Wat is CVSS?
CVSS (Common Vulnerability Scoring System) is een internationaal gestandaardiseerd systeem om de ernst van kwetsbaarheden in software of systemen te beoordelen.
Het scoremodel geeft een cijfer van 0 tot 10, waarbij 10 staat voor de hoogste kriticiteit. CVSS wordt veel gebruikt in Vulnerability Scanning, Patchmanagement en Risk Management.
In OT helpt CVSS om kwetsbaarheden in PLC’s, HMI’s of Embedded Firmware te prioriteren — mits goed geïnterpreteerd in de context van beschikbaarheid en veiligheid.
🎯 Waarom is CVSS nuttig in OT?
| Gebruik in OT-beveiliging | Voorbeeld |
|---|---|
| Kwetsbaarheden prioriteren | Firmware-issue met CVSS 9.8 = urgent patchbeleid |
| Risicobeoordeling in IEC 62443 | Onderbouwing van risicoscore of SL-T impact |
| Besluitvorming bij Patchmanagement | Laten liggen of met spoed inplannen? |
| Inzicht in leveranciersrisico’s | Bijhouden van CVE’s in geleverde software |
🔢 Hoe werkt CVSS?
Een CVSS-score bestaat uit drie hoofdonderdelen:
| Component | Beschrijving |
|---|---|
| Base Score | Fundamentele ernst van de kwetsbaarheid (vector: AV, AC, UI, etc.) |
| Temporal Score | Houdt rekening met exploitbaarheid en beschikbaarheid van mitigaties |
| Environmental Score | Aanpasbaar naar jouw specifieke OT-omgeving |
📊 Voorbeeld CVSS-vector
Voorbeeld voor een kwetsbaarheid in een PLC-webinterface:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
| Vectorveld | Waarde | Betekenis |
|---|---|---|
| AV (Attack Vector) | N (Network) | Aanval via netwerk mogelijk |
| AC (Attack Complexity) | L (Low) | Geen geavanceerde kennis nodig |
| PR (Privileges Req.) | N (None) | Geen authenticatie vereist |
| UI (User Interaction) | N (None) | Geen gebruiker nodig om te activeren |
| C/I/A (Impact) | H/H/H | Hoge impact op vertrouwelijkheid, integriteit en beschikbaarheid |
🟥 Resultaat: score = 9.8 → Kritiek
🛡️ OT-specifieke aandachtspunten
| CVSS zegt niet altijd alles… | Aanvullende overwegingen in OT |
|---|---|
| Hoge score ≠ altijd hoge impact in OT | Air-gapped systeem? Niet direct bereikbaar? |
| Lage score kan toch kritiek zijn | Als systeem veiligheidskritisch is (bijv. SIS of ESD) |
| CVSS kijkt niet naar procesveiligheid | Overweeg aanvullende inschaling volgens IEC 62443-3-2 of SIL |
✅ Best practices
- Gebruik CVSS als uitgangspunt, maar voeg contextuele impactanalyse toe
- Koppel CVSS-scores aan je Risicoregister en Asset Inventory
- Pas Environmental Score aan voor factoren zoals zone, netwerkscheiding, impact op safety
- Werk met drempelwaarden: bv. >8.0 = direct actie, 5–8 = gepland onderhoud
- Betrek Engineering of Maintenance bij beoordeling van OT-relevantie
📌 Samengevat
CVSS helpt kwetsbaarheden objectief te prioriteren, maar moet in OT altijd worden verrijkt met kennis over de installatie, het proces en de impact op mens en veiligheid.