Prinsip Keamanan Berdasarkan Desain Sangat Penting dalam Mode Krisis
“Jika Anda gagal merencanakan, Anda berencana untuk gagal.” —Pepatah modern
Dengan begitu banyak fokus pada gangguan COVID-19 jangka pendek, diskusi tentang konsekuensi jangka panjangnya untuk adopsi teknologi menjadi lebih sedikit.
Salah satu skenario yang mungkin adalah bahwa pandemi mendorong peningkatan jangka panjang dalam otomatisasi dan manajemen aset jarak jauh mulai dari mesin industri hingga sistem ventilasi pemanas dan pendingin udara (HVAC) hingga rantai pasokan. Dalam perawatan kesehatan, kemungkinan peningkatan jangka panjang dalam perawatan virtual dan telehealth. Sementara banyak organisasi dengan tekanan anggaran telah menangguhkan operasi, pandemi akan membuka jalan bagi organisasi dengan posisi yang lebih baik untuk mengotomatisasi proses.
Pada awal Maret, perusahaan mulai memikirkan kembali proses bisnis dan operasi lainnya setelah Organisasi Kesehatan Dunia mengklasifikasikan COVID-19 sebagai pandemi. Yang paling jelas, ada “peningkatan besar dalam laporan pengguna Slack dan Microsoft Teams untuk kolaborasi,” kata Chris Kocher, direktur pelaksana Gray Heron, sebuah perusahaan konsultan manajemen. Vendor telekonferensi juga telah melihat keuntungan yang cepat. “Teladoc untuk telehealth juga mengalami pertumbuhan besar,” tambah Kocher.
[ Dunia IoT adalah acara IoT terbesar di Amerika Utara di mana para ahli strategi, teknologi, dan pelaksana terhubung, menempatkan IoT, AI, 5G, dan keunggulan dalam tindakan di seluruh vertikal industri. Pesan tiket Anda sekarang. ]
Akses jarak jauh ke sistem kontrol industri (ICS) juga meningkat baru-baru ini, menyusul penurunan selama beberapa tahun terakhir, menurut data Shodan. Di AS saja, sekarang ada hampir 50.000 perangkat ICS yang terhubung ke internet. Penggunaan protokol desktop jarak jauh, yang memungkinkan pengguna Windows untuk mengelola stasiun kerja atau server dari jarak jauh, juga meningkat, setelah protokol mulai tidak disukai pada akhir 2019 karena kerentanan keamanan.
Banyak organisasi industri telah memiliki “pemantauan jarak jauh tingkat dasar”, kata Yasser Khan, CEO One Tech. Kemampuan yang relatif sederhana seperti itu cukup ketika pekerja masih dapat memeriksa mesin secara langsung. Tetapi karena banyak fasilitas telah dikupas menjadi kru kerangka, prioritas mereka telah bergeser. Manajer pabrik semakin mencari untuk "menentukan bagaimana mereka dapat memperoleh wawasan lebih lanjut tentang kesehatan mesin mereka, dari jarak jauh," kata Khan.
Banyak organisasi juga memikirkan kembali perencanaan pemulihan bencana, menurut Nitin Kumar, chief executive officer di Appnomic. “Seringkali apa yang terjadi ketika bencana alam atau virus komputer menyerang organisasi dan sistemnya mati, Anda beralih ke semacam mode manual,” kata Kumar. “Bisnis berlanjut, tetapi pada tingkat yang lebih lambat.” Tetapi COVID-19 bukanlah bencana biasa. “Sekarang, manual dan kapasitas permintaan Anda telah terkena dan kapasitas sistem Anda tersendat atau tidak dapat diakses. Jadi, Anda membutuhkan lebih banyak sistem atau otomatisasi — bukan lebih banyak personel.” Organisasi yang mampu memperluas otomatisasi cenderung melakukannya karena mereka memikirkan kembali perencanaan pemulihan bencana dan perencanaan kelangsungan bisnis mereka.
Penyebaran konektivitas dan otomatisasi bukanlah hal baru, tentu saja. Pada tahun 2016, guru keamanan Bruce Schneier mengamati bahwa intervensi manusia semakin tidak diperlukan. “Internet sekarang merasakan, berpikir, dan bertindak,” tulisnya. “Kami sedang membangun robot seukuran dunia, dan kami bahkan tidak menyadarinya.” Schneier menyimpulkan bahwa sangat penting untuk mempertimbangkan apa yang disebutnya sebagai “robot rentang dunia baru.”
Meskipun peran sosial perangkat lunak telah berkembang selama beberapa dekade, konsekuensi keamanan dunia dengan perangkat berkemampuan IoT otomatis atau semi-otomatis yang tersebar luas bisa sangat besar. “Komputer memiliki kekuatan yang luar biasa untuk membantu kehidupan kita dan membuatnya lebih baik, tetapi semakin kompleks sistemnya, semakin banyak hal yang bisa salah,” kata Kate Stewart, direktur senior program strategis di Linux Foundation. “Kami harus mencoba mencari cara untuk memahami apa yang bisa salah, mengurangi bahaya, dan meningkatkan ketergantungan perangkat lunak.”
S ecure oleh Desain
Konsep keamanan siber tradisional seperti keamanan berdasarkan desain terkadang gagal saat organisasi berada dalam mode respons krisis. COVID-19 “akan membuat kepatuhan terhadap prinsip-prinsip keamanan-dengan-desain menjadi tantangan,” kata John Loveland, kepala strategi keamanan siber global di Verizon. "Semua orang bergerak sangat cepat." Ketika organisasi bergerak untuk memperluas kemampuan kerja jarak jauh dan otomatisasi selama krisis, mereka cenderung membuat kesalahan. “Anda tidak bisa membiarkan teknologi atau proses bisnis baru melampaui keamanan di baliknya. Anda perlu memastikan bahwa tim keamanan internal Anda adalah bagian dari setiap keputusan yang Anda buat terkait teknologi, proses, atau cara kerja baru.”
Para ahli merekomendasikan untuk menjadikan keamanan sebagai pertimbangan sedini mungkin saat merencanakan penerapan teknologi. “Pastikan Anda membawa pemangku kepentingan, bisnis, serta operator ke dalam diskusi keamanan,” saran Bob Martin, ketua bersama Kelompok Tugas Keterpercayaan Perangkat Lunak di Konsorsium Internet Industri.
“Anda perlu mempertimbangkan [keamanan] sebagai salah satu aspek utama dari solusi apa pun dan, seperti fondasi rumah, semua hal lain dibangun di atasnya,” kata Andrew Jamieson, direktur, keamanan, dan teknologi di UL. Organisasi yang lalai membangun fondasi yang benar berisiko membangunnya kembali atau "setidaknya menghabiskan banyak waktu dan upaya untuk memperbaiki sesuatu yang bisa lebih mudah diperbaiki sebelumnya," kata Jamieson.
Namun, kecil kemungkinan bahwa prinsip keamanan berdasarkan desain akan menempati urutan teratas daftar prioritas karena organisasi tiba-tiba bergerak ke arah kerja jarak jauh, kendali jarak jauh aset, dan mungkin memperluas kemampuan otomatisasi. “Itu memang masalah keamanan yang sangat besar, bahkan ketika menggunakan teknologi yang aman karena tidak ada waktu untuk menerapkannya dengan aman,” kata Frank Hißen, konsultan keamanan independen.
Prinsip keamanan berdasarkan desain sering kali menggabungkan serangkaian perangkat keras dan bagian teknologi. Merakitnya bisa menjadi teka-teki. "Terkadang vendor yang menjual 'kepingan teka-teki'" yang membentuk penerapan tidak memiliki langkah-langkah keamanan yang memadai, kata Chris Catterton, direktur rekayasa solusi di One Tech. Memperluas cakupan kemampuan akses jarak jauh dari penerapan IoT meningkatkan kebutuhan untuk “mencakup keamanan di titik akhir serta di tingkat sistem, baik melalui Cloud atau sistem lokal yang diakses melalui VPN,” kata Catterton.
B menemukan dan Menemukan Kembali Saldo Keamanan
Meskipun membangun fitur keamanan ke dalam produk dan proses sangat penting, tidak mungkin mengantisipasi setiap kemungkinan ancaman di masa depan. “Anda tidak selalu dapat membuat keputusan desain tentang keamanan sejak awal dalam sebuah proyek dan membuatnya tetap valid,” kata Jamieson.
Sering ada ketegangan antara menambahkan fitur baru ke perangkat lunak dan memastikannya tetap aman untuk digunakan dan diamankan. “Ada banyak fitur yang muncul di ponsel kami yang mogok secara acak dan konsekuensinya, meskipun mengganggu, tidak mengancam jiwa,” kata Stewart. “Kami semakin sering melihat open source digunakan dalam aplikasi di mana, jika perangkat lunaknya tidak dapat diandalkan, itu bisa melukai seseorang.”
Pada akhirnya, mengamankan sistem bermuara pada ketahanan dan kelincahan. “Jika Anda membangun hanya untuk ketahanan, Anda akan berada dalam masalah” ketika kerentanan keamanan baru muncul,” kata Jamieson. “Jadi di dunia sekarang ini, Anda juga membutuhkan kelincahan:kemampuan untuk dengan cepat mengubah, menambal, memperbarui, atau memfaktorkan ulang sistem ketika ada perubahan.”
Kelincahan dalam keamanan juga terhubung dengan prinsip keamanan berdasarkan desain. “Anda perlu memasukkan keamanan sejak awal, dan pendekatan keamanan itu perlu memasukkan aspek ketahanan dan kelincahan,” kata Jamieson. "Jika Anda tidak merancang untuk keamanan, Anda sedang merancang untuk kegagalan."