e-ISSN 2476-9266
p-ISSN: 2088-9402
Naskah Diterima: 15 April 2016; Direvisi: 23 Agustus 2016; Disetujui: 25 September 2016
Abstrak
SCADA (Pengawas Control dan Data Acquisition) sistem sebagai unit kontrol smart grid telah digunakan di hampir
berbagai industri di seluruh dunia dalam hal sistem otomatisasi. smart grid menggabungkan infrastruktur energi dan
telekomunikasi dan jaringan Internet. Sistem ini memberikan kemudahan operasional dan efisiensi dalam industri.
Namun, sistem memiliki banyak kerentanan dalam aspek keamanan informasi yang dapat berdampak besar bagi industri
dan bahkan ekonomi. Penelitian ini mencoba untuk merancang dalam membangun keamanan jaringan maya pintar, itu
termasuk strategi yang harus dilakukan dan informasi sistem keamanan arsitektur yang akan dibangun. Penelitian
dilakukan kualitatif wawancara mendalam, diskusi kelompok terfokus dan observasi langsung. Hasil dari penelitian ini
adalah rekomendasi strategi desain pada pengembangan keamanan smart grid cyber. Rekomendasi penelitian ini juga
dimaksudkan sebagai kerangka saran-membuat untuk keamanan smart grid cyber sebagai acuan pelaksanaan smart grid
di Indonesia.
Abstract
SCADA (Supervisory Control and Data Acquisition) systems as the control unit of the smart grid has been used in almost
various industries around the world in terms of automation systems. Smart grid technology combines the energy
infrastructure and telecommunications and Internet networks. The system provides the operational ease and efficiency
in the industry. However, the system has a lot of vulnerabilities in information security aspects that can have a major
impact for the industry and even the economy. This study tried to design in building a smart grid cyber security, it
includes the strategies that must be done and the information security system architecture to be built. The study was
conducted qualitative in-depth interviews, focus group discussions and direct observation. Results of this research are
the design strategy recommendations on the development of smart grid cyber security. Recommendation of this study
also intended as a suggestion-making framework for smart grid cyber security as a reference implementation of the
smart grid in Indonesia.
Sistem SCADA digunakan hampir berbagai diperlukan suatu panduan dokumen yang
industri di dunia, namun para stakeholder menguraikan isu-isu keamanan dunia maya (cyber
kebanyakan tidak menyadari pentingnya hal space) berkaitan dengan infrastruktur informasi
60
Peningkatan Keamanan Supervisory Control And Data Acquisition (SCADA) Pada Smart Grid… (Ahmad Budi Setiawan)
panduan dokumen yang menguraikan isu-isu konsep yang berhubungan dengan kesiapan dan
keamanan dunia maya (cyberspace) berkaitan respon terhadap insiden serius yang melibatkan
dengan infrastruktur informasi smart grid.Secara infrastruktur kritis suatu wilayah atau bangsa.
garis besar penelitian ini mencoba melakukan Bahwa ketidakmampuan atau penghancuran sistem
perancangan bagaimana membagun smartgrid cyber tersebut dan aset akan memiliki dampak
security, hal ini termasuk bagaimana strategi yang melemahkan keamanan negara, keamanan ekonomi
harus dilakukan, bagaimanaarsitektur yang harus nasional, kesehatan masyarakat secara nasional dan
dibangun dan bagaimana tahapan migrasi yang keselamatan suatu bangsa. Sistem dan jaringan yang
harus dijalankan. Hasil penelitian ini adalah membentuk infrastruktur secara nasional biasanya
rekomendasi peningkatan keamanan SCADA dalam merupakan suatu sistem utuh yang kuat, namun
pengembangan smart grid cyber security. gangguan pada salah satu sistem dapat memiliki
Rekomendasi hasil penelitian ini juga bertujuan konsekuensi yang berbahaya bagi sektor lain Keith
sebagai rekomendasi pembuatan kerangka kerja Stouffer (2011) dalam National Institute of Standard
(framework) untuk smart grid cyber securitysebagai and Technology (2007)
bahan acuan penerapan smart grid di Indonesia.
61
Jurnal Penelitian Pos dan Informatika, Vol.6 No 1 September 2016 : 59 - 78
62
Peningkatan Keamanan Supervisory Control And Data Acquisition (SCADA) Pada Smart Grid… (Ahmad Budi Setiawan)
HMI (Human Machine Interface): Menampilkan penelitian, agar peneliti memperoleh pemahaman
data pada suatu perangkat yang komunikatif dan jelas tentang realitas dan kondisi kehidupan nyata.
animatif, menyediakan antarmuka komunikasi Sedangkan studi kasus adalah uraian dan penjelasan
antara mesin dengan manusia (operator). komprehensif mengenai aspek seorang individu,
Protokol komunikasi: sebuah aturan atau standar suatu kelompok, suatu organisasi (komunitas), suatu
yang mengatur atau mengijinkan terjadinya program, atau suatu situasi sosial. Peneliti studi
hubungan, komunikasi, dan perpindahan data kasus berupaya menelaah sebanyak mungkin data
antara dua atau lebih titik komputer. mengenai subjek yang diteliti.
Database Server: mencatat data pengendalian Tahap-tahap penelitian
Adapun keuntungan penggunaan SCADA adalah: Dalam penelitian terdapat dua tahap penelitian,
Mampu mengendalikan proses-proses yang yaitu :
63
Jurnal Penelitian Pos dan Informatika, Vol.6 No 1 September 2016 : 59 - 78
kesiapanya untuk wawancara dan berdiskusi. dianggap relevan sehingga dapat memberikan data
Setelah subjek bersedia untuk diajak wawancara tambahan terhadap hasil wawancara.
dan berdiskusi, peneliti membuat kesepakatan
dengan subjek tersebut mengenai waktu dan tempat HASIL DAN PEMBAHASAN
untuk melakukan diskusi.
Infrastruktur listrik secara tradisional dilihat dari
Tahap pelaksanaan penelitiaan segi pembangkit listrik stasiun pusat menyediakan
Peneliti membuat kesepakatan dengan informan listrik kepada pelanggan atau konsumen.Secara
mengenai waktu dan tempat untuk melakukan tradisional di fasilitas pelanggan, beban disajikan
wawancara dan diskusi berdasarkan pedoman yang tanpa banyak administrasi atau kontrol terhadap
dibuat. Setelah wawancara dan diskusi dilakukan, konsumsi listrik selain berjalan dan metering
peneliti memindahakan hasil rekaman berdasarkan perangkat listrik atau peralatan. Sebagai teknologi
diskusi dalam bentuk tertulis. Selanjutnya peneliti mulai berkembang, pengelolaan dan pengendalian
melakukan analisis data dan interprestasi data sesuai peralatan dan beban berevolusi. Hal ini termasuk
dengan langkah-langkah yang dijabarkan pada peralatan dan beban yang baik diatur untuk
bagian metode analisis data di akhir bab ini. beroperasi pada jadwal atau yang memonitor
parameter tertentu dan akan mengkomunikasikan
Teknik Pengumpulan Data informasi tersebut untuk controller (peralatan atau
Dalam penelitiaan ini, peneliti menggunakan 3 orang) untuk sengaja mempekerjakan beberapa
teknik pengumpulan data, yaitu : metode atau cara untuk mengelola konsumsi listrik
1. In-depth Interview atau pengirimannya.
Wawancara mendalam (indeepth interview) Sebagai teknologi berkembang lebih lanjut,
dilakukan oleh dua pihak yaitu komunikasi antara sumber daya didistribusikan (baik generator dan
peneliti dengan informan. sistem penyimpanan listrik) yang saling
berhubungan dengan sistem kekuasaan.Hari ini,
2. Observasi
komunikasi dan sistem informasi memungkinkan,
Disamping diskusi, penelitian ini juga melakukan
sistem tenaga yang lebih cerdas modern. Terpadu,
metode observasi dengan melakukan pengamatan
sepenuhnya otomatis pendekatan smart grid dapat
dan pencatatan secara sistimatik terhadap unsur-
memungkinkan pilihan produktif untuk kedua
unsur yang tampak dalam suatu gejala atau gejala-
operator utilitas dan pelanggan untuk meningkatkan
gejala dalam objek penelitian.
keandalan sistem tenaga, pemanfaatan aset, dan
Dalam penelitian ini observasi dibutuhkan efisiensi, dengan cara yang aman.
untuk dapat memehami proses terjadinya diskusi Supervisory Control and Data Acquisition
dan hasil diskusi dapat dipahami dalam konteksnya. (SCADA) merupakan sistem yang biasanya
Observasi yang akan dilakukan adalah observasi digunakan untuk pemantauan dan pengendalian
terhadap subjek, perilaku subjek selama wawancara, operasi yang berlokasi jauh secara geografis.
interaksi subjek dengan peneliti dan hal-hal yang Meskipun sistem SCADA digunakan pada hampir
64
Peningkatan Keamanan Supervisory Control And Data Acquisition (SCADA) Pada Smart Grid… (Ahmad Budi Setiawan)
berbagai industri di dunia, namun para stakeholder Outage Management System/ Distribution
kebanyakan tidak menyadari pentingnya hal Management
tersebut terkait kerentanan dari sistem SCADA. Sistem dari DISCOM
Sistem SCADA yang digunakan untuk mengontrol Advanced Metering Infrastructure (AMI)
aset tersebar menggunakan akuisisi data terpusat 2. Teknologi informasi untuk fungsi bisnis
dan kontrol pengawasan. Sistem kontrol sangat Metering, penagihan dan penyimpanan data
penting untuk pengoperasian infrastruktur smart Web Portal konsumen
grid yang mana sistem yang sangat saling Sistem IT untuk internal organisasi
berhubungan dan saling bergantung menurut P. A. 3. Sistem komunikasi untuk koordinasi
Metin Ozturk (2011) dalam Sauver (2004). Komunikasi antara operator dan
Area Smart grid dimana ancaman siber sangat komunikasi data
berpeluang untuk terjadi:
Node pertukaran / pengolahan data
1. Teknologi Informasi untuk sistem operasi
Gambar berikut ini menunjukkan potensi lokasi
Sistem Grid SCADA
serangan siber pada Smart grid
Sistem Data Acquisition System (DAS)
65
Jurnal Penelitian Pos dan Informatika, Vol.6 No 1 September 2016 : 59 - 78
Hal tersebut dapat terjadi di Pembangkit Listrik, serangan dari masing-masing jenis serangan
transmisi maupun sistem distribusi. Damapak tersebut dapat dilihat pada Tabel 1 berikut ini
Tabel 1. Dampak Serangan Keamanan Smart grid
Ancaman siber juga berkembang dan menjadi membuat " Black Out dan chaos" dalam
sangat canggih. Advanced Persistent Threats (APT) kegiatan ekonomi dan bisnis, kegiatan
adalah ilustrasi yang baik dari perkembangan politik dan kegiatan sosial.
ini.Bukan hanya terkait penyerang amatir, tetapi Mengambil lebih banyak waktu digunakan
penyerang profesional yang sangat terampil dan untuk mengurangi atau menghilangkan
terorganisir mampu melancarkan serangan yang situasi"Chaos"
kompleks dan terkoordinasi dengan menggunakan Sistem kontrol smart grid memiliki sedikit
alat-alat canggih. Banyak jenis ancaman cyber yang kemiripan dengan sistem teknologi informasi
terkenal: tradisional, dimana smart grid merupakan sistem
Hijack terisolasi yang sering kali menggunakan protokol
Malware kontrol eksklusif menggunakan perangkat keras
Denial of service (DOS) khusus dan perangkat lunak khusus. Namun saat ini
Distributed denial of service (DDOS). sudah mulai banyak yang memakai perangkat
Dampak Serangan siber di Smart grid Internet Protocol (IP) yang menggantikan solusi
Serangan siber menyebabkan gangguan proprietary, yang meningkatkan kemungkinan
listrik pada infrastruktur Smart grid terkait terjadinya kerentanan dan insiden keamanan siber
operasional pasokan energi dan akan menurut Adam Hahn (2013) dalam K. Zedda (2010)
66
Peningkatan Keamanan Supervisory Control And Data Acquisition (SCADA) Pada Smart Grid… (Ahmad Budi Setiawan)
Meskipun beberapa karakteristik yang mirip, SMART GRID terinfeksi dengan malware, yang
smart grid juga memiliki karakteristik yang berbeda bisa memiliki berbagai efek negatif
dari sistem pengolahan informasi tradisional.
Interferensi dengan pengoperasian sistem
Beberapa perbedaan SMART GRID adalah bahwa
keselamatan, yang bisa membahayakan kehidupan
SMART GRID ketika terjadi eksekusi memiliki
manusia.
pengaruh langsung terhadap dunia fisik. Beberapa
Tujuan keamanan utama dalam implementasi
karakteristik ini meliputi risiko yang signifikan
SMART GRID harus mencakup sebagai berikut:
terhadap kesehatan dan keselamatan jiwa manusia
Membatasi akses logis untuk jaringan SMART
dan kerusakan serius pada lingkungan, serta isu-isu
GRID dan aktivitas jaringan. Ini termasuk
keuangan serius seperti kerugian industry akibat
menggunakan zona demiliterisasi (DMZ)
tidak ada pasokan listrik, dampak negatif terhadap
arsitektur jaringan dengan firewall untuk
perekonomian suatu negara.
mencegah lalu lintas jaringan dari lewat
Ancaman terhadap sistem kontrol dapat datang
langsung antara jaringan perusahaan dan SMART
dari berbagai sumber, termasuk negara musuh,
GRID, dan memiliki mekanisme otentikasi
kelompok teroris, karyawan yang tidak puas,
terpisah dan mandat untuk pengguna jaringan
penyusup yang berbahaya, kompleksitas
perusahaan dan SMART GRID. SMART GRID
operasional, kecelakaan operasional, bencana alam
juga harus menggunakan topologi jaringan yang
serta tindakan berbahaya atau tidak disengaja oleh
memiliki beberapa lapisan, dengan komunikasi
karyawan. Tujuan keamanan SMART GRID
yang paling penting terjadi pada lapisan yang
mengikuti prioritas ketersediaan, integritas dan
paling aman dan dapat diandalkan.
kerahasiaan. Insiden SMART GRID yang mungkin
Membatasi akses fisik ke jaringan SMART GRID
sebagai berikut:
dan perangkat. Akses fisik tidak sah ke
Diblokir atau tertunda arus informasi melalui
komponen bisa menyebabkan gangguan serius
jaringan SMART GRID, yang bisa mengganggu
fungsi SMART GRID ini. Kombinasi kontrol
pengoperasian SMART GRID
akses fisik harus digunakan, seperti kunci,
Perubahan tidak sah terhadap instruksi, perintah,
pembaca kartu, dan/atau penjaga.
atau ambang batas alarm, yang dapat merusak,
Melindungi komponen SMART GRID dari
melumpuhkan,atau mematikan peralatan,
eksploitasi. Ini termasuk pemakaian patch
membuat dampak lingkungan, dan/atau
keamanan setelah pengujian di sesuai kondisi
membahayakan kehidupan manusia
lapangan; menonaktifkan semua port dan
Informasi yang tidak akurat dikirim ke operator
layanan yang tidak digunakan; membatasi hak
sistem, baik untuk menyamarkan perubahan
akses SMART GRID untuk hanya mereka yang
tidak sah, atau menyebabkan operator untuk
diperlukan sesuai peran masing-masing orang;
melakukan tindakan yang tidak sesuai, yang bisa
pelacakan dan pemantauan audit; dan
memiliki berbagai efek negatif
menggunakan kontrol keamanan seperti
Pengaturan SMART GRID perangkat lunak atau
perangkat lunak antivirus dan integritas
konfigurasi diubah, atau perangkat lunak
67
Jurnal Penelitian Pos dan Informatika, Vol.6 No 1 September 2016 : 59 - 78
perangkat lunak di mana secara teknis layak nasional, smart grid merupakan salah satu
untuk mencegah, mendeteksi, dan mengurangi infrastruktur kritis. Dalam memenuhi tanggung
malware. jawab tersebut harus dilakukan assessment terhadap
Mempertahankan fungsi selama kondisi buruk. organisasi terkait jaringan SCADA untuk
Hal ini bagaimana merancang SMART GRID mengembangkan pemahaman mendalam tentang
sehingga setiap komponen kritis memiliki jaringan SCADA dan langkah-langkah yang
cadangan atau backup komponen. Selain itu, jika diperlukan untuk mengamankan jaringan SCADA
komponen gagal, maka harus berhenti dengan E. Nickolov (2005, pp. 105 – 119).
cara yang tidak menghasilkan lalu lintas Langkah-langkah terkait teknis dalam upaya
informasi yang tidak perlu pada SMART GRID peningkatan keamanan jaringan SCADA:
atau jaringan lain, atau tidak menyebabkan a. Identifikasi semuakoneksi ke jaringanSCADA.
masalah lain di tempat lain. Melakukan analisis risiko menyeluruh untuk
Sistem pemulihan setelah insiden. Insiden yang tak menilai risiko dan kebutuhan masing-masing
terelakkan dan rencana respon insiden adalah hal koneksi ke jaringan SCADA. Melakukan analisis
penting. Karakteristik utama dari program secara komprehensif terkait setiap koneksi ke
keamanan yang baik adalah seberapa cepat sistem jaringan SCADA. Mengidentifikasi dan
dapat dipulihkan setelah insiden terjadi. mengevaluasijenis berikut sambungan:
Menangani keamanan SMART GRID sangat perlu Jaringan lokal dan jaringan secara lebih luas
organisasi untuk membentuk tim khusus keamanan seperti WAN atau MAN
siber. Program keamanan siber yang efektif untuk Perangkat internet jaringan nirkabel, termasuk
SMART GRID harus menerapkan strategi yang uplink satelit
dikenal sebagai defense-in-depth, lapisan Modem atau koneksi dial-up
mekanisme keamanan sehingga dampak dari Koneksi kemitra bisnis, vendor atau badan
kegagalan dalam satu mekanisme dapat pengatur atau badan pengawas
diminimalkan.
b. Koneksi yang tidak perlu segera diputus dari
A. Peningkatan Keamanan Jaringan SCADA
jaringanSCADA.
Penelitian ini mencoba mengembangkan langkah
Untuk memastikan tingkat keamanan tertinggi
untuk membantu setiap organisasi meningkatkan
dari sistem SCADA, mengisolasi jaringan SCADA
keamanan jaringan SCADA. Langkah-langkah ini
dari jaringan lain merupakan hal yang masuk akal.
tidak dimaksudkan untuk menjadi preskriptif atau
Setiap koneksi kejaringan lainyang menimbulkan
all-inclusive. Namun, menangani tindakan penting
risiko keamanan harus segera diputus dari jaringan
yang harus diambil untuk meningkatkan
SCADA, isolasi jaringan SCADA harus menjadi
perlindungan jaringan SCADA.
tujuan utama untuk memberikan perlindungan yang
Pemerintah pusat memainkan peran kunci dalam
diperlukan. Strategi seperti pemanfaatan "zona
melindungi infrastruktur kritis bangsa sebagai
demiliterisasi" (DMZ) dan data warehousing dapat
bagian dari strategi keamanan dan ketahanan
memfasilitasi transfer data yang aman dari jaringan
68
Peningkatan Keamanan Supervisory Control And Data Acquisition (SCADA) Pada Smart Grid… (Ahmad Budi Setiawan)
SCADA untuk jaringan bisnis. Namun harus manfaat dari layanan/fitur jauh lebih besar dari
dirancang dan implementasi dengan benar untuk pada potensi eksploitasi kerentanan.
menghindari muncul risiko tambahan melalui
konfigurasi yang tidak benar. e. Tidak mengandalkan protokol proprietary
c. Mengevaluasi dan memperkuat keamanan untuk melindungi sistem SCADA.
koneksi yang tersisa ke jaringan SCADA. Beberapa sistem SCADA merupakan unik,
Melakukan pengujian penetrasi atau analisis protokol proprietary yang digunakan untuk
kerentanan koneksi yang tersisa ke jaringan komunikasi antara perangkat di lapangan dengan
SCADA untuk mengevaluasi terkait perlindungan server. Seringkali keamanan sistem SCADA hanya
pada jaringan tersebut. Hasil pengujian akan didasarkan pada kerahasiaan protokol ini.
menjadi bahan evaluasi untuk manajemen risiko. f. Menerapkan fitur keamanan yang disediakan
Ketika terjadi adanya indikasi kelemahan pada oleh perangkat dan sistem vendor.
jaringan SCADA diharapkan untuk Kebanyakan sistem SCADA yang lebih tua
mengimplementasikan firewall, sistem deteksi (kebanyakan sistem yang saat ini digunakan) tidak
intrusi (IDS/IPS), honeypot untuk SCADA dan memiliki fitur keamanan sama sekali. Pemilik
langkah-langkah keamanan lain yang sesuai dengan sistem SCADA harus bersikeras bahwa penjual
praktisi terbaik. Manajemen organisasi harus sistem menerapkan fitur keamanan dalam bentuk
memahami dan menerima tanggung jawab atas patch atau upgrade produk. Beberapa perangkat
risiko yang terkait dengan koneksi ke jaringan SCADA dioperasionalkan dengan fitur keamanan
SCADA. dasar, tapi ini biasanya dinonaktifkan untuk
memastikan kemudahan instalasi. Menganalisis
d. Mempertegas jaringan SCADA dengan
setiap perangkat SCADA untuk menentukan apakah
menghapus atau menonaktifkan layanan yang
fitur keamanan telah tersedia. Selain itu, Pada dunia
tidak perlu.
industri terkait keamanan (seperti firewall) sering
Server kontrol SCADA yang dibangun di atas
diatur untuk memberikan kegunaan yang maksimal,
sistem operasi komersial atau open source dapat
tetapi meminimalkan keamanan. Atur semua fitur
terkena serangan melalui layanan jaringan yang
keamanan untuk memberikan tingkat keamanan
masih dalam kondisi setting standar. Hal yang
maksimum.
dapat dilakukan yaitu menghapus layanan yang
g. Menetapkan kontrol yang kuat atas media yang
tidak digunakan dan daemon jaringan yang tidak
digunakan sebagai backdoor ke jaringan
diperlukan untuk mengurangi risiko serangan
SCADA.
langsung. Hal ini sangat penting ketika jaringan
Backdoors atau koneksi ke vendor memang ada
SCADA saling berhubungan dengan jaringan lain.
dalam sistem SCADA, otentikasi yang kuat harus
Jangan membiarkan layanan atau fitur pada
dilakukan untuk memastikan komunikasi yang
jaringan SCADA kecuali penilaian risiko
aman. Modem, jaringan nirkabel, dan jaringan kabel
menyeluruh sehingga konsekuensi yang
digunakan untuk komunikasi dan terkait kebutuhan
memungkinkan layanan fitur menunjukkan bahwa
perawatan merupakan kerentanan yang signifikan
69
Jurnal Penelitian Pos dan Informatika, Vol.6 No 1 September 2016 : 59 - 78
terhadap jaringan SCADA. Serangan “war dialing” memecahkan masalah sistemik, tetapi akan
atau “war driving” dapat memungkinkan penyerang menghilangkan lubang keamanan yang
untuk memotong semua kontrol dan memiliki akses memungkinkan seorang penyerang bisa
langsung ke jaringan SCADA atau sumber daya mengeksploitasi. Menganalisis kerentanan yang
penting. Untuk meminimalkan risiko serangan diidentifikasi untuk menentukan signifikansi, dan
tersebut, menonaktifkan akses inbound dan mengambil tindakan perbaikan yang sesuai.
menggantinya dengan beberapa jenis sistem Melacak tindakan perbaikan dan menganalisa
callback. informasi untuk mengidentifikasi tren yang terjadi.
h. Menerapkan sistem deteksi intrusi secara j. Melakukan survei keamanan fisik dan menilai
internal dan eksternal dan membangun 24 jam semua situs remote yang terhubung ke jaringan
sehari terkait pemantauan insiden. SCADA untuk mengevaluasi keamanan.
Untuk dapat secara efektif menangani serangan Setiap lokasi yang memiliki koneksi ke jaringan
siber, membangun strategi deteksi intrusi yang SCADA adalah target, situs remote baik yang tidak
mencakup memperingatkan administrator jaringan terjaga atau terjaga. Melakukan survei keamanan
terkait aktivitas jaringan berbahaya yang berasal dan akses persediaan titik fisik pada setiap fasilitas
dari sumber internal atau eksternal. Monitoring yang memiliki koneksi ke sistem SCADA.
sistem deteksi intrusi sangat penting dilakukan 24 Mengidentifikasi dan menilai sumber informasi
jam sehari. Selain itu, prosedur penanganan insiden termasuk telepon jarak jauh/jaringan
harus berada di lokasi untuk memungkinkan komputer/kabel serat optik yang dapat disadap;
tanggapan yang efektif terhadap serangan apapun. radio dan microwave link yang dimanfaatkan;
Untuk melengkapi jaringan pemantauan, terminal komputer yang dapat diakses; dan area
mengaktifkan logging pada semua sistem dan log akses titik jaringan nirkabel lokal. Keamanan situs
sistem audit setiap hari untuk mendeteksi aktivitas harus memadai untuk mendeteksi atau mencegah
yang mencurigakan sesegera mungkin. akses yang tidak sah.
i. Lakukan audit teknis perangkat SCADA dan k. Membangun Tim Tanggap Darurat untuk
jaringan, dan jaringan lain yang terhubung, mengidentifikasi dan mengevaluasi skenario
untuk mengidentifikasi masalah keamanan. serangan.
Audit teknis dari perangkat SCADA dan Membentuk "Tim Tanggap Darurat" untuk
jaringan sangat penting untuk efektivitas keamanan mengidentifikasi skenario serangan potensial dan
yang sedang berlangsung. Banyak alat-alat mengevaluasi kerentanan sistem potensial. Tim
keamanan komersial dan open source yang tersedia terdiri dari beberapa individu yang dapat
yang memungkinkan administrator sistem untuk memberikan wawasan tentang kelemahan jaringan
melakukan audit sistem/jaringan untuk secara keseluruhan, sistem SCADA, sistem fisik,
mengidentifikasi layanan aktif, patch, dan dan kontrol keamanan. Orang-orang yang bekerja
kerentanan umum. Penggunaan alat ini tidak akan pada sistem setiap hari melakukan eksplorasi ke
70
Peningkatan Keamanan Supervisory Control And Data Acquisition (SCADA) Pada Smart Grid… (Ahmad Budi Setiawan)
71
Jurnal Penelitian Pos dan Informatika, Vol.6 No 1 September 2016 : 59 - 78
Secara detail alur pengerjaan dijelaskan di bawah saja yang kritikal dan tidak kritikal dan evaluasi
ini; risiko.
Tahap I : Penentuan Kontek Tahap III : Risk Treatment
bertujuan untuk melakukan identifikasi Proses penentuan respon terhadap risiko yang
permasalahan. Setelah permasalahan berhasil ada. Selanjutnya respon-respon yang diidentifikasi,
diidentifikasi selanjutnya mengumpulkan seluruh dilakukan filter untuk menentukan respon yang
data obyek studi kasus dan literatur yang terkait. tepat sesuai kontek. Tahap selanjutnya merupakan
Data tersebut terdiri atas data kualitatif, dokumen penentuan kontrol. Diawali dengan penyusunan
pendukung dan literatur yang terkait. Pada tahapan daftar kontrol, mengintegrasikan antara respons
ini juga dilakukan penentuan kontek terkait risiko, terhadap risiko dengan kontrol, menetapkan
mencakup filosofi manajemen risiko di SCADA kategori kontrol.
pada infrastruktur kritis, risk appetite, struktur Tahap IV : Information and Communication
organisasi, matriks RACI (Responsible, Tahap ini dilakukan untuk menjaga kesesuaian
Accountable, Consulted, Informed). manajemen proses bisnis dengan tujuan dan sasaran
Tahap II : Risk Assessment strategik. Mekanisme aliran informasi dan
Merupakan proses pengembangan manajemen komunikasi yang terjadi pada setiap level akan
risiko, hal yang dilakukan adalah identifikasi risiko, dirancang pada tahap ini.
baik risiko inherent maupun risiko residual; Tahap V : Monitoring
Analisis risiko, yang mencakup pemetaan risiko, Pada tahap ini dirancang mekanisme monitoring
penghitungan likelihood untuk melihat risiko mana dalam implementasi manajemen risiko secara
berkala.
72
Peningkatan Keamanan Supervisory Control And Data Acquisition (SCADA) Pada Smart Grid… (Ahmad Budi Setiawan)
73
Jurnal Penelitian Pos dan Informatika, Vol.6 No 1 September 2016 : 59 - 78
dengan catatan selalu dipelihara dan ditujukan untuk diaplikasikan pada semua
(terdokumentasi). organisasi tanpa memperhatikan jenis, ukuran, dan
c. Kontrol Teknis sifatnya. Persyaratan yang ditetapkan di klausul 4
Kontrol teknis adalah penanggulangan keamanan sampai 10 wajib dilaksanakan oleh organisasi untuk
untuk SCADA yang terutama diterapkan dan mendapat kesesuaian terhadap standar ini. Adapun
dieksekusi oleh sistem melalui mekanisme yang Klausul dalam ISO/IEC 27001: 2013 terdiri dari 7
terkandung dalam perangkat keras, perangkat lunak, klausul yaitu:
atau firmwaredari komponen sistem. Empat jenis Klausul 4 Konteks Organisasi
pengawasan di kontrol teknis: Klausul 5 Kepemimpinan
Identifikasi dan Otentikasi: proses verifikasi Klausul 6 Perencanaan
identitas pengguna, proses, atau perangkat, Klausul 7 Pendukung
melalui penggunaan kredensial tertentu Klausul 8 Operasi
(misalnya, kata sandi, token, biometrik), sebagai Klausul 9 Evaluasi Kinerja
prasyarat untuk memberikan akses ke sumber Klausul 10 Peningkatan
daya dalam sistem TI. ISO/IEC 27004:2009 ini memberikan panduan
Access Control: proses pemberian atau tentang pengembangan dan penggunaan langkah-
menyangkal permintaan khusus untuk langkah dan pengukuran untuk menilai efektivitas
memperoleh dan menggunakan informasi dan diimplementasikan Sistem Manajemen Keamanan
jasa pemrosesan informasi terkait untuk akses Informasi dan kontrol atau kelompok kontrol,
fisik ke area dalam lingkungan sistem informasi. sebagaimana ditentukan dalam ISO / IEC
Audit dan Akuntabilitas: kajian independen dan 27001:2013.
pemeriksaan catatan dan kegiatan untuk menilai
kecukupan pengendalian sistem, untuk PENUTUP
memastikan kepatuhan dengan kebijakan yang Penerapan system manajemen keamanan
ditetapkan dan prosedur operasional, dan untuk informasi pada SCADA di power grid dapat
merekomendasikan perubahan yang diperlukan menggunakan Standar yang mengacu pada ISO/IEC
dalam kontrol, kebijakan, atau prosedur. 27001:2013 (Information Security Management
Sistem dan Perlindungan Komunikasi: System). Disamping itu untuk penerapan prinsip
mekanisme untuk melindungi baik sistem dan manajemen risiko juga dapat mengacu pada Risk
komponen transmisi data. Management Framework (RMF), ISO31000:2009
Penerapan ISO/IEC 27001:2013 dan ISO/IEC (Risk management — Principles and guidelines).
74
Peningkatan Keamanan Supervisory Control And Data Acquisition (SCADA) Pada Smart Grid… (Ahmad Budi Setiawan)
Proses yang dilakukan terdiri atas: penentuan dan meningkatkan suatu Tata Kelola Keamanan
context, penilaian risiko dan perlakuan risiko. Informasi berkelanjutan.
Komponen lain yang tidak dapat dipisahkan dalam 2. Konteks Kepemimpinan: Memastikan kebijakan
proses manajemen risiko adalah komunikasi, dan tujuan Tata Kelola dan Keamanan Informasi
konsultasi, monitoring dan review. Penentuan telah disusun sesuai dengan arah kebijakan
konteks risiko dapat diturunkan dari aset yang strategis organisasi dan memastikan integrasi
dimiliki oleh organisasi dan terkait dengan proses proses Tata Kelola Keamanan Informasi ke
bisnis sistem SCADA. Penilaian risiko dilakukan dalam proses bisnis organisasi.
bertujuan untuk menghasilkan daftar risiko, analisis 3. Perencanaan Konteks: Perusahaan perlu
dan evaluasi risiko yang ada. Perlakuan risiko merencanakan bagaimana mengintegrasikan,
ditentukan sebagai langkah terakhir yang diambil melaksanakan, dan mengevaluasi tindakan
untuk menangani dampak dan kemungkinan apapun proses Tata Kelola Keamanan Informasi
terjadinya risiko yang telah diidentifikasi melalui proses penilaian risiko dan mitigasi
sebelumnya. Proses-proses tersebut merupakan risiko.
langkah-langkah terstruktur dan berkelanjutan 4. Konteks Dukungan: Perusahaan harus
dalam penerapan manajemen risiko untuk SCADA menetapkan dan menyediakan sumber daya yang
pada power grid. diperlukan dalam penyusunan, pelaksanaan,
pemeliharaan dan peningkatan Tata Kelola
Terkait kebijakan pengamanan infrastruktur
Keamanan Informasi berkelanjutan
system elektronik dengan kategori kritis (critical
5. Konteks Operasional: Perusahaan harus
information infrastructure), perlu dibuatkan
menerapkan dan proses kontrol yang diperlukan
kebijakan Pengamanan Infrastruktur sistem
sesuai dengan ketentuan Tata Kelola Keamanan
Elektronik yang merujuk pada Kerangka Kerja
Informasi dan melaksanakan rencana manajemen
Manajemen Risiko, ISO IEC 31000 dan juga Sistem
risiko keamanan informasi.
Manajemen Keamanan Informasi, ISO/IEC
6. Konteks Evaluasi Pelaksanaan: Perusahaan perlu
27001:2013.
melakukan audit internal pada periode
Berdasarkan hasil penilaian kondisi saat Tata
perencanaan untuk memberikan informasi
Kelola Keamanan Informasi yang telah dilakukan,
tentang Tata Kelola Keamanan Informasi dan
dapat diberikan rekomendasi kepada semua pihak
peninjauan Tata Kelola Keamanan Informasi
Perusahaan sebagai berikut:
Pemerintahan pada periode perencanaan untuk
1. Konteks Organisasi: Perusahaan harus
memastikan keberlanjutan, kecukupan dan
menentukan isu-isu eksternal dan internal yang
efektivitas
relevan dengan pencapaian tujuan organisasi dan
Peningkatan Konteks: Perusahaan harus melakukan
menentukan pihak yang terkait dengan
perbaikan Tata Kelola Keamanan Informasi secara
Keamanan Informasi Pemerintahan serta untuk
berkelanjutan oleh tepat, memadai, dan efektif.
mengembangkan, mengoperasikan, memelihara,
Ini akan mencakup kebijakan, manajemen risiko
keamanan informasi, tujuan pengendalian, kontrol,
75
Jurnal Penelitian Pos dan Informatika, Vol.6 No 1 September 2016 : 59 - 78
76
Peningkatan Keamanan Supervisory Control And Data Acquisition (SCADA) Pada Smart Grid… (Ahmad Budi Setiawan)
77
Jurnal Penelitian Pos dan Informatika, Vol.6 No 1 September 2016 : 59 - 78
78