃소싱, 턴어라운드 운영, 호텔 및 엔터테인먼트 운영의 복잡한 전 세계 공급망에 참여해야 한다.
The Profile
이 CFP는 USCG가 감독하는 MBLT, 해상 운항 및 여객선 운항과 관련된 기관에 대한 사이버 보안 위험 평가를 지원하는 역할을 한다. 이는 연방규정(CFR) 33 CFR 104, 143-147 및 154-156에 따라 USCG의 규제 통제 하에 있는 시설 및 선박 내에서 여객선 운항, MBLT, 해상 운항을 수행하는 기관에 대한 비의무 지침으로 작용하기 위한 것이다. 이 CFP는 사이버 보안 안전장치를 권고하는 역할을 하며 각 운영 상황에서 해당 기관에 대해 원하는 최소 사이버 보안 프로그램 상태를 설명한다.
USCG는 사이버보안 프레임워크에 대한 작업과 관련하여 NIST에 자문을 구했으며, 이러한 논의로 인해 다양한 임무에 대해 산업계에 초점을 맞춘 사이버보안 프레임워크 프로파일을 개발해야 한다고 결정했다. NIST 직원들은 국가 사이버보안센터(NCCoE)의 직원들과 함께 산업계 및 USCG와 협력하여 USCG와 업계의 여러 공동 임무 영역에 대해 산업계가 사이버보안 태세 및 준비 상태를 평가하는 데 사용할 수 있는 사이버보안 프레임워크 프로파일을 개발했다.
이러한 MBLT 및 해양운항 CFP를 개발하는 동안 팀은 해양운항의 시추 및 생산 단계의 전문가뿐만 아니라 MBLT 주제 전문가들을 참여시켰다. 마찬가지로 여객선 프로파일을 개발하는 동안 업계 전문가들의 자문을 받았다. 이들의 집단적 전문성은 MBLT, 해양운항 및 여객선운항의 임무 목표별 우선 사이버보안 프레임워크 범주 및 하위 범주를 식별하고 임무 목표 세트를 식별하는 데 사용되었다.
Benefits
MBLT, 해상 운항 및 여객선 운항을 위한 업계 중심의 사이버 보안 프레임워크 프로파일을 구축하면 다음과 같은 이점이 있다:
• 컴플라이언스 보고는 조직의 보안 운영의 부산물이 됨
• 새로운 보안 요구 사항을 추가하는 것이 더 간단합니다
• 운영 방법론을 추가하거나 변경하는 것은 지속적인 운영에 덜 영향을 미칩니다
• 개별 조직의 향후 업무 최소화
• 조직이 실수로 요구사항을 누락할 가능성을 줄인다
• 사이버 보안-위험에 대한 일관된 분석을 가능하게 하기 위해 각 운영 환경에 대한 이해를 용이하게 한다
• 업계 및 USCG 사이버 보안 우선 순위 조정
또한 이러한 프로파일은 다음 간의 전략적 커뮤니케이션을 가능하게 합니다:
• 사이버 보안 기능의 위험 관리자 및 운영 기술 통합
• 사이버 보안 거버넌스 프로세스 및 운영 기술 감독
• 사이버 보안에 대해 이제 막 인식하고 있는 조직들은 주제 전문성과 업계 전문가들의 집단적인 지혜를 가지고 실천을 권고했다