Onderzoeksresultaten meerjarig vraaggestuurd cybersecurity onderzoeksprogramma 2019-2022

Gwen Jansen-Ferdinandus in de 2023-2026 Onderzoeksagenda van het Nationaal Cyber Security Centrum.

Tussen 2019 en 2022 heeft TNO in samenwerking met het NCSC een viertal vraaggestuurde onderzoeken uitgevoerd. De onderwerpen komen uit de NCSC Onderzoeksagenda (2019-2022) en zijn:

• Herstelvermogen
• Cyber Foresight
• Supply Chain Risk
• Kwantificeren van cyberrisico’s

Op deze pagina zijn alle resultaten samengebracht. Voor meer vragen kunt u terecht bij Silke Mergler ([email protected]) of Rik van Dijk ([email protected])

Herstelvermogen

Herstelvermogen speelt een cruciale rol in de cyberweerbaarheid van organisaties, waaronder de doelgroeporganisaties van het Nationaal Cyber Security Centrum (NCSC). Herstelvermogen is de mate waarin een organisatie efficiënt en effectief in staat is om functionaliteit, die voorzien wordt door ICT, weer beschikbaar te maken. In 2020 is een verkennend onderzoek uitgevoerd naar de status quo van herstelvermogen binnen Informatie Technologie (IT) infrastructuren bij Nederlandse organisaties. In 2021 is door de onderzoekers gekeken naar herstelvermogen binnen Operationele Technologie (OT).

TNO onderzoekers: Bram Poppink, Gideon Elfrink, Bart Gijsen, Yoram Meijaard, Sterre den Breeijen, Robert Seepers, Ruggero Monalto, Arne Roode.

Resultaat 1. Onderzoek naar het Herstelvermogen binnen IT infrastructuren

Het onderzoek is een verkenning geweest van dit onderwerp. Twee onderzoeksvragen zijn hiervoor leidend geweest:

• Hoe is herstelvermogen ingericht bij organisaties in Nederland, zowel binnen de doelgroep van het NCSC (Rijksoverheid en vitale infrastructuur) als daarbuiten?
• Wat zijn de belangrijkste gaten in het herstelvermogen van de doelgroep als geheel?

Download het onderzoeksrapport hier: TNO-rapport Herstelvermogen binnen IT infrastructuren.

Andere publicaties over het onderzoek:

• NCSC Expertblog over dit onderzoek: Herstelvermogen: de stand van zaken bij Nederlandse organisaties.
• Platform voor Informatiebeveiliging Magazine #1 2021 (p. 26).
• NCSC TNO Cyber Resilience Research Program: ICT Recovery Capability & Supply Chain Risk Management, via: https://emagazine.one-conference.nl/2021/keynotes-and-webinars/

Resultaat 2. Onderzoek naar het Herstelvermogen binnen OT infrastructuren

In het onderzoeksrapport worden de drie onderstaande onderzoeksvragen beantwoord:

• Welke aspecten zijn van belang om herstelvermogen in te richten voor OT infrastructuren bij de doelgroepen van het NCSC?
• Wat is er anders ten opzichte van de situatie bij IT-infrastructuren?
• Wat is de stand van zaken op het gebied van herstelvermogen bij OT doelgroep organisaties?

Download het onderzoeksrapport hier: Herstelvermogen binnen OT infrastructuren.

Cyber Foresight

Nieuwe technologieën, met name binnen het cyberdomein, zorgen voor grote veranderingen in de samenleving. Het in kaart brengen van technische, sociale, en politieke ontwikkelingen die met deze technologieën samenhangen, is cruciaal voor de overheid en haar partners om te kunnen anticiperen en zo onze nationale veiligheid te bewaken. Het cybersecurityveld kenmerkt zich daarbij door een hoge dynamiek, veranderlijkheid en onvoorspelbaarheid, zowel qua technologie maar ook wat betreft spelers en motieven. Er zijn kwaadwillende actoren die het bijvoorbeeld gemunt hebben op het illegaal verkrijgen van waardevolle kennis, maar ook nietsvermoedende gebruikers die niet doorhebben aan welke kwetsbaarheden ze zichzelf en anderen blootstellen. Daarnaast ontwikkelen offensieve en defensieve technieken zich in een rap tempo. Om hier zo goed mogelijk op voorbereid te zijn, is het belangrijk om na te denken over welke ontwikkelingen er op ons af komen. Dit is niet makkelijk, maar wel noodzakelijk. Het project ‘Cyber Foresighting’ heeft onderzocht wat de mogelijkheden hiertoe zijn in samenwerkingsverbanden en heeft als doel om te verkennen welke soorten platformen zouden kunnen bijdragen aan een gezamenlijke foresighting capaciteit.

TNO onderzoekers: Silke de Vries, Thijs van Engelen, Deborah Lassche, Beatrice Cadet, Dolinda Molema, Martijn Neef, Yori Kamphuis, Saskia Buchwaldt.

Resultaat 1. Op weg naar een gezamenlijke cyber forecasting capaciteit.

Download het onderzoeksrapport hier (pdf)

Resultaat 2. Blauwdruk gezamenlijke foresight in het cyber domein: de lessons learned. Niet publiekelijk beschikbaar.

Supply Chain Risk

Door toenemende (digitale) verstrengeling van toeleverings- en productieketens kunnen verstoringen in deze ketens grote impact hebben. Organisaties zijn voor de continuïteit en veiligheid van hun processen in toenemende mate afhankelijk van een netwerk van aanbieders, waar ze niet altijd een contract mee hebben. Het belang van het in kaart brengen van afhankelijkheden en bijbehorende risico’s in supply chains wordt in meerdere documenten benadrukt (CSBN, 2019; WRR, 2019). Risicomanagement op al die afhankelijkheden in de supply chain wordt steeds belangrijker, zowel om risico’s inzichtelijk te maken als de beheersing met mogelijke maatregelen. In het onderzoek zijn vraagstukken rondom supply chain risico’s in kaart gebracht door enerzijds methoden met betrekking tot supply chain risico te analyseren en anderzijds inzichten uit de praktijk op te halen door een aantal grote Nederlandse organisaties te interviewen. Op basis van de inzichten die tijdens het onderzoek zijn opgedaan, is geconcludeerd dat er verschillende perspectieven op ICT supply chains zijn ‘ingebed’ in de methoden en praktijk die zijn geanalyseerd.

Daarna is er vervolgonderzoek gedaan naar Software Bill Of Materials (SBOM).  De opeenvolging van een aantal grote supply chain incidenten zoals SolarWinds en Log4J hebben de afgelopen jaren pijnlijk duidelijk gemaakt dat veel organisaties onvoldoende zicht hebben op de afhankelijkheden binnen hun software supply chain​. De Software Bill Of Materials (SBOM) is een belangrijke bouwsteen om dit probleem aan te pakken. Met behulp van SBOMs kan een organisatie een geformaliseerd en continu up-to-date overzicht onderhouden van alle gebruikte software én hun afhankelijkheden. Het onderzoek heeft geresulteerd in een SBOM startersgids. Organisaties kunnen daarmee aan de slag om SBOM te gebruiken en daarmee vulnerability management processen te verbeteren.

TNO onderzoekers: Puck van den Brink, Hanneke Duijnhoven, André Smulders, Ignas Melman, Bram Poppink, Niels Brink, Silke Mergler, Gwen Jansen-Ferdinandus, Peter-Paul Meiler, Angela Kwaijtaal.

Resultaat 1. Vraagstukken en perspectieven voor ICT SCRM : een initiële verkenning | rapportage 2021. NCSC pagina over dit onderwerp: ICT-supply chain risicomanagement.

Resultaat 2. SBOM Startersgids | rapportage 2023

Aan de slag met het kwantificeren van cyberrisico's

TNO en het NCSC onderzoeken wat de toegevoegde waarde van kwantitatieve risicomanagementmethodes is voor vitale partijen. Het onderzoek richt zich op methoden om cyberrisico’s meer kwantitatief in kaart te brengen en af te wegen hoe deze zich verhouden tot andere bedrijfsrisico’s.

In 2020 is een basismodel ontwikkeld waarmee organisaties op basis van dreigingen en hun weerbaarheid tegen die dreigingen een kwantitatieve risico inschatting kunnen maken. Dit model is getoetst bij een vitale partij met een scenario met daarin een voorstelbare dreiging en systemen waarvoor die dreiging risico’s oplevert. Het onderzoek naar de mogelijkheden van het kwantificeren cybersecurityrisico’s is in 2021 verder gegaan met het toetsen van het in 2020 gemaakte basismodel middels twee case studies binnen een vitale sector.

Het onderzoek heeft geresulteerd in een toolkit voor organisaties die zelf een start willen maken met het kwantificeren van cybersecurityrisico’s. De toolkit bevat een handleiding waarin in verschillende stappen wordt uitgelegd hoe organisaties de benodigde informatie kunnen verzamelen en analyseren om een kwantitatieve inschatting te maken van een geselecteerd cybersecurityrisico. Het resultaat hiervan is een rekenmodel waarin de waarschijnlijkheid van de impact van een cyberdreiging bepaald kan worden – een Bayesian Belief Network –, en waarmee gevoeligheidsanalyses kunnen worden gedaan. De toolkit is speciaal gericht op organisaties in de vitale sector om het risico van specifieke dreigingsscenario’s voor de eigen infrastructuur te kunnen inschatten. Ervaring met kwalitatieve risicoanalyses is hiervoor van belang.

TNO onderzoekers: Willem Verdaasdonk, Marieke Klaver, Peter Langenkamp, Naomie Keja

Resultaat 1. Kwantificering van cyberrisico's | rapportage 2020

Resultaat 2. Kwantificering cyberrisico’s | rapportage 2021

Andere publicaties over het onderzoek

Aan de slag met het kwantificeren van cyberrisico's. Tweakers.net nieuwsbericht over de toolkit: NCSC en TNO maken toolkit om cybersecurityrisico's te kunnen schatten.