Penilaian keamanan infrastruktur kritis untuk Perpres 82/2022

Indonesia menyandang jaringan infrastruktur fisik dan digital yang saling bergantung: pembangkit listrik yang dikendalikan SCADA, jaringan pipa gas yang dimonitor dari ruang kendali terpusat, pelabuhan yang mengoperasikan sistem manajemen terminal, dan instalasi pengolahan air yang bergantung pada sistem kontrol otomatis. Ketika salah satu dari sistem ini terganggu, dampaknya tidak terbatas pada satu organisasi, tetapi merambat ke layanan publik yang lebih luas.

Perpres 82/2022 merespons realitas ini dengan menetapkan kerangka perlindungan Infrastruktur Informasi Kritis Nasional (IIKN). Regulasi ini menempatkan BSSN sebagai koordinator, menetapkan 11 sektor sebagai cakupan, dan mewajibkan operator untuk melakukan penilaian keamanan sistem informasi mereka.

Halaman ini ditujukan bagi manajer TI, direktur operasi, dan pejabat kepatuhan di organisasi yang masuk atau berpotensi masuk dalam kategori IIKN, yang perlu memahami apa yang diwajibkan dan bagaimana memulai.

Sebelas sektor yang tercakup

Perpres 82/2022 menetapkan 11 sektor sebagai Infrastruktur Informasi Kritis Nasional. Setiap sektor memiliki kementerian pengawas yang berkoordinasi dengan BSSN dalam pelaksanaan perlindungan.

Sektor yang dicakup adalah pemerintahan, energi (termasuk minyak, gas, dan ketenagalistrikan), transportasi (pelabuhan, bandara, perkeretaapian), keuangan, kesehatan, teknologi informasi dan komunikasi, pangan, air, pertahanan, industri nasional, dan layanan darurat.

Bagi operator di sektor ini, penetapan sebagai IIKN membawa kewajiban konkret: melakukan penilaian keamanan sistem informasi, melaporkan insiden siber, dan menerapkan langkah perlindungan yang sesuai dengan tingkat risiko.

Lingkungan OT dan IT sebagai dua lapisan yang berbeda

Sebagian besar operator infrastruktur kritis menjalankan dua lapisan teknologi yang memiliki karakteristik berbeda. Lapisan IT menangani sistem bisnis, komunikasi, dan data, yang mengikuti pola keamanan yang lebih dikenal. Lapisan OT, yang mencakup sistem SCADA, DCS, PLC, dan RTU, mengendalikan proses fisik secara langsung.

PLN mengoperasikan sistem SCADA untuk pengendalian distribusi listrik. Pertamina dan PGN mengelola jaringan pipa dengan sistem kontrol terpusat. Pelindo menggunakan sistem manajemen terminal di pelabuhan-pelabuhan besar. PDAM dan PAM Jaya mengendalikan instalasi pengolahan dan distribusi air melalui sistem otomasi. Pada semua lingkungan ini, gangguan pada sistem kontrol bisa berarti gangguan pada layanan fisik yang nyata.

BSSN menerbitkan Panduan Keamanan Siber untuk Sistem Kontrol Industri sebagai acuan bagi operator dalam mengamankan lingkungan ICS/SCADA mereka. Panduan ini menjadi salah satu referensi dalam penilaian keamanan OT di konteks Indonesia.

Apa yang dicakup penilaian keamanan IIKN

Penilaian keamanan untuk konteks Perpres 82/2022 mencakup beberapa area yang saling berkaitan.

Pertama adalah identifikasi dan inventarisasi aset, yaitu memetakan sistem mana yang termasuk dalam cakupan IIKN dan memahami konektivitas antar komponen. Langkah ini sering mengungkap aset yang tidak terdokumentasi atau koneksi yang tidak direncanakan antara jaringan IT dan OT.

Selanjutnya adalah analisis ancaman dan risiko untuk lingkungan OT, yang mempertimbangkan karakteristik protokol industri, ketersediaan patch vendor untuk perangkat lama, dan skenario serangan yang relevan bagi sektor operasi. Berbeda dari penilaian risiko IT umum, analisis OT harus memperhitungkan dampak terhadap proses fisik dan bukan hanya data.

Penilaian kontrol keamanan dilakukan terhadap kerangka yang berlaku, IEC 62443 untuk komponen OT dan ISO 27001 untuk lapisan IT. Ini mencakup review kebijakan, konfigurasi, segmentasi jaringan, manajemen akses, dan logging. Terakhir adalah review kapabilitas respons insiden, yang menilai kesiapan operator untuk mendeteksi, menangani, dan melaporkan insiden yang memengaruhi sistem kritis mereka.

Bagaimana Alpha Code membantu

Alpha Code menyediakan layanan penilaian keamanan untuk lingkungan OT/ICS dan IT yang beroperasi di bawah konteks Perpres 82/2022. Kami memulai dengan memahami arsitektur operasional klien, termasuk topologi jaringan, sistem kontrol yang digunakan, dan bagian mana dari operasi yang masuk dalam cakupan IIKN.

Dari sana kami menjalankan penilaian yang disesuaikan dengan lingkungan, menggunakan metodologi yang mempertimbangkan sensitivitas ketersediaan pada sistem OT. Pengujian aktif pada lingkungan OT dilakukan dengan koordinasi penuh dengan tim operasi agar tidak mengganggu proses yang sedang berjalan.

Hasil penilaian disajikan dalam laporan yang memisahkan temuan OT dan IT, memetakan risiko berdasarkan dampak operasional, dan memberikan rekomendasi yang bisa ditindaklanjuti oleh tim teknis maupun manajemen.

Langkah berikutnya

Kewajiban penilaian keamanan bagi operator IIKN berlaku secara berkelanjutan, bukan hanya sekali saat penetapan. Membangun kapabilitas penilaian internal yang rutin, didukung oleh penilaian eksternal berkala, adalah cara yang lebih berkelanjutan dibandingkan hanya merespons ketika ada permintaan dari regulator.

Jika organisasi Anda beroperasi di salah satu dari 11 sektor yang ditetapkan Perpres 82/2022 dan belum memiliki gambaran jelas tentang postur keamanan OT dan IT Anda, tim kami siap membantu menyusun langkah pertama yang terstruktur.

Halaman ini disediakan untuk tujuan informasi umum dan bukan merupakan nasihat hukum atau kepatuhan regulasi. Untuk penafsiran kewajiban hukum yang berlaku bagi organisasi Anda, konsultasikan dengan penasihat hukum atau langsung dengan BSSN dan kementerian pengawas sektor Anda.