Langsung ke konten utama

Vulnerability Assessment

Vulnerability assessment untuk operator pertambangan Indonesia

Ringkasnya

Cara operator tambang Indonesia menjalankan vulnerability assessment di IT dan OT tambang dengan pemindaian aman yang tak pernah menguji haulage atau ICS aktif.

Security assessment

Vulnerability assessment di seluruh operasi pertambangan tidak bisa berarti mengarahkan scanner ke setiap alamat IP dan membiarkannya berjalan, seperti yang mungkin dilakukan pada jaringan korporat. Sebagian estate adalah IT korporat yang dapat menyerap pemindaian agresif tanpa konsekuensi, dan sebagian lagi adalah OT tambang, autonomous haulage, remote operations centre, ICS pengolahan bijih, tempat paket yang tidak terduga dapat membuat kontroler mengalami fault padahal seharusnya tidak. Ini juga latihan berkelanjutan, bukan sekali jalan, dan itulah yang membedakannya dari satu kali penetration test. Halaman ini membahas cara vulnerability assessment bekerja di kedua sisi estate pertambangan itu. Untuk penjelasan umum tentang cara kerja vulnerability assessment, lihat halaman layanan Vulnerability Assessment kami.

Mengapa vulnerability assessment penting di pertambangan

Sisi IT korporat operator tambang terlihat seperti IT enterprise pada umumnya dan menoleransi pemindaian tanpa banyak pertimbangan. Sisa estate, tersebar di lokasi terpencil dan makin terhubung ke internet, adalah tempat asesmen ini membuktikan nilainya.

Jalur OT terjangkau internet yang belum terpetakan

Pemantauan jarak jauh telah menghubungkan OT tambang ke internet melalui jalur yang sering belum dipetakan operator secara utuh. Vulnerability assessment yang menjangkau sisi OT adalah salah satu cara paling langsung untuk menemukan koneksi itu sebelum orang lain menemukannya, bukan berasumsi inventaris aset sudah lengkap.

Penemuan aset di lokasi terpencil

Estate operator tambang tersebar di area tambang, pabrik pengolahan, dan lokasi terpencil yang jarang berbagi satu inventaris yang akurat. Asesmen berkala menjaga inventaris itu tetap jujur, yang di sini lebih penting dibanding enterprise satu gedung tempat daftar aset jauh lebih jarang bergeser.

ICS rapuh yang butuh pemindaian aman

PLC dan RTU di jaringan haulage, pengolahan, dan blast control dirancang untuk keandalan kontrol, bukan untuk menangani lalu lintas yang tidak terduga. Pemindaian aktif yang rutin terhadap server dapat membuat kontroler mengalami fault, dengan konsekuensi fisik, bukan sekadar error yang tercatat, sehingga aset ini butuh metode pemindaian yang sesuai dengan apa yang bisa ditoleransinya.

Eksposur integritas pelaporan

Sistem dan penyimpanan data di balik pelaporan lingkungan dan produksi ESDM masuk lingkup bukan tanpa alasan. Penyerang yang bisa menjangkau dan mengubah catatan itu menciptakan eksposur regulasi dan hukum, dan asesmen berkala mengawasi di mana sistem itu berada relatif terhadap yang lain.

Vulnerability assessment atau penetration test

Keduanya saling melengkapi, bukan saling menggantikan, dan ada baiknya dipisahkan alih-alih memperlakukan setiap pemeriksaan keamanan sebagai satu aktivitas.

 Vulnerability assessmentPenetration test
Yang dilakukanMengidentifikasi kerentanan yang diketahui, patch yang hilang, konfigurasi lemah, dan aset yang belum terpetakan dalam skala besarMencoba mengeksploitasi cakupan tertentu untuk membuktikan dampak bisnis atau operasional yang nyata
CakupanLuas, di seluruh IT dan OT tambangMendalam, pada target terfokus seperti satu lokasi atau sistem
KadensiBerkala, sesuai jadwalTitik waktu, periodik
Pendekatan di dekat OTPenemuan pasif dan pemeriksaan terkredensial yang aman, tanpa probe aktif pada sistem kontrol yang aktifDilingkupi dan diotorisasi ketat, teknik aktif dihindari terhadap OT yang aktif

Untuk perbandingan yang lebih lengkap tentang di mana masing-masing cocok, halaman vulnerability assessment vs penetration testing kami menjelaskan perbedaannya secara detail.

Cara kami menjalankannya di IT dan OT

Estate mendapat satu program asesmen tetapi dua metode yang berbeda, disesuaikan dengan apa yang bisa ditoleransi masing-masing sisi jaringan.

Pemindaian terautentikasi dan non-autentikasi pada server dan endpoint ITPemindaian kerentanan beban kerja cloud dan aplikasiPenemuan jaringan pasif untuk inventaris aset OT tambangPemeriksaan versi firmware terhadap CVE yang diketahui untuk PLC dan RTU, tanpa probe aktifPeninjauan jalur pemantauan jarak jauh dan batas IT/OTPeninjauan eksposur penyimpanan data sumber daya dan geologi
Menyusun inventaris aset IT dan OT di area tambang, pabrik pengolahan, dan lokasi terpencilMemindai aset IT sesuai jadwal berkala, secara aktif dan amanMenjalankan penemuan pasif dan pemeriksaan terkredensial yang aman pada OT tambang, dijadwalkan bersama tim operasiMenilai setiap temuan berdasarkan eksploitabilitas dan dampak operasional, bukan skor CVSS semataMelaporkan dan melacak remediasi di IT maupun OT

Temuan tidak diurutkan berdasarkan skor CVSS semata, karena konteks OT rutin mengubah apa yang sebenarnya membawa risiko. Temuan pada kontroler yang terkait autonomous haulage atau proses berdekatan dengan keselamatan ditimbang berbeda dibanding temuan teknis yang sama pada workstation pelaporan yang terisolasi, meski skor mentahnya menunjukkan hal sebaliknya. Pemindaian di dekat OT tambang selalu dikoordinasikan dengan operasi jarak jauh, bukan dijalankan sendiri.

Untuk tinjauan yang lebih mendalam dan bersifat titik waktu terhadap arsitektur OT, segmentasi, dan keselarasan IEC 62443 dibanding pemindaian berkala, lihat halaman asesmen keamanan OT dan ICS untuk operator pertambangan Indonesia kami. Untuk model ancaman OT dan ICS yang lebih luas serta pendekatan VAPT-nya, panduan keamanan OT dan ICS di Indonesia kami membahas hal itu secara umum.

Angka spesifik sektor untuk jumlah kerentanan OT atau lini waktu remediasi di sektor pertambangan Indonesia belum didukung sumber primer yang dapat kami verifikasi, sehingga halaman ini memimpin dengan metodologi, bukan angka rekaan. Yang berlaku di operator nikel, batu bara, dan bauksit adalah bahwa sebagian besar estate OT, terutama di lokasi terpencil, belum pernah dinilai bahkan pada tingkat pasif, dan itu biasanya titik mulai yang lebih berguna dibanding memperdebatkan frekuensi pemindaian.

Jika sebagian besar OT tambang Anda belum pernah dinilai, bahkan secara non-intrusif, tim kami dapat membantu menentukan titik mulai.

Referensi

  1. 1.Republik Indonesia, Perpres No. 82 Tahun 2022 tentang Pelindungan Infrastruktur Informasi Vital
  2. 2.Republik Indonesia, PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
  3. 3.ISA, ISA-99 / IEC 62443 Industrial Automation and Control Systems Security
  4. 4.Republik Indonesia, UU No. 27 Tahun 2022 (UU PDP)

Ditinjau oleh Karina Kosasih, Offensive Security Lead

Pertanyaan umum

Vulnerability assessment adalah lapisan berkelanjutan dengan cakupan luas. Ia berjalan sesuai jadwal di seluruh IT dan OT tambang dan menandai kerentanan yang diketahui, patch yang hilang, konfigurasi lemah, dan aset yang belum terpetakan dalam skala besar. Penetration test adalah latihan yang lebih mendalam dan bersifat titik waktu, yang mencoba mengeksploitasi cakupan tertentu untuk membuktikan dampak nyata. Kebanyakan operator menjalankan vulnerability assessment secara berkelanjutan untuk menjaga gambaran eksposur yang akurat, dan memakai penetration test secara berkala pada bagian estate yang memang membutuhkannya.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.