MANAJEMEN-TI.COM — Penanganan sekuriti pada perusahaan Industri pada umumnya dikelola oleh tiga bagian terpisah, yaitu yang menangani sekuriti fisik, sekuriti teknologi informasi (TI) dan sekuriti operasional. Bagian sekuriti fisik bertugas mengamankan fisik dari gedung dan lokasi-lokasi penting perusahaan. Pada bagian inilah dikelola petugas-petugas pengamanan, pengaturan keamanan kawasan, dan sejenisnya. Adapun bagian sekuriti TI bertugas mengamankan aplikasi, server, database, jaringan dan sumber daya lain terkait teknologi informasi. Sementara bagian sekuriti operasional bertugas melakukan pengamanan operasional produksi. Tugasnya mengamankan bagaimana agar proses produksi dapat dijaga stabilitasnya, yang bekerja selamat, lingkungan terjaga, dan kinerja operasinya optimal.
Pembagian tersebut seringkali membuat pengelola industri menjadi kesulitan untuk dapat mengidentifikasi dan merespon insiden-insiden yang terjadi secara cepat dan tepat. Karena masing-masing memiliki dunianya sendiri yang berbeda-beda satu dengan lainnya.
Dari perspektif penggunaannya, teknologi yang digunakan pada industri modern biasanya dibagi menjadi dua kelompok, yaitu Teknologi Informasi (Information Technology/IT) dan Teknologi Operasional (operational technology/OT). Jika IT bertugas mengelola beragam sistem aplikasi, data dan berbagai infrastruktur pendukungnya, maka OT mengelola ribuan piranti (device) dimana sebagian besar diantaranya saling terkoneksi menggunakan teknik dan protokol komunikasi tertentu. Belakangan semakin banyak diantara piranti tersebut yang terhubung menggunakan teknologi Internet of Things (IoT).
Hal ini menciptakan tantangan baru dalam penanganan masalah sekuriti pada lingkungan industri. Kompleksitas teknologi ini di sisi lain akan membuat berbagai ancaman keamanan cyber menjadi semakin sulit dideteksi, ditangani dan dipulihkan ketika insiden terjadi.
(Baca juga: Rusia dan AS memanas di Dunia Cyber, Pertanda Perang Dingin Jilid Dua?)
Untuk merespon tantangan ini, banyak perusahaan industri kemudian menggabungkan bagian IT dan OT yang mereka miliki. Atau setidaknya mulai mengarah ke arah penggabungan tersebut. Namun demikian menggabungkannya bukanlah sesuatu yang sederhana karena setidaknya dua kendala utama yang menyulitkannya, yaitu: (1) perbedaan kultur yang berlaku di dunia IT dan OT, serta (2) perbedaan teknologi yang digunakan dalam IT dan OT.
Perbedaan Kultur yang Berlaku di Dunia IT dan OT
Karakteristik khas pada lingkungan IT itu adalah sifatnya yang sangat dinamis. Adalah hal yang biasa ketika sistem-sistem IT yang digunakan suatu organisasi itu dilakukan patching, di-upgrade dan diganti rilisnya secara reguler. Dalam hal sekuriti, orang IT sangat peduli dengan kerahasiaan, integritas dan ketersediaan data. Mereka umumnya cukup mengikuti perkembangan IT mutakhir berikut ancaman-ancaman yang mengikutinya. Namun pada umumnya orang IT tidak cukup familiar dengan sistem OT atau sistem-sistem kontrol industrial. Hanya sebagian kecil dari mereka yang tahu soal kontrol dan mesin produksi.
Sebaliknya, orang-orang OT bekerja pada lingkuan operasional yang dimana stabilitas, keselamatan dan kehandalan menjadi prioritas utama. Tugas utama mereka adalah bagaimana lingkungan industri yang kompleks dan sensitif seperti kilang minyak, industri kimia atau instalasi listrik, air dan sejenisnya dapat terjaga stabilitasnya. Ironisnya, instalasi-instalasi kritikal tersebut banyak yang dijalankan oleh sistem-sistem kuno dan mungkin belum pernah diganti selama puluhan tahun.
Motto mereka adalah, “Jika ia masih berfungsi baik, maka jangan sentuh dia.” Para teknisi OT khawatir dengan keselamatan pabriknya jika mengikuti pola pikir orang-orang IT yang dinamis, sehingga mereka jarang berani untuk “mengotak-atik” sistem kontrol industrialnya.
Perbedaan Teknologi yang digunakan dalam IT dan OT
Secara umum, orang IT terbiasa bekerja dengan software dan hardware yang terkini, termasuk mungkin menerapkan teknologi sekuriti terbaik untuk melindungi sistem dan jaringannya. Mereka juga sering melakukan patching, upgrade, atau mengganti rilis sistem-sistem mereka secara berkala.
Sementara itu, orang OT terbiasa menggunakan teknologi-teknologi klasik, bahkan banyak diantaranya yang umurnya lebih tua dari Internet. Seringkali juga menggunakan protokol jaringan yang bersifat proprietary, dan belum menggunakan kontrol-kontrol sekuriti yang dasar sekalipun seperti mekanisme otentikasi atau enkripsi. Mereka juga banyak yang belum menyediakan log kejadian atau audit trail. Sehingga hasilnya, deteksi dan respon atas sebuah insiden pada lingkungan OT menjadi sangat berbeda dibandingkan pada lingkungan IT.
(Baca juga: Perang Cyber, Amerika Serikat dan Instruksi Obama)
Dukungan Top Management adalah Kunci Sukses
Untuk membuat orang IT dan OT bisa bekerja sama, dan menyatukan pola pikir dan praktik terkait sekuriti dari keduanya, maka organisasi perlu menciptakan sebuah kultur kolaborasi diantara kedua kubu tersebut untuk kebaikan dan keamanan bisnis organisasi. Tentu melaksanakannya tidak semudah mengucapkannya.
Walaupun tantangan-tantangan untuk menjembatani perbedaan ini tidak mudah, namun sejumlah organisasi telah berhasil melakukan kolaborasi antara IT dan OT. Kunci suksesnya adalah dukungan dari top management.
Beberapa organisasi memulainya dengan membuat sebuah posisi baru di level direksi untuk memfasilitasi konvergensi ini. Misalnya sekarang mulai banyak kita dengar ada posisi baru bernama Chief Digital Officer yang tugasnya menjembatani antara IT dan OT, mengharmonisasikan perbedaan kultur diantara keduanya, serta membuat proses respon atas insiden yang terjadi pada kedua bagian tersebut menjadi lebih baik.
Keberhasilan penerapan cybersecurity pada dunia industri mutlak membutuhkan kerja sama antara sumber daya IT dan OT yang dimiliki. Pengawasan dan kepemimpinan yang kuat dibutuhkan untuk memastikan bahwa kedua pihak dapat melakukan saling kolaborasi dengan efektif.
Security Operation Center (SOC) yang efektif mutlak membutuhkan kolaborasi yang kuat antara para senior engineer di IT dan OT untuk bahu-membahu merespon setiap kejadian yang dapat membahayakan keamanan bisnis organisasi. Diperlukan sinergi yang kuat baik pada aspek orang, proses, maupun teknologi dari IT maupun OT. Tanpa pendekatan yang komprehensif, maka keamanan industri akan selalu menjadi sasaran empuk para penjahat di dunia cyber.[mti/af]
Penulis: Umar Alhabsyi, ST, MT, CISA, CRISC.
Sr IT Management Consultant, Founder & CEO of PT IVIT Konsulindo