Definisi
Apa itu OT VAPT dan bedanya dengan pentest IT
OT VAPT (Operational Technology Vulnerability Assessment and Penetration Testing) adalah asesmen keamanan untuk lingkungan industrial: jaringan, protokol, dan perangkat yang mengendalikan proses fisik. Ini mencakup sistem supervisori SCADA, Distributed Control Systems (DCS), Programmable Logic Controllers (PLC), Remote Terminal Units (RTU), Human Machine Interfaces (HMI), workstation engineering, dan jaringan industrial yang menghubungkannya.
Perbedaan kritis dari pentest IT ada pada metode. Dalam keamanan IT, penguji mengirimkan traffic aktif untuk menemukan host, memeriksa layanan, dan menguji eksploitasi. Perangkat industrial, termasuk PLC yang berjalan dengan protokol seperti Modbus, DNP3, dan EtherNet/IP, tidak dirancang untuk menangani traffic yang tidak terduga. Satu paket probe yang salah sasaran bisa menghentikan lini produksi atau memicu interlock keselamatan. Karena itu, OT VAPT dibangun di atas observasi pasif, bukan serangan aktif.
Keselamatan dan ketersediaan adalah prioritas utama di lingkungan industrial. Metodologi kami mencerminkan hal itu. Kami mengumpulkan traffic melalui span port atau TAP jaringan, mereview konfigurasi dari file backup bukan dari koneksi langsung, dan menganalisis arsitektur terhadap model zona dan konduit IEC 62443. Temuannya nyata, tapi produksi tidak pernah berhenti.
Untuk sistem IT seperti jaringan korporat, aplikasi web, dan workload cloud, lihat layanan penetration testing kami. OT VAPT khusus untuk lingkungan kontrol industrial.
Metodologi
Metodologi pasif: cara kami menilai tanpa mengganggu operasional
Setiap fase asesmen OT dirancang dengan satu batasan utama: tidak ada traffic aktif pada jaringan operasional. Ini bukan keterbatasan metodologi. Ini adalah metodologinya.
Discovery jaringan secara pasif
Kami terhubung melalui span port atau TAP pasif ke jaringan industrial dan mengumpulkan traffic selama satu hingga dua minggu. Durasi ini disengaja: kami perlu melihat siklus operasional yang lengkap, termasuk pergantian shift, siklus batch, dan periode di luar jam kerja. Profil traffic saat produksi normal bisa sangat berbeda dari apa yang terjadi tengah malam atau akhir pekan.
Analisis protokol industrial
Traffic yang dikumpulkan dianalisis untuk protokol industrial: Modbus, DNP3, OPC-UA, Profinet, EtherNet/IP, dan IEC 60870-5. Kami mengidentifikasi perangkat mana yang berkomunikasi, perintah apa yang dikirimkan, dan apakah traffic mengungkap autentikasi lemah, perintah kontrol tidak terenkripsi, atau pola anomali yang bisa mengindikasikan kompromi yang sudah ada atau konfigurasi yang bisa dieksploitasi.
Review konfigurasi secara offline
Kami mereview konfigurasi perangkat dari file backup dan ekspor konfigurasi yang diberikan oleh tim engineering, bukan dari koneksi langsung ke perangkat aktif. Ini memberi kami gambaran akurat tentang logika PLC, kontrol akses HMI, dan pengaturan perangkat jaringan tanpa menyentuh apapun yang sedang berjalan.
Review arsitektur terhadap IEC 62443 dan model Purdue
Kami memetakan lingkungan industrial terhadap model Purdue (Level 0 hingga Level 4) dan menilai batas zona dan konduit sesuai IEC 62443. Ini mengungkap di mana jaringan IT dan OT tidak terpisah dengan benar, di mana jalur akses remote tidak terdokumentasi, dan di mana traffic diizinkan melewati batas zona tanpa kontrol yang sesuai.
Review batas jaringan dan akses remote
Lingkungan industrial sering memiliki jalur ke luar yang tidak terdokumentasi: modem seluler vendor untuk maintenance jarak jauh, jump server dengan kredensial lemah, atau batas IT/OT tanpa firewall yang efektif. Kami mengidentifikasi setiap jalur masuk ke jaringan industrial dan menilai kontrol pada masing-masing.
Proses
Seperti apa engagement OT VAPT
Asesmen OT mengikuti urutan yang terstruktur dan dikoordinasikan dengan tim operasi Anda dari awal hingga akhir. Total waktu yang dibutuhkan biasanya empat hingga enam minggu.
- 1
Scoping bersama tim operasi
Kami memulai dengan tim engineering, operasi, dan IT Anda bersama-sama. Kami menyepakati sistem mana yang masuk cakupan, bagaimana TAP akan dipasang, bagaimana file konfigurasi akan dibagikan, dan prosedur apa yang berlaku jika ada masalah yang tidak terduga. Seorang liaison operasi ditunjuk dari pihak Anda untuk selama engagement berlangsung.
- 2
Pengumpulan pasif
TAP atau span port dipasang oleh tim jaringan Anda dengan panduan dari kami. Kami memantau secara pasif selama satu hingga dua minggu. Tidak ada paket yang dikirim ke jaringan industrial dari infrastruktur kami. Di akhir periode pengumpulan, traffic diekstrak dan dipindahkan ke lingkungan analisis kami.
- 3
Analisis konfigurasi dan arsitektur
File konfigurasi direview secara offline. Traffic dianalisis untuk anomali protokol, masalah autentikasi, dan kelemahan arsitektur. Temuan dipetakan terhadap security level IEC 62443 (SL 1 hingga SL 4) dan, bila relevan, terhadap kewajiban Perpres 82/2022 untuk operator infrastruktur kritis.
- 4
Pelaporan
Kami menyusun laporan tertulis berisi ringkasan eksekutif dalam Bahasa Indonesia dan Inggris, temuan teknis yang diorganisir per zona dan sistem, heatmap gap IEC 62443 yang menunjukkan setiap zona terhadap security level targetnya, dan peta jalan remediasi yang diprioritaskan berdasarkan dampak operasional dan kesulitan implementasi.
- 5
Readout temuan
Kami mempresentasikan temuan kepada dua audiens: teknis dan manajemen. Readout teknis memandu staf engineering melalui setiap temuan. Readout manajemen berfokus pada risiko operasional, kewajiban kepatuhan, dan peta jalan remediasi.
Deliverable
Apa yang ada dalam laporan OT VAPT
Laporan disusun untuk dua audiens: tim engineering yang melakukan remediasi dan tim manajemen yang membuat keputusan risiko. Kedua bagian bersumber dari temuan yang sama, tetapi pendekatannya berbeda.
| Bagian laporan | Isinya |
|---|---|
| Ringkasan eksekutif | Gambaran umum cakupan asesmen, postur keamanan keseluruhan, dan temuan terpenting. Ditulis dalam Bahasa Indonesia dan Inggris. Cocok untuk presentasi ke dewan direksi, regulator, atau BSSN. |
| Temuan teknis per zona | Setiap temuan diorganisir berdasarkan zona IEC 62443 dan diberi penilaian keparahan. Setiap entri berisi deskripsi, bukti dari analisis traffic atau review konfigurasi, dan celah kontrol spesifik yang dipetakan. |
| Heatmap gap IEC 62443 | Representasi visual setiap zona terhadap security level target (SL 1 hingga SL 4). Ini memberi tim engineering tampilan langsung tentang di mana gap terbesar berada dan di mana harus fokus terlebih dahulu. |
| Peta aset model Purdue | Diagram lingkungan industrial di setiap level Purdue (0 hingga 4), menunjukkan aset yang teridentifikasi, jalur komunikasi, dan kontrol batas. Ini sering mengungkap koneksi yang tidak terdokumentasi. |
| Peta jalan remediasi | Rekomendasi yang diorganisir berdasarkan dampak operasional dan kesulitan implementasi, bukan hanya berdasarkan skor keparahan. Ini memungkinkan tim operasi memprioritaskan perbaikan yang bisa dilakukan tanpa planned outage secara terpisah dari yang memerlukannya. |
| Pemetaan regulasi | Di mana relevan, temuan dipetakan ke kewajiban IIKN Perpres 82/2022 dan panduan BSSN tentang keamanan sistem kontrol industri. Bagian ini dirancang untuk mendukung pelaporan kepatuhan. |
Regulasi
IEC 62443, Perpres 82/2022, dan BSSN
IEC 62443 adalah standar internasional untuk keamanan sistem otomasi dan kontrol industrial. Standar ini mendefinisikan security level dari SL 1 (perlindungan dari paparan tidak disengaja) hingga SL 4 (perlindungan dari ancaman tingkat negara). Bagi sebagian besar operator industrial di Indonesia, mencapai SL 1 yang terdokumentasi di semua zona adalah target awal yang masuk akal, dan banyak yang belum mencapainya dalam praktik.
Perpres 82/2022 menetapkan kerangka nasional untuk perlindungan Infrastruktur Informasi Kritis Nasional (IIKN) di Indonesia. BSSN mengkoordinasikan kerangka ini di 11 sektor: energi, air, transportasi, keuangan, kesehatan, telekomunikasi, pangan, pertahanan, industri nasional, pemerintahan, dan layanan darurat. Operator di sektor-sektor ini diwajibkan melakukan penilaian keamanan sistem informasi mereka, yang secara eksplisit mencakup lingkungan OT yang mengendalikan proses fisik.
Laporan OT VAPT kami memetakan temuan ke IEC 62443 dan panduan BSSN tentang keamanan sistem kontrol industri. Ini berarti laporan dapat langsung digunakan untuk mendukung dokumentasi kepatuhan BSSN tanpa perlu menerjemahkan temuan dari kerangka berbeda.
Jika organisasi Anda perlu menilai sistem IT bersamaan dengan OT, lihat layanan penetration testing kami untuk jaringan korporat, aplikasi web, dan workload cloud. Kedua asesmen dapat berjalan secara paralel atau berurutan.
Mengapa kami
Mengapa Alpha Code
Alpha Code Technologies adalah managed security services provider yang berkantor pusat di Jakarta dan bagian dari Akraya International. Konsultan keamanan OT kami memiliki pengalaman langsung dengan lingkungan industrial di sektor energi, minyak dan gas, manufaktur, dan utilitas di seluruh Indonesia.
- Metodologi pasif: tidak ada scanning aktif, tidak ada risiko bagi operasional
- Temuan dipetakan ke IEC 62443 SL 1-4 dan Perpres 82/2022
- Laporan dalam Bahasa Indonesia dan Inggris, siap untuk koordinasi BSSN
- Engineering readout dan management readout termasuk dalam engagement
- Pengalaman dengan Modbus, DNP3, OPC-UA, Profinet, dan EtherNet/IP
- Bagian dari Akraya International, dengan keahlian keamanan industrial global
Pertanyaan yang sering diajukan
OT VAPT menilai keamanan sistem kontrol industrial: SCADA, DCS, PLC, RTU, HMI, dan jaringan industrial. Berbeda dengan pentest IT yang mengirimkan traffic aktif untuk memeriksa target, OT VAPT menggunakan metode pasif: pengumpulan traffic via span port atau TAP, review konfigurasi offline, dan analisis arsitektur. Ini diperlukan karena perangkat industrial bisa gagal atau menghentikan proses jika menerima traffic yang tidak terduga. Pentest IT tidak aman untuk dijalankan pada jaringan industrial yang sedang beroperasi.