Philip Westbroek

1. Cyberrisico's onder controle met ROBAM en bowties
Philip Westbroek
OT security officer Enexis Netbeheer B.V.
Veenendaal, 5 september 2019
OT security bij Enexis

2. 2
 Energiewaardeketen wordt steeds complexer
 Van centrale opwek en decentraal gebruik naar tweerichtingsverkeer;
 In 2017 13,8% van elektriciteit uit hernieuwbare bronnen1, in 2030 naar 70%2.
 Toenemende afhankelijkheid van data
 Data wordt gegenereerd in het OT domein, gebruikt in het IT domein;
 Vaker ingezet bij besluitvorming, bv. investeringen.
 Steeds meer ICT systemen nodig voor netbeheer
Nieuwe risico's voor netbeheerders
Drie belangrijkste oorzaken
1: Bron: CBS.
2: Bron: Klimaatakkoord.

3. 3
Middenspanningskabels
"Meer koper in de grond"
ICT apparatuur
"Slimmer gebruikmaken van
bestaande capaciteit"
Steeds meer ICT systemen nodig voor netbeheer
Afstemming vraag en aanbod wordt complexer - de twee mogelijke oplossingsrichtingen

4. 4
vs.
Ook beveiligingssystemen digitaliseren

5. 5

6. 6

7. 7
Wet beveiliging netwerk- en informatiesystemen

8. 8
Het Enexis ROBAM proces
Risk and opportunity based asset management - passend en evenredig

9. 9
Het Enexis ROBAM proces
Risk and opportunity based asset management

10. 10
Het Enexis ROBAM proces
Mogelijke impact op de Enexis bedrijfswaarden

11. 11
Het Enexis ROBAM proces
Impactcategorieën

12. 12
Het Enexis ROBAM proces
Impactcategorieën zijn onderling vergelijkbaar
is gelijk
aan

13. 13
Het Enexis ROBAM proces
Frequentie of kans van optreden

14. 14
Cybersecurity in ROBAM
Gebruik van bowties - introductie
Dreigingen zijn dingen die tot de
kerngebeurtenis kunnen leiden,
meestal acties van aanvallers
Risicobron (hazard) is iets dat een
organisatie wil, maar dat schade kan
veroorzaken als men de controle verliest
Kerngebeurtenis (top event) is een
gebeurtenis waarin controle wordt verloren:
verlies van vertrouwelijkheid, integriteit,
beschikbaarheid
Gevolgen zijn de negatieve
effecten van het top event
(gekoppeld aan Enexis
bedrijfswaarden)

15. 15
Cybersecurity in ROBAM
Gebruik van bowties - barrières (maatregelen)
Barrières zijn maatregelen die je implementeert om de kans op de kerngebeurtenis te verkleinen.
De kleur is een indicatie van de kwaliteit van de maatregel (inherent en/of actuele conditie)
Ook hier barrières mogelijk

16. 16
Cybersecurity in ROBAM
Welke barrières te implementeren
 Gebaseerd op ISA99/IEC62443-3-3
 Preventieve maatregelen (links in bowtie):
 Tussen dreiging en kerngebeurtenis.
 Herstelmaatregelen (rechts in bowtie):
 Tussen kerngebeurtenis en gevolg;
 Alleen effectief binnen actief incidentresponseproces.
 Koppeling ISO27001 beheersmaatregelen:
 Alle hoofdrisico's gekoppeld aan Annex A controls;
 Matrix is standaard rapportage vanuit BowtieXP;
 Op basis hiervan VVT opgesteld voor certificering.
Preventieve maatregelen:
Herstelmaatregelen:

17. 17
Cybersecurity in ROBAM
Uitdaging 1 - bepalen van de kans

18. 18
Cybersecurity in ROBAM
Uitdaging 1 - bepalen van de kans
 Weinig historische informatie cyberincidenten
 Onze aanpak:
 Op basis van effectiviteit maatregelen;
 Effectiviteit omzetten naar numerieke score;
 Indicatie van aantal dagen dat een professionele hacker
nodig heeft om maatregel te omzeilen;
 Effectiviteitsscore omzetten naar ROBAM matrix.
 Onderbouwing tabel effectiviteitsscore:
 Gebaseerd op analyse van dreigingenlandschap en
historische incidenten;
 Kans hoog: kleine incidenten (virussen, malware): paar
uur werk voor aanvaller;
 Kans laag: Oekraïene in december 2015 en 2016: heeft
waarschijnlijk weken voorbereiding gekost.

19. 19
Cybersecurity in ROBAM
Uitdaging 2 - impactcategorieën voor cyberrisico's

20. 20
Cybersecurity in ROBAM
Uitdaging 2 - impactcategorieën voor cyberrisico's
 Hoogste ROBAM impactcategorie is "desastreus":
 20.000.000 verbruikersminuten (vbm);
 HS/MS station >16 uur uitval
 Voor cybersecurity risico’s ook “catastrofaal” ingevoerd:
 200.000.000 vbm;
 10 HS/MS stations >16 uur uitval;
 Cyberaanval kan leiden tot uitval meerdere stations;
 Vaak dezelfde apparatuur en kwetsbaarheden op meerdere plekken;
 Veel grotere impact met vergelijkbare inspanning door aanvaller.

21. 21
Voldoende aandacht voor cybersecurity awareness
Duidelijke uitleg over de risico's die we lopen

22. 22
 Ook de energiesector digitaliseert, dit brengt nieuwe risico's met zich mee
 Om conform de Wbni in control te zijn, is gedegen risicomanagement noodzakelijk
 Aansluiten op bestaande methodiek voor risicomanagement heeft veel voordelen
 Aandacht nodig voor impactcategorieën en kans van optreden cybersecurityrisico's
 Bowties goed hulpmiddel om omgeving mee te nemen in risicoanalyses en maatregelen
 Veel aandacht besteden aan awareness
Zie evt. ook https://jamdots.nl/view/284/Enexis-OT-security voor OT security bij Enexis.
Samenvattend

23. 23
Betere cybersecurity betekent niet altijd hogere kosten
Resultaten van een tender uit 2015 voor Distributie-automatisering Light (DALI)
Leverancier 12
Leverancier 1
TCO
Securitycompliance(%)
Security by design toegepast

24. 24
Philip Westbroek
OT security officer
philip.westbroek@enexis.nl
Graphics by Wilco Prinsen
www.jamvisualthinking.com