OT Risico Analyse


Nu de frequentie van cyber aanvallen op Operationele Technologie (OT) aan het stijgen is, is het belangrijker dan ooit om de OT-omgeving van uw organisatie te beveiligen. Aanvallers gebruiken verschillende methodes om netwerken te infiltreren en zo financiële schade aan te richten: direct, door het vertragen of stoppen van productie, of indirect door het stelen en verkopen van bedrijfsgeheimen. Om de kans op cyber aanvallen te verkleinen is het belangrijk om de mogelijke maatregelen te identificeren en te implementeren. Als dit niet, of incorrect, gebeurt dan zorgt dit voor risico’s binnen uw organisatie.


Ontdek meer over de OT risicoanalyse:

  1. Waarom een risicoanalyse?
  2. Waarom is er een specifieke OT risicoanalse nodig?
  3. Wat houdt een OT risicoanalyse in?
  4. De QAROT-methodologie
  5. Wat is het eindresultaat?
OT Risk Assessment Banner

Waarom een risicoanalyse?


Een cyber risicoanalyse assisteert in het structureel bepalen welke cyber risico’s aanwezig zijn in uw omgeving. Alleen nadat deze risico’s zijn geïdentificeerd en gedocumenteerd is het mogelijk om de effectiviteit van (bestaande) maatregelen te begrijpen. Dit maakt het ook mogelijk om over nieuwe maatregelen te redeneren; of ze nodig zijn, en hun mogelijke effectiviteit. Verder helpt het analyseren van de ernst van de geïdentificeerde risico’s om beter beslissingen te maken over maatregelen, de juiste prioriteiten te kunnen stellen, en geïnformeerd de afweging tussen de kosten van de maatregel en het risico te kunnen maken.

Verder zorgt een risicoanalyse voor een compleet overzicht van de sterke en zwakke punten binnen een organisatie. Deze kan gebruikt worden door de organisatie om zich beter tegen cyber aanvallen te kunnen verweren.


Waarom is een specifieke OT-risicoanalyse nodig?

Industrie - Elektriciteit - OT Cybersecurity

In tegenstelling tot IT hebben risico’s binnen OT-omgevingen niet alleen effect op de geheimhouding, integriteit, en beschikbaarheid van data en processen, maar kunnen ook invloed hebben op de betrouwbaarheid, prestatie, en veiligheid van een productiefaciliteit. Verder zorgen de verschillende en specifieke types van Industrial Control Systems (ICS), zoals PLC-, DCS-, en SCADA-systemen ervoor dat er anders naar systemen gekeken moet worden, omdat deze de ruggengraat van elke OT-omgeving zijn. Om correct alle risico’s te kunnen analyseren en maatregelen voor te kunnen stellen moet er voor OT een op maat gemaakte risicoanalyse gebruikt worden.

Wat houdt een OT-risicoanalyse in?


Secura gebruikt zijn eigen systeem-gedreven risicoanalyse methodologie genaamd “Quantitatively Assessing Risk in Operational Technology” (QAROT). Deze methodologie voldoet aan de IEC 62443-3-2 standaard en gebruikt verder de sterke punten uit “MITRE’s ATT&CK for ICS” en ISO 31010. Het combineren van deze standaarden zorgt ervoor dat wij onze risicoanalyses kunnen uitvoeren op een manier die verder gaat dan simpelweg het naleven van IEC 62443-3-2. Samen met onze cliënten definiëren we de IEC 62443-3-2 target securitylevels, die we vervolgens gebruiken om onze risicoanalyse op te baseren. QAROT gebruikt ook andere standaarden uit de IEC 62443 familie, zoals -3-3 en -4-2, om samenhangend en uitvoerbaar advies te kunnen geven gebaseerd op de “fundamental requirements” die deze standaarden beschrijven. Tenslotte gebruikt QAROT Secura’s publiekelijk beschikbare Operational Technology Cyber Attack Database (OTCAD) om de ernst van geïdentificeerde risico’s te bepalen.

Industrieel - Waterbeheer - OT Cyberbeveiliging

De QAROT-methodologie

QAROT maakt gebruik van een top-downbenadering voor het identificeren en beoordelen van risico's: het ontleent toepasbare tegenmaatregelen door alle bedrijfsmiddelen binnen een OT-omgeving in aanmerking te nemen. Deze tegenmaatregelen zijn gebaseerd op ATT&CK voor ICS en worden gecombineerd met IEC 62443-3-3 en -4-2 om de implementatie en effectiviteit binnen het beschouwde systeem objectief te beoordelen. Deze combinatie stelt Secura in staat om structureel potentiële tekortkomingen en de risico's die deze met zich meebrengen te identificeren. De beoordeling begint met het maken van een zone & conduit diagram op basis van de netwerk schetsen en bedrijfsmiddelen van de organisatie. De inhoud van het diagram wordt samen met de klant tijdens een workshop besproken om er zeker van te zijn dat het diagram een correcte weergave is van de beoordeelde omgeving. In opeenvolgende workshops bepalen we samen met de klant de impact van mogelijke vijandelijke doelen, en stellen we de bereikte beveiligingsniveaus van bestaande asset- en zone/conduit-gebaseerde maatregelen vast.

Resultaten van een OT Risicoanalyse


Voor elk van de tekortkomingen die tijdens deze workshops zijn geïdentificeerd, zal Secura specifiek en praktisch uitvoerbaar advies geven over hoe deze te verhelpen. Via de QAROT-model berekeningen worden de geïdentificeerde risico's kwantitatief gescoord en gerangschikt, wat helpt bij het vergelijken en prioriteren van deze risico’s. Bovendien, door gebruik te maken van de fundamentele vereisten van IEC 62443, worden de geïmplementeerde mitigaties gecategoriseerd, zodat de klant snel de naleving binnen verschillende cyberbeveiligingsgebieden kan overzien. Deze overzichten, de geïdentificeerde risico's inclusief advies en een vervolgplan leveren we in een gedetailleerde rapportage dat we tevens in een afsluitend gesprek presenteren.


Interesse in een OT Risicoanalyse in uw bedrijf?


Graag gaan wij met u in gesprek hoe wij u het beste kunnen helpen. U kunt contact met ons opnemen via het contactformulier, per telefoon op +31 (0) 88 888 31 00, of per e-mail op info@secura.com.

Fact sheets

OT Risk Assessment

Bepaal welke cyberrisico's aanwezig zijn in uw OT-omgeving.

Download fact sheet file_download

IEC 62443 Series of Standards

IEC 62443-Serie Standaarden
Algemeen
62443-1-1

Concept and Models

Dit document introduceert de concepten en modellen voor Industrial Automation and Control Systems (IACS) die gebruikt worden in de gehele IEC62443 norm. Met name de zeven foudation requirements (FRs) worden gedefinieerd.
62443-1-2
Master Glossary of terms and abbreviations
Dit document vormt het centrale overzicht van begrippen en afkortingen zoals deze in de gehele IEC62443 norm worden gebruikt.
62443-1-3
System Security Conformance Metrics

Dit document definieert de cybersecurity-conformiteitsstatistieken met hoge prioriteit voor een industrieel automatiserings- en controlesysteem. (Voorlopige versie)

Policies & Procedures
62443-2-1
Establishing an IACS Security Program

Specificeert de vereisten voor het beveiligingsprogramma voor een IACS eigenaar en biedt richtlijnen voor het ontwikkelen van het beveiligingsprogramma. De onderdelen van een IACS-beveiligingsprogramma die in deze norm worden beschreven, definiëren de vereiste beveiligingsmogelijkheden die van toepassing zijn op de veilige werking van een IACS, en zijn meestal gerelateerd aan beleid, procedures, praktijk en personeel.

62443-2-2
IACS Protection levels

Specificeert een methodologie voor de evaluatie van de bescherming van een IACS op basis van het begrip (technisch) beveiligingsniveau en de volwassenheid van de aangesloten processen. Het concept van een beschermingsniveau is een combinatie van de technische en van de organisatorische maatregelen en definieert de volledigheid van het beveiligingsprogramma. (Voorlopige versie)

62443-2-3
Patch management in the IACS environment
Dit technische rapport beschrijft best practices en geeft handvatten voor het opzetten van een patch managementprogramma binnen IACS.
62443-2-4
Requirements for IACS service providers
Specificeert vereisten van de beveiligingsmogelijkheden voor IACS-serviceproviders die ze kunnen bieden aan de IACS-eigenaar tijdens integratie- en onderhoudsactiviteiten van een automatiseringsoplossing.
62443-2-5
Implementation guidance for IACS asset owners

Geeft begeleiding aan IACS-eigenaren met de implementatie van een Cyber ​​Security Management Systeem (CSMS). (Voorlopige versie)

Systemen
62443-3-1
Security Technologies for IACS
Biedt een actuele beoordeling van verschillende cyberbeveiligingstools, mitigerende maatregelen en technologieën die effectief van toepassing kunnen zijn op moderne elektronisch gebaseerde IACS's.
62443-3-2
Security Risk Assessment and system design
Stelt vereisten vast voor risicobeoordelingen en om een IACS op te delen in zones en conduits. Het bevat ook de vereisten voor gedetailleerde risicobeoordelingen van elke zone en conduit, en voor het toewijzen van securitylevel targets (SL-T's) voor dreiging en risico.
62443-3-3
System security requirements and security levels
Dit deel helpt end-users en system integrators bij het selecteren en implementeren van de juiste technische maatregelen volgens de gewenste security levels. Het helpt end-users daarnaast ook om te bepalen wat het securitylevel is van een bestaande infrastructuur.
Componenten
62443-4-1

Secure product development lifecycle requirements

Dit deel beschrijft de cyber security vereisten voor de product developement lifecycle voor IACS-producten. Het normdeel geeft handvatten hoe aan de vereisten te voldoen.
62443-4-2
Technical security requirements for IACS components
Dit deel specificeert de technische security requirements aan componenten van leveranciers. Het helpt leveranciers om aan te geven wat de security capabilities zijn van hun componenten.
Secura Contact Shape
Partners van Secura

Cybersecurity is meer dan alleen techniek. Secura werkt daarom samen met partners op het gebied van compliance en risicomanagement, integrale applicatieveiligheid, privacy, IT- en internetrecht en certificering.