Kwantificering van cyberrisico's

In 2020 is, als onderdeel van de meerjarige NCSC-TNO onderzoeksagenda, het onderzoek kwantificering van cyberrisico’s van start gegaan. Hierin onderzoeken NCSC en TNO de toegevoegde waarde van kwantitatieve risicomanagementmethodes voor vitale partijen. Het onderzoek richt zich op methoden om cyberrisico’s meer kwantitatief in kaart te brengen en af te wegen hoe deze zich verhouden tot andere bedrijfsrisico’s.

In 2020 is een basismodel ontwikkeld waarmee organisaties op basis van dreigingen en hun weerbaarheid tegen die dreigingen een kwantitatieve risico inschatting kunnen maken. Dit model is getoetst bij een vitale partij met een scenario met daarin een voorstelbare dreiging en systemen waarvoor die dreiging risico’s oplevert. In een aantal workshops, waaraan zowel IT- als OT-medewerkers deelnamen evenals technisch en bedrijfsvoering personeel, werd een gezamenlijk beeld van de risico’s in kaart gebracht die de gekozen dreiging opleverde voor de desbetreffende systemen. Het bijeenbrengen van verschillende expertises binnen de organisatie leidde tot nieuwe inzichten in de mogelijke effecten van het beschouwde scenario en de onderlinge relaties tussen de systemen en de bedrijfsprocessen. Het maken van kwantitatieve inschattingen van de risico’s bleek lastig  te expliciteren door een gebrek aan ervaringscijfer met de voorstelbare dreiging.

Het onderzoek naar de mogelijkheden van het kwantificeren cybersecurityrisico’s is in 2021 verder gegaan met het toetsen van het in 2020 gemaakte basismodel middels twee case studies binnen een vitale sector. Door te focussen op de dreiging van ransomware is samen met de organisaties gekeken naar welke effecten een mogelijke aanval heeft op de organisatie en welke maatregelen er al genomen zijn om hiermee om te gaan. Daarnaast heeft TNO een inventarisatie gemaakt welke datasets mogelijk bruikbaar zijn om betere inschattingen te maken over kans en impact van een potentiële aanval. Hierbij bleek dat er weinig informatie bestaat die specifiek ingaat op aanvallen op Nederlandse organisaties waardoor gebruikte datasets altijd een mate van context missen. Diverse buitenlandse datasets zijn wel gebruikt om het gesprek op gang te brengen en op die wijze een inschatting te doen over kans x impact binnen een bepaalde range.

In 2022 zal het onderzoek het laatste jaar ingaan waarbij een toolkit ontwikkeld zal worden waarmee organisaties zelf een start kunnen maken met het nadenken over het kwantificeren van cybersecurityrisico’s. Deze toolkit zal een factsheet met een stappenplan, diverse voorbeelden van submodellen en adviezen voor te gebruiken software bevatten.

Bij vragen over dit onderzoek kunt u contact opnemen met research@ncsc.nl

Vergroot afbeelding Gelaagde opzet van het basismodel
Beeld: ©NCSC