Masalah keamanan pada pabrik dan manufaktur. Para pemimpin manufaktur harus memahami dan mengatasi tantangan keamanan tunggal ini ketika mereka mengejar teknologi dan pendekatan manufaktur canggih, termasuk robotika dan kendaraan otonom, AI dan pembelajaran mesin, kembaran digital, dan Industrial Internet of Things (IIoT). Mereka yang memahami lika-liku OT berada di posisi terbaik untuk memimpin upaya ini, kata Ramsey Hajj, pemimpin OT cyber A.S. dan global di Deloitte & Touche.

“Penting bagi produsen untuk mendefinisikan kepemilikan keamanan manufaktur dan perbedaannya dengan keamanan informasi tradisional yang berfokus pada TI, karena hal ini akan memungkinkan mereka yang paling memahami teknologi untuk membantu menyesuaikan pendekatan dalam mengamankannya – sehingga dapat memaksimalkan waktu kerja pabrik,” kata Hajj. “Dengan memiliki orang-orang yang mengetahui teknologi manufaktur yang membantu memimpin dalam mengamankannya, memungkinkan pengenalan bisnis baru dan teknologi yang berfokus pada keamanan yang lebih mulus.” Mereka yang memahami tantangan masalah keamanan saat ini dan yang sedang berkembang terkait dengan manufaktur tingkat lanjut menjabarkan tujuan terpenting untuk mengamankan pabrik di masa depan:

1. Mulailah dengan proses dan tata kelola.

Membeli teknologi baru untuk menjalankan pabrik masa depan memang menarik; berinvestasi dalam sebuah proses mungkin kurang menarik. Namun, yang pertama tidak akan berhasil tanpa yang kedua. “Sangat penting untuk melakukan pekerjaan untuk memastikan jumlah orang yang tepat ditugaskan dalam upaya ini, sehingga sumber daya tidak bekerja terlalu keras,” kata Haji. “Teknologi hanya sebaik proses dan orang-orang di belakangnya”.

Untuk memungkinkan tata kelola yang konsisten, kelompok pemangku kepentingan utama harus bekerja sama untuk mendefinisikan kontrol inti yang terdiri dari program masalah keamanan pabrik mereka, kapabilitas dan layanan yang memungkinkan kontrol tersebut, dan kelompok serta individu yang bertanggung jawab untuk mengoperasionalkannya. Pendekatan kolaboratif ini akan memajukan konvergensi TI/OT yang diperlukan untuk memecah kelompok-kelompok yang terisolasi dan memfokuskan upaya.

Baca Juga : 5 Bahaya Keselamatan Teratas Dalam Industri Manufaktur

2. Tingkatkan visibilitas ke dalam lingkungan Anda.

Visibilitas adalah langkah pertama – dan yang paling penting – untuk meningkatkan postur keamanan organisasi mana pun.Hal ini “memainkan peran kunci dalam sebagian besar kontrol keamanan siber lainnya, memberikan informasi untuk menentukan ruang lingkup dan mendefinisikan masalah yang perlu dipecahkan,” kata Cappelli. “Inventarisasi aset, manajemen konfigurasi perubahan, manajemen kerentanan, deteksi titik akses yang nakal, deteksi ancaman – semuanya diaktifkan melalui visibilitas yang lebih baik di dalam lingkungan.”

Namun, tinjauan Dragos pada tahun 2022 tentang keamanan siber ICS/OT menemukan bahwa 86% organisasi memiliki visibilitas terbatas atau bahkan tidak ada sama sekali ke dalam lingkungan OT mereka, sehingga deteksi, triase, dan respons menjadi sangat sulit dalam skala besar. Produsen perlu memperjelas aliran data antara jaringan TI dan OT, serta aset yang menjembatani kesenjangan ini – misalnya, menangani Internet of Things (IoT), komputasi edge, dan sistem otomasi gedung.(Lebih spesifik tentang kategori risiko yang lebih baru di bawah ini). (Lebih spesifik tentang kategori risiko yang lebih baru di bawah ini).

Salah satu keuntungan dari konektivitas yang lebih banyak untuk tujuan produksi di fasilitas manufaktur tingkat lanjut adalah platform pemantauan pasif, yang juga dapat digunakan oleh pihak keamanan untuk visibilitas yang lebih baik. “Platform ini menyerap lalu lintas dari jaringan manufaktur untuk membuat peta hidup pabrik yang menunjukkan aktivitas tingkat jaringan dan perangkat secara langsung,” kata Haji. “Data ini bisa digunakan untuk mencegah dan merespons aktivitas berbahaya (kebutuhan keamanan) dan memungkinkan pemeliharaan prediktif dan reaktif (kebutuhan bisnis).”

Pemantauan tingkat lokasi bisa diintegrasikan ke dalam pusat operasi keamanan terpusat untuk memungkinkan peringatan yang konsisten. “Ketika organisasi ingin mengaktifkan pemantauan keamanan untuk lingkungan manufaktur, pendekatan berbasis risiko harus diterapkan untuk memperkenalkan kemampuan ini pada lokasi perusahaan yang paling kritis terlebih dahulu,” saran Haji.

3. Tetap berada di atas praktik yang direkomendasikan industri untuk kontrol ICS.

Lima kontrol penting dari SANS Institute – termasuk pemantauan visibilitas jaringan (seperti yang disebutkan di atas), serta arsitektur yang dapat dipertahankan, akses jarak jauh yang aman, manajemen kerentanan berbasis risiko, dan respons terhadap insiden – dapat menjadi fondasi bagi ICS yang dapat dipertahankan.

Cappelli mencatat bahwa kesadaran akan ancaman merupakan bagian integral dari kesuksesan. “Pilar pertahanan lain yang kuat adalah mempertahankan pengetahuan tentang taktik, teknik, dan prosedur umum yang diberlakukan oleh musuh dan membentuk pandangan yang akurat tentang postur organisasi Anda relatif terhadap mereka,” kata Cappelli.

4. Mengamankan keunggulan.

Pabrik masa depan yang terhubung dengan cloud juga akan menggunakan lebih banyak sumber daya komputasi “edge” atau di tempat untuk melakukan tugas-tugas seperti menjalankan analisis waktu nyata. “Komputasi edge menghadirkan serangkaian tantangan keamanan yang unik karena sifatnya yang terdesentralisasi dan terdistribusi,” ujar Haji.

Produsen perlu memutuskan apakah jaringan dan kontrol keamanan TI yang ada saat ini sudah memberikan perlindungan yang memadai untuk sumber daya komputasi edge dan mempertimbangkan untuk menerapkan langkah-langkah keamanan lokal tambahan. Secara khusus, mereka harus memikirkan:

• Keamanan fisik: Perangkat komputasi edge dapat digunakan di lokasi terpencil dan tidak aman, sehingga rentan terhadap pencurian, gangguan, atau kerusakan.
• Keamanan jaringan: Perangkat komputasi edge sering kali terhubung ke beberapa jaringan, sehingga memperbesar risiko serangan siber dan akses yang tidak sah.
• Privasi dan keamanan data: Jika perangkat komputasi tepi mengumpulkan atau memproses data sensitif, perangkat ini menjadi target ransomware atau eksfiltrasi data.
• Keamanan perangkat lunak: Seperti perangkat keras lainnya, perangkat komputasi edge menjalankan perangkat lunak yang harus aman dan diperbarui secara berkala.
• Manajemen perangkat: Produsen yang harus mengelola, memantau, dan mengamankan volume perangkat edge akan membutuhkan alat manajemen perangkat yang kuat dan dapat diskalakan.

5. Memusatkan perhatian pada risiko IIoT.

Meningkatnya penggunaan perangkat IIoT, dan integrasi perangkat ini dengan sistem OT tradisional, menghadirkan tantangan keamanan baru. “Banyak perangkat IIoT yang tidak dirancang dengan mempertimbangkan keamanan dan mungkin memiliki kerentanan yang dapat dieksploitasi oleh penyerang,” kata Haji. Selain itu, beberapa jenis perangkat IIoT baru mungkin tidak sepenuhnya tercakup dalam langkah-langkah keamanan yang ada.

Oleh karena itu, penting bagi organisasi untuk menilai keamanan perangkat IIoT sebelum membawanya online, menerapkan langkah-langkah keamanan yang tepat untuk melindungi dari ancaman dunia maya. Beberapa solusi umum yang dapat dilakukan adalah menerapkan segmentasi jaringan, menggunakan enkripsi, memperbarui perangkat lunak dan firmware, serta melakukan penilaian keamanan khusus IIoT secara berkala.

6. Lindungi catu daya.

Pabrik-pabrik akan semakin banyak menggunakan sumber pasokan baru yang berkelanjutan, seperti menangkap dan menyimpan tenaga surya atau angin secara lokal. Hal ini dapat menimbulkan risiko dan tantangan baru untuk keamanan dan keandalan. Akses fisik atau digital ke sistem penyimpanan baterai, misalnya, dapat mengakibatkan pencurian, gangguan, atau kerusakan, yang berpotensi menyebabkan kerugian finansial yang signifikan atau kerusakan fisik, kata Haji.

7. Melindungi sistem otomatisasi gedung.

Fasilitas manufaktur yang canggih menggunakan sistem otomatis untuk mengontrol dan memantau sistem gedung mereka, termasuk pemanas, ventilasi, pendingin udara, pencahayaan, dan sistem keamanan fisik dan akses. Meskipun sistem otomatisasi gedung yang digunakan di pabrik mungkin berbeda dengan yang digunakan di gedung perkantoran, keduanya rentan terhadap serangan siber jika tidak diamankan dengan baik.

“Sistem otomatisasi gedung dapat menjadi perhatian bagi keamanan TI dan OT,” kata Haji. “Penyerang yang menargetkan sistem otomasi gedung dapat memperoleh akses ke informasi sensitif, seperti denah gedung dan pola hunian, atau menyebabkan kerusakan fisik dengan memanipulasi sistem gedung.”

8. Pertimbangkan kerentanan mobilitas industri.

Kendaraan otonom yang melaju di sekitar pabrik modern juga dapat dianggap sebagai bagian dari OT. Kendaraan ini mengotomatisasi dan meningkatkan proses industri. “Namun, mereka juga menghadirkan tantangan dan kerentanan keamanan yang unik yang harus dipertimbangkan,” kata Haji. Sistem yang mereka gunakan untuk menavigasi lingkungan dan menjalankan tugas mereka – sensor, sistem komunikasi, dan sistem kontrol – mungkin tidak dirancang dengan mempertimbangkan keamanan.

Dan ketika kendaraan otonom berintegrasi dengan ICS, hal itu membuka pintu bagi risiko siber tambahan. “Penggunaan protokol dan sistem komunikasi eksklusif oleh kendaraan otonom juga menghadirkan tantangan keamanan baru, karena protokol ini mungkin tidak dipahami dengan baik atau tidak sepenuhnya diuji untuk kerentanan keamanan,” kata Haji.

Baca Juga : Layanan Keamanan Manufaktur & Logistik

Kesimpulan

Pentingnya pemahaman dan penanganan tantangan dan masalah keamanan dalam pabrik lanjutan, termasuk robotika, AI, kembaran digital, dan IIoT. Ramsey Hajj dari Deloitte & Touche menyarankan pentingnya membedakan antara masalah keamanan pabrik dan keamanan TI, serta mengutamakan proses dan tata kelola yang tepat. Artikel ini juga menyoroti pentingnya meningkatkan visibilitas lingkungan manufaktur, mengikuti praktik industri yang direkomendasikan, memastikan keamanan di ‘edge computing’, serta melindungi catu daya dan sistem otomatisasi gedung. Kesadaran akan kerentanan mobilitas industri juga ditekankan.