Ancaman Cyber Security, Hacker Serang SCADA SPAM

Berita Terbaru

Kolaborasi PERPAMSI-IWA Memajukan Air Minum Indonesia 31-10-2024
Pengukuhan Estafet Kepemimpinan dan Program 2025 18-10-2024
Percepatan Penyediaan Air Minum: Dari Harapan Menjadi Kekecewaan 19-09-2024
PERPAMSI Award 2024 11-09-2024

Berita Populer

BUMD Air Minum Dominasi Penghargaan TOP BUMD 2018 04-05-2018
Jangan Memberatkan Apalagi Merugikan Pelanggan 16-08-2022
PERPAMSI DPD DI Yogyakarta Gelar Rakerda 23-01-2017
Direksi Baru PDAM Tirta Kahuripan Resmi Dilantik 03-04-2017
  • 02-03-2021
  • PERPAMSI

Hacker jahat tak pandang bulu saat melakukan serangan melalui jaringan internet. Serangan hacker juga menyasar fasilitas air minum, seperti yang dilakukan pada sistem SCADA (Supervisory Control and Data Acquisition) di sebuah IPA di Kota Oldsmar, negara bagian Florida, Amerika Serikat, awal Februari 2021.

Untuk mengelaborasi kasus ini dan meningkatkan kewaspadaan penyelenggara sistem penyediaan air minum (SPAM), Majalah Air Minum berdiskusi dengan beberapa praktisi IT (Information Technology) perusahaan air minum. Para praktisi ini yaitu Suherman (Konsultan IT Independen), Dicky Mulyana (Supervisor Senior Jaringan Komunikasi dan Hardware Perumdam Tirta Raharja Kabupaten Bandung), dan Ari Bimo Sakti (Manager IT PDAM Surya Sembada Kota Surabaya).

Dicky menjelaskan, dari berita yang ia baca, dijebolnya sistem SCADA pada IPA di Oldsmar, lebih disebabkan oleh kelemahan pengamanan sistem IT di instalasi tersebut. Mereka tidak menggunakan Virtual Private Network dan hanya menggunakan jaringan publik, yakni Teamviewer.

Di sisi lain, Ari Bimo Sakti, mengatakan, pada dasarnya, sistem keamanan jaringan tidak mudah ditembus meskipun bisa diserang. Kebanyakan yang terjadi, termasuk pada kasus Oldsmar, lebih pada kecerobohan pihak internal. Dan memang, sistem remote Teamviewer yang digunakan pada jaringan IT di sana, diketahui sudah sekitar enam bulan tidak dipakai, yang sayangnya tidak langsung dinonaktifkan.

Alhasil, melalui sistem tersebut akhirnya percobaan menaikkan dosis bahan kimia Sodium Hidroksida dari 100 ppm (parts per million) menjadi 11.100 ppm sempat dilakukan hacker. Meskipun akhirnya aksi tersebut belum sempat menimbulkan dampak luas, karena diketahui oleh operator dan air belum sempat didistribusikan.

Belajar dari aksi ini, Ari mengatakan, langkah mitigasi pencegahan potensi serangan siber berbahaya semacam ini adalah melalui tata kelola sistem IT. Sistem manajemen keamanan informasi ini salah satu mitigasi risikonya adalah melalui penerapan ISO 27001. ISO ini adalah standar internasional untuk sistem manajemen keamanan informasi. Atau, meskipun di BUMD belum ada aturan yang mengikat mengenai tatakelola IT, BUMD penyelenggara SPAM dapat juga mengimplementasikan Peraturan Menteri BUMN Per-02/MBU/2013 mengenai Panduan Penyusunan Pengelolaan Teknologi Informasi BUMN.

Di sisi lain, menurut Suherman, saat ini perusahaan air minum harus mencermati penggunaan internet of things (IoT) yang sedang menjadi trend. Sayangnya kebanyakan perusahaan air minum yang baru  menerapkan, terutama yang kecil dan menengah, umumnya baru sebatas menerapkan IoT dan belum fokus pada mitigasi keamanannya.

“Kesiapan internal dari user, menjadi salah satu faktor yang harus diperhatikan. Jangan sampai alatnya canggih, tapi tidak dijaga. Baik dari sisi alat, pengoperasian maupun keamanannya. Banyak PDAM yang pegawainya berusia di atas 40 tahun, menyerahkan semua urusan IT, bahkan password, kepada juniornya. Demikian juga ketika bekerja sama dengan vendor, ada akses yang tidak diberikan vendor, pihak PDAM tidak bisa apa-apa karena tidak cermat pada saat membuat kontrak. Hal tersebut harus lebih diperhatikan lagi oleh PDAM,” terang Suherman.

Selalu Ada yang Mencari Celah

Sebenarnya, percobaan penyusupan untuk masuk ke sistem IT penyelenggara SPAM sering terjadi di Indonesia. Ari dari PDAM Surya Sembada Kota Surabaya dan Dicky dari Perumdam Tirta Raharja, mengakui bahwa sering terlihat adanya aktivitas yang tidak biasa pada sistem mereka yang terhubung ke internet.

“Selalu ada aktivitas anomali yang terdeteksi. Pasti itu ada yang mencari-cari celah," ungkap Ari.

"Harus diingat bahwa security itu bukan produk, tetapi proses. Sehingga, proses itu harus terus menerus di-review. Tidak ada garansi sistem IT yang sudah dipasang itu akan aman selamanya. Harus terus-menerus di-update,” tegas Ari.

Dicky menambahkan, berdasarkan pengalaman di perusahaannya, hampir setiap hari ada upaya penyusupan ke sistem. Untuk itu harus disiapkan antisipasi dan pendeteksian. Setiap Network Administrator harus memiliki cara tersendiri untuk mengantisipasi dan menyiapkan mitigasinya.

 

Menjaga Keamanan Data

Suherman mengamati, umumnya celah kelemahan yang sering ia lihat adalah karena pengelola IT di perusahaan kurang menyadari tentang mana data yang aman dipublikasikan dan mana yang tidak, sehingga harus dibatasi aksesnya. Acapkali informasi yang disampaikan ke publik melalui internet tidak disaring. Misalnya ketika mempublikasikan data GIS (Geographic Information System) mengenai letak jaringan dan ukuran pipa. Informasi ini, jika tidak diproteksi, bisa menimbulkan risiko pencurian air atau sabotase. Contoh lain yaitu data rekening pelanggan yang dipublikasikan atau mudah diakses umum. Hal ini dapat memudahkan modus penipuan pembayaran rekening oleh oknum yang tidak bertanggung jawab.

Sistem IT SPAM yang tidak diberi pengamanan ketat sama halnya dengan IPA dan reservoir yang bebas dimasuki sembarang orang.

 

 

Pentingnya Tatakelola IT

Pentingnya penyelenggara SPAM memiliki tata kelola sistem IT yang baik disepakati oleh Dicky. Menurutnya, perusahaan harus memiliki arah yang jelas untuk apa mengimplementasikan sistem IT tersebut. Implementasi tatakelola IT menjadi salah satu kunci utama untuk menjaga keamanan sistem IT dan memastikan penggunaannya sudah sesuai dengan kebutuhan perusahaan.

Dicky menegaskan, sebelum sistem IT atau aplikasi yang dimiliki perusahaan dipublikasikan, ada penerapan software quality assurance. Hal ini sejalan dengan prinsip tata kelola IT yang harus dimiliki perusahaan.

“Harus ada framework atau best practice untuk mengelola IT, sehingga kebijakan IT sesuai dengan arah kebijakan perusahaan tersebut bisa tercapai,” tegas Dicky.

Di sisi lain, tidak semua perusahaan air minum penyelenggara SPAM memiliki tim atau divisi IT khusus. Padahal, keamanan IT menjadi sangat penting ketika perusahaan air minum tersebut menerapkan sistem IT.

Untuk itu, menurut Ari, diperlukan framework yang jelas, seperti dengan menerapkan ISO 27001. Dengan memiliki kerangka kerja seperti itu, maka meskipun perusahaan air minum tersebut tidak memiliki tim IT khusus, framework tersebut akan sangat membantu tatakelola IT perusahaan tersebut. Juga termasuk dalam hal kerja sama dengan pihak ketiga.

Atas kejadian serangan hacker pada perusahaan air minum di Florida, Dicky juga menyarankan mengikuti panduan CyBOK (Cyber Security Body of Knowledge). Tak kalah penting, manajemen atau direksi perusahaan air minum harus memiliki pemahaman mengenai IT. Dengan adanya konsep Digital Mastery, direksi harus lebih dulu memahami konsep IT perusahaan.

Terkait CyBOK, Ari menambahkan, di Indonesia, kita bisa mengikuti Peraturan Menteri Komunikasi dan Informasi (Kominfo) No. 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi. Yang juga penting menurut Ari, perusahaan air minum yang berani menjadikan IT sebagai tulang punggung operasional perusahaan, harus berani berinvestasi pada IT dan terus-menerus meng-upgrade kompetensi SDM pengelolanya.

Suherman menyarankan kepada PDAM kecil dan menengah untuk lebih cermat memelihara, menyimpan, mengamankan, dan mengelola data. Jangan sembarangan memberikan data kepada orang lain, serta sebaiknya membuat perjanjian detil serah-terima data ketika bekerja sama dengan pihak ketiga. Tak lupa, untuk belajar dari PDAM lain yang sudah mapan tata kelola IT-nya.  DA

Tonton diskusinya di Youtube http://youtu.be/dq30lPCdz7A