Aan de slag met het kwantificeren van cyberrisico's

In 2020 is, als onderdeel van de meerjarige NCSC-TNO onderzoeksagenda, het onderzoek kwantificering van cyberrisico’s van start gegaan. Hierin onderzoeken NCSC en TNO de toegevoegde waarde van kwantitatieve risicomanagementmethodes voor vitale partijen. Het onderzoek richt zich op methoden om cyberrisico’s meer kwantitatief in kaart te brengen en af te wegen hoe deze zich verhouden tot andere bedrijfsrisico’s.

In 2020 is, als onderdeel van de meerjarige NCSC-TNO onderzoeksagenda, het onderzoek kwantificering van cyberrisico’s van start gegaan. Hierin onderzoeken NCSC en TNO de toegevoegde waarde van kwantitatieve risicomanagementmethodes voor vitale partijen. Het onderzoek richt zich op methoden om cyberrisico’s meer kwantitatief in kaart te brengen en af te wegen hoe deze zich verhouden tot andere bedrijfsrisico’s.

In 2020 is een basismodel ontwikkeld waarmee organisaties op basis van dreigingen en hun weerbaarheid tegen die dreigingen een kwantitatieve risico inschatting kunnen maken. Dit model is getoetst bij een vitale partij met een scenario met daarin een voorstelbare dreiging en systemen waarvoor die dreiging risico’s oplevert. In een aantal workshops, waaraan zowel IT- als OT-medewerkers deelnamen evenals technisch en bedrijfsvoering personeel, werd een gezamenlijk beeld van de risico’s in kaart gebracht die de gekozen dreiging opleverde voor de desbetreffende systemen. Het bijeenbrengen van verschillende expertises binnen de organisatie leidde tot nieuwe inzichten in de mogelijke effecten van het beschouwde scenario en de onderlinge relaties tussen de systemen en de bedrijfsprocessen. Het maken van kwantitatieve inschattingen van de risico’s bleek lastig  te expliciteren door een gebrek aan ervaringscijfer met de voorstelbare dreiging.

Het onderzoek naar de mogelijkheden van het kwantificeren cybersecurityrisico’s is in 2021 verder gegaan met het toetsen van het in 2020 gemaakte basismodel middels twee case studies binnen een vitale sector. Door te focussen op de dreiging van ransomware is samen met de organisaties gekeken naar welke effecten een mogelijke aanval heeft op de organisatie en welke maatregelen er al genomen zijn om hiermee om te gaan. Daarnaast heeft TNO een inventarisatie gemaakt welke datasets mogelijk bruikbaar zijn om betere inschattingen te maken over kans en impact van een potentiële aanval. Hierbij bleek dat er weinig informatie bestaat die specifiek ingaat op aanvallen op Nederlandse organisaties waardoor gebruikte datasets altijd een mate van context missen. Diverse buitenlandse datasets zijn wel gebruikt om het gesprek op gang te brengen en op die wijze een inschatting te doen over kans x impact binnen een bepaalde range.

Het onderzoek heeft geresulteerd in een toolkit voor organisaties die zelf een start willen maken met het kwantificeren van cybersecurityrisico’s. De toolkit bevat een handleiding waarin in verschillende stappen wordt uitgelegd hoe organisaties de benodigde informatie kunnen verzamelen en analyseren om een kwantitatieve inschatting te maken van een geselecteerd cybersecurityrisico. Het resultaat hiervan is een rekenmodel waarin de waarschijnlijkheid van de impact van een cyberdreiging bepaald kan worden – een Bayesian Belief Network –, en waarmee gevoeligheidsanalyses kunnen worden gedaan. Zodoende worden de effecten van mitigerende maatregelen inzichtelijk door de organisatie heen. Om organisaties zo goed mogelijk te ondersteunen bevat de toolkit adviezen voor de benodigde software en diverse voorbeelden van rekenmodellen.  

De toolkit is speciaal gericht op organisaties in de vitale sector om het risico van specifieke dreigingsscenario’s voor de eigen infrastructuur te kunnen inschatten. Ervaring met kwalitatieve risicoanalyses is hiervoor van belang. In het volwassenheidsmodel informatiebeveiliging van de Ledengroep Interne en Overheidsaccountants-diensten van de Nederlandse Beroepsorganisatie voor Accountants (NBA-LIO), en NOREA (de beroepsorganisatie van IT-Auditors), dient een methode zoals deze zich aan op volwassenheidsniveau 4, waar correlaties en dreigingsanalyses worden gecombineerd.