Langsung ke konten utama

Ancaman infrastruktur kritis

Ancaman siber pada infrastruktur kritis Indonesia: SCADA, air, energi, dan manufaktur

Ringkasnya

Pola serangan pada infrastruktur kritis Indonesia: data BSSN dan Kaspersky ICS, insiden utilitas air dan pemerintah daerah, serta langkah konkret untuk operator energi, air, dan manufaktur.

Threat detection solutions

Infrastruktur fisik Indonesia, dari pembangkit listrik hingga instalasi pengolahan air dan jaringan pipa gas, kini dikendalikan melalui sistem yang semakin terhubung ke jaringan. Konektivitas itu membawa efisiensi operasional nyata: pemantauan jarak jauh, respons lebih cepat terhadap gangguan, dan integrasi data yang lebih baik. Tetapi setiap titik koneksi antara jaringan operasional dan dunia luar adalah juga titik masuk potensial bagi penyerang.

Sistem kendali industri yang dirancang sebelum era internet, SCADA, DCS, dan PLC, tidak dibangun dengan model ancaman siber dalam pikiran. Protokol komunikasinya tidak memiliki autentikasi bawaan. Pembaruannya jarang terjadi karena risiko downtime operasional. Dan ketika terhubung ke jaringan IT perusahaan untuk efisiensi, sistem-sistem ini dapat dijangkau melalui celah yang seharusnya hanya relevan untuk lingkungan bisnis.

Selama 2025, BSSN mencatat 5,5 miliar serangan siber terhadap Indonesia, tujuh kali lipat rata-rata tahunan lima tahun sebelumnya. Sebagian dari volume itu mengarah langsung ke sistem kontrol industri. Halaman ini merangkum insiden terdokumentasi, data yang terverifikasi, dan langkah konkret yang perlu diambil operator infrastruktur kritis.

21,81%

Komputer ICS di Indonesia menghadapi ancaman terblokir, Q1 2026 (Kaspersky)

514.508

Aktivitas terkait ransomware terdeteksi di Indonesia, 2024 (BSSN)

28%

Komputer ICS di sektor minyak & gas yang terdampak, Q1 2026 (Kaspersky)

Insiden yang mendokumentasikan ancaman nyata

FunkSec adalah kelompok ransomware yang muncul pada akhir 2024 dan dianalisis oleh Check Point Research pada Januari 2025. Dalam waktu singkat sejak kemunculannya, kelompok ini mengklaim lebih dari 85 korban di berbagai negara, termasuk entitas infrastruktur Indonesia. Pada awal 2025, FunkSec mempublikasikan klaim serangan terhadap entitas di sektor utilitas air Indonesia, termasuk data yang diklaim diambil dari sistem yang berkaitan dengan pengelolaan air bersih, serta data PII dari portal pemerintahan desa di Jawa Barat. Atribusi dan skala insiden sebenarnya belum diverifikasi secara independen oleh pihak ketiga. Namun pola yang ditunjukkan FunkSec, yaitu menargetkan operator infrastruktur dengan postur keamanan yang lemah dan mengancam publikasi data untuk menekan pembayaran, konsisten dengan yang terlihat pada kelompok ransomware oportunistik lain di kawasan.

Serangan ransomware Brain Cipher pada Pusat Data Nasional (PDN) pada Juni 2024 mengonfirmasi bahwa infrastruktur digital publik Indonesia adalah target yang nyata. Serangan itu mengganggu layanan di 239 instansi pemerintah pusat dan daerah, mengekspos keterbatasan cadangan data nasional. PDN adalah infrastruktur IT, bukan OT, tetapi pola serangannya sama: masuk, enkripsi, tuntut tebusan sebelum pemulihan memungkinkan. Bagi operator infrastruktur kritis dengan komponen OT, skenario itu jauh lebih sulit dipulihkan karena konfigurasi PLC dan proses fisik tidak dapat di-restore dari backup seperti file data.

Kedua insiden mencerminkan kenyataan yang dikonfirmasi data global: serangan pada infrastruktur tidak selalu datang dari aktor canggih dengan alat khusus. Yang membuat infrastruktur kritis berbeda bukan kecanggihan serangannya, tetapi besarnya dampak ketika serangan berhasil.

Bagaimana serangan menembus sistem OT

Serangan yang berhasil menembus sistem SCADA atau PLC hampir selalu melewati jaringan IT terlebih dahulu. Urutan ini terdokumentasi dalam hampir semua analisis insiden OT yang dipublikasikan, termasuk oleh ICS-CERT dan Dragos. Penyerang tidak mencari jalan langsung ke sistem kontrol; mereka masuk lewat pintu depan yang lebih mudah dibuka.

  1. 01

    Akses awal ke IT

    Phishing pada email staf operasional atau administrator, atau eksploitasi layanan VPN dan RDP yang tidak dilindungi autentikasi multi-faktor. Titik masuk paling umum berdasarkan data insiden yang dipublikasikan secara global.

  2. 02

    Gerakan lateral menuju OT

    Dari workstation IT yang terkompromi, penyerang memetakan jaringan dan mencari koneksi ke jaringan operasional. Jump server, historian, dan antarmuka SCADA yang dapat diakses dari jaringan IT menjadi target berikutnya.

  3. 03

    Rekognisi sistem kontrol

    Di dalam jaringan OT, penyerang mengidentifikasi server SCADA, antarmuka HMI, dan perangkat lapangan. Fase ini bisa berlangsung berminggu-minggu tanpa terdeteksi karena pemantauan OT yang minim.

  4. 04

    Dampak: ransomware atau gangguan

    Enkripsi server SCADA dan historian, atau manipulasi perintah ke PLC untuk mengganggu proses fisik. Beberapa kelompok memilih eksfiltrasi data diam-diam sebelum enkripsi untuk menambah tekanan negosiasi.

Waktu antara akses awal dan eksekusi dampak bisa sangat panjang. Dalam analisis insiden OT global, penyerang sering menghabiskan berminggu-minggu di dalam jaringan sebelum memulai serangan. Ini memberi peluang deteksi yang nyata, tetapi hanya jika pemantauan mencakup kedua sisi batas IT/OT secara bersamaan.

Mengapa sistem OT lebih sulit dilindungi

Sistem kendali industri beroperasi dengan asumsi ketersediaan di atas segalanya. Satu menit downtime pada pompa air bukan anomali dalam log, melainkan layanan yang berhenti untuk ribuan rumah tangga. Asumsi ini menciptakan dua masalah keamanan yang saling memperkuat.

Pertama, pembaruan perangkat lunak pada sistem OT jarang dilakukan. Banyak PLC dan DCS menjalankan firmware dari 10 hingga 20 tahun lalu, sebagian karena patch dari vendor tidak tersedia untuk perangkat lama, sebagian lagi karena operator tidak mau mengambil risiko downtime untuk pengujian pembaruan. Kesenjangan patch ini berarti kerentanan yang sudah diketahui tetap ada selama bertahun-tahun.

Kedua, protokol komunikasi industri seperti Modbus, DNP3, dan PROFIBUS dirancang untuk keandalan, bukan keamanan. Tidak ada autentikasi bawaan dalam protokol-protokol ini. Siapa pun yang memiliki akses jaringan ke perangkat dengan protokol ini dapat mengirim perintah. Segmentasi jaringan yang ketat antara IT dan OT adalah perlindungan yang paling efektif, tetapi konektivitas untuk pemantauan jarak jauh dan integrasi data sering membuat batas itu lebih berpori dari yang terlihat di diagram arsitektur.

Koneksi yang ditambahkan pasca-COVID untuk pengelolaan jarak jauh adalah faktor ketiga yang sering tidak diperhitungkan. Banyak fasilitas menambahkan akses VPN untuk staf operasi dari rumah selama 2020 dan 2021, tetapi audit keamanan sistematis atas koneksi-koneksi baru itu tidak selalu dilakukan. Beberapa dari koneksi itu masih ada hari ini, dengan kredensial yang tidak pernah dirotasi.

Diagram berikut menunjukkan model zona Purdue ISA-99, kerangka yang paling umum digunakan untuk memahami bagaimana serangan berpindah dari internet ke sistem kontrol fisik.

Jalur serangan siber pada infrastruktur kritis: dari internet ke sistem kontrol OT (Model Purdue ISA-99)Penyerang / InternetPhishing · eksploitasi VPN · brute forceAkses awalLevel 4: Enterprise ITERP · email · Active DirectoryPivot ke OT melalui industrial DMZMelintas batas IT/OTLevel 3: Operasi / MESSCADA server · historian · OPC-UARekognisi sistem · eksfiltrasi data prosesGerakan lateralLevel 2/1: KontrolHMI · PLC · DCS · RTUModbus · DNP3 · PROFIBUS · IEC 60870-5Ransomware / sabotaseLevel 0: Proses FisikSensor · aktuator · katup · motor · pompa
Model zona Purdue ISA-99: jalur masuk serangan dari Enterprise IT ke sistem kontrol OT (ISA/IEC 62443-1-1)

Sektor yang paling rentan di Indonesia

Data Kaspersky ICS CERT untuk kuartal pertama 2026 menunjukkan distribusi ancaman per sektor industri di Indonesia. Minyak dan gas menempati posisi teratas, dengan 28 persen komputer ICS di sektor ini menghadapi objek berbahaya yang diblokir. Ketenagalistrikan dan otomasi gedung masing-masing di angka 24,5 persen, sementara manufaktur teknik dan ICS berada di angka 21,2 persen.

Sumber: Kaspersky ICS CERT Q1 2026, dilaporkan oleh IndoTelko, Juni 2026.

Angka ini sesuai dengan apa yang diketahui tentang infrastruktur Indonesia. PLN mengoperasikan sistem SCADA untuk distribusi listrik di seluruh kepulauan. Pertamina dan PGN mengelola jaringan pipa dengan sistem kontrol terpusat. PDAM dan PAM Jaya mengendalikan instalasi pengolahan dan distribusi air melalui sistem otomasi. Di luar sektor energi dan industri, pemerintah daerah juga terekspos. Sistem digital desa, platform e-government tingkat kabupaten, dan sistem layanan air daerah sering dioperasikan tanpa tim keamanan yang berdedikasi.

Operator di semua sektor ini menghadapi satu masalah yang sama: visibilitas. Tanpa inventarisasi yang akurat terhadap aset OT dan konektivitasnya ke jaringan IT, tidak ada cara untuk mengetahui di mana celah yang sebenarnya ada. Ini adalah temuan pertama yang paling sering muncul dalam penilaian keamanan OT/ICS, dan dalam analisis mengapa pendekatan IT tidak cukup untuk lingkungan industri.

Dampak serangan pada infrastruktur kritis

Gangguan proses fisik

Sistem OT yang terkompromi bisa menyebabkan pemadaman listrik, henti distribusi air, atau berhentinya lini produksi. Berbeda dari insiden IT biasa, dampak ini menjangkau masyarakat langsung dan tidak mudah dipulihkan dengan restore data.

Kebocoran data dan PII warga

Historian dan server SCADA menyimpan data proses yang sensitif. Sistem pemerintah daerah menyimpan data identitas warga. Keduanya menjadi target eksfiltrasi sebelum ransomware dijalankan, seperti yang terlihat pada klaim FunkSec dan insiden PDN.

Kewajiban pelaporan berlapis

Perpres 82/2022 menetapkan tenggat 24 jam untuk pelaporan insiden kepada BSSN bagi penyelenggara IIV. Jika data pribadi terlibat, UU PDP menambahkan kewajiban terpisah dengan tenggat 3x24 jam.

Efek kaskade antar sektor

Kegagalan infrastruktur energi berdampak pada fasilitas air, produksi pangan, dan layanan kesehatan yang bergantung padanya. Gangguan satu sektor merambat ke sektor lain dengan cara yang sulit diprediksi dari sudut pandang IT.

Kontrol perlindungan yang perlu dibangun

Inventarisasi aset OT dan ITPenilaian segmentasi jaringan IT/OTPengujian penetrasi OT pasifPemantauan trafik OT 24/7Deteksi anomali protokol industriReview kontrol IEC 62443Penilaian kepatuhan Perpres 82/2022Respons insiden dengan konteks OT

Langkah konkret untuk operator infrastruktur kritis

Titik awal yang paling praktis adalah visibilitas: memahami aset OT apa yang ada, bagaimana konektivitasnya ke jaringan IT, dan di mana titik masuk yang paling mungkin dieksploitasi. Ini bukan hanya latihan dokumentasi. Inventarisasi yang akurat adalah prasyarat untuk segmentasi dan pemantauan yang efektif.

Setelah inventarisasi, prioritas adalah segmentasi yang diformalkan. Batas antara jaringan IT dan OT harus dikontrol dengan firewall yang dikonfigurasi khusus untuk trafik industri, bukan hanya dengan asumsi bahwa jaringan-jaringan itu terpisah. Koneksi untuk pemantauan jarak jauh harus melewati industrial DMZ dengan kontrol yang teraudit.

Pemantauan anomali trafik pada protokol industri adalah langkah berikutnya. Peristiwa seperti polling Modbus yang tidak biasa, koneksi baru ke antarmuka HMI, atau lalu lintas keluar dari server SCADA adalah sinyal yang tidak akan terlihat dalam pemantauan IT biasa. Layanan MDR yang memahami protokol industri menggabungkan visibilitas IT dan OT dalam satu layanan pemantauan.

Terakhir, rencana respons insiden harus mempertimbangkan kendala ketersediaan sistem OT. Mengisolasi sistem yang terinfeksi lebih kompleks ketika isolasi berarti menghentikan proses fisik yang sedang berjalan. Tabletop exercise yang menyertakan tim operasi bukan hanya tim IT adalah cara untuk menguji kesiapan itu sebelum insiden nyata. Penilaian keamanan OT/ICS dan penilaian sesuai Perpres 82/2022 adalah dua titik masuk layanan yang paling relevan untuk operator infrastruktur kritis.

Halaman ini disediakan untuk tujuan informasi umum dan bukan merupakan nasihat hukum atau kepatuhan regulasi. Atribusi insiden didasarkan pada klaim publik yang tidak selalu diverifikasi secara independen. Untuk penilaian risiko yang mengikat secara regulasi, konsultasikan langsung dengan BSSN dan kementerian pengawas sektor Anda.

Referensi

  1. 1.Check Point Research. "FunkSec: The New Face of Ransomware at the End of 2024." Januari 2025.
  2. 2.BSSN. "Lanskap Keamanan Siber Indonesia 2024." Laporan tahunan, Februari 2025.
  3. 3.Kompas. "BSSN: Serangan Siber Naik 7 Kali Lipat pada 2025 dan Berlanjut di Awal 2026." 23 April 2026.
  4. 4.IndoTelko. "Sektor migas jadi target utama serangan siber ICS di Indonesia." Juni 2026.
  5. 5.Kaspersky ICS CERT. Halaman publikasi laporan ancaman ICS per kuartal.
  6. 6.Dragos. "OT Cybersecurity Year in Review 2024." 2025.
  7. 7.CISA ICS-CERT. Advisories and Reports. Cybersecurity and Infrastructure Security Agency.
  8. 8.Peraturan Presiden Nomor 82 Tahun 2022 tentang Pelindungan Infrastruktur Informasi Vital.
  9. 9.Peraturan BSSN Nomor 1 Tahun 2024 tentang Penanggulangan Insiden Siber Nasional.

Pertanyaan umum

Ya. Data Kaspersky ICS CERT untuk kuartal pertama 2026 menunjukkan 21,81 persen komputer ICS di Indonesia menghadapi objek berbahaya yang diblokir dalam satu kuartal, di atas rata-rata global 19,6 persen. Sektor minyak dan gas memiliki tingkat tertinggi, yaitu 28 persen. Angka ini mencerminkan percobaan serangan aktif, bukan sekadar potensi teoretis.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.