Pertimbangan Sumber Daya Perangkat Akses Jarak Jauh untuk Keamanan

Tim operasional yang menjalankan sistem industri mengandalkan perangkat akses jarak jauh untuk melakukan pekerjaan mereka dan jarang memikirkan pertimbangan non-teknis dan non-komersial saat membeli. Namun sejarah baru-baru ini memberi tahu kita bahwa dari mana perangkat—dan bahkan komponen di dalam perangkat—berasal jauh lebih penting daripada yang kita kenal.

Serangan Rantai Pasokan Serius

Serangan rantai pasokan adalah kategori serangan keamanan siber di mana akses diperoleh dengan menargetkan elemen hulu dalam rantai pasokan. Orang awam yang membeli perangkat—mungkin untuk memesan peralatan selama akhir pekan—mungkin berpikir bahwa risiko tidak cukup signifikan untuk memengaruhi keputusan pembelian, tetapi memang demikian.

Serangan rantai pasokan sangat populer bagi penyerang karena, dengan menyusup ke satu pemasok, mereka dapat memperoleh akses ke banyak pengguna akhir. Misalnya, Stuxnet adalah serangan rantai pasokan efektif yang menargetkan PLC yang digunakan dalam program pengayaan uranium. NotPetya, yang menyebabkan kerugian sekitar 10 miliar USD pada organisasi termasuk Merck dan Saint-Gobain, didistribusikan melalui perangkat lunak persiapan pajak. Baru-baru ini, SUNBURST memberikan akses pintu belakang ke hingga 18.000 organisasi dan didistribusikan melalui perangkat lunak SolarWinds. Ini telah terjadi berkali-kali, dan akan terus berlanjut karena imbalan bagi penyerang.

Serangan Rantai Pasokan ke ICS Melalui Perangkat Akses Jarak Jauh

Gagasan serangan rantai pasokan yang menargetkan ICS melalui perangkat akses jarak jauh tidak hanya teoretis—ini pernah terjadi sebelumnya. Pada tahun 2014, malware Dragonfly menginfeksi banyak organisasi dan didistribusikan melalui paket pengaturan aplikasi Talk2M Ewon, yang merupakan perangkat lunak yang digunakan untuk menyediakan akses VPN ke peralatan ICS. SANS Institute menyediakan makalah tentang serangan tersebut dan dampaknya, yang dapat Anda baca di sini.

Pertimbangan Sebelum Membeli

Jadi, kembali ke orang awam yang membeli perangkat sehingga mereka dapat memesan beberapa peralatan—apa yang harus mereka lakukan?

Dalam situasi di mana Anda tidak—dan tidak bisa menjadi—ahli, adalah bijaksana untuk melihat apa yang dilakukan para ahli. Dalam hal keamanan, salah satu pakar ini adalah Departemen Pertahanan AS. Mereka dengan jelas melarang pembelian dan penggunaan perangkat, atau membuat kontrak dengan penyedia yang menggunakan perangkat, dari produsen asing tertentu karena risiko dalam rantai pasokan. Satu memo DoD dari Juli 2020 menguraikan praktik ini, dan dapat dilihat secara publik di sini. Perusahaan penting bernama Huawei Technologies Company (serta anak perusahaan dan afiliasinya), karena penggunaan chip mereka secara luas—termasuk di perangkat akses jarak jauh, seperti Tosibox.

Jadi, satu takeaway untuk orang awam di sini mungkin membeli domestik bila memungkinkan. Perlu dicatat bahwa membeli produk yang diproduksi di dalam negeri, dan produk yang dirancang dengan keamanan berlapis, tidak dilakukan dengan mudah dan biasanya memerlukan harga premium, tetapi tidak diragukan lagi sepadan dengan biaya yang dikeluarkan oleh pengguna—terutama untuk akses jarak jauh ke sistem industri.

Di luar risiko rantai pasokan, ada banyak pertimbangan teknis dan organisasional saat menerapkan akses jarak jauh. Saya menjelajahi ini dalam kelompok kerja dengan The Organization for Machine Automation and Control (OMAC), yang kemudian menerbitkan Panduan Praktis untuk Akses Jarak Jauh ke Peralatan Pabrik yang saya rekomendasikan untuk dibaca.