Toolkit om cyberrisico’s te kwantificeren

Het Nationaal Cyber Security Centrum (NCSC) heeft een toolkit uitgebracht om cyberrisico’s te kwantificeren. Daarbij wordt gebruik gemaakt van een methode die is ontwikkeld door TNO en NCSC. De opzet van de TNO/NCSC methode is speciaal gericht op organisaties in de vitale sector om het risico van specifieke dreigingsscenario’s voor de eigen infrastructuur te kunnen inschatten.

Wat levert de methode op?

De resultaten van de methode kunnen op verschillende manieren worden toegepast binnen de organisatie:

• Om (cybersecurity) beleid beter te onderbouwen.
• Om geïnformeerde beslissingen met betrekking tot cyberinvesteringen te kunnen maken.
• Om niet alleen cyberrisico’s kwantitatief in kaart te brengen, maar om ook de eigen organisatie en afhankelijkheden tussen bedrijfsprocessen beter in beeld te krijgen.
• Om inzicht te geven in welke maatregelen je (aanvullend) zou moeten treffen, of welke bestaande maatregelen slechts een minimale vermindering van cyberrisico’s opleveren.

Risicomanagement

De methode bevat een aantal stappen uit het risicomanagementproces, specifiek uit het risicobeoordelingsgedeelte. De methode stelt organisaties in staat om risico’s die relevant zijn voor een dreigingsscenario te identificeren en mitigerende maatregelen te analyseren. Met de informatie die organisaties daaruit verkrijgen kunnen ze de risico’s evalueren en vervolgens eventuele vervolgstappen ondernemen. Op deze manier is deze methode een waardevol onderdeel van het risicomanagementproces.

Toolkit

De toolkit Aan de slag met het kwantificeren van cyberrisico’s is de handleiding voor het gebruik van de methode. Achtereenvolgens worden de volgende stappen beschreven:

• Doelstelling en planning
• Verzamelen basisinformatie
• Vormgeving van het basismodel aan de hand van de eigen gegevens
  • Dreiging, impact en processen
  • ICT infrastructuur en bedrijfsspecifieke maatregelen
  • Kwantitatieve inschattingen
• Invullen en analyse van het rekenmodel

Daarnaast bevat de toolkit twee bijlagen. In bijlage 1 staan instructies voor het ontwikkelen van een rekenmodel in het programma GeNIe. In bijlage 2 staan voorbeeldmodellen en hoe deze gebruikt kunnen worden.

Voorgeschiedenis

In 2020 is, als onderdeel van de meerjarige NCSC-TNO onderzoeksagenda, het onderzoek kwantificering van cyberrisico’s van start gegaan. Hierin onderzoeken NCSC en TNO de toegevoegde waarde van kwantitatieve risicomanagementmethodes voor vitale partijen. Eveneens in 2020 is een basismodel ontwikkeld waarmee organisaties op basis van dreigingen en hun weerbaarheid tegen die dreigingen een kwantitatieve risico inschatting kunnen maken. Het onderzoek naar de mogelijkheden van het kwantificeren cybersecurityrisico’s is in 2021 verder gegaan met het toetsen van het in 2020 gemaakte basismodel middels twee case studies binnen een vitale sector. In 2022 heeft dit geresulteerd in een toolkit voor organisaties die zelf een start willen maken met het kwantificeren van cybersecurityrisico’s.

Bron: NCSC