TNO: CCE and other risk assessment methods for Industrial Systems

Hoe ga je om met de consequenties van gecompromitteerde OT-systemen? Hoe bepaal je de impact op je organisatie als een geavanceerde aanvaller toegang heeft tot je meest kritieke systemen?

Het Amerikaanse Idaho National Labs ontwikkelde in 2021 de Consequence-Driven Cyber-Informed Engineering (CCE) methodiek, een risicoanalyse-framework met als uitgangspunt dat de meest kritieke systemen zijn overgenomen en helpt organisaties om de consequenties van dit type aanvallen te verminderen. De CCE-methodiek heeft als doel om cybersecurity en de engineering praktijk binnen de kritieke infrastructuur dichter bij elkaar te brengen.

Naast de CCE-methodiek zijn er verschillende risicomethoden die organisaties helpen om cybersecurity en safety risico’s gecombineerd te analyseren. TNO heeft in opdracht van het NCSC onderzocht of de CCE in Nederland al wordt toegepast, hoe de verschillende methodieken zich met elkaar verhouden en welke methodieken door organisaties in Nederland worden toegepast en op welke manieren.

Het onderzoek vergelijkt de voor- en nadelen van vijf verschillende risicomanagement methodieken en standaarden die OT-asset owners gebruiken, waaronder CCE, en schetst hoe organisaties de methodieken inzetten om hun systemen te beveiligen.

Het rapport is in het Engels.