Seperti yang telah kita lihat di artikel saya sebelumnya, Teori RAT mengidentifikasi bagaimana motivasi penyerang merupakan elemen penting dalam menilai ancaman dan bagaimana perlunya menerapkan langkah-langkah perlindungan yang memadai untuk menghindari atau merespons serangan dunia maya.
Demikian pula halnya dengan keamanan siber yang diterapkan pada dunia OT (Operational Technology). standar IEC 62443, yang didasarkan pada prinsip pendekatan risiko, mendefinisikan cara menerapkan perlindungan dengan mengacu pada motivasi penyerang dan risiko kerusakan yang dapat diakibatkan oleh serangan yang berhasil.
Secara khusus, mulai dari analisis risiko yang terkait dengan suatu ancaman, mereka didefinisikan 5 tingkat keamanan yang dapat dilaksanakan, dimulai dari Tingkat Keamanan 0 (tidak ada kebutuhan perlindungan khusus) hingga Tingkat Keamanan 4 (perlindungan maksimum).
Salah satu karakteristik terpenting dari standar IEC62443, yang sering digunakan sebagai referensi untuk infrastruktur OT, adalah mendefinisikan tingkat keamanan tidak hanya untuk masing-masing komponen sistem tetapi juga untuk sistem secara keseluruhan, sebagai gabungan dari teknologi, arsitektur, dan prosedur yang diterapkan.
Fitur penting lainnya dari IEC62443 adalah ia menyediakan Daftar cek untuk definisi Tingkat keamanan, menjadikan evaluasi kemampuan sistem untuk melawan serangan dunia maya menjadi obyektif dan terstandarisasi.
Dan akhirnya konsep Tingkat keamanan mengikuti logika yang sama dengan tingkat keselamatan "SIL" yang digunakan untuk mengevaluasi karakteristik "Keselamatan" ("keamanan fisik" dalam bahasa Italia) yang mengacu pada kemampuan suatu sistem untuk beroperasi terus menerus tanpa menyebabkan kerusakan pada orang atau benda, menurut dengan standar IEC61508 dan IEC61511. Evaluasi dan kepatuhan terhadap tingkat SIL telah diwajibkan selama beberapa waktu, misalnya, untuk sistem pengendalian infrastruktur penting seperti: terowongan kereta api atau jalan raya, pabrik dengan risiko dampak lingkungan yang tinggi, sistem persinyalan.
Mari kita lihat bagaimana tingkat keamanan siber didefinisikan dan bagaimana dalam praktiknya tingkat keamanan ini dapat dicapai dengan menciptakan sistem kontrol industri.
Definisi tingkat keamanan mengacu pada perlindungan yang harus diterapkan untuk memitigasi serangan dari:
SL1: kesalahan yang tidak disengaja yang dilakukan oleh individu yang tergabung dalam organisasi (misalnya kesalahan karyawan);
SL2: serangan sukarela oleh individu yang memiliki sedikit sumber daya, sarana sederhana, motivasi rendah dan pengetahuan umum di bidang sistem kendali industri (ICS) (seperti: penjahat dunia maya, peretas);
SL3: serangan sukarela oleh subjek dengan sumber daya moderat, sarana canggih, motivasi moderat dan pengetahuan khusus di bidang sistem kontrol industri (ICS) (teroris dunia maya dan peretas)
SL4: serangan sukarela oleh individu dengan sumber daya besar, sarana canggih, motivasi tinggi dan pengetahuan khusus di bidang sistem kontrol industri (ICS) (cyber-terrorists, cyber-actions of nation, APT).
Untuk mencapai Tingkat Keamanan, parameter evaluasi yang obyektif telah ditetapkan sehingga memungkinkan untuk melakukan standarisasi evaluasi, dimanapun evaluasi tersebut dilakukan pada tingkat global.
I persyaratan mendasar yang dievaluasi dalam pemeriksaan kesesuaian atau sertifikasi berjumlah 7, yang kemudian diperkaya lagi dengan sejumlah tertentu persyaratan tambahan untuk sampai pada gambaran lengkap tentang karakteristik keselamatan suatu sistem dan/atau produk.
Persyaratan mendasar mengevaluasi seberapa baik kemampuan suatu sistem:
-
Periksa identifikasi dan otorisasi akses
-
Kontrol pengguna dalam operasi mereka
-
Kelola kerahasiaan data
-
Kelola integritas data
-
Kontrol dan batasi aliran data
-
Bereaksi segera terhadap peristiwa berbahaya
-
Memastikan redundansi sistem yang penting
Masing-masing persyaratan mendasar tersebut di atas, sebagaimana telah disebutkan, kemudian diperkaya dengan persyaratan tambahan dan merupakan daftar periksa "objektif" yang terdiri dari sekitar 100 parameter yang mendefinisikan Tingkat keamanan tercapai (Dicapai) oleh suatu sistem (atau oleh suatu produk).
Penting untuk dicatat bahwa dalam proyek keamanan siber PL, pencapaian a Sasaran SL (SL-T) dapat direncanakan dengan tahapan berbeda yang mungkin juga mencakup modernisasi infrastruktur produksi agar sesuai untuk penerapan kontrol keamanan siber. Pencapaian SL-T dapat dicapai dengan mencapai SL tingkat menengah seiring berjalannya waktu.
Proses ini bisa memakan waktu bertahun-tahun, yang mana, untuk menjamin keamanan sistem, mungkin perlu diperkenalkan beberapa hal kontrol kompensasi, bahkan sementara, mampu menutupi segala kekurangan yang terkait dengan keusangan sistem.
Elemen mendasar lainnya yang perlu dipertimbangkan adalah pengenalan rencana pemeliharaan dan pembaruan, yang didedikasikan untuk dunia PL. Rencana ini harus mempertimbangkan kebutuhan untuk membatasi dampak pada siklus produksi, mengintegrasikan ke dalam proses dan terus memperbarui komponen siber, sejauh divalidasi oleh pemasok komponen sistem dan tidak mengganggu proses pengawasan dan pengendalian.
Perbedaan utama dibandingkan dengan pemeriksaan yang dilakukan di bidang TI mungkin terletak pada kenyataan bahwa pendekatan tersebut dilakukan pada tingkat sistem dan tidak ada kondisi spesifik yang ditentukan. paduk, tetapi Anda harus memilikinya penglihatan se-holistik mungkin.
* Pakar ISA99/IEC62443
