OT Risk Assessment
> Procesgerichte Diensten > OT Risk Assessment
Risico Analyse voor een Operationele Technologie (OT) Omgeving
Nu de frequentie van cyber aanvallen op Operationele Technologie (OT) aan het stijgen is, is het belangrijker dan ooit om de OT-omgeving van uw organisatie te beveiligen. Aanvallers gebruiken verschillende methodes om netwerken te infiltreren en zo financiële schade aan te richten: direct, door het vertragen of stoppen van productie, of indirect door het stelen en verkopen van bedrijfsgeheimen. Om de kans op cyber aanvallen te verkleinen is het belangrijk om de mogelijke maatregelen te identificeren en te implementeren. Als dit niet, of incorrect, gebeurt dan zorgt dit voor risico’s binnen uw organisatie.
Waarom een risico analyse?
Een cyber risico analyse assisteert in het structureel bepalen welke cyber risico’s aanwezig zijn in uw omgeving. Alleen nadat deze risico’s zijn geïdentificeerd en gedocumenteerd is het mogelijk om de effectiviteit van (bestaande) maatregelen te begrijpen. Dit maakt het ook mogelijk om over nieuwe maatregelen te redeneren; of ze nodig zijn, en hun mogelijke effectiviteit. Verder helpt het analyseren van de ernst van de geïdentificeerde risico’s om beter beslissingen te maken over maatregelen, de juiste prioriteiten te kunnen stellen, en geïnformeerd de afweging tussen de kosten van de maatregel en het risico te kunnen maken.
Verder zorgt een risico analyse voor een compleet overzicht van de sterke en zwakke punten binnen een organisatie. Deze kan gebruikt worden door de organisatie om zich beter tegen cyber aanvallen te kunnen verweren.
Waarom is een specifieke OT-risico analyse nodig?
In tegenstelling tot IT hebben risico’s binnen OT-omgevingen niet alleen effect op de geheimhouding, integriteit, en beschikbaarheid van data en processen, maar kunnen ook invloed hebben op de betrouwbaarheid, prestatie, en veiligheid van een productiefaciliteit. Verder zorgen de verschillende en specifieke types van Industrial Control Systems (ICS), zoals PLC-, DCS-, en SCADA-systemen ervoor dat er anders naar systemen gekeken moet worden, omdat deze de ruggengraat van elke OT-omgeving zijn. Om correct alle risico’s te kunnen analyseren en maatregelen voor te kunnen stellen moet er voor OT een op maat gemaakte risico analyse gebruikt worden.
Wat houdt een OT-risico analyse in?
Secura gebruikt zijn eigen systeem-gedreven risico analyse methodologie genaamd “Quantitatively Assessing Risk in Operational Technology” (QAROT). Deze methodologie voldoet aan de IEC 62443-3-2 standaard en gebruikt verder de sterke punten uit “MITRE’s ATT&CK for ICS” en ISO 31010. Het combineren van deze standaarden zorgt ervoor dat wij onze risico analyses kunnen uitvoeren op een manier die verder gaat dan simpelweg het naleven van IEC 62443-3-2. Samen met onze cliënten definiëren we de IEC 62443-3-2 target security levels, die we vervolgens gebruiken om onze risico analyse op te baseren. QAROT gebruikt ook andere standaarden uit de IEC 62443 familie, zoals -3-3 en -4-2, om samenhangend en uitvoerbaar advies te kunnen geven gebaseerd op de “fundamental requirements” die deze standaarden beschrijven. Tenslotte gebruikt QAROT Secura’s publiekelijk beschikbare Operational Technology Cyber Attack Database (OTCAD) om de ernst van geïdentificeerde risico’s te bepalen.
De QAROT-methodologie
QAROT maakt gebruik van een top-downbenadering voor het identificeren en beoordelen van risico's: het ontleent toepasbare tegenmaatregelen door alle bedrijfsmiddelen binnen een OT-omgeving in aanmerking te nemen. Deze tegenmaatregelen zijn gebaseerd op ATT&CK voor ICS en worden gecombineerd met IEC 62443-3-3 en -4-2 om de implementatie en effectiviteit binnen het beschouwde systeem objectief te beoordelen. Deze combinatie stelt Secura in staat om structureel potentiële tekortkomingen en de risico's die deze met zich meebrengen te identificeren.
De beoordeling begint met het maken van een zone & conduit diagram op basis van de netwerk schetsen en bedrijfsmiddelen van de organisatie. De inhoud van het diagram wordt samen met de klant tijdens een workshop besproken om er zeker van te zijn dat het diagram een correcte weergave is van de beoordeelde omgeving. In opeenvolgende workshops bepalen we samen met de klant de impact van mogelijke vijandelijke doelen, en stellen we de bereikte beveiligingsniveaus van bestaande asset- en zone/conduit-gebaseerde maatregelen vast.
Resultaten van een OT Risico analyse
Voor elk van de tekortkomingen die tijdens deze workshops zijn geïdentificeerd, zal Secura specifiek en praktisch uitvoerbaar advies geven over hoe deze te verhelpen. Via de QAROT-model berekeningen worden de geïdentificeerde risico's kwantitatief gescoord en gerangschikt, wat helpt bij het vergelijken en prioriteren van deze risico’s. Bovendien, door gebruik te maken van de fundamentele vereisten van IEC 62443, worden de geïmplementeerde mitigaties gecategoriseerd, zodat de klant snel de naleving binnen verschillende cyberbeveiligingsgebieden kan overzien. Deze overzichten, de geïdentificeerde risico's inclusief advies en een vervolgplan leveren we in een gedetailleerde rapportage dat we tevens in een afsluitend gesprek presenteren.
Download Fact Sheet
Meer informatie
Wilt u meer weten over Secura's OT Risk Assessment? Vul het onderstaande formulier in en we nemen binnen één werkdag contact met u op.
IEC 62443 Series of Standards
General |
62443-1-1 Concept and Models |
Defines the terminology, concepts, and models for Industrial Automation and Control Systems (IACS) security, which are used throughout the series. In particular, the seven foundation requirements (FRs) are defined. |
62443-1-2 Master Glossary of terms and abbreviations |
Includes the definition of terms and acronyms used in the IEC 62443 standards. |
|
62443-1-3 System Security Conformance Metrics |
This document defines the high-priority system cybersecurity conformance metrics for an industrial automation and control system. |
|
Policies & Procedures |
62443-2-1 Establishing an IACS Security Program |
Specified asset owner security program requirements for an IACS and provides guidance on how to develop and evolve the security program. The elements of an IACS security program described in this standard define required security capabilities that apply to the secure operation of an IACS and are mostly policy, procedure, practice, and personnel-related |
62443-2-2 IACS Protection levels |
Specified a framework and methodology for evaluation of the protection of an IACS based on the notion of (technical) security level and the maturity of the connected processes. The concept of protection level is a security rating of the combination of technical and organizational measures and defines an indicator of the comprehensiveness of the security program. |
|
62443-2-3 Patch management in the IACS environment |
Defines the patch management in the IACS environment. Specifically, it provides a defined format for the exchange of information about security patches from asset owners to product suppliers. |
|
62443-2-4 Requirements for IACS service providers |
Specifies requirements for security capabilities for IACS service providers that they can offer to the asset owner during integration and maintenance activities of an automation solution. |
|
62443-2-5 Implementation guidance for IACS asset owners |
Provide guidance to asset owners for the implementation of a Cyber Security Management System (CSMS) in an IACS. |
|
System |
62443-3-1 Security Technologies for IACS |
Provides a current assessment of various cybersecurity tools, mitigation countermeasures, and technologies that may effectively apply to the modern electronically based IACSs. |
62443-3-2 Security Risk Assessment and system design |
Establishes requirements for risk assessments and partitions an IACS into zones and conduits. It also includes the requirements for detailed risk assessments of each zone and conduit, and for assigning Security Level targets (SL-Ts) on threat and risk. |
|
62443-3-3 System security requirements and security levels |
Provides detailed technical control system requirements (SRs) associated with the seven foundational requirements (FRs), including defining the requirements for control system capability security levels. |
|
Components |
62443-4-1 Secure product development lifecycle requirements |
Specifies process requirements for the secure development of products used in industrial automation and control systems. It defines a secure development lifecycle for the purpose of developing and maintaining secure products. |
62443-4-2 Technical security requirements for IACS components |
Specified the cyber security technical requirements for components, such as embedded devices, network components, host components, and software applications. |
Gerelateerde Diensten
Design Review
Threat Modeling Training
Threat modeling kan zeer nuttig zijn om de veiligheid onder controle te houden, terwijl de flexibiliteit om te verbeteren en te veranderen behouden blijft. Tijdens deze training leer je hoe threat modeling werkt volgens de STRIDE methodiek om de beantwoording van deze vragen te ondersteunen. Lees meer.
Over Secura
Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en zorg tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.
Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.