사이버 보안 목차 빠른 링크:
음용수국은 상수도가 사이버 보안 관행을 평가하고 활용하는 기술에 적합한 사이버 보안 제어를 구현할 것을 강력히 권장합니다. 사이버 보안을 처음 접하는 상수도의 경우 기본적인 사이버 보안 관행을 구현하는 것만으로도 상수도 시스템, 청구/금융 소프트웨어 또는 기타 중요한 시스템을 위협할 수 있는 사이버 공격에 대한 노출을 크게 줄일 수 있습니다. 기본적인 사이버 보안 관행의 예로는 바이러스 백신 및 멀웨어 소프트웨어 활용, 소프트웨어 정기 업데이트, 강력한 비밀번호 설정, 다단계 인증 활용, 데이터 정기 백업, 사이버 보안 인식 교육 실시, 무선 네트워크 보안 등이 있습니다. 사이버 보안 관행의 이행을 보장하기 위해 상수도는 조직의 사이버 보안 책임자를 지정해야 합니다.
사이버 보안 사고에 대응하기
상수도에 사이버 보안 사고가 발생하면 ODW는 상수도에 다음과 같은 조치를 취할 것을 권장합니다:
- 사이버 인시던트 양식을 통해 버지니아 퓨전 센터 사이버 인텔리전스 팀에 인시던트를 알립니다. 버지니아주 법령에 따라 공공 기관은 사이버 사고를 버지니아 융합 센터에 보고해야 합니다.
- 지역 ODW 현장 사무소에 연락하여 해당 사건을 알립니다. 연락처 정보는 여기에서 확인할 수 있습니다.
- 사이버 보안 및 인프라 보안 기관(CISA)에 사고 보고 시스템을 통해 사고를 알립니다.
상수도사업소는 연방 정부에 사이버 사고를 보고하는 데 도움을 주기 위해 EPA 사이버 사고 보고 팩트시트를 사용할 수 있습니다.
사이버 보안 평가
상수도는 기존 사이버 보안 조치를 정기적으로 평가하여 취약점을 해결하기 위해 추가 제어가 필요한 부분을 결정해야 합니다. 새로운 감독 제어 및 데이터 수집(SCADA) 시스템, 청구/금융 소프트웨어 또는 사이버 공격의 대상이 되고 상수도에 중요한 기타 기술을 구현할 때도 사이버 보안 평가를 수행해야 합니다.
사이버 보안 자체 평가를 수행하고자 하는 상수도를 위해 미국 상수도 협회(AWWA)는 유틸리티가 다양한 기술을 사용하는 방식을 평가하고 유틸리티의 기술 애플리케이션에 가장 적합한 맞춤형 우선순위의 제어 목록을 생성하는 평가 도구를 개발했습니다. AWWA는 또한 소규모 지방 유틸리티의 사이버 보안 관행을 개선하는 데 도움이 되는 소규모 시스템 지침을 개발했습니다. AWWA 사이버 보안 리소스에 대한 자세한 내용은 https://www.awwa.org/Resources-Tools/Resource-Topics/Risk-Resilience/Cybersecurity-Guidance에서 확인할 수 있습니다.
사이버 보안 평가를 수행하는 데 도움이 필요한 상수도를 위해 미국 환경 보호국(EPA)은 수도 부문 사이버 보안 평가 프로그램을 통해 상수도에 무료 사이버 보안 평가를 제공합니다. 이 프로그램은 PWS 위생 조사에서 사이버 보안 평가에 관한 지침에 있는 EPA의 체크리스트를 사용하여 사이버 보안 평가를 수행하고 권장 사이버 보안 제어를 식별하는 위험 완화 계획을 개발합니다. EPA로부터 이러한 지원을 받으려면 여기에서 EPA의 물 부문 사이버 보안 평가 프로그램 요청 양식을 작성하세요.
기타 리소스
- USEPA 물 사이버 보안 평가 도구 및 위험 완화 계획 - 이 33- 질문 양식은 IT에 대한 배경 지식이 없는 보통 수준의 컴퓨터 사용자도 작성할 수 있도록 설계되었습니다. 이 도구는 EPA가 우선순위로 고려하는 항목을 대상으로 하는 사이버 보안 평가의 역할을 할 뿐만 아니라 평가에서 확인된 격차를 해결하기 위한 위험 완화 계획의 개발에도 도움이 됩니다.
- CIS RAM v.2 1 for CIS 중요 보안 제어 v8 및 NIST 사이버 보안 프레임워크1 1 v. 는 식수 시스템 이외의 애플리케이션을 사용하는 사이버 보안 업계에서 사용하는 추가 평가 도구입니다. 이러한 도구는 AWWA 평가 도구나 USEPA 물 사이버 보안 평가 도구 및 위험 완화 계획보다 훨씬 더 높은 수준의 정보 기술 전문성을 필요로 합니다.
- EPA - 물 부문을 위한 EPA 사이버 보안 | 미국 EPA
- AWWA 사이버 보안 & 지침 | 미국 상수도 협회(awwa.org)
- CISA 홈페이지 | CISA - CISA의 사이버 보안 경보 및 권고사항
- WaterISAC 도구 | WaterISAC
- NIST 사이버 보안 | NIST
- 아이다호 국립 연구소 중요 인프라 보호 - 아이다호 국립 연구소(inl.gov)
- MS-ISAC - MS-ISAC (cisecurity.org)
사이버 보안 제어 구현하기
주, 지방 및 지역 정부를 위한 보조금 지원: 국토안보부(DHS)는 주 및 지방 사이버 보안 보조금 프로그램(SLCGP)을 통해 주, 지방, 부족 및 지역 정부가 해당 기관이 소유하거나 운영하는 정보 시스템에 대한 사이버 보안 위험 및 위협을 대응하기 위해 자금을 지원합니다. 이 보조금은 버지니아주에서 버지니아 정보기술청(VITA), 버지니아 주 비상관리국(VDEM), 및 버지니아 사이버 보안 계획 위원회(VCPC)에 의해 관리됩니다. 이 보조금에 대한 자세한 정보는 https://www.vita.virginia.gov/security/cybersecurity-grants/를방문해 주시기 바랍니다.
추가 사이버 보안 리소스
EPA 사고 조치 체크리스트 - EPA는 사이버 사고에 대비하고, 사이버 사고에 대응하고, 사이버 사고로부터 복구하기 위한 조치 체크리스트를 제공합니다.
버지니아 융합 센터 물 & 폐수 부문 참여 가이드 - 물 및 폐수 부문을 위한 사이버 보안 지침 및 리소스
사이버 보안 및 비상 관리 설문조사 결과
식수국은 모든 상수도에 사이버 보안 및 비상 관리에 관한 설문조사를 보냈습니다. 660 이상의 상수도 사업소가 응답했습니다. 주요 설문조사 결과는 여기에서 확인할 수 있습니다.