CYBER SECURITY PROTECTION SYSTEM ON SMART GRID
ARTIKEL WEBINAR OF SGA
CYBER SECURITY PROTECTION SYSTEM ON SMARTGRID
diupload oleh Prakarsa Jaringan Cerdas Indonesia
Serangan Siber terhadap ICS
Energy & Power Grid Cyber Attacks (1982- 2020)
Serangan siber pertamakali terdeteksi pada tahun
1982. Suatu sistem yang diproteksi sekuat apapun, pasti bisa diserang selama penyerang memiliki motif, kemampuan, dan dana untuk melakukannya.
Perkembangan cyber attacks dari waktu ke waktu
Serangan siber dapat menyerang seluruh sistem ketenagalistrikan. Beberapa contoh kasus serangan yang pernah menyerang sistem kelistrikan adalah sebagai berikut.
Kasus Serangan Siber pada Sistem Ketenagalistrikan
Serangan SIber ke India
Deteksi Serangan BSSN
Pada Scada, serangandapat terdistribusi ke 20 titikberbeda karena ada banyak sumber potensi serangan.
Serangan pada transmisi SCADA
IT Security vs OT Security
Prioritas keamanan pada IT Securitydan ICS berbeda. Pada IT, pengamanan sistem diprioritaskan pada kepercayaan data,sedangkan pada ICS prioritas utama serangan adalah ketersediaan data karena industridapat mengalami kegagalan operasikeseluruhan sistem jika sampai data yang dibutuhkan hilang atau terganggu transmisinya.
Perbedaan prioritas pengamanan antara IT dan ICS
Sistem ketenagalistrikan merupakan infrastruktur kritis nomor satu dibandingkan infrasruktur lain, sehingga tujuan utama dari serangan ketika terjadi peperangan adalah kelistrikan suatu negara. Dalam proses pengamanan smart grid ada banyak tantangan yang harusdihadapi, yaitu
Tantangan Pengamanan Smart Grid
Berikut adalah level keamanan dalam sistem OTdanIT.Level1,2,3adalahleveluntukpengamananOT,sedangkan
Purdue Reference sistem OT dan IT
Konvergensi IT dan OT
SmartGrid
Penggunaan hardware dan softwareyang semakin banyak pada smart grid menimbulkan dilema karena akan semakin meningkatkan resiko serangan siber pada smart grid. Hal ini dikarenakan bertambahnya area attack surface. Ada banyak integrasi sistem yang digunakan dalam smart grid yang berpotensi meningkatkan ancaman sistemnya.
Peningkatan Attack Surface
Adapun serangan pada AMI tidak hanya pada sektor C-I-A saja,tetapi juga pada bagian accountability-nya.Adapun metode penyerangan dan sektor yang diserang pada AMI adalah sebagai berikut
Serangan pada AMI
Analisis Serangan
Serangan yang dilakukan memiliki berbagai motifdan tujuan. Jika suatu negara atau sistem belum pernah terkena serangan,hal ini tidak menunjukkan kuatnya sistem pengamanannya, tetapi belum adanya musuh yang memilikitujuan menyerang negara tersebut. Adanya serangan mengakibatkan korban menjadi lebih waspada untuk melindungi sistem pasca serangan,sementara tidak adanya serangan dapat mengurangi kewaspadaan terhadap sistem pengamanan yang ada. Adapun pelaku dan motivasi serangan berbeda-beda, yaitu:
Serangan dan Motivasinya
Untuk mengatasi serangan diperlukan manajemen resiko serangan. Hal ini dibutuhkan untuk membuat prioritas bagian mana yang harus lebih dulu dilindungi ketika serangan datang.Banyak organisasi berfokuspada insiden High Frequency/Low Impact (HFLI) atau sering terjadi tetapi efeknya kecil dan berekspektasi bahwa pemerintah untuk membantu mereka dalam insiden HFLI ini. Akan tetapi, pemerintah tidak bisa menyelamatkan industridari penyerang yang lebih berpengalaman karena respon insiden dan pembelajarannya serangan begitu lambat.
Manajemen Risiko Serangan ke IIVN
Berikut adalah tahapan penyerangan pada ICS yang dimulai dari proses pengacauan hingga ekseskusi serangan yang dapat berakibat fatal bagi sistem,misalnya kehilangan kendali terhadap sistem hingga kerusakan properti.
Tahapan ICS Kill
Beberapa studi kasus terhadap serangan yang berisi tentang sumber serangan hingga dampak yang diakibatkan bagi sistem adalah sebagai berikut.
Sistem Pengamanan
Sistem ketenagalistrikan sangat rentan serangan dan sudah banyak terjadi.Serangan ketenagalistrikan termasuk ke dalam serangan organisasi. Ada perbedaan antara perlindungan data organisasidan perlindungan data pribadi
Perlindungan Data dan Perlindungan Data Pribadi
Adapun target pengamanan yang dilakukan dan tools pengamanan yang melakukannya adalah sebagai berikut.
Target Pengamanan Ada 3 strategi yang dilakukan dalam proses pengamanan yaitu: 1.Crown Jewelry yakni metode pengamanan dengan mengamankan satu aset paling berharga di antara yang lain. Aset ini akan jadi prioritas dibandingkan yang lain.
2.Football playbook yaitu metode pengaman dengan mengamankan semuatitik.
3.Attack surfaces yaitu metode pengamanan berdasarkan historis serangan sebelumnya, sehingga lebih diprioritaskan untuk diamankan.
Ada beberapa sistem pengamanan, yaitu
1. Unidirectional Gateway
Merupakan sistem pengamanan yang didukung hardware gerbang searah seperti dioda, diterapkan di batas antara ICS dan jaringan TI untuk memastikan data mengalir dari satu jaringan ke jaringan lain,tetapi tidak dapat mengirim semua informasi kembali ke jaringan sumber.Sedangkan software-nya mereplikasi data base dan mengemulasi server dan perangkat protokol.
Unidirectional Gateway
2. Enkripsi
Merupakan metode pengubahan format data menjadisatu format yang sulit dipahami dan memerlukan kode atau cara khusus untuk membacanya.
Sistem Enkripsi
1. DLSM/COSEM security Suites
Metode ini menggunakan mode enskripsi untuk mengamankan sistem smartgrid.
DLSM/COSEM security
Suite 0: hanya menggunakan simetrik kriptografi denganotentikasi node
Suite 1: menggunakan asimetrik kriptografi untuk otentikasi node dan bertukar kunci, untuk kemudian menggunakan simetrik kriptografi untuk bertukar data dengan standardkompresi data ITU V.44
Suite 2: merupakan suite 1 dengan standard enkripsi yang lebih kuat namun membutuhkan processing power dan bandwidth lebihbesar.
4. Handshaking Process
merupakan Konsep yang mirip dengan SYN/ACK https yang dilanjutkan dengan pertukaran informasi cypher suite.
Handshaking Process
5. Key management system merupakan sistem pengamanan yang menggunakan kunci kriptografi untuk mengamankan perangkat dan aplikasi.
Key Management System
Deteksi dan ResponInsiden
Sumber data yang berpotensi menjadi target serangan dapat dipasang monitor untuk memantau dan memindai (scan) adanya ancaman. Dengan adanya monitor ini dapat dilakukan pelaporan ke manajemen jika ada ancaman.
Monitor untuk sumber data
Alur untuk merespon adanya insiden, dimulai dari tahap perencanaan hingga proses pembelajaran saat insiden telah berakhir.
Incident ResponseFlow (ISO/IEC 27035
1. Perencanaan dan Persiapan
Penentuan model unit yang akan dibangun berdasarkan kebutuhan dan kemampuan organisasi
Penentuan kapabilitas yang harus dimiliki berdasarkan model yang dipilih
Penyiapan prosedur dan tata kelola lainnya berdasar proses bisnis
Pembentukan tim perespon insiden,tata kerja internal organisasi dengan unit lain, serta prosedur yang dibutuhkan untuk mengakses eksternal organisasi
Training dan peningkatan awareness
Asesmen kerentanan terhadap aset yang dilindungi
Audit terhadapsecurity control yang telah ditetapkan
Latihan menghadapi insiden siber: TTX,
red/blue team, komunikasi, dan sebagainya.
2. Operasional
Deteksi dan Pelaporan
- Melakukan deteksi anomali berdasarkan kondisi normal yang telah ditentukan
- Menerima pelaporan terjadinya serangan Asesmen dan Keputusan
- Melakukan konfirmasi dan pengecekan apakah memang terjadi insiden.
- Status false positive didokumentasi untuk bahan pembelajaran
Respon Insiden
- Analisis awal untuk menentukan tingkat serangan dan insiden yang diakibatkan
- Penentuan apakah insiden dapat ditangani internal atau harus eskalasi
- Tindakan isolisir, terminasi, eradikasi, pemulihan, dengan memperhatikan ketentuan penanganan barang bukti elektronik dengan standard digitalforensik
3. Pembelajaran
Perbaikan aspek kendali keamanan (security control) menyesuaikan kejadian insiden sebelumnya atau notifikasi false positive Perbaikan model, kapabilitas, dan prosedur Perbaikan tim dan targetkinerja
Berbagi informasi(sharing knowledge) kepada industri satu sektor untuk mencegah terjadinya insiden yang sama
Untuk mengatasi adanya insiden,perlunya tim
tanggap insiden. Tim ini bertugas untuk mengetahui tujuan serangan. Tahapan dalam tanggap insiden adalah sebagai berikut.
1. Triage: Proses analisis dan validasi serangan; klafisikasi jenis serangan berat atau ringan; serta memprioritaskan serangan mana yang harus didahulukan untuk diatasi.
2. Notification: memberitahu pihak lain atau manajemen jika ada serangan
3. Containment: melakukan penguncian sistem yang diserang(isolasi sistem) agar tidak menyebar ke yang lain.
Jika menghubungi digital forensik maka diperlukan digital evident (DEFR).
4. Eradication: mengatasi serangan.
5. Recovery: melakukan installulang sistem.
6. Post Incident: pelaporan dan pembelajaran.
Manajemen Insiden
Security is a share responsibility” sehingga dalam hal ini diperlukan peningkatan kewaspadaan tentang sistem pengamanan,baik kesadaran individu maupun kelompok/organisasi.
Visit us :
Instagram: @id_smartgrid Twitter: @organisasipjci Facebook: PJCI LinkedIn: PJCI
Freely register as PJCI member, click here: pjci.idremember.com
Full text download here
Comentarios