Industrial Environment Cyber Security
Yusuf Islam, MSc. A Cybersecurity Analyst & Engineer
PreviousPeran Threat Intelligence dalam Cyber SecurityNextPentingnya Sertifikat Digital dalam Melindungi Data
Last updated
Yusuf Islam, MSc. A Cybersecurity Analyst & Engineer
Last updated
Pada tulisan ini saya mau sedikit berbagi mengenai keamanan siber di bidang industri manufaktur, bagian dari Industrial Control Systems (ICS), saat ini lebih dikenal dengan istilah operational Technnology (OT). Di beberapa tempat, keamanan siber “industrial” ini memang menjadi kepatuhan terhadap peraturan yang berlaku di satu individu negara atau pada satu regional seperti NIS2 Directive di Eropa (EU), Japan Basic Cybersecurity Act, NIS regulations dan panduan NCSC di Inggris, atau panduan dari National Cybersecurity Authority di Arab Saudi. Jadi para pelaku industri ini harus menjalankan paling tidak arahan minimum yang diberikan. Untuk sebagian peraturan memang sudah menjadi peraturan wajib yang harus diikuti dan memiliki penalti apabila dilanggar, akan tetapi tidak secara keseluruhan mencakup kemanan siber. Karena tentunya cukup membebani dan terkadang menyulitkan pelaku bisnis untuk melakukan implementasi nya. Pelaku bisnis industri ini fokus terhadap bagaimana mencapai tingkat produksi yang tinggi dan mengurangi ongkos nya. Sisi positifnya, tidak sedikit juga yang melakukan implelementasi kemanan siber karena melakukan perhitungan resiko dari ancaman dan dampak yang bisa diidentifikasi. Sebab lain, karena pelaku industri sudah mengalami dampak negatif dari insiden siber, konsekuensi biaya dan tenaga cukup besar untuk mengatasi insiden tanpa persiapan, juga merasa ini sangat mengganggu berjalannya proses bisnis kedepannya jika tidak dijaga keamanan siber nya, alias “kapok”.
Terkait industri manufaktur, khususnya di negara-negara maju produsen barang jadi, dengan teknologi robotics dan otomasi digital (operasional 24 jam/hari), keamanan siber umumnya sudah menjadi topik diskusi dari tingkat pimpinan sampai ke teknisi shop-floor. Walaupun tingkat penerimaannya berbeda di masing-masing departemen (menjalankan dengan baik atau tidak). Paling tidak topik ini sudah beredar di lingkungan perusahaan industri-industri OT tersebut. Mesin-mesin industri yang digunakan saat ini berjalan menggunakan sistem operasi Windows dan Unix, atau beberapa menggunakan embedded sistem dari vendor (proprietary). Komunikasi digital dari mesin ke server dan workstation menjadi kebutuhan yang harus dan sudah diterapkan di banyak perusahaan manufaktur. Tujuannya untuk development mesin, analisis proses, monitoring, sampai maintenance dan troubleshooting. Sehingga dapat meningkatkan produktivitas, perbaikan proses bisnis serta efisiensi biaya. Kita mengenalnya sebagai teknologi Industry 4.0 and above, koneksi digital end-to-end. Kalau sudah seperti ini, koneksi antar mesin tersebut pun harus di-manage. Proteksi keamanan siber perlu dijalankan dengan tepat.
Dalam konsep keamanan siber ICS/OT, terdapat model referensi “Purdue Model” yang bukan lagi hal yang baru. Layaknya konsep Defense in depth atau zero-trust, model purdue sudah cukup lama menjadi acuan model kemanan siber di bidang Industrial. Segregasi dan segmentasi network bisa dilakukan antara IT network untuk "enterprise” terhadap network untuk mesin-mesin tadi, disebut juga sebagai OT network (IT-OT environment). Intinya melakukan pembatasan yang sesuai. Segregasi dengan firewall dapat membatasi komunikasi atau traffic data sesuai rules yang dibuat. Pertanyaannya, apakah ingin memisahkan lebih granular detail atau secukupnya saja?. Bisa dilakukan hanya memisahkan IT dengan OT dimana OT dibagi menjadi level 0,1,2,3 kemudian DMZ. Dapat juga ditambahkan segregasi OT network antar departemen yang ada seperti development mesin dengan QA, QC, plant atau satu production line mesin dengan line mesin lainnya. Perlu diperhatikan requirement port dan protokol mesin jika memilih opsi segregasi lebih detail, bisa menjadi potensi miscommunication tim IT dengan OT. Kemudian juga ada pemisahan pada windows active directory nya, dipisah domain untuk IT dan OT, walaupun perlu dilihat lagi mana yang lebih cocok dan efisien, karena untuk yang sudah existing domain IT - OT jadi satu, memang tidak mengharuskan dipisah. Kemudian apakah perlu join semua shop-floor mesin ke domain IT atau sebagian dibiarkan isolated?, jika isolated bagaimana remote access nya? Temporary jumphost yang bisa di matikan atau hanya akses on-site. Tidak lupa masih ada layer-layer keamanan siber lainnya yang perlu dilakukan.
Tentunya disini menjadi potensi burnout untuk department IT dan department OT, apalagi untuk lokasi yang Brownfield. Departemen IT biasanya sudah lebih lebih bisa meng-iya-kan requirement kemanan siber dibanding departemen OT. Jelas, untuk departemen dan teknisi OT, ini tambahan beban pertaturan ketat, prosedur baru, pembatasan, intinya kebebasan diambil sepihak. Contohnya tidak sedikit perusahaan industri manufaktur saat ini yang memberlakukan Endpoint Privilege Management, minimalisir penggunaan local Admin di lingkungan OT. Walaupun pembatasan ini ini juga sama dirasakan di luar lingkungan OT.
Contoh konkritnya, Teknisi OT tentunya diuntungkan dengan adanya kemampuan remote access ke mesin di lokasi manapun dari mana saja, akan tetapi implementasinya bisa tidak sejalan dengan policy dari departemen IT di perusahaan. Biasanya departemen OT menyerahkan segala urusan remote access ke vendor dari supplier mesin, tidak ditinjau ulang sisi keamanan siber nya seperti apa. Bagaimana protokolnya, RBAC nya, default password, resiko VPN langsung ke mesin, kerentanan device dan aplikasi pun jadi pertimbangan paling akhir. Ini dapat dipahami, karena teknisi OT fokus terhadap kemudahan remote access ke mesin, bisa digunakan salah satunya untuk troubleshooting. Di pihak IT juga bisa tidak tepat dalam support implementasi remote access, sehingga perlu diperhatikan teknis bagaimana OT melakukan troubleshooting. Software apa yang digunakan, bagaimana cara terkoneksi ke dataserver, controller, PLC, motor drive, sensor, HMI panel dalam internal network di mesin. Perlukah routing dari IT ke OT sampai ke masing-masing komponen internal mesin tersebut?.
Mudah kita tebak, dalam satu requirement “remote access” ini saja jika tidak dipahami dan dikomunikasikan dengan benar antara IT dan OT, akan berdampak disrupsi proses di lapangan. Dampaknya? miscommunication antara supplier mesin dengan tim IT (teknisi OT sebagai MITM), Commissioning mesin perlu waktu tambahan untuk review ulang IT requirement, teknisi IT dan OT yang minim pengetahuan kemanan siber dapat melewatkan vulnerability, prosedur yang terbukti tidak efektif harus diubah berulang kali, dan banyak lainnya. Sehingga, saat ini Perusahaan yang lebih concern akan kemanan siber, memilih untuk membentuk satu tim khusus IT-OT Cyber Security. Bisa ad-hoc atau dedicated.
Berbicara mengenai supplier OT, sangat berbeda dengan supplier IT, masih banyak yang tidak memprioritaskan kemanan siber by design. Di beberapa sisi memang diperhatikan, contohnya mesin menggunakan password walaupun default dan limited characters, biasanya menggunakan VPN untuk remote support tetapi MFA tidak diterapkan (fitur ini akan meningkatkan biaya operasional), komunikasi opc-ua dengan X509 certificate tapi tidak diperhatikan default open ports dan protokolnya saat implementasi. Terkait aspek patching dan vulnerability management biasanya masih sangat minim perhatian. Tim Supplier dan OT, bahkan IT existing juga tidak mau menyentuh topik ini karena efek samping yang mungkin terjadi. Perlu pendekatan tim yang efektif, tanpa megesampingkan kebutuhan keamanan siber.
Insiden siber juga dapat terjadi melalui jalur supplier dimana tanpa IT policy yang dijalankan dengan baik, teknisi internal maupun dari supplier dapat dengan mudah menggunakan external device di shop-floor. Bisa menggunakan external drives karena perlu ambil data dengan cepat, menghubungkan komponen device dari luar yang belum diverifikasi, menggunakan workstation dan IPC untuk testing dan cek software dengan koneksi langsung ke internet. Terlebih lagi jika supplier memang diberikan akses yang permissive.
Sudah sering terjadi dan tidak mustahil terjadi di lingkungan IT-OT Perusahaan anda, dimana seorang teknisi OT menggunakan external flash drive dari supplier untuk melakukan copy file dari satu OT workstation, departemen metrology (measurement) produk misalnya, yang masih baru dan belum di-manage dengan baik di AD. Sehingga tidak di-cover untuk GPO membatasi penggunaan USB key. Ternyata flash drive supplier tersebut sudah terinfeksi dengan malware yang sebelumnya menyebar melalui network-attached storage (NAS). Malware tersebut berhasil melakukan C&C ke server attacker yang aktif dan melakukan download serta eksekusi malicious payloadnya. Terlebih lagi user account teknisi tersebut adalah local admin karena sebelumnya diperlukan untuk testing software mesin OT untuk development.
Jika malware tersebut menjadi jalan masuk untuk ransomware, maka mesin-mesin di line produksi yang menggunakan sistem operasi Windows tadi akan dengan mudah di infeksi. Masih banyak mesin manufaktur (termasuk mesin OT) yang compatible hanya dengan legacy Windows OS seperti win 7. Perlu diingat, di sini Production Line merupakan bagian dari “Crown Jewel” atau asset yang kritikal. Jika ransomware berjalan, berhentilah proses produksi. Sangat tidak mudah mengganti satu mesin OT secara cepat. Satu mesin ini terdiri dari banyak komponen, dan dengan network industrial ethernet (IE) internalnya sendiri. Umumnya berukuran besar jadi sulit dipindahkan khususnya mesin Assembly line (FAAM). Serta IPC sebagai interface yang menggunakan windows OS dengan spec yang limited dan sistem yang rentan. Sebagai tambahan, umumnya tidak ada back-up mesin yang ready. Maka dari itu beberapa report dan artikel yang ada, menjabarkan kerugian finansial yang diterima biasanya sangat besar [1] [2] [3] [4].
Walaupun sistem NGAV, EDR dan MDR dapat berhasil mendeteksi dan menggagalkan proses malware tersebut, tim IT dan OT tetap harus melakukan re-imaged workstation, cek endpoint khususnya mesin OT lainnya, menghadapi teknisi yang melanggar aturan, jika lokasinya jauh akan membutuhkan waktu, komunikasi IT ke OT tidak bisa selalu online, tidak membekas. Efeknya cukup mengganggu proses produksi. Selain itu juga ada proses lain seperti Quality Control yang juga mendapatkan konsekuensinya.
Tidak semua OT environment sudah sedia menggunakan up-to-date EDR solution. Yang sudah menggunakannya saja harus berhadapan dengan potensi interupsi EDR terhadap software bawaan dari mesin. Jika terjadi interupsi, siapa yang terlibat? IT, OT, Supplier mesin, vendor software mesin. Ya, tidak jarang di lingkungan OT, supplier mesin tidak terlibat dan tidak cukup mengetahui software dari mesinnya sendiri.
Inilah yang menjadi ancaman insiden siber sistem di lingkungan IT-OT di berbagai bidang dengan konsekuensi yang berbeda. Tidak hanya bidang manufaktur, sistem OT ini juga mencakup bidang infrastruktur kritikal seperti Rumah Sakit, Pembangkit Listrik, Transportasi, dan lainnya (report 2023 NOZOMI dan Dragos, manufaktur menjadi korban terbanyak [5][6]). WannaCry menjadi contoh fatal di UK akan dampak ransomware di lingkungan rumah sakit, pasien menjadi korban dari insiden siber tersebut, “dampak WannaCry bagi Rumah Sakit NHS [7]“. Dengan adanya konektivitas bahkan dari public internet ke network IT-OT, meningkatkan celah insiden. Jumlah serangan siber OT pun terus bertambah. Tentunya tugas menjaga keamanan siber ini kewajiban untuk kedua tim, baik IT dan OT, harus ada sinkronisasi.
Serangan dan insiden siber OT dapat dihindari serta diminimalisir dampaknya. Proteksi kemanan siber patut diaplikasikan dan dievaluasi secara berkesinambungan, khususnya pada tulisan ini ditujukan bagi pelaku yang bergerak di lingkungan IT-OT. Penerapan solusi kemanan siber OT yang tepat dan cukup, bisa menekan biaya dengan tetap menjalankan serta menjaga proteksi kemanan siber yang baik. Di lingkungan IT-OT masih ada ruang dan waktu untuk bergerak dan adaptasi, untuk meningkatkan value perusahaan dari segi kemanan siber. Berikut diantaranya beberapa tips yang dapat dipertimbangkan:
Segera bangun Kerjasama kemanan siber tim IT-OT dengan baik, tentukan Policy IT-OT yang tidak ambigu, libatkan Supplier, bentuk tim Insiden respons
Libatkan tim Compliance dan Risk Managers
Sinkronisasi antar tim dengan Knowledge Sharing
Konsultasi dan implementasikan Solusi kemanan siber IT-OT sesuai prioritas
Bentuk inventory asset IT-OT dengan tepat, tentukan “crown jewels”
Gunakan Testing Environment jika diperlukan (cek Vulnerability dan Compatibility)
Jalankan dan ukur program Maturity keamanan siber IT-OT
Terapkan Cybersecurity Awareness training spesifik untuk end-user IT-OT
Untuk membangun Kerjasama IT-OT, contohnya di lingkugan manufaktur berarti departemen IT dan tim yang bekerja di lingkungan OT seperti Developer mesin, Operator mesin, QA, QC, Metrology, MES, Warehouse. Contoh lain untuk di lingkungan rumah sakit, bisa departemen IT dengan teknisi dan supplier medical device. Mulai eksekusi perencanaan keamanan siber. Bangun keamanan siber secara perlahan layer by layer, dengan secara paralel selalu meningkatkan dan menjaga end-user awareness.
[1] https://cyberscoop.com/dragos-manufacturing-industrial-ransomware/
[2] https://www.comparitech.com/blog/information-security/ransomware-manufacturing-companies/
[3] https://www.fortressinfosec.com/blog/cost-of-cyber-attacks-on-supply-chains
[4] https://www.nedigital.com/en/blog/the-cost-of-downtime-due-to-data-breach
[5] 2023 year in review. https://www.dragos.com/ot-cybersecurity-year-in-review/
[6] 2023 OT IoT Security Report. https://www.nozominetworks.com/resources/ot-iot-security-report-january-2023
[7] A retrospective impact analysis of the WannaCry cyberattack on the NHS. https://www.nature.com/articles/s41746-019-0161-6
A Cybersecurity Analyst & Engineer, tackling problems in ICS/OT, also keen to discuss IT Security Awareness and Global politics, follow for more info concerning OT Cybersecurity: Linkedin: https://id.linkedin.com/in/yusuf-sembiring-9b288614a? Community: indonesiasecureics.com (will be updated soon)
