Sorotan Keamanan ICS Karena Ketegangan dengan Iran
Mengingat meningkatnya ketegangan antara AS dan Iran, organisasi dengan infrastruktur industri yang terhubung harus waspada.
“Potensi dampak dunia maya dari pembunuhan [Jenderal Iran Qasem] Soleimani sangat besar,” Eyal Elyashiv memperingatkan, CEO dan salah satu pendiri perusahaan keamanan jaringan Cynamics.
Pengamat industri mengatakan bahwa masalah baru-baru ini antara kedua negara meningkatkan risiko dunia maya secara keseluruhan. “Meskipun Trend Micro tidak memiliki informasi orang dalam tentang rencana serangan tertentu, masuk akal bahwa ketegangan politik yang meningkat akan mendorong serangan siber,” kata Bill Malik, wakil presiden strategi infrastruktur di Trend Micro.
Setelah pembunuhan itu, beberapa pakar keamanan siber, serta pejabat pemerintah AS telah memperingatkan risiko keamanan ICS yang ditimbulkan oleh musuh yang berafiliasi dengan Iran.
Yang lain menunjukkan kemungkinan serangan siber yang lebih kecil yang dirancang untuk mengalihkan perhatian daripada pembalasan yang cepat. Prospek perang dunia maya habis-habisan antara AS dan Iran “seharusnya tidak menjadi asumsi default,” kata Andrea Little Limbago, Ph.D., kepala ilmuwan sosial di Virtru. “Aktivitas siber Iran—dari serangan destruktif hingga disinformasi—telah tersebar luas selama beberapa waktu. Itu bukan hal baru dan tidak terkait dengan acara minggu ini,” katanya.
Selama dekade terakhir, kemampuan siber Iran telah berkembang pesat. Pakar keamanan siber mengaitkan serangkaian serangan terhadap AS dan target lainnya—mulai dari serangan penolakan layanan terhadap bank-bank AS hingga malware khusus yang menargetkan sistem Saudi Aramco—dengan aktor Iran. Juga terkait dengan keamanan ICS, laporan pada tahun 2015 mengklaim peretas Iran menyusup ke jaringan listrik AS.
“Para pejabat di AS harus sangat memperhatikan kemampuan dan jangkauan dunia maya Iran,” kata Elyashiv.
Sementara beberapa laporan menunjukkan ketegangan antara negara-negara telah mereda, peringatan Departemen Keamanan Dalam Negeri (DHS) 4 Januari memperingatkan bahwa Iran dapat, setidaknya, meluncurkan “serangan dengan efek mengganggu sementara terhadap infrastruktur penting di Amerika Serikat.”
Demikian pula, Badan Keamanan Siber dan Infrastruktur Keamanan AS memperingatkan potensi peningkatan risiko serangan dan spionase siber terhadap target strategis dalam “organisasi keuangan, energi, dan telekomunikasi, dan peningkatan minat pada sistem kontrol industri dan teknologi operasional”.
Aktor Iran memiliki sejarah menargetkan situs AS. Pada tahun 2016, Departemen Kehakiman AS membuka dakwaan yang menuduh tujuh kontraktor Iran dari Korps Pengawal Revolusi Islam Iran melakukan serangan siber di beberapa bank dan bendungan New York. AS juga menuduh aktor-aktor yang terkait dengan Iran “mengintai dan merencanakan terhadap target infrastruktur dan serangan berbasis dunia maya terhadap berbagai target berbasis di AS,” menurut peringatan DHS.
Penargetan semacam itu meluas ke ranah industri. Kolektif peretas yang dikenal sebagai Advanced Persistent Threat 33 yang terkait dengan Iran memiliki sejarah menargetkan sektor pertahanan, transportasi, dan energi, menurut Cyberscoop.
Limbago percaya terlalu dini untuk berasumsi bahwa Iran akan memprioritaskan eksploitasi kerentanan keamanan ICS dalam jangka pendek. “Jika ketegangan meningkat lebih, itu mungkin berubah, tetapi mengingat tingkat saat ini, aktivitas dunia maya Iran yang berkelanjutan akan berlanjut di zona abu-abu [berhenti meningkat menjadi perang)]” katanya. “Meskipun ICS tentu menjadi perhatian, Iran memahami bahwa serangan destruktif terhadap infrastruktur penting kemungkinan akan menyebabkan eskalasi dan pembalasan.”
Demikian pula, Carol Rollie Flynn, mantan direktur eksekutif Pusat Kontraterorisme CIA, mengharapkan Iran untuk melakukan serangan siber yang lebih kecil. “Mereka tidak ingin kita membalas mereka. Mereka pernah merasakan itu sebelumnya,” katanya kepada
Kemungkinan lain, kata Limbago, adalah bahwa aktor Iran dapat menargetkan organisasi sektor swasta yang tidak memiliki koneksi ICS yang jelas. Ada preseden untuk taktik semacam itu. Pada tahun 2015 James Clapper, direktur intelijen nasional saat itu, menyatakan bahwa Iran kemungkinan berada di balik serangan terhadap Sands Casino sebagai pembalasan atas komentar anti-Iran dari CEO-nya, Sheldon Adelson. “Apa yang mungkin lebih sesuai dengan pola mereka sebelumnya akan menargetkan organisasi sektor swasta yang terkait dengan cabang eksekutif yang dapat menimbulkan kerugian finansial tetapi tidak akan menggalang publik AS dan pemerintah yang terpecah untuk merespons,” kata Limbago.
Elemen sentral lainnya dalam strategi siber Iran adalah operasi disinformasi, yang dikategorikan Limbago sebagai “sangat produktif dan global.” “Pasti akan ada kelanjutan dari kegiatan ini — baik di dalam negeri untuk membangun dukungan pro-pemerintah dan secara global untuk membangun sentimen anti-Amerika,” tambah Limbago.
Mengelola Risiko Siber
Apa pun yang terjadi dari ketegangan baru-baru ini, situasinya memberikan peluang bagi organisasi dengan infrastruktur industri untuk memeriksa perangkat mereka yang terhubung. “Kami merekomendasikan sekali lagi agar pemilik dan operator sistem kontrol industri meninjau inventaris teknologi mereka, menilai kerentanan mereka, menerapkan kontrol seperti yang mereka bisa untuk mengurangi profil serangan mereka,” kata Malik.
Mengingat fokus organisasi industri pada waktu aktif, biasanya lingkungan industri — termasuk yang berada di pengaturan infrastruktur kritis — menggunakan perangkat keras dan perangkat lunak yang sudah ketinggalan zaman dan belum ditambal. “Organisasi harus melihat melampaui sistem kuno yang saat ini digunakan untuk melindungi infrastruktur penting, karena sejarah baru-baru ini dengan jelas menunjukkan bahwa mereka dapat dengan mudah disusupi,” kata Elyashiv.
Sementara kebersihan dunia maya sangat penting, David Goldstein, presiden dan CEO AssetLink Global LLC, menekankan bahwa organisasi juga harus fokus pada keamanan fisik. “Jawaban untuk keamanan [IIoT] tidak sepenuhnya ada di perangkat keras dan perangkat lunak,” kata Goldstein.
Ironisnya, tema akses fisik adalah elemen sentral dalam serangan Stuxnet terhadap sentrifugal nuklir Iran satu dekade lalu. Dalam kampanye Stuxnet, agen ganda yang konon bekerja atas nama pemerintah AS dan Israel memasang malware di jaringan pusat yang memiliki celah udara di fasilitas pengayaan nuklir Natanz. Akibatnya, sekitar 1.000 sentrifugal nuklirnya di dalam fasilitas tersebut akhirnya hancur.
Kisah Stuxnet menggambarkan pentingnya tidak hanya kontrol akses tetapi juga kepercayaan secara umum, kata Goldstein. "Dengan siapa Anda bekerja, siapa yang Anda percayai, siapa yang memiliki kredensial untuk masuk ke sistem Anda, siapa yang memiliki akses fisik?" dia bertanya, “Kepercayaan antara aktor dan mitra akan menjadi semakin penting seiring waktu karena sistem IoT menanamkan segalanya,” jelasnya.
Ketika teknologi IoT mulai berkembang dalam konteks industri, ada kekurangan pakar dunia maya yang akrab dengan dunia sistem kontrol industri. “Sebagian besar analis dan konsultan keamanan menerapkan teknik yang sama pada sistem IoT [industri] seperti yang mereka lakukan pada jaringan TI kantor biasa,” kata Goldstein. Mengingat volume protokol kepemilikan, kesulitan dalam melakukan pembaruan perangkat lunak di lingkungan seperti itu menimbulkan “kerentanan yang sangat besar,” menurut Goldstein.
Organisasi seperti Departemen Pertahanan A.S. dan MITER Corp. membantu menjembatani kesenjangan dengan kerangka kerja ICS seperti kerangka kerja ATT&CK MITER untuk ICS. “Dokumen ini menyediakan cara bagi produsen, pemilik, dan operator ICS untuk mendiskusikan kemungkinan skenario serangan dan melaporkan kerentanan secara konsisten di seluruh sektor industri,” kata Malik. “Setiap organisasi harus sangat mempertimbangkan untuk menggunakan kerangka kerja ini untuk memperjelas postur keamanan ICS [-nya].”
Malik juga menekankan untuk memahami fakta sederhana bahwa keamanan siber lebih merupakan perjalanan daripada tujuan. “Dengan asumsi kerangka waktu untuk ketegangan yang meningkat seperti itu adalah jangka pendek, hanya sedikit yang dapat dilakukan produsen ICS untuk memperkuat [postur keamanan] produksi mereka saat ini dengan cepat,” katanya.
Malik mencatat satu kerentanan untuk ditangani oleh vendor ICS:Mereka kadang-kadang mengakses teknologi mereka di lapangan untuk operasi pemeliharaan dan diagnosis kesalahan. “Tautan pemeliharaan tersebut dapat berfungsi sebagai vektor serangan,” katanya.
Malik menyarankan agar vendor mengambil berbagai langkah untuk mengamankan data pelanggan. Pertimbangan penting lainnya termasuk mengenkripsi lalu lintas jika memungkinkan dan memastikan bahwa pembaruan perangkat lunak aman. “Akan tragis jika masalah kecil pada satu pelanggan menyebabkan produsen mendorong perbaikan pada semua teknologinya yang ternyata membawa malware,” kata Malik.