1. Cyberrisico's onder controle met ROBAM en bowties
Philip Westbroek
OT security officer Enexis Netbeheer B.V.
Veenendaal, 5 september 2019
OT security bij Enexis
2. 2
Energiewaardeketen wordt steeds complexer
Van centrale opwek en decentraal gebruik naar tweerichtingsverkeer;
In 2017 13,8% van elektriciteit uit hernieuwbare bronnen1, in 2030 naar 70%2.
Toenemende afhankelijkheid van data
Data wordt gegenereerd in het OT domein, gebruikt in het IT domein;
Vaker ingezet bij besluitvorming, bv. investeringen.
Steeds meer ICT systemen nodig voor netbeheer
Nieuwe risico's voor netbeheerders
Drie belangrijkste oorzaken
1: Bron: CBS.
2: Bron: Klimaatakkoord.
3. 3
Middenspanningskabels
"Meer koper in de grond"
ICT apparatuur
"Slimmer gebruikmaken van
bestaande capaciteit"
Steeds meer ICT systemen nodig voor netbeheer
Afstemming vraag en aanbod wordt complexer - de twee mogelijke oplossingsrichtingen
14. 14
Cybersecurity in ROBAM
Gebruik van bowties - introductie
Dreigingen zijn dingen die tot de
kerngebeurtenis kunnen leiden,
meestal acties van aanvallers
Risicobron (hazard) is iets dat een
organisatie wil, maar dat schade kan
veroorzaken als men de controle verliest
Kerngebeurtenis (top event) is een
gebeurtenis waarin controle wordt verloren:
verlies van vertrouwelijkheid, integriteit,
beschikbaarheid
Gevolgen zijn de negatieve
effecten van het top event
(gekoppeld aan Enexis
bedrijfswaarden)
15. 15
Cybersecurity in ROBAM
Gebruik van bowties - barrières (maatregelen)
Barrières zijn maatregelen die je implementeert om de kans op de kerngebeurtenis te verkleinen.
De kleur is een indicatie van de kwaliteit van de maatregel (inherent en/of actuele conditie)
Ook hier barrières mogelijk
16. 16
Cybersecurity in ROBAM
Welke barrières te implementeren
Gebaseerd op ISA99/IEC62443-3-3
Preventieve maatregelen (links in bowtie):
Tussen dreiging en kerngebeurtenis.
Herstelmaatregelen (rechts in bowtie):
Tussen kerngebeurtenis en gevolg;
Alleen effectief binnen actief incidentresponseproces.
Koppeling ISO27001 beheersmaatregelen:
Alle hoofdrisico's gekoppeld aan Annex A controls;
Matrix is standaard rapportage vanuit BowtieXP;
Op basis hiervan VVT opgesteld voor certificering.
Preventieve maatregelen:
Herstelmaatregelen:
18. 18
Cybersecurity in ROBAM
Uitdaging 1 - bepalen van de kans
Weinig historische informatie cyberincidenten
Onze aanpak:
Op basis van effectiviteit maatregelen;
Effectiviteit omzetten naar numerieke score;
Indicatie van aantal dagen dat een professionele hacker
nodig heeft om maatregel te omzeilen;
Effectiviteitsscore omzetten naar ROBAM matrix.
Onderbouwing tabel effectiviteitsscore:
Gebaseerd op analyse van dreigingenlandschap en
historische incidenten;
Kans hoog: kleine incidenten (virussen, malware): paar
uur werk voor aanvaller;
Kans laag: Oekraïene in december 2015 en 2016: heeft
waarschijnlijk weken voorbereiding gekost.
20. 20
Cybersecurity in ROBAM
Uitdaging 2 - impactcategorieën voor cyberrisico's
Hoogste ROBAM impactcategorie is "desastreus":
20.000.000 verbruikersminuten (vbm);
HS/MS station >16 uur uitval
Voor cybersecurity risico’s ook “catastrofaal” ingevoerd:
200.000.000 vbm;
10 HS/MS stations >16 uur uitval;
Cyberaanval kan leiden tot uitval meerdere stations;
Vaak dezelfde apparatuur en kwetsbaarheden op meerdere plekken;
Veel grotere impact met vergelijkbare inspanning door aanvaller.
22. 22
Ook de energiesector digitaliseert, dit brengt nieuwe risico's met zich mee
Om conform de Wbni in control te zijn, is gedegen risicomanagement noodzakelijk
Aansluiten op bestaande methodiek voor risicomanagement heeft veel voordelen
Aandacht nodig voor impactcategorieën en kans van optreden cybersecurityrisico's
Bowties goed hulpmiddel om omgeving mee te nemen in risicoanalyses en maatregelen
Veel aandacht besteden aan awareness
Zie evt. ook https://jamdots.nl/view/284/Enexis-OT-security voor OT security bij Enexis.
Samenvattend
23. 23
Betere cybersecurity betekent niet altijd hogere kosten
Resultaten van een tender uit 2015 voor Distributie-automatisering Light (DALI)
Leverancier 12
Leverancier 1
TCO
Securitycompliance(%)
Security by design toegepast