Mengamankan Industrial Internet of Things

Sementara organisasi merancang dan menerapkan upaya Industrial Internet of Things, istilah tersebut tidak ada artinya untuk praktisi keamanan karena Industrial Internet of Things (IIoT) adalah sebuah konsep. Sulit bagi pemimpin keamanan untuk melindungi konsep.

Itu menurut Katell Thielemann, VP analis di Gartner Inc.

“[Praktisi keamanan] perlu mendekati masalah dengan spesifik, memahami bahwa mereka berurusan dengan sistem cyber-fisik yang memiliki karakteristik sangat spesifik dan memahami karakteristik tersebut adalah kunci untuk menentukan cara menyusun pendekatan keamanan,” katanya.

Terlalu sering, kecepatan penerapan awal lebih diutamakan daripada strategi keamanan yang harus mencakup seluruh siklus hidup sistem, kata Thielemann. Terlalu banyak organisasi yang menghadirkan pandangan yang berpusat pada TI terhadap keamanan ke lingkungan industri terkait upaya IIoT.

Sementara teknologi operasional keamanan (OT) mendapatkan perhatian dan visibilitas tingkat eksekutif kepada otoritas pengatur, kemampuan untuk membawa mereka di bawah visibilitas dan perlindungan dunia maya penuh serta memastikan kewaspadaan berkelanjutan merupakan tantangan di berbagai tingkat, kata Santha Subramoni, kepala global, keamanan siber layanan di Tata Consultancy Services.

Pada tingkat dasar, permukaan ancaman (atau area yang dapat diserang) itu sendiri kompleks dan beragam, menjadikan penemuan dan integrasi aset sebagai tantangan arsitektur keamanan perusahaan, kata Subramoni. Sensor, perangkat edge, konektivitas beserta data terkait, aplikasi, dan ekosistem hosting adalah inti dari ekosistem IIoT terdistribusi.

Ada prevalensi signifikan dari teknologi warisan dan proliferasi jaringan mandiri, di luar batas jaringan perusahaan, kata Subramoni. Dan kurangnya visibilitas titik akhir membatasi kemampuan untuk mengambil tindakan pencegahan.

“Organisasi perlu mendeteksi dan menyimpan katalog kerentanan di berbagai tingkat dan mempertahankan pengetahuan dan teknologi yang dibutuhkan untuk hal yang sama dalam ekosistem industri, yang biasanya belum matang hingga skala dan keandalan yang dapat dikelola,” kata Subramoni.

Bagaimana Pembuat Bahan Bangunan Mengamankan IIoT

Pembuat bahan bangunan HIL Ltd. mengambil langkah pertama dalam perjalanan digitalisasinya dan menerapkan IIoT ketika meluncurkan teknologi lantai toko digital di empat pabrik manufakturnya di India, kata Murali Raj, chief information officer HIL. Lantai toko digital menghubungkan semua alat berat ke satu jaringan, mengoptimalkan efisiensi dan kualitas.

“Sekarang kami pindah ke fase pemeliharaan prediktif berikutnya,” kata Raj. “Jadi kami melakukan POC [bukti konsep] pada pemeliharaan prediktif dan kami juga melakukan POC pada kualitas prediktif. Jadi kita juga perlu menjaga langkah-langkah keamanan.”

Di lantai bengkel, parameter mesin waktu nyata ditangkap melalui sensor, pengontrol logika yang dapat diprogram (PLC) dan sistem kontrol pengawasan dan akuisisi data (SCADA). Data tersebut kemudian ditransfer ke cloud melalui jaringan TI HIL yang dianalisis secara real time, kata Raj. Selain itu, sistem menghasilkan peringatan instan yang dapat digunakan tim operasi untuk mengambil tindakan korektif.

“Sebelumnya sistem SCADA ada sebagai sebuah pulau, tidak terhubung ke Internet,” kata Raj. “Jadi, ketika Anda memiliki mesin manufaktur dan Anda memiliki PLC di atasnya, mereka bertindak bersama di ruang kontrol di mana supervisor mengendalikan seluruh [proses] manufaktur. Sekarang, data ini harus keluar dari jaringan.”

Akibatnya, HIL harus menerapkan firewall di sisi TI untuk terhubung ke Internet dengan aman. Untuk menghubungkan perangkat edge dan sensornya ke Internet untuk mentransfer data, perusahaan memastikan bahwa perangkat ini mematuhi standar keamanan yang sesuai, kata Raj. Dan HIL juga harus memastikan bahwa perangkat lunak dan firmware-nya ditambal dan ditingkatkan secara berkala.

Setelah berurusan dengan teknologi, HIL juga melihat orang dan proses.

“Sebelumnya, teknisi pemeliharaan, teknisi listrik yang mengendalikan SCADA dan PLC dan pabrik bahkan tidak berinteraksi dengan teknisi TI, insinyur jaringan, atau pemimpin kami yang mencari keamanan untuk organisasi,” kata Raj.

Sekarang tim-tim ini harus bersatu dan memahami satu sama lain dan menerapkan proses untuk terus memperbarui apa yang terjadi di wilayah mereka, katanya. HIL juga melatih beberapa insinyur TI tentang keamanan OT dan OT dan meminta tim pabrik untuk memiliki setidaknya kesadaran akan keamanan siber.

“Kami juga membawa perspektif luar di mana EY dan Deloitte membantu kami untuk menempatkan kerangka kerja pemahaman TI dan OT bersama-sama,” kata Raj. “Karena kemampuan ini tidak ada secara internal di dalam organisasi, terkadang membawa perspektif dari luar membantu.”

Di bagian depan proses, HIL memastikan bahwa langkah-langkah keamanan TI, seperti izin peran, pengaturan ulang kata sandi, akses pengguna, juga diikuti di sisi OT.

“Jadi tim pabrik, yang tidak terbiasa dengan prosedur keras seperti itu, perlu menerimanya,” katanya.

Pastikan Perangkat/Aset Penting Dilindungi dengan Ketat

Meskipun serangan terhadap IIoT lebih jarang terjadi dibandingkan serangan TI, konsekuensinya masih bisa sangat besar, termasuk hilangnya produksi, dampak pendapatan, pencurian data, kerusakan peralatan yang signifikan, spionase industri, dan bahkan cedera tubuh, kata Asaf Karas, salah satu pendiri dan kepala teknologi. petugas di Vdoo, penyedia keamanan siber otomatis untuk perangkat yang terhubung dan IIoT.

Oleh karena itu, tidak cukup untuk secara statistik mengurangi jumlah serangan tetapi untuk memastikan perangkat dan aset penting dilindungi dengan ketat segera setelah mereka memasuki produksi, katanya.

Karas menawarkan beberapa pendekatan untuk membantu organisasi meningkatkan keamanan IIoT mereka:

• Mengadopsi proses manajemen risiko dan ancaman khusus untuk lingkungan industri mereka.
• Sebelum men-deploy perangkat baru, pastikan perangkat tersebut diamankan dengan desain dan tidak ada kelemahan pihak pertama atau ketiga yang dapat dieksploitasi dalam kode atau konfigurasi perangkat.
• Setelah penerapan, gunakan alat manajemen aset untuk menemukan dan mengidentifikasi aset industri yang relevan
• Terapkan agen aplikasi waktu proses titik akhir yang dirancang secara unik untuk perangkat ini guna memastikan pemantauan dan perlindungan yang berkelanjutan.

Kelola Hyper-Connectivity

Tantangan terbesar dari banyak perangkat saat ini adalah perangkat tersebut tidak dibuat dengan mempertimbangkan keamanan siber, kata Kyle Miller, kepala sekolah/direktur, Booz Allen Hamilton. Mereka sering menjalankan sistem operasi warisan real-time yang disederhanakan yang tidak mendukung tingkat perlindungan keamanan yang sama seperti sistem TI tradisional. Akibatnya, mereka memiliki potensi untuk meningkatkan permukaan serangan organisasi dengan cukup besar, katanya.

Sekarang perangkat ini diminta untuk terhubung langsung dari jaringan industri ke jaringan perusahaan ke Internet dan cloud, dalam banyak kasus, kata Miller.

“[Penting] untuk benar-benar mengelola hiper-konektivitas itu, aliran data, dan pembangunan . . . lingkungan tanpa kepercayaan di mana Anda benar-benar mengelola apa yang dapat diajak bicara oleh perangkat itu, apa yang tidak dapat diajak bicara, dan jika terjadi kompromi, untuk dapat benar-benar membatasi radius ledakannya,” katanya.

Sebelum menerapkan sistem IIoT, organisasi juga harus memiliki pemahaman yang baik tentang jenis risiko apa yang mereka ambil, kata David Forbes, prinsipal/direktur, Booz Allen Hamilton.

Untuk mendapatkan pemahaman ini, perusahaan harus mendapatkan postur keamanan saat ini dari vendornya, solusi dan implementasi perangkat lunak serta perangkat yang diterapkan pada jaringan IIoT-nya, kata Forbes.

Misalnya, saat organisasi menerapkan teknologi vendor pihak ketiga, organisasi tersebut perlu mengajukan pertanyaan kepada vendor seperti:

• Apakah mereka membuat perangkat lunak mereka sendiri di platform yang aman?
• Apakah mereka menggunakan komunikasi terenkripsi jika diperlukan?
• Apakah ada fitur kontrol akses?

“Itu sangat penting dalam memahami risiko dan bagaimana Anda bersedia mengubah lanskap ancaman jaringan Anda dengan menggunakan sistem IIoT ini,” kata Forbes.

Perusahaan harus memastikan bahwa perangkat dan sistem IIoT ini tersegmentasi, jika sesuai, dari jaringan TI dan OT lainnya, katanya. Perangkat ini harus dikontrol dengan ketat untuk memastikan bahwa mereka dapat tetap terlindungi, tetapi juga agar satu vektor serangan tidak dapat membuat akses ke yang lain.

Kebersihan Siber Organisasi

“Itu adalah hal-hal organisasional,” kata Forbes. “Saya pikir benar-benar apa yang kita lihat dan ketika Anda melihat temuan di beberapa pelanggaran dan serangan ini, banyak dari itu menelusuri kembali ke kebersihan siber organisasi dan disiplin dan protokol yang mungkin atau mungkin belum diterapkan untuk mulai dengan.”

Lingkungan industri adalah batas baru bagi pelaku kejahatan dan semua indikasi menunjukkan bahwa mereka semakin menargetkan lingkungan ini.

Pada tahun 2020, ada peningkatan signifikan dalam kerentanan dan ancaman yang menargetkan lingkungan industri, menurut Thielemann. Dan tidak mengherankan mengingat perusahaan menciptakan nilai melalui operasi.

“Baik untuk spionase industri atau untuk mencoba ransomware, lingkungan ini adalah permata mahkota bagi sebagian besar perusahaan,” katanya. “[T]ini bukan tentang kepatuhan keamanan; ini tentang ketahanan bisnis.”

Untuk mengatasi tantangan ini, organisasi harus memahami karakteristik utama dari upaya IIoT yang sedang dipertimbangkan, kata Thielemann. Misalnya:

• Apa hasil bisnis yang dicari oleh upaya tersebut?
• Di mana sistem IIoT akan diterapkan?
  • Siapa yang akan mengaksesnya, baik di dunia fisik maupun dunia maya?
  • Bagaimana arsitekturnya?
• Solusi keamanan apa yang akan disematkan versus yang perlu berlapis?
• Apakah vendor perlu melakukan remote untuk pemeliharaan atau peningkatan?
• Apakah aliran data akan melewati jaringan yang ada? Secara nirkabel?

“Organisasi harus mengambil pandangan siklus hidup dari upaya IIoT,” katanya. “Dari desain persyaratan hingga pembelian, penerapan, pemeliharaan, dan penghentian, pertimbangan keamanan harus dipertimbangkan di setiap langkah.”

Para pemimpin keamanan perlu menyadari bahwa lingkungan industri sangat berbeda dari lingkungan TI yang berpusat pada perusahaan, kata Thielemann. Misalnya, pertimbangan kendala lokasi fisik, ketahanan operasional atau bahkan keselamatan, perlu menjadi bagian dari strategi keamanan. Perusahaan perlu mengubah pendekatan keamanan yang berpusat pada TI untuk memperhitungkan lingkungan ini serta pendekatan mereka terhadap patching, pemantauan, dan autentikasi.

Biasanya, IIoT berada di bawah lingkup departemen teknik dan produksi daripada IT, kata Subramoni.

“Namun, perlu ada organisasi dan pengawasan transformasi seiring dengan modernisasi teknologi,” katanya. “Sebagian besar perusahaan akan membutuhkan mitra integrasi sistem dan teknologi tepercaya untuk menskalakan sesuai permintaan dan mengelola biaya untuk melindungi sistem industri. Ini adalah kebutuhan yang berkembang pesat dan komunitas teknologi bersiap menghadapi tantangan tersebut.”