ANALISIS MANFAAT IMPLEMENTASI SISTEM

KEAMANAN PADA OPERATIONAL TECHNOLOGY

MANAJEMEN INVESTASI TEKNOLOGI INFORMASI

DISUSUN OLEH :
KELOMPOK 2
1. FEBY THEALMA (2206137643)
2. I PUTU EGA SEPTA WIDHIARSA
(2206137731)
PENDAHULUAN
Operational Technology (OT) adalah sekumpulan perangkat keras dan
perangkat lunak untuk memantau dan mengendalikan proses fisik, perangkat,
dan infrastruktur. OT digunakan di berbagai industri termasuk manufaktur,
minyak dan gas, pembangkit dan distribusi listrik, penerbangan, maritim,
kereta api, dan utilitas.
Organisasi manufaktur belum memiliki visibilitas yang diperlukan untuk
mendeteksi dan merespons ancaman secara efektif, terutama terkait aset OT.
Beberapa malware menargetkan OT secara langsung dan berperilaku berbeda
dari malware pada sistem IT. Namun, ransomware untuk sistem IT juga
mempengaruhi OT.

Stuxnet Dragonfly HAVEX

Kerusakan dan kehancuran mesin
produksi menyebabkan:
• Keterlambatan dan penurunan
tingkat produksi
• Kerugian finansial yang
diakibatkan oleh penggantian
mesin
Spionase aktivitas dan pencurian data
perusahaan menyebabkan:
• Kebocoran data rahasia perusahaan
• Perancangan serangan spesifik
berdasarkan data yang diambil
atau diamati

2
TUJUAN DAN MANFAAT
Adapun tujuan dari implementasi sistem keamanan pada OT adalah :
1. Kontinuitas Operasional Produksi, dimana proses produksi dapat berjalan lancar tanpa downtime karena
serangan atau gangguan teknis yang berkaitan dengan siber.
2. Perlindungan aset dan sistem operational technology, mulai dari server, PLC, HMI dan SCADA workstation.
3. Pemisahan jaringan IT dan OT untuk isolasi jaringan yang lebih baik, sehingga terhindar dari serangan
eksternal dan juga deteksi intrusi.

Manfaat dari implementasi sistem keamanan pada OT adalah sebagai berikut :

1. Perusahaan dapat mengurangi risiko terjadinya serangan siber (ransomware, malware dan DDos) yang dapat
mengganggu operasional produksi.
2. Perusahaan dapat memastikan mesin dan proses produksi berjalan tanpa gangguan dari sisi serangan siber.
3. Implementasi keamanan juga memastikan perusahaan memastikan kepatuhan terhadap standar industri dan
induk perusahaan.
4. Sistem keamanan yang tangguh mempersiapkan perusahaan untuk mengadopsi teknologi terbaru dengan
risiko yang lebih rendah, memungkinkan inovasi dan pengembangan sistem yang berkelanjutan.

3
 PEMBAHASAN CASE STUDY
Perusahaan, Negara Penjelasan
PT PLN (Persero) UIP2B
PT PLN UIP2B Jamali menerapkan metode yang lebih canggih yang disebut Dual DMZ Firewall Metode.
Jamali, Indonesia (Maulana et
al., 2023) Arsitektur Dual DMZ berfungsi untuk memisahkan antara jaringan IT dan OT dan antara IT dan Wide Area
Jaringan (WAN). Berdasarkan hasil pengujian, implementasi Dual DMZ dapat menjamin tingkat IT dan OT yang
lebih andal keamanan yang mendukung sistem ketenagalistrikan di Indonesia
Procter & Gamble, Amerika
Pendekatan yang ditawarkan oleh TrapX pada P&G merupakan sebuah alat bernama DeceptionGrid. Alat ini
Serikat (TrapX Security, 2019)
bekerja dengan memasang sistem palsu yang serupa dengan sistem produksi untuk mendapatkan visibilitas
terhadap serangan. Sistem palsu yang menjadi umpan bagi penyerang termasuk diantaranya simulasi situs
produksi, workstation, server, dan perangkat lainnya.
Shiraz Power Distribution
Perusahaan ini terlibat dalam berbagai aspek distribusi daya, termasuk pelaksanaan layanan keamanan jaringan
Company, Iran (Sajjadi &
Niknia, 2013) listrik pintar (Smart Power Grid Security Services). Perusahaan ini melakukan implementasi integrasi IT dan OT
untuk meningkatkan keamanan dan efisiensi sistem distribusi daya pada wilayah tersebut. Smart Grid terdiri dari
banyak sistem informasi operasional seperti Energy Management System (EMS), Distribution Management
System (DMS), Supervisory Control and Data Acquisition (SCADA), Advanced Metering Infrastructure (AMI),
Customer Information System (CIS) dan Outage Management Sistem (OMS)

4
 PEMBAHASAN CASE STUDY
Perusahaan, Negara Manfaat
PT PLN (Persero) UIP2B Jamali,
Indonesia
- Penerapan dual DMZ bisa menurunkan angka tinggi tingkat keparahan ancaman hingga 99,98%, kerentanan hingga 99,98%, dan
spyware hingga 100%.
- Implementasi DMZ ganda juga mengurangi penipuan dan mengeksploitasi ancaman hingga 100% dan kode eksekusi hingga
99,98%.
- Pemisahan jaringan OT yang mengontrol infrastruktur kritis dari jaringan IT yang lebih rentan terhadap serangan cyber, yang
dapat mengurangi risiko serangan cyber yang berhasil masuk menuju jaringan OT untuk distribusi listrik.
- Kebijakan kontrol akses yang lebih ketat. Hanya lalu lintas eksplisit yang diizinkan yang dapat melewati DMZ ke jaringan OT,
sehingga memastikan bahwa hanya komunikasi yang diperlukan dan aman yang diizinkan untuk masuk. Hal ini dilakukan dengan
memblokir atau mengizinkan lalu lintas data berdasarkan aturan yang ditetapkan, seperti alamat IP, port, dan protokol, yang
memastikan hanya komunikasi yang aman dan terdaftar yang diizinkan.

Procter & Gamble, Amerika Serikat

- Waktu kerja 12 jam per hari berkurang menjadi 10 jam per hari karena pemantauan terhadap jaringan dapat dilakukan dengan
lebih efisien.
- Meningkatkan efisiensi produksi dengan adanya deteksi terhadap miskonfigurasi yang berdampak pada efisiensi.
- Peningkatan deteksi keamanan meminimalisir kerugian finansial Procter & Gamble akibat pencurian atau penghancuran aset
penting perusahaan.
- Analisis real-time yang canggih memungkinkan pusat operasi keamanan siber mengambil tindakan tindakan segera terhadap
ancaman.
- Sifat sistem keamanan yang bergerak secara pasif dalam lingkungan manufaktur mengurangi resistensi operasional pabrik untuk
menerapkan teknologi baru dan tidak mengganggu aktivitas operasional pabrik yang sedang berjalan.

Shiraz Power Distribution Company, - Pendekatan komprehensif terhadap distribusi dan pengelolaan listrik, termasuk fokus pada integrasi IT dan OT canggih untuk
Iran keamanan memastikan distribusi daya yang andal dan aman di Shiraz dan sekitarnya
- Integrasi yang lebih baik antara IT dan OT memastikan bahwa sistem keamanan jaringan listrik pintar memenuhi standar
keamanan yang ketat, sejalan dengan peraturan dan standar pemerintah.
5
KESIMPULAN – MANFAAT BERDASARKAN CASE STUDY
PT PLN (Persero) UIP2B
N/A
Minimalisir risiko dampak serangan dari
IT yang dapat berpengaruh ke OT
Penurunan tingkat keparahan dan risiko
eksploitasi ancaman hingga 100%
Minimalisir risiko serangan yang berasal
dari unauthorized dan insecure access
N/A
N/A
Procter & Gamble (P&G) Shiraz Power Distribution
Efisiensi waktu produksi Peningkatan produksi dan distribusi
dengan integrasi keamanan untuk IT dan
N/A
OT
N/A
Peningkatan deteksi dan waktu respon
terhadap ancaman
N/A
Pemenuhan kepatuhan terhadap standar
N/A
dan regulasi pemerintah
Tidak ada gangguan terhadap proses
produksi dari proses implementasi sistem N/A
keamanan
6
 REFERENSI
1) Chandia, R., Gonzalez, J., Kilpatrick, T., Papa, M., & Shenoi, S. (2007). Security strategies for SCADA networks. IFIP International Federation for Information
Processing, 253. https://doi.org/10.1007/978-0-387-75462-8_9
2) Dragos. (n.d.). Crashoverride Analysis of the threat to Electric Grid Operations. Retrieved March 17, 2024, from
https://www.dragos.com/wp-content/uploads/CrashOverride-01.pdf
3) Eduard Kovacs. (2014, May 24). Attackers Using Havex RAT Against Industrial Control Systems. https://www.securityweek.com/attackers-using-havex-rat-
against-industrial-control-systems/
4) Fortinet. (n.d.-a). What Is Eavesdropping? Retrieved March 17, 2024, from https://www.fortinet.com/resources/cyberglossary/eavesdropping
5) Fortinet. (n.d.-b). What is OT Security? Retrieved March 17, 2024, from https://www.fortinet.com/solutions/industries/scada-industrial-control-systems/what-
is-ot-security
6) Fortinet. (2024). 2023 State of Operational technology and Cybersecurity Report. https://www.fortinet.com/content/dam/fortinet/assets/reports/report-state-
ot-cybersecurity.pdf
7) Ghosh, S., & Sampalli, S. (2019). A Survey of Security in SCADA Networks: Current Issues and Future Challenges. In IEEE Access (Vol. 7).
https://doi.org/10.1109/ACCESS.2019.2926441
8) Ian Andersen. (2023, November 22). The 12 Most Common Types of Cyber Security Attacks Today. https://blog.netwrix.com/types-of-cyber-attacks
9) i-SCOOP. (n.d.). Operational technology (OT) – definitions and differences with IT. Retrieved March 17, 2024, from
https://www.i-scoop.eu/industry-4-0/operational-technology-ot/
10) Kalluri, R., Mahendra, L., Kumar, R. K. S., & Prasad, G. L. G. (2017). Simulation and impact analysis of denial-of-service attacks on power SCADA. 2016
National Power Systems Conference, NPSC 2016. https://doi.org/10.1109/NPSC.2016.7858908
11) Kanamaru, H. (2021). The Extended Risk Assessment Form for IT/OT Convergence in IACS Security. 2021 60th Annual Conference of the Society of
Instrument and Control Engineers of Japan, SICE 2021.
12) Mark Bristow. (2021). A SANS 2021 Survey: OT/ICS Cybersecurity.
13) Maulana, A. H., Ari Suyasa, I. G. P., & Kurniawan, E. (2023). Analysis of the Demilitarized Zone Implementation in Java Madura Bali Electrical Systems to
Increase the Level of IT/OT Cyber Security With the Dual DMZ Firewall Architecture Method. 2023 International Conference on Smart Applications,
Communications and Networking, SmartNets 2023. https://doi.org/10.1109/SmartNets58706.2023.10215960
14) Pratama, R. Y. (2016). Penggunaan Cyberwar Melalui Stuxnet Project Oleh Amerika Serikat dalam Merespon Perkembangan Proyek Nuklir Iran di Natanz.
Jurnal Analisis Hubungan Internasional, 5(2).
15) Saito, T., Takahashi, S., Sato, J., Matsunoki, M., Kanmachi, T., Yamada, S., & Yajima, K. (2023). Development of Cyber Ranges for Operational Technology.
2023 8th International Conference on Business and Industrial Research, ICBIR 2023 - Proceedings. https://doi.org/10.1109/ICBIR57571.2023.10147612
16) Sajjadi, M., & Niknia, B. (2013). Smart power grid security services: Risk management approach considering both of and it domains case study: Shiraz
power distribution company. IET Conference Publications, 2013(615 CP). https://doi.org/10.1049/cp.2013.1099
17) Sommestad, T., Ericsson, G. N., & Nordlander, J. (2010). SCADA system cyber security - A comparison of standards. IEEE PES General Meeting, PES 2010.
https://doi.org/10.1109/PES.2010.5590215
7
 APPENDIX (IF NEEDED)!
TARGET

CASE STUDY