Assessment of cyber risk for energy utilities

No Thumbnail Available
Journal Title
Journal ISSN
Volume Title
Perustieteiden korkeakoulu | Master's thesis
Date
2019-06-18
Department
Major/Subject
Systems and Operations Research
Mcode
SCI3055
Degree programme
Master’s Programme in Mathematics and Operations Research
Language
en
Pages
55
Series
Abstract
Cyber risk assessment of industrial control systems and organizations using them is a challenging topic in risk analysis. In this Thesis, an approach to cyber risk assessment of energy utilities is proposed. The risk assessment is provided by a cyber security vendor for energy utilities. The aim of the approach is to be a rapidly deployable risk assessment method that does not require extensive modelling of the target organization. The approach also emphasises context establishment and cyber risk evaluation. The risk assessment approach developed in this Thesis uses several different methods to reduce the dimensionality of industrial control systems and cyber threat environment. A modified annual loss expectancy model is used to calculate the cyber risk. Functional modelling of the target organization is used to identify critical business functions and costs of downtime. A questionnaire and interviews with the target organization help to establish context and the answers are used to modify strength of different cyber incidents. The controls and questions are based on industry standards for better coverage and to establish a common language with the target organization. The dimensionality is further reduced by categorising cyber incidents based on their threat source and impacts. Available data and expert assessment are used to create incident tables for the model with strength of attack and occurrence rates, which are modified based on the controls used by the target organization. The produced risk score and report communicates the current risk levels to the target organization and helps the decision makers in the risk treatment processes. The risk assessment approach solves some of the common problems related to most cyber risk assessment methods. The proposed approach is provided by a vendor to a target organization. The discussions are used to communicate the importance of cyber risk to different decision makers within the target organization's management across different business functions. The interviews are used to verify that the cyber security processes and controls are adopted throughout the organization. The use of external vendor also enables more objective assessment. The produced risk score can be compared with peers and recommendations are given as a report, which assists the risk evaluation step of the risk management process.

Teollisten ympäristöjen kyberriskien arviointi on haasteellista. Tämän diplomityön tarkoituksena on muodostaa riskien arviointimenetelmä, jota kyberturvallisuusyritys voi hyödyntää energiayhtiöiden riskien arvioinnissa. Menetelmän tavoitteena on, että se ei vaadi raskasta kohdeympäristön mallinnusta ja se tukee riskienhallintaprosessin kontekstinmuodostus- ja riskienmääritysvaiheita. Tässä työssä esitelty lähestymistapa hyödyntää useita menetelmiä kompleksisuuden vähentämiseksi. Kyberriskin laskemiseen käytetään muokattua vuotuisen tappion odotusarvion mallia. Kohdeorganisaatiota mallinnetaan liiketoimintojen avulla, jotta kriittiset komponentit voidaan tunnistaa ja niiden alasajokustannukset voidaan määrittää. Haastattelujen ja kyselyn avulla luodaan kontekstia ja kysymysten avulla selvitetään varautuminen kyberuhkiin, jota käytetään muokkaamaan erilaisten kybertapahtumien voimakkuutta mallissa. Kontrollimekanismit ja kysymykset perustuvat alan standardeihin, jotta ne ovat kattavat ja termit ovat kaikille osapuolille selkeät. Kybertapahtumien luokittelulla niiden vaikutusten ja tekijöiden perusteella pyritään edelleen vähentämään uhkaympäristön monimuotoisuutta. Apuna käytetään alan asiantuntijoiden arvioita ja saatavilla olevaa dataa, joiden avulla kybertapahtumista muodostetaan sektorikohtaisia taulukoita. Kohdeorganisaation päätöksentekoa tuetaan riskipisteytyksellä ja kirjallisella raportilla havainnoista ja niihin pohjautuvista suosituksista. Työssä esitellyn lähestymistavan avulla voidaan ratkaista joitakin kyberriskien arviointiin liittyviä ongelmia. Sen avulla ulkoinen toimija kykenee objektiivisemmin arvioimaan riskejä kohdeorganisaation haastattelujen perusteella. Keskustelujen avulla voidaan myös kommunikoida kyberriskien merkityksestä eri toimijoille. Keskustelujen avulla voidaan varmistaa, että kohdeorganisaatio toteuttaa sen kuvaamia kyberturvallisuustoimia ja -prosesseja kaikissa toiminnoissaan ja yksiköissä. Riskipisteytyksen avulla organisaatiota voidaan verrata muihin alan toimijoihin ja raportti tukee kohdeorganisaation riskienhallintaprosessia.
Description
Supervisor
Salo, Ahti
Thesis advisor
Haapamäki, Lauri
Keywords
cyber security, critical infrastructure, risk analysis, cyber risk assessment
Other note
Citation