Vulnerability Assessment
Vulnerability assessment untuk operator pertambangan Indonesia
Ringkasnya
Cara operator tambang Indonesia menjalankan vulnerability assessment di IT dan OT tambang dengan pemindaian aman yang tak pernah menguji haulage atau ICS aktif.
Vulnerability assessment di seluruh operasi pertambangan tidak bisa berarti mengarahkan scanner ke setiap alamat IP dan membiarkannya berjalan, seperti yang mungkin dilakukan pada jaringan korporat. Sebagian estate adalah IT korporat yang dapat menyerap pemindaian agresif tanpa konsekuensi, dan sebagian lagi adalah OT tambang, autonomous haulage, remote operations centre, ICS pengolahan bijih, tempat paket yang tidak terduga dapat membuat kontroler mengalami fault padahal seharusnya tidak. Ini juga latihan berkelanjutan, bukan sekali jalan, dan itulah yang membedakannya dari satu kali penetration test. Halaman ini membahas cara vulnerability assessment bekerja di kedua sisi estate pertambangan itu. Untuk penjelasan umum tentang cara kerja vulnerability assessment, lihat halaman layanan Vulnerability Assessment kami.
Mengapa vulnerability assessment penting di pertambangan
Sisi IT korporat operator tambang terlihat seperti IT enterprise pada umumnya dan menoleransi pemindaian tanpa banyak pertimbangan. Sisa estate, tersebar di lokasi terpencil dan makin terhubung ke internet, adalah tempat asesmen ini membuktikan nilainya.
Jalur OT terjangkau internet yang belum terpetakan
Pemantauan jarak jauh telah menghubungkan OT tambang ke internet melalui jalur yang sering belum dipetakan operator secara utuh. Vulnerability assessment yang menjangkau sisi OT adalah salah satu cara paling langsung untuk menemukan koneksi itu sebelum orang lain menemukannya, bukan berasumsi inventaris aset sudah lengkap.
Penemuan aset di lokasi terpencil
Estate operator tambang tersebar di area tambang, pabrik pengolahan, dan lokasi terpencil yang jarang berbagi satu inventaris yang akurat. Asesmen berkala menjaga inventaris itu tetap jujur, yang di sini lebih penting dibanding enterprise satu gedung tempat daftar aset jauh lebih jarang bergeser.
ICS rapuh yang butuh pemindaian aman
PLC dan RTU di jaringan haulage, pengolahan, dan blast control dirancang untuk keandalan kontrol, bukan untuk menangani lalu lintas yang tidak terduga. Pemindaian aktif yang rutin terhadap server dapat membuat kontroler mengalami fault, dengan konsekuensi fisik, bukan sekadar error yang tercatat, sehingga aset ini butuh metode pemindaian yang sesuai dengan apa yang bisa ditoleransinya.
Eksposur integritas pelaporan
Sistem dan penyimpanan data di balik pelaporan lingkungan dan produksi ESDM masuk lingkup bukan tanpa alasan. Penyerang yang bisa menjangkau dan mengubah catatan itu menciptakan eksposur regulasi dan hukum, dan asesmen berkala mengawasi di mana sistem itu berada relatif terhadap yang lain.
Vulnerability assessment atau penetration test
Keduanya saling melengkapi, bukan saling menggantikan, dan ada baiknya dipisahkan alih-alih memperlakukan setiap pemeriksaan keamanan sebagai satu aktivitas.
| Vulnerability assessment | Penetration test | |
|---|---|---|
| Yang dilakukan | Mengidentifikasi kerentanan yang diketahui, patch yang hilang, konfigurasi lemah, dan aset yang belum terpetakan dalam skala besar | Mencoba mengeksploitasi cakupan tertentu untuk membuktikan dampak bisnis atau operasional yang nyata |
| Cakupan | Luas, di seluruh IT dan OT tambang | Mendalam, pada target terfokus seperti satu lokasi atau sistem |
| Kadensi | Berkala, sesuai jadwal | Titik waktu, periodik |
| Pendekatan di dekat OT | Penemuan pasif dan pemeriksaan terkredensial yang aman, tanpa probe aktif pada sistem kontrol yang aktif | Dilingkupi dan diotorisasi ketat, teknik aktif dihindari terhadap OT yang aktif |
Untuk perbandingan yang lebih lengkap tentang di mana masing-masing cocok, halaman vulnerability assessment vs penetration testing kami menjelaskan perbedaannya secara detail.
Cara kami menjalankannya di IT dan OT
Estate mendapat satu program asesmen tetapi dua metode yang berbeda, disesuaikan dengan apa yang bisa ditoleransi masing-masing sisi jaringan.
Temuan tidak diurutkan berdasarkan skor CVSS semata, karena konteks OT rutin mengubah apa yang sebenarnya membawa risiko. Temuan pada kontroler yang terkait autonomous haulage atau proses berdekatan dengan keselamatan ditimbang berbeda dibanding temuan teknis yang sama pada workstation pelaporan yang terisolasi, meski skor mentahnya menunjukkan hal sebaliknya. Pemindaian di dekat OT tambang selalu dikoordinasikan dengan operasi jarak jauh, bukan dijalankan sendiri.
Untuk tinjauan yang lebih mendalam dan bersifat titik waktu terhadap arsitektur OT, segmentasi, dan keselarasan IEC 62443 dibanding pemindaian berkala, lihat halaman asesmen keamanan OT dan ICS untuk operator pertambangan Indonesia kami. Untuk model ancaman OT dan ICS yang lebih luas serta pendekatan VAPT-nya, panduan keamanan OT dan ICS di Indonesia kami membahas hal itu secara umum.
Angka spesifik sektor untuk jumlah kerentanan OT atau lini waktu remediasi di sektor pertambangan Indonesia belum didukung sumber primer yang dapat kami verifikasi, sehingga halaman ini memimpin dengan metodologi, bukan angka rekaan. Yang berlaku di operator nikel, batu bara, dan bauksit adalah bahwa sebagian besar estate OT, terutama di lokasi terpencil, belum pernah dinilai bahkan pada tingkat pasif, dan itu biasanya titik mulai yang lebih berguna dibanding memperdebatkan frekuensi pemindaian.
Jika sebagian besar OT tambang Anda belum pernah dinilai, bahkan secara non-intrusif, tim kami dapat membantu menentukan titik mulai.
Referensi
- 1.Republik Indonesia, Perpres No. 82 Tahun 2022 tentang Pelindungan Infrastruktur Informasi Vital
- 2.Republik Indonesia, PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
- 3.ISA, ISA-99 / IEC 62443 Industrial Automation and Control Systems Security
- 4.Republik Indonesia, UU No. 27 Tahun 2022 (UU PDP)
Ditinjau oleh Karina Kosasih, Offensive Security Lead
Pertanyaan umum
Vulnerability assessment adalah lapisan berkelanjutan dengan cakupan luas. Ia berjalan sesuai jadwal di seluruh IT dan OT tambang dan menandai kerentanan yang diketahui, patch yang hilang, konfigurasi lemah, dan aset yang belum terpetakan dalam skala besar. Penetration test adalah latihan yang lebih mendalam dan bersifat titik waktu, yang mencoba mengeksploitasi cakupan tertentu untuk membuktikan dampak nyata. Kebanyakan operator menjalankan vulnerability assessment secara berkelanjutan untuk menjaga gambaran eksposur yang akurat, dan memakai penetration test secara berkala pada bagian estate yang memang membutuhkannya.
Terkait
Terkait
Solusi
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.