EPZ:s kärnkraftverk i Borssele, Nederländerna, byggt på 1970-talet, samarbetade med CGI för att stärka cybersäkerheten och höja driftseffektiviteten i en hårt reglerad miljö. 

Anläggningen uppgraderar nu sina cybersäkerhetsrutiner för att möta dagens hot, samtidigt som man hanterar komplexa myndighetskrav och äldre teknik.

Utmaningen

Den nederländska tillsynsmyndigheten krävde en omfattande riskanalys av hela anläggningen – inte bara IT-miljön, utan även OT-systemen såsom brand- och ventilationssystem. Syftet var att identifiera sårbarheter och bedöma risken för att de skulle kunna utnyttjas med allvarliga konsekvenser.

Historiskt har riskerna främst hanterats genom fysisk isolering (air gap). I takt med att hotbilden utvecklats behövdes en mer träffsäker och skalbar metod som fokuserar på de mest kritiska angreppsvägarna, utan att fastna i detaljer.

Lösningen

Tillsammans med EPZ tog CGI fram ett praktiskt, riktat riskanalysramverk baserat på attack tree-metodik. Genom att utgå från värsta tänkbara scenario och arbeta baklänges kunde teamet snabbt identifiera och prioritera de mest relevanta sårbarheterna.

Metoden gjordes snabb, begriplig och åtgärdsinriktad, med nära samarbete mellan CGIs experter och EPZ:s systemägare för att säkerställa att varje identifierad risk matchades med lämpliga säkerhetskontroller.

För att möta nya regulatoriska krav utvecklade CGI dessutom ett verktyg som kartlägger riskanalysen mot MITRE ATT&CK – ett globalt vedertaget ramverk för angripares tekniker. Verktyget stödjer uppföljning och verifiering av kontroller i linje med tillsynsmyndighetens förväntningar och har vidareutvecklats med CIS Controls för mer detaljerade, systemspecifika motåtgärder.

Resultat

  1. Snabbare och skarpare riskbedömning: Attack tree gav ett fokuserat arbetssätt som fångar det viktigaste först.
  2. Stärkt säkerhetsnivå: Kopplingen till MITRE ATT&CK och CIS Controls gav bättre täckning och spårbarhet mellan risk, kontroll och krav.
  3. Efterlevnad av myndighetskrav: Det nya verktyget hjälper EPZ att systematiskt visa hur risker identifieras och hanteras enligt gällande regelverk.
  4. Handlingsbara insikter: Kontinuerlig återkoppling med systemägare möjliggör kompenserande kontroller där så behövs.
  5. Modernisering av äldre miljöer: Trots fortsatt fysisk isolering via air gap lägger arbetet grunden för framtida digitala uppgraderingar.

Vägen framåt

Uppdraget är ett första steg i en långsiktig cybersäkerhetsresa. Lärdomarna från Borssele blir centrala när nya, mer uppkopplade anläggningar byggs. CGIs samarbete med EPZ fortsätter att skydda befintliga system och förbereda för nästa generation kärnkraftverk.

zoomed in view of lines of code

EPZ:s kärnkraftverk effektiviserade riskbedömningen genom att använda Attack Tree-metoden och MITRE ATT&CK-integrering, vilket förbättrade säkerheten, regelefterlevnaden och den framtida digitala beredskapen.

CGI:s angreppssätt för våra cybersäkerhetsbehov har varit ovärderligt. De har hjälpt oss att förstå och minska risker och levererat tydliga, genomförbara insikter som ligger i linje med både regulatoriska krav och våra operativa prioriteringar. Vi känner oss i dag mer trygga i vår förmåga att stå emot cyberhot och samtidigt säkerställa anläggningens säkerhet, tillförlitlighet och effektivitet.

Hendrik-Jan de Graaf Director ICT, EPZ