Langsung ke konten utama

OT/ICS Security Assessment

Asesmen keamanan OT dan ICS untuk operator pertambangan Indonesia

Ringkasnya

Cara operator tambang Indonesia menilai keamanan OT dan ICS di autonomous haulage, remote operations centre, dan ICS pengolahan sesuai IEC 62443 dan Perpres 82.

OT/ICS security assessment

Tambang modern di Indonesia berjalan di atas teknologi operasional yang tidak pernah dirancang untuk berada dalam jangkauan internet. Autonomous haulage, remote operations centre, dan ICS pengolahan dibangun untuk menjaga produksi berjalan dengan aman, bukan untuk bertahan menghadapi jaringan yang bermusuhan, tetapi pemantauan jarak jauh telah menghubungkan sebagian besar estate itu melalui jalur yang sering belum dipetakan operator secara utuh. Halaman ini membahas apa yang dilihat asesmen keamanan OT dan ICS pada operasi pertambangan secara spesifik, bagaimana ia dipetakan terhadap IEC 62443 dan Perpres 82/2022, dan bagaimana ia berjalan tanpa mengganggu ekstraksi atau pengolahan yang aktif. Untuk penjelasan umum tentang asesmen keamanan OT/ICS, lihat halaman layanan OT/ICS Security Assessment kami.

Mengapa asesmen OT pertambangan adalah latihan yang berbeda

Kegagalan di lingkungan OT pertambangan jarang sekadar downtime. Sistem fleet management yang mengirim instruksi keliru ke truk otonom, ICS pengolahan yang menerima setpoint tanpa izin, atau umpan pemantauan lingkungan yang diam-diam dimanipulasi, semuanya adalah persoalan keselamatan, produksi, dan hukum sebelum menjadi persoalan IT.

Autonomous haulage dan fleet management

Sistem autonomous haulage dan fleet management mengoordinasikan alat berat yang bergerak di area tambang aktif. Kompromi di sini bukan persoalan data lebih dulu, melainkan persoalan fisik, itulah sebabnya sistem ini harus dinilai eksposurnya tanpa satu pun lalu lintas aktif dikirim ke jaringan yang sedang berjalan.

Remote operations centre

Remote operations centre memusatkan kendali atas beberapa lokasi ke satu tempat, yang juga memusatkan konsekuensi jika penyerang menjangkaunya. Asesmen memeriksa bagaimana pusat itu terhubung ke tiap tambang, bagaimana sesi jarak jauh diotentikasi dan dicatat, serta apakah titik masuk di sana bisa menjangkau sistem kontrol.

Blast control dan ICS pengolahan bijih

Sistem blast control dan ICS yang menjalankan pengolahan bijih berada pada titik di mana kegagalan keamanan dan bahaya fisik adalah peristiwa yang sama. Keduanya ditinjau pada tingkat konfigurasi dan arsitektur, tidak pernah diprobe aktif pada sistem yang sedang beroperasi.

Integritas pelaporan dan intelijen komoditas

Penyerang yang mengubah catatan lingkungan atau produksi ESDM menciptakan eksposur regulasi dan hukum, dan yang diam-diam membaca estimasi cadangan bijih, data biaya produksi, atau jadwal pengapalan ekspor bisa tak terdeteksi selama berbulan-bulan. Keduanya menjadikan penyimpanan data sumber daya dan geologi bagian dari lingkup asesmen, bukan pelengkap belakangan.

Perpres 82/2022 dan PP 71/2019 menempatkan pertambangan dalam infrastruktur nasional kritis yang sistem elektroniknya diharapkan negara untuk dilindungi operator, dengan kewajiban yang mencakup keamanan sistem elektronik, pelaporan insiden, dan lokalisasi data untuk sistem strategis. Regulasi itu menetapkan kewajiban melindungi infrastruktur tersebut, tetapi tidak merinci seperti apa kontrol teknis yang memadai pada level jaringan fleet management atau conduit ICS pengolahan. Di situlah IEC 62443, standar internasional untuk keamanan industrial automation and control system, berperan mengisi celah itu, dan menjadi kerangka yang menjadi dasar penyusunan asesmen ini. UU PDP berdampingan dengan keduanya, karena tambang juga memegang data pribadi karyawan, kontraktor, dan masyarakat, termasuk catatan pemantauan kesehatan dan data akses biometrik yang punya kewajiban perlindungannya sendiri.

Yang dipetakan asesmenSumbernyaYang dihasilkan asesmen
Infrastruktur nasional kritis dan perlindungan sistem elektronikPerpres 82/2022, PP 71/2019Temuan tingkat estate yang dapat dipakai operator tambang sebagai bukti pendukung postur keamanan dan kesiapan pelaporan insiden
Segmentasi zona dan conduit, security level untuk aset OTIEC 62443Asesmen kesenjangan terhadap zona IEC 62443, dengan temuan diprioritaskan berdasarkan eksploitabilitas dan dampak operasional, bukan skor CVSS semata
Perlindungan data pribadi karyawan, kontraktor, dan masyarakatUU PDPTemuan yang mencakup di mana data pemantauan kesehatan, akses biometrik, dan data masyarakat berada relatif terhadap batas OT dan IT

Yang dicakup asesmen dan cara kerjanya

Asesmen mencakup keseluruhan operasi, bukan satu subsistem saja: area tambang dan armada otonomnya, remote operations centre, pabrik pengolahan, serta penyimpanan data dan batas yang mengikat semuanya.

Sistem autonomous haulage dan fleet managementRemote operations centre dan koneksi antarlokasinyaBlast control, ditinjau hanya pada tingkat konfigurasi dan arsitekturICS pabrik pengolahan bijihSistem pemantauan lingkunganPenyimpanan data sumber daya dan geologiBatas IT/OT dan jalur pemantauan jarak jauhKonfigurasi PLC dan RTU, termasuk kredensial default dan versi firmware
Menentukan lingkup dan otorisasi bersama manajemen lokasi dan operasiPenemuan pasif di seluruh estate OT, tanpa pemindaian aktif pada sistem kontrol yang aktifPeninjauan arsitektur batas IT/OT dan jalur pemantauan jarak jauhAnalisis konfigurasi yang dipetakan ke zona dan conduit IEC 62443Laporan diprioritaskan berdasarkan eksploitabilitas dan dampak operasional

Setiap fase diotorisasi sebelum dimulai dan dikoordinasikan dengan tim operasi sepanjang pelaksanaan, karena asesmen OT/ICS tidak dapat berjalan dengan asumsi yang sama seperti penetration test IT. Penemuan pasif mengamati lalu lintas tanpa mengirim paket yang dapat memengaruhi perangkat lapangan, kontroler autonomous haulage, atau sistem pengolahan, dan blast control serta sistem terkait keselamatan ditinjau hanya pada tingkat konfigurasi, tidak pernah diuji aktif pada instalasi yang sedang beroperasi.

Untuk gambaran yang lebih luas tentang keamanan OT dan ICS di operator industri Indonesia, panduan keamanan OT dan ICS di Indonesia kami menjelaskan model ancaman dan metodologinya secara umum. Jika prioritas Anda adalah penyelarasan terstruktur ke standar yang dipetakan asesmen ini, halaman asesmen kepatuhan IEC 62443 kami membahas rute itu secara spesifik.

Angka spesifik sektor untuk frekuensi insiden OT atau biaya downtime di sektor pertambangan Indonesia belum didukung sumber primer yang dapat kami verifikasi, sehingga halaman ini memimpin dengan kerangka regulasi dan teknis, bukan angka yang tidak akan tahan pemeriksaan. Yang konsisten di operator nikel, batu bara, dan bauksit adalah bahwa pemantauan jarak jauh telah menghubungkan sistem kontrol ke internet lebih cepat daripada siapa pun memetakan koneksi itu, dan asesmen biasanya paling berguna di tempat yang petanya belum ada.

Jika tambang Anda belum pernah menjalani asesmen yang konsisten atas estate OT dan ICS-nya terhadap IEC 62443, tim kami dapat membantu menentukan titik mulai.

Referensi

  1. 1.Republik Indonesia, Perpres No. 82 Tahun 2022 tentang Pelindungan Infrastruktur Informasi Vital
  2. 2.Republik Indonesia, PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
  3. 3.ISA, ISA-99 / IEC 62443 Industrial Automation and Control Systems Security
  4. 4.Republik Indonesia, UU No. 27 Tahun 2022 (UU PDP)

Ditinjau oleh Karina Kosasih, Offensive Security Lead

Pertanyaan umum

Tidak ada satu mandat pengujian khusus pertambangan, tetapi kewajiban itu ada secara substansi. Perpres 82/2022 dan PP 71/2019 memperlakukan pertambangan sebagai bagian dari infrastruktur nasional kritis yang sistem elektroniknya wajib dilindungi, dengan pelaporan insiden dan, untuk sistem strategis, lokalisasi data. UU PDP secara terpisah mewajibkan langkah teknis yang memadai atas data pribadi karyawan, kontraktor, dan masyarakat yang dipegang tambang, termasuk catatan pemantauan kesehatan dan data akses biometrik. Asesmen OT/ICS yang dipetakan terhadap IEC 62443 adalah salah satu cara paling langsung untuk membuktikan langkah itu benar-benar berjalan, bukan sekadar tertulis di atas kertas.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.