Jasa OT VAPT ICS Indonesia: asesmen keamanan SCADA, DCS, dan PLC

Sistem industrial beroperasi dengan prioritas yang berbeda dari IT. Uptime diutamakan di atas segalanya, dan itu membuat banyak jaringan OT tumbuh selama bertahun-tahun tanpa pernah ditinjau dari sisi keamanan. PLC yang dipasang satu dekade lalu masih berjalan dengan konfigurasi default. Jaringan flat menghubungkan lantai produksi langsung ke kantor. Vendor remote access masuk lewat modem seluler yang tidak terdokumentasi. Situasi ini bukan kelalaian, melainkan konsekuensi dari prioritas operasional yang wajar, tapi risikonya nyata.

Alpha Code melakukan asesmen keamanan OT/ICS dengan metodologi yang dirancang khusus untuk lingkungan industrial: tidak ada active scanning, tidak ada interupsi produksi, dan hasilnya dipetakan ke IEC 62443 agar dapat ditindaklanjuti oleh tim engineering maupun manajemen.

Apa yang dicakup dalam asesmen OT/ICS

Asesmen ini mencakup seluruh lapisan sistem industrial, dari level field device hingga koneksi ke jaringan IT korporat.

Protokol yang dianalisis meliputi Modbus, DNP3, OPC-UA, Profinet, dan EtherNet/IP. Setiap protokol memiliki karakteristik keamanan yang berbeda. Modbus, misalnya, tidak memiliki mekanisme autentikasi sama sekali secara desain, sehingga siapa pun yang dapat menjangkau device dapat mengirim perintah.

Metodologi: pasif dulu, analitis kemudian

Pendekatan kami tidak memulai dengan scanning aktif. Lingkungan industrial tidak dirancang untuk menangani traffic probe yang tidak terduga, dan satu paket yang salah sasaran bisa cukup untuk menyebabkan device gagal merespons.

Fase pertama berlangsung satu hingga dua minggu karena kami perlu menangkap siklus operasional yang lengkap: pergantian shift, siklus batch, dan periode idle. Traffic yang terlihat saat jam normal produksi bisa sangat berbeda dari apa yang terjadi tengah malam atau akhir pekan.

Review konfigurasi dilakukan dari file backup atau dump konfigurasi yang diambil secara manual oleh tim engineering, bukan dari koneksi langsung ke device aktif. Hasilnya: kami mendapat gambaran konfigurasi yang akurat tanpa pernah menyentuh perangkat yang sedang berproduksi.

Temuan yang paling sering ditemukan di lingkungan industrial Indonesia

Berdasarkan pengalaman asesmen di sektor industri lokal, beberapa pola berulang muncul di hampir setiap organisasi yang belum pernah menjalani review OT sebelumnya.

Sebagian besar operator industrial Indonesia yang kami ases pertama kali berada di Security Level 0 atau SL 1 menurut kerangka IEC 62443. SL 1 adalah level di mana sistem terlindungi dari paparan tidak disengaja, namun belum dari serangan yang disengaja. Menjadikan SL 1 sebagai baseline yang nyata, bukan hanya di atas kertas, sudah menutup sebagian besar vektor serangan yang paling sering dieksploitasi.

Konteks regulasi di Indonesia

Perpres 82/2022 menetapkan 11 sektor infrastruktur kritis nasional: energi, air, transportasi, telekomunikasi, keuangan, pangan, kesehatan, pemerintahan, pertahanan, maritim, dan industri. Operator di sektor-sektor ini memiliki tanggung jawab keamanan yang lebih tinggi, termasuk untuk sistem OT yang mengendalikan proses fisik.

BSSN (Badan Siber dan Sandi Negara) telah menerbitkan panduan keamanan ICS/SCADA sebagai acuan nasional. Laporan asesmen kami memetakan temuan ke panduan BSSN dan IEC 62443 secara bersamaan sehingga hasilnya dapat digunakan langsung untuk memenuhi persyaratan pelaporan regulasi.

Apa yang Anda terima di akhir

Laporan akhir tidak hanya berisi daftar kelemahan. Laporan disusun agar dapat dibaca oleh dua audiens berbeda: manajemen yang perlu memahami risiko bisnis, dan tim engineering yang perlu melakukan perbaikan teknis.

Output meliputi ringkasan eksekutif dalam Bahasa Indonesia dan Inggris, temuan teknis yang diorganisir per zona dan sistem, heatmap gap IEC 62443 yang menunjukkan posisi setiap zona terhadap security level target, dan peta jalan remediasi yang diprioritaskan berdasarkan dampak operasional dan tingkat kesulitan implementasi.