Documentatie - Scenario's
Een groot incident is vaak niet het gevolg van een enkele kwetsbaarheid, maar een aaneenschakeling van incidenten. Zo begon de hack in de Rotterdamse haven met het binnenhalen van een met malware besmette software-update bij een vestiging in Oekraïne, omdat de leverancier van die software gehackt was. Via een internationaal intern netwerk (netwerksegmentering en interne firewalls ontbraken) kon de malware de systemen in de Rotterdamse haven bereiken en deze besmetten door het ontbreken van security updates.
Bedenk in deze stap dus hoe meerdere dreigingen samen tot een groot incident kunnen leiden. Zo'n scenario kan wat Hollywood-achtig aanvoelen, maar dat waren de beschrijvingen van de Diginotar-hack en de aanval op de Rotterdamse haven van te voren ook. Het gaat bij een scenario niet om of het waarschijnlijk is, maar of het technisch gezien mogelijk is.
In de documentatie voor de dreigingsanalyse is geadviseerd om ook de dreigingen met een laag risico op te nemen. Dit zijn namelijk mogelijke opstapjes naar een groot incident. Denk dus ook over deze risico's na om te bepalen of deze onderdeel kunnen vormen van een scenario.
Door op basis van de concreet vastgestelde dreigingen zelf een of meerdere scenario's te bedenken, kan de ernst van de afzonderlijke dreigingen en kwetsbaarheden beter begrijpbaar gemaakt worden. Dit maakt het makkelijker om aandacht te vragen voor de noodzaak van de mitigerende maatregelen en de eventueel daarvoor noodzakelijke investeringen.