Vulnerability Assessment
Vulnerability assessment untuk operator minyak dan gas Indonesia
Ringkasnya
Cara operator minyak dan gas Indonesia menjalankan vulnerability assessment berkala di IT dan OT dengan pemindaian pasif yang aman, tanpa menyentuh SCADA aktif.
Vulnerability assessment bagi operator minyak dan gas adalah pekerjaan berkala menemukan kelemahan di estate IT korporat maupun OT yang menjalankan produksi, sebelum ditemukan pihak lain. Ini berbeda dari penetration test sekali jalan: vulnerability assessment berjalan sesuai jadwal dan menjaga gambaran berjalan atas eksposur dalam skala besar, bukan membuktikan satu jalur eksploitasi sekali. Halaman ini membahas cara asesmen itu bekerja di kedua sisi estate minyak dan gas. Untuk penjelasan umum tentang vulnerability assessment, lihat halaman layanan Vulnerability Assessment kami.
Mengapa vulnerability assessment penting di sini
Sisi IT korporat operator minyak dan gas mirip kebanyakan IT enterprise lain dan menoleransi pemindaian standar. Sisi OT tidak, dan di situlah bagian estate yang paling sedikit dipetakan cenderung berada.
Jalur kontraktor tak terpetakan dan penemuan aset
Vendor pengeboran, pipa, dan pemeliharaan terhubung lewat akses jarak jauh yang sering tidak terlihat operator utama, dan tautan itu jarang muncul di inventaris aset IT standar. Asesmen berkala yang dimulai dengan penemuan pasif sering menjadi kali pertama operator memperoleh daftar lengkap apa yang sebenarnya ada di jaringan OT.
OT yang rapuh membutuhkan pemindaian non-intrusif
PLC dan RTU di jaringan wellhead, pipa, dan kilang dibangun untuk keandalan kendali, bukan untuk menangani lalu lintas tak terduga. Pemindaian aktif yang rutin terhadap server dapat membuat kontroler gagal, dengan konsekuensi fisik alih-alih sekadar error tercatat, itulah sebabnya sisi OT mendapat penemuan pasif.
Pemantauan keselamatan dan lingkungan yang tidak teraudit
Sistem pemantauan keselamatan dan lingkungan sering berada di bawah teknik operasional, bukan tata kelola IT, sehingga berada di luar cakupan pemindaian normal. Sistem pemantauan yang dipalsukan atau tidak dipatch dapat menutupi kondisi nyata, yang membuat ketiadaannya dari asesmen menjadi celah yang layak ditutup secara sengaja.
Batas IT/OT
Lapisan historian dan koneksi pelaporan lain antara OT dan IT korporat adalah tempat pemindaian yang murni berfokus IT berhenti sebelum temuan yang paling berkonsekuensi. Asesmen yang memperlakukan batas itu sebagai bagian dari lingkup, bukan tepi peta, itulah yang memunculkan jembatan antara kedua lingkungan.
Perbandingan vulnerability assessment dengan penetration test
Operator sering bertanya mana yang mereka butuhkan. Keduanya menjawab pertanyaan yang berbeda, dan jawaban jujurnya biasanya keduanya, diurutkan agar asesmen berkala menentukan prioritas dan pentest masuk dalam di tempat yang penting.
| Vulnerability assessment | Penetration test | |
|---|---|---|
| Irama | Berkala, sesuai jadwal (IT bulanan atau berkelanjutan, OT triwulanan atau per jendela pemeliharaan) | Satu titik waktu, biasanya tahunan atau sebelum perubahan besar |
| Kedalaman | Cakupan luas atas kerentanan yang diketahui, patch yang hilang, dan konfigurasi lemah di seluruh estate | Upaya mendalam dan tertarget untuk mengeksploitasi lingkup tertentu dan merangkai temuan |
| Risiko gangguan | Rendah, dengan penemuan pasif di sisi OT dan tanpa probe aktif ke sistem kendali yang beroperasi | Lebih tinggi, sehingga eksploitasi OT dibatasi dan dikoordinasikan ketat dengan operasi |
| Keluaran | Daftar temuan yang terlacak dan berulang, diprioritaskan berdasarkan eksploitabilitas dan dampak operasional | Narasi apa yang benar-benar dapat dijangkau penyerang, dengan bukti dan uji ulang gratis |
Untuk penjelasan lebih lengkap tentang di mana masing-masing cocok dan cara mengurutkannya, lihat halaman kami tentang vulnerability assessment vs penetration testing.
Cara kami menjalankannya
Estate mendapat satu program asesmen, tetapi dua metode berbeda, disesuaikan dengan apa yang dapat ditoleransi tiap sisi jaringan.
Pemindaian di sisi IT disetel agar menyeluruh, memakai pemindaian berkredensial bila akses memungkinkan, karena pemindaian berkredensial melihat status patch yang hanya bisa ditebak oleh pemindaian tanpa otentikasi. Di sisi OT program yang sama berjalan pasif dan dalam koordinasi dengan operasi, sehingga asesmen tidak pernah menjadi penyebab sistem kendali gagal. Untuk asesmen keamanan OT/ICS yang masuk lebih dalam ke arsitektur dan penyelarasan IEC 62443 alih-alih pemindaian berkala, lihat halaman asesmen keamanan OT/ICS untuk operator minyak dan gas Indonesia kami, dan untuk lingkup VAPT khusus OT, halaman layanan OT/ICS VAPT kami.
Perpres 82/2022 menetapkan infrastruktur minyak dan gas sebagai infrastruktur nasional yang kritis untuk sektor energi, dan PP 71/2019 mengatur kewajiban manajemen keamanan untuk sistem elektronik yang mendukungnya, keduanya mengarah pada asesmen berkala, bukan satu potret tunggal. Angka spesifik sektor untuk jumlah kerentanan OT atau lini waktu remediasi di sektor minyak dan gas Indonesia belum didukung sumber primer yang dapat kami verifikasi saat penulisan, sehingga halaman ini memimpin dengan metodologi, bukan angka yang dibuat-buat.
Jika sebagian besar estate OT Anda belum pernah dinilai sama sekali, bahkan pada tingkat pasif yang non-intrusif, itu biasanya titik mulai yang lebih berguna daripada memperdebatkan frekuensi pemindaian.
Referensi
- 1.Republik Indonesia, Perpres No. 82 Tahun 2022 tentang Pelindungan Infrastruktur Informasi Vital
- 2.Republik Indonesia, PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
- 3.ISA, Seri Standar ISA/IEC 62443 untuk Keamanan Industrial Automation and Control Systems
- 4.Republik Indonesia, UU No. 27 Tahun 2022 (UU PDP)
Ditinjau oleh Karina Kosasih, Offensive Security Lead
Pertanyaan umum
Vulnerability assessment adalah lapisan berkala dengan cakupan luas. Ia berjalan sesuai jadwal di IT dan OT serta menandai kerentanan yang diketahui, patch yang hilang, dan konfigurasi lemah dalam skala besar, sehingga Anda bisa melihat bagaimana eksposur berubah dari waktu ke waktu. Penetration test adalah latihan yang lebih dalam pada satu titik waktu yang mencoba mengeksploitasi lingkup tertentu untuk membuktikan apa yang benar-benar dapat dijangkau penyerang. Bagi operator, vulnerability assessment menjaga gambaran berjalan atas seluruh estate, dan pentest masuk lebih dalam ke bagian yang paling penting. Keduanya menjawab pertanyaan yang berbeda dan biasanya dijalankan bersama, bukan dipilih salah satu.
Terkait
Terkait
Solusi
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.