Organisasi yang mengoperasikan sistem kritis harus merencanakan dan bersiap untuk menanggapi insiden siber Sistem Kontrol Industri (ICS), baik yang disebabkan oleh orang dalam yang tidak disengaja atau penyerang jahat.
Perencanaan respons insiden siber (IR) ICS yang tepat meminimalkan kerugian finansial dari waktu henti sistem, kehilangan data, premi asuransi yang lebih tinggi, citra perusahaan yang ternoda, dan penurunan keselamatan karyawan dan publik. Makalah ini hanya berlaku untuk ICS (misalnya, kontrol pengawasan dan sistem akuisisi data, sistem manajemen gedung) karena sebagian besar organisasi telah memiliki rencana IR (IRP) teknologi informasi (TI). Ini memberikan tampilan tingkat tinggi tentang tahapan IR, kata Robert Talbot, manajer TI senior, Parsons Kantor Keamanan Informasi dan Jack D. Oden, manajer proyek utama, Operasi Infrastruktur Kritis Parsons.
ICS saat ini umumnya dikelola oleh antarmuka manusia-mesin berbasis Windows atau LINUX, berkomunikasi melalui protokol Internet, dan terhubung ke jaringan area lokal perusahaan dan Internet. Arsitektur baru memberikan manfaat yang signifikan, termasuk penghematan biaya, mengurangi ketergantungan pada vendor peralatan berpemilik, dan transfer data yang lebih mudah/lebih cepat ke departemen akuntansi dan manajemen tingkat atas.
Sayangnya, dengan manfaat datang peningkatan risiko karena serangan cyber berbasis Internet. Bukan lagi pertanyaan apakah akan ada serangan, tapi kapan. Tidak ada perusahaan atau organisasi yang dapat mencegah semua serangan dunia maya, namun sebagian besar organisasi ICS tetap tidak siap.
Meskipun bijaksana untuk membuat tim IRP dan IR (IRT) untuk ICS, pencegahan insiden cyber menghemat waktu dan uang yang signifikan. Sementara kantor berfungsi secara efektif tanpa email selama satu hari atau lebih, ICS tidak dapat menghentikan waktu henti. Mengontrol akses ICS mengurangi jalur yang tersedia bagi penyerang untuk memasukkan malware. Karena sebagian besar serangan ICS masuk melalui perusahaan, akses tersebut harus diamankan terlebih dahulu. Selain itu, sistem deteksi penyusupan yang mengenali protokol ICS baru-baru ini muncul di pasar, sehingga memungkinkan untuk menunjukkan dengan tepat bagaimana penyerang memperoleh akses sistem.
Beberapa langkah dasar mengurangi efek insiden dan membantu ICS kembali online lebih cepat. Menguji kaset cadangan secara berkala memastikan konfigurasi ICS cadangan fungsional tersedia. Menggunakan sistem deteksi penyusupan yang mampu menggunakan protokol berpemilik sangat penting karena sistem berpemilik rentan terhadap serangan dunia maya dan rentan terhadap individu yang memiliki pengetahuan sistem.
Bentuk tim Tanggapan Insiden dunia maya
Merakit IRT dunia maya adalah yang pertama dari dua langkah penting dalam mengembangkan kemampuan IR yang efektif. Tim tersebut harus terdiri dari teknisi dan administrator ICS, administrator jaringan dan sistem, operator fasilitas, dan perwakilan dari TI, keamanan siber, sumber daya manusia, komunikasi, dan hukum. IRT harus berkoordinasi dengan berbagai lembaga penegak hukum, regulator industri, dan vendor.
Komposisi IRT harus menyeimbangkan staf internal dengan ahli luar yang berpengalaman di bidang IR, forensik, pengumpulan dan penyimpanan bukti, serangan dan eksploitasi, atau berbagai bidang keamanan siber lainnya. Pakar luar mungkin lebih cepat dan lebih teliti, sementara staf ICS memiliki pengetahuan sistem.
Buat rencana Tanggapan Insiden
IRP yang efektif sama pentingnya dengan IRT. Setelah ICS turun, responden perlu waktu untuk menemukan sumber dan tingkat infeksi meskipun ada tekanan organisasi.
Setelah rencana ditinjau dan diselesaikan oleh seluruh IRT, beberapa tugas penting harus diselesaikan:
Cakupan dan tujuan
IRP berlaku untuk insiden keamanan siber ICS yang dicurigai atau diverifikasi. Ini menguraikan pedoman umum untuk mendeteksi, mengklasifikasikan, dan menanggapi insiden keamanan siber ICS untuk meminimalkan gangguan operasi ICS.
Prosedur penanganan insiden
Mengikuti prosedur yang telah terbukti akan memungkinkan dimulainya kembali produksi lebih cepat dan mengurangi kemungkinan membuat kesalahan. Beberapa situs Internet menguraikan praktik terbaik yang dapat digunakan IRT untuk mengembangkan prosedur khusus perusahaan.
Identifikasi insiden
Menemukan, menahan, dan memberantas pelanggaran selama 24 jam pertama sangat penting. Administrator ICS harus bekerja dengan personel IR dengan cepat tetapi hati-hati untuk secara akurat mengkarakterisasi situasi sebagai insiden dunia maya atau hanya kerusakan sistem.
Pemberitahuan
Ketika sebuah insiden telah dikonfirmasi, pemimpin IRT, kepala petugas keamanan informasi, manajemen eksekutif, dan departemen hukum harus diberitahu. Jika perlu, penegak hukum harus dihubungi.
Penahanan
Sangat penting untuk mengidentifikasi sistem yang terinfeksi, saat terinfeksi, dan titik masuk yang digunakan. Dengan segmentasi jaringan yang tepat dan koneksi luar yang aman, firewall dan log lainnya dapat membantu menentukan kapan malware memasuki jaringan. Untuk kejahatan dunia maya, pertahankan bukti dan pertahankan lacak balak; bukti yang dikompromikan tidak dapat diterima di pengadilan. Juga, identifikasi saksi mana pun.
Pemberantasan
Setelah terkandung, malware harus dibersihkan dari setiap sistem yang terinfeksi dan registri Windows. Jika ada jejak yang tersisa, sistem akan terinfeksi kembali saat terhubung kembali ke jaringan.
Pemulihan sistem
Sebelum memulai ulang sistem, pulihkan data yang rusak menggunakan data cadangan yang tidak rusak. Jika tidak yakin saat malware memasuki sistem, muat ulang sistem operasi dan aplikasi dari cadangan asli.
Pelajaran yang dipetik
IRT harus memformalkan pelajaran yang diperoleh untuk mendokumentasikan keberhasilan dan peluang peningkatan dan untuk menstandarisasi IRP.
IR yang berhasil bergantung pada perencanaan dan pendanaan untuk suatu insiden, dan itu harus menjadi bagian dari program risiko perusahaan secara keseluruhan. Karena tidak ada satu pun entitas yang menyediakan pendanaan keamanan siber TI dan ICS, beberapa diplomasi dan pekerjaan rumah diperlukan. Biasanya, seorang manajer tingkat tinggi memahami pentingnya IRT. Jika direkrut sebagai juara tim, manajer tersebut dapat meyakinkan manajer senior lainnya untuk menyediakan anggota tim.
Penilaian saja tidak mengamankan sistem. Menetapkan kontrol paling baik dicapai dengan melibatkan organisasi eksternal yang memenuhi syarat untuk melakukan penilaian kerentanan TI dan ICS.
Meskipun dunia TI menyadari lebih dari 20 tahun yang lalu bahwa insiden siber menyebabkan kerugian finansial, dunia ICS lambat dalam mengenali manfaat keamanan siber, meskipun ada insiden seperti Stuxnet dan serangan titik penjualan Target™.
Serangan yang dipublikasikan secara luas telah meningkatkan kesadaran akan kebutuhan untuk mengamankan ICS dan memiliki kemampuan IR melalui IRP yang efektif dan IRT yang terlatih dengan baik. Pergeseran budaya diperlukan untuk memajukan pencegahan dan pemulihan insiden siber. Perubahan akan datang, tapi perlahan. Perusahaan harus mempercepat pengembangan IR cyber untuk ICS.
Penulis blog ini adalah Robert Talbot, manajer TI senior, Kantor Keamanan Informasi Parsons dan Jack D. Oden, manajer proyek utama, Operasi Infrastruktur Kritis Parsons
Ini link kembali ke Antologi lengkap
Teknologi Internet of Things
Industri 4.0, IoT, Pabrik digital, dll. adalah beberapa konsep yang menjadi berita utama di dunia industri saat ini. Industri di seluruh dunia mulai melakukan perubahan, dan memahami manfaat yang terkait dengan teknologi ini, tetapi peningkatan massal tampaknya masih sulit. Mengapa? Sudah hampir e
Pengumpulan sampah perkotaan merupakan pengeluaran dari anggaran pemerintah. Statistik menyatakan bahwa saat ini, penduduk perkotaan menghasilkan sekitar 4,6 Kilogram sampah per kapita. Untuk mengumpulkan dan mengelola limbah ini, pihak berwenang membutuhkan $300 per kapita per tahun. Sebagian besar
Sistem pengumpulan data otomatis seringkali merupakan investasi besar, terutama bagi perusahaan yang pertama kali menerapkan inisiatif di seluruh perusahaan yang melibatkan ribuan aset. Juara pengumpulan data otomatis dalam organisasi sering kali ingin membuktikan ROI untuk membenarkan upaya dan bia
Bagaimana Rencana Perawatan Selang Industri Dapat Menghemat Ribuan Dolar Pabrik Anda Alice Chin Kekhawatiran umum di antara banyak manajer dan insinyur pabrik adalah mengetahui waktu yang tepat untuk mengganti selang industri. Kekhawatiran ini datang dengan alasan yang bagus. Menunggu terlalu lam
