Thema: Ketens en Risicomanagement
Voor een goede besturing van watersystemen is het belangrijk om inzicht te hebben in de risico’s. Dit geldt ook voor het inzicht in de onderlinge afhankelijkheden binnen waterketens. Een (cyber)incident bij één organisatie kan immers ook digitale of fysieke gevolgen hebben voor andere organisaties. Dat inzicht begint bij het inventariseren van de vitale objecten en mogelijke risico’s. De instrumenten die bij dit thema horen, richten zich op de keten als geheel.
Doel
Inzicht hebben in de risico’s die voor een organisatie relevant zijn:
- Classificeren van objecten (op basis van Business Impact).
- Uitvoeren van ketenanalyses.
- Inventariseren welke cybersecurity risico’s relevant zijn voor de organisatie.
Doelgroep
Risicomanagers, assetmanagers, procesdeskundigen, beleidsmedewerkers cybersecurity en bestuurders.
Handreiking en workshop ‘Grip op aanvalsoppervlak’
Complexiteit instrument: niveau 1
Inzicht hebben in je fysieke en digitale aanvalsoppervlak is essentieel om te kunnen bepalen waar je kwetsbaar bent als organisatie. Deze workshop en hieruit voortvloeiende handreiking helpt om de omvang van het aanvalsoppervlak en het gebruik van aanvalspaden van de organisatie te begrijpen en in te kunnen schaten. In deze workshop is ook aandacht voor bestaande methodieken om inzichtelijk te krijgen welke assets in gebruik zijn.
Inzicht in dreigingen watersector
Complexiteit instrument: niveau 1
We richten een proces in dat periodiek inzicht in dreigingen geef. Op basis van een algemeen strategisch dreigingsbeeld stellen we dreigingsbeelden op die specifek zijn voor de watersector. Organisaties moeten dit kunnen vertalen naar een operationeel niveau, waardoor zij gerichter maatregelen kunnen nemen die proportioneel en adequaat zijn. Hierbij kunnen ze geleerde lessen uit andere sectoren meenemen.
Handreiking classificeren missiekritieke objecten
Complexiteit instrument: niveau 1
Voor de Nederlandse waterschappen is de Handreiking classificeren missiekritieke objecten ontwikkeld. Ze geeft hun een methode waarmee zij zélf hun processen, objecten en systemen kunnen beoordelen. Zo kunnen ze bepalen welke processen, objecten en systemen essentieel zijn voor het continueren van het proces ‘keren en beheren waterkwantiteit’.
Verkennen gedeelde afankelijkheden toeleveranciers
Complexiteit instrument: niveau 2
Om in te spelen op de toenemende dreiging van aanvallen via toeleveranciers en de eisen uit NIS2.0, verkennen we van welke belangrijke toeleveranciers een gedeelde afankelijkheid bestaat. Op basis van de verkenning kunnen we vervolgacties formuleren die organisaties helpen de risico’s te verkleinen die voortkomen uit de toeleveranciersketen. Hierbij is het relevant te kijken naar de opbrengst en de relatie met de ketenanalyses. Daarnaast kunnen we bepalen welke onderdelen van belang zijn voor leveranciersmanagement, ook in relatie tot al bestaande instrumenten, zoals het gebruik van de CSIR in de ICO Wizard.
Ketenanalyse hoofd- en regionale watersystemen
Complexiteit instrument: niveau 3
Samen met Rijkswaterstaat en de waterschappen passen we de methodiek voor ketenanalyse toe in het hoofdwatersysteem en alle regionale watersystemen. Hiermee worden voor de hele keten onderlinge afankelijkheden en risico’s inzichtelijk. Ook bevordert dit de samenwerking op het gebied van cybersecurity.
Meer weten over de deze methode? Bekijk dan de brochure.
Download de praatplaat hier
Samenwerken aan sterkere ketens.
Methode ketenanalyse voor digitale weerbaarheid.
De digitale dreiging voor de Nederlandse vitale infrastructuur neemt voortdurend toe.
Informatiestromen die nodig zijn voor het uitvoeren van essentiële taken kunnen kwetsbaar zijn.
Zowel moedwillige acties als fouten kunnen ze ernstig verstoren.
Ook binnen de Nederlandse watersector groeit het besef dat ketenafhankelijkheden kwetsbaar maken.
Cyberaanvallen op processen voor bijvoorbeeld de drinkwatervoorziening of het beheer van het oppervlaktewater kunnen grote maatschappelijke en economische impact hebben.
Om de weerbaarheid van procesketens te verhogen, heeft TNO in opdracht van IenW een ketenanalyse ontwikkeld die in de watersector wordt toegepast.
Deze ketenanalyse kan afhankelijkheden en risico’s binnen een procesketen in kaart brengen.
Hoe werkt zo’n ketenanalyse?
Experts van de verschillende organisaties binnen een procesketen bepalen eerst de scope van de ketenanalyse.
Bijvoorbeeld de aanvoer van schoon oppervlaktewater voor de drinkwatervoorziening.
Deelnemende organisaties leveren daarna een overzicht van de gebruikte systemen aan.
De analyse richt zich op systemen die waterprocessen aansturen en die de informatiestromen tussen organisaties mogelijk maken.
Besluitvorming, monitoring en aansturing van objecten gebeurt vaak op basis van informatie van andere organisaties in de keten.
Samen identificeren en beoordelen ketenpartners welke cyberscenario’s deze informatiestromen kunnen verstoren.
In een gezamenlijke werksessie analyseren de deelnemers de potentiële risico’s.
Hierna hebben ze alle risico’s in beeld: zowel op organisatieniveau als voor de gehele keten.
Met het gezamenlijke beeld van risico’s en weerbaarheid van de procesketen, kunnen de betrokken organisaties bepalen waar extra inspanning nodig is.
Dit leidt ertoe dat de bescherming van bepaalde cruciale systemen extra aandacht krijgt.
Uiteindelijk ontstaan er zowel op technisch als op relationeel gebied stevigere schakels en een sterkere keten.
Wilt u ook aan de slag met een ketenanalyse?
Of in een serious game oefenen met ketenanalyses en met het implementeren van maatregelen?
Neem dan contact met ons op.
Programma versterken cyberweerbaarheid in de watersector.
Handreiking classifceren missiekritieke objecten
Complexiteit instrument: niveau 1
De Handreiking classifceren missiekritieke objecten is ontwikkeld voor de Nederlandse waterschappen. Ze geef hun een methode waarmee zij zélf hun processen, objecten en systemen kunnen beoordelen. Zo kunnen ze bepalen welke processen, objecten en systemen essentieel zijn voor het continueren van het proces ‘keren en beheren waterkwantiteit’.