OT/ICS Security Assessment
Asesmen keamanan OT dan ICS untuk operator pertambangan Indonesia
Ringkasnya
Cara operator tambang Indonesia menilai keamanan OT dan ICS di autonomous haulage, remote operations centre, dan ICS pengolahan sesuai IEC 62443 dan Perpres 82.
Tambang modern di Indonesia berjalan di atas teknologi operasional yang tidak pernah dirancang untuk berada dalam jangkauan internet. Autonomous haulage, remote operations centre, dan ICS pengolahan dibangun untuk menjaga produksi berjalan dengan aman, bukan untuk bertahan menghadapi jaringan yang bermusuhan, tetapi pemantauan jarak jauh telah menghubungkan sebagian besar estate itu melalui jalur yang sering belum dipetakan operator secara utuh. Halaman ini membahas apa yang dilihat asesmen keamanan OT dan ICS pada operasi pertambangan secara spesifik, bagaimana ia dipetakan terhadap IEC 62443 dan Perpres 82/2022, dan bagaimana ia berjalan tanpa mengganggu ekstraksi atau pengolahan yang aktif. Untuk penjelasan umum tentang asesmen keamanan OT/ICS, lihat halaman layanan OT/ICS Security Assessment kami.
Mengapa asesmen OT pertambangan adalah latihan yang berbeda
Kegagalan di lingkungan OT pertambangan jarang sekadar downtime. Sistem fleet management yang mengirim instruksi keliru ke truk otonom, ICS pengolahan yang menerima setpoint tanpa izin, atau umpan pemantauan lingkungan yang diam-diam dimanipulasi, semuanya adalah persoalan keselamatan, produksi, dan hukum sebelum menjadi persoalan IT.
Autonomous haulage dan fleet management
Sistem autonomous haulage dan fleet management mengoordinasikan alat berat yang bergerak di area tambang aktif. Kompromi di sini bukan persoalan data lebih dulu, melainkan persoalan fisik, itulah sebabnya sistem ini harus dinilai eksposurnya tanpa satu pun lalu lintas aktif dikirim ke jaringan yang sedang berjalan.
Remote operations centre
Remote operations centre memusatkan kendali atas beberapa lokasi ke satu tempat, yang juga memusatkan konsekuensi jika penyerang menjangkaunya. Asesmen memeriksa bagaimana pusat itu terhubung ke tiap tambang, bagaimana sesi jarak jauh diotentikasi dan dicatat, serta apakah titik masuk di sana bisa menjangkau sistem kontrol.
Blast control dan ICS pengolahan bijih
Sistem blast control dan ICS yang menjalankan pengolahan bijih berada pada titik di mana kegagalan keamanan dan bahaya fisik adalah peristiwa yang sama. Keduanya ditinjau pada tingkat konfigurasi dan arsitektur, tidak pernah diprobe aktif pada sistem yang sedang beroperasi.
Integritas pelaporan dan intelijen komoditas
Penyerang yang mengubah catatan lingkungan atau produksi ESDM menciptakan eksposur regulasi dan hukum, dan yang diam-diam membaca estimasi cadangan bijih, data biaya produksi, atau jadwal pengapalan ekspor bisa tak terdeteksi selama berbulan-bulan. Keduanya menjadikan penyimpanan data sumber daya dan geologi bagian dari lingkup asesmen, bukan pelengkap belakangan.
Perpres 82/2022 dan PP 71/2019 menempatkan pertambangan dalam infrastruktur nasional kritis yang sistem elektroniknya diharapkan negara untuk dilindungi operator, dengan kewajiban yang mencakup keamanan sistem elektronik, pelaporan insiden, dan lokalisasi data untuk sistem strategis. Regulasi itu menetapkan kewajiban melindungi infrastruktur tersebut, tetapi tidak merinci seperti apa kontrol teknis yang memadai pada level jaringan fleet management atau conduit ICS pengolahan. Di situlah IEC 62443, standar internasional untuk keamanan industrial automation and control system, berperan mengisi celah itu, dan menjadi kerangka yang menjadi dasar penyusunan asesmen ini. UU PDP berdampingan dengan keduanya, karena tambang juga memegang data pribadi karyawan, kontraktor, dan masyarakat, termasuk catatan pemantauan kesehatan dan data akses biometrik yang punya kewajiban perlindungannya sendiri.
| Yang dipetakan asesmen | Sumbernya | Yang dihasilkan asesmen |
|---|---|---|
| Infrastruktur nasional kritis dan perlindungan sistem elektronik | Perpres 82/2022, PP 71/2019 | Temuan tingkat estate yang dapat dipakai operator tambang sebagai bukti pendukung postur keamanan dan kesiapan pelaporan insiden |
| Segmentasi zona dan conduit, security level untuk aset OT | IEC 62443 | Asesmen kesenjangan terhadap zona IEC 62443, dengan temuan diprioritaskan berdasarkan eksploitabilitas dan dampak operasional, bukan skor CVSS semata |
| Perlindungan data pribadi karyawan, kontraktor, dan masyarakat | UU PDP | Temuan yang mencakup di mana data pemantauan kesehatan, akses biometrik, dan data masyarakat berada relatif terhadap batas OT dan IT |
Yang dicakup asesmen dan cara kerjanya
Asesmen mencakup keseluruhan operasi, bukan satu subsistem saja: area tambang dan armada otonomnya, remote operations centre, pabrik pengolahan, serta penyimpanan data dan batas yang mengikat semuanya.
Setiap fase diotorisasi sebelum dimulai dan dikoordinasikan dengan tim operasi sepanjang pelaksanaan, karena asesmen OT/ICS tidak dapat berjalan dengan asumsi yang sama seperti penetration test IT. Penemuan pasif mengamati lalu lintas tanpa mengirim paket yang dapat memengaruhi perangkat lapangan, kontroler autonomous haulage, atau sistem pengolahan, dan blast control serta sistem terkait keselamatan ditinjau hanya pada tingkat konfigurasi, tidak pernah diuji aktif pada instalasi yang sedang beroperasi.
Untuk gambaran yang lebih luas tentang keamanan OT dan ICS di operator industri Indonesia, panduan keamanan OT dan ICS di Indonesia kami menjelaskan model ancaman dan metodologinya secara umum. Jika prioritas Anda adalah penyelarasan terstruktur ke standar yang dipetakan asesmen ini, halaman asesmen kepatuhan IEC 62443 kami membahas rute itu secara spesifik.
Angka spesifik sektor untuk frekuensi insiden OT atau biaya downtime di sektor pertambangan Indonesia belum didukung sumber primer yang dapat kami verifikasi, sehingga halaman ini memimpin dengan kerangka regulasi dan teknis, bukan angka yang tidak akan tahan pemeriksaan. Yang konsisten di operator nikel, batu bara, dan bauksit adalah bahwa pemantauan jarak jauh telah menghubungkan sistem kontrol ke internet lebih cepat daripada siapa pun memetakan koneksi itu, dan asesmen biasanya paling berguna di tempat yang petanya belum ada.
Jika tambang Anda belum pernah menjalani asesmen yang konsisten atas estate OT dan ICS-nya terhadap IEC 62443, tim kami dapat membantu menentukan titik mulai.
Referensi
- 1.Republik Indonesia, Perpres No. 82 Tahun 2022 tentang Pelindungan Infrastruktur Informasi Vital
- 2.Republik Indonesia, PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
- 3.ISA, ISA-99 / IEC 62443 Industrial Automation and Control Systems Security
- 4.Republik Indonesia, UU No. 27 Tahun 2022 (UU PDP)
Ditinjau oleh Karina Kosasih, Offensive Security Lead
Pertanyaan umum
Tidak ada satu mandat pengujian khusus pertambangan, tetapi kewajiban itu ada secara substansi. Perpres 82/2022 dan PP 71/2019 memperlakukan pertambangan sebagai bagian dari infrastruktur nasional kritis yang sistem elektroniknya wajib dilindungi, dengan pelaporan insiden dan, untuk sistem strategis, lokalisasi data. UU PDP secara terpisah mewajibkan langkah teknis yang memadai atas data pribadi karyawan, kontraktor, dan masyarakat yang dipegang tambang, termasuk catatan pemantauan kesehatan dan data akses biometrik. Asesmen OT/ICS yang dipetakan terhadap IEC 62443 adalah salah satu cara paling langsung untuk membuktikan langkah itu benar-benar berjalan, bukan sekadar tertulis di atas kertas.
Terkait
Terkait
Solusi
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.