scada
DESCRIPTION
ÂTRANSCRIPT
“Confidentiality,
Integrity,
Availability”
SCADA | 1
SCADA (Supervisory Control And Data Acquisition)
Confidentiality, Integrity, Availability
-----------------------------------------------------------------------------------------------------------------
1. CONFIDENTIALITY (Kerahasiaan)
Mempertahankan pembatasan berwenang terhadap akses informasi dan pengungkapan,
termasuk sarana untuk melindungi privasi pribadi dan informasi secara eksklusif.
Hilangnya kerahasiaan adalah pengungkapan yang tidak sah dari sebuah informasi.
Confidentiality mencakup dua konsep terkait :
- Data Confidentiality (Kerahasiaan data): “Memastikan bahwa informasi pribadi atau
rahasia tidak tersedia atau diungkapkan kepada individu yang tidak sah.”
System SCADA Beresiko?
US (United State) memperingatkan bahwa system SCADA terdapat kerentanan
yang memanfaatkan celah keamanan windows sehingga memungkinkan terjadinya
sabotase atau pencurian data-data penting. System SCADA biasanya diterapkan untuk
mengontrol dan memonitor pembangkit tenaga listrik ataupun industri-industri Nuklir
menjadi sangat rentan di serang.
Akhir-akhir ini berita tentang Stuxnet [Stuxnet merupakan cacing komputer yang
diketahui keberadaannya di bulan Juli 2010. Perangkat perusak ini memiliki sasaran
peranti lunak Siemens dan perangkat yang berjalan dalam sistem operasi Microsoft
Windows. Ini adalah perangkat perusak pertama yang ditemukan mengintai dan
mengganggu sistem industri, dan yang pertama menyertakan rootkit programmable logic
controller (PLC) ] yaitu sebuah Program yang sangat canggih. Dibuat dengan kode yang
begitu kompleks serta mampu mengeksploitasi beberapa celah Windows sekaligus
dengan target serangan yang ditujukan pada skala besar/industri.
Cacing ini awalnya menyebar secara membabi buta, namun memuat muatan
perangkat perusak yang sangat khusus yang dirancang hanya mengincar sistem Kontrol
Pengawas Dan Akuisisi Data Siemens (SCADA, Siemens Supervisory Control And Data
SCADA | 2
Acquisition) yang diatur untuk mengendalikan dan memantau proses industri tertentu.
Stuxnet menginfeksi PLC dengan mengubah aplikasi perangkat lunak Step-7 yang
digunakan untuk memprogram ulang perangkat tersebut.
Banyak kalangan menduga program Stuxnet ini memang sengaja didesain untuk
menyerang pembangkit tenaga nuklir serta uranium centrifuges (mesin pemisah isotop)
pada instalasi nuklir yang dibuat oleh sekolompok Hacker dengan dukungan teknologi
dan dana yang besar dari negara-negara tertentu yang tujuannya untuk mengahancurkan
proyek-proyek Nuklir.
Celah keamanan pada system SCADA (www.umboh.net/2011/03/celah-keamanan-pada-system-scada.html)
Hal ini membuat SCADA dapat dikategorikan High Impact (Tinggi) dalam hal
Data Confidentiality, karena kerugian memiliki efek samping yang parah atau bencana
pada operasi organisasi, aset organisasi, atau individu. Sebuah efek samping yang parah
atau bencana misalnya kerugian yang mungkin :
(i) menyebabkan degradasi/penurunan parah atau kehilangan kemampuan organisasi
sehingga tidak mampu melakukan satu atau lebih dari fungsi utamanya.
(ii) Mengakibatkan kerusakan besar pada aset organisasi
(iii) Mengakibatkan kerugian keuangan yang besar, atau
(iv) Mengakibatkan cedera parah atau bencana kepada indivisu yang melibatkan
hilangnya nyawa atau cedera yang mengancam kehidupan yang serius.
- Privacy (Privasi): “Memastikan bahwa individu mampu mengontrol atau
mempengaruhi informasi apa yang berhubungan dengan mereka, dan dapat
dikumpulkan dan disimpan, oleh siapa dan kepada siapa informasi tersebut dapat
diungkapkan.”
Remote Application Control System (RACS) semakin digemari
Dalam hal ini saya berupaya mencari beberapa referensi mengenai Privacy dari
system SCADA. Dari beberapa referensi tersebut saya menemukan bahwa dalam System
seperti ini populer dengan sebutan Remote Application Control System (RACS) yang
semakin digemari orang, karena sebenarnya hal seperti inilah yang dibutuhkan pada
SCADA | 3
waktu kita akan memasangkan suatu SCADA system. Idealnya, seluruh Pertamina mulai
dari EP dengan TMG-nya, UP dengan banyak Unit Daerahnya, PDN dengan jaringan
Distribusi dan Pemasarannya, dengan mudah bisa di-integrasikan melalui teknologi
Intranet dan Internet. Bahkan kita bisa me-launch Web Server kita ke jaringan Internet
yang otomatis bisa kita akses dari manapun di seluruh dunia.
Sistem SCADA semakin di mana-mana. Thin client, portal web, dan produk berbasis
web yang mendapatkan popularitas dengan vendor yang paling utama. Kenyamanan
meningkat dari pengguna akhir melihat mereka dari jarak jauh memperkenalkan proses
pertimbangan keamanan. Sementara pertimbangan sudah dianggap diselesaikan di
sektor lain layanan Internet, tidak semua entitas bertanggung jawab untuk menyebarkan
sistem SCADA telah memahami perubahan dalam lingkup aksesibilitas dan ancaman
implisit dalam menghubungkan sistem ke Internet.
Keamanan bergerak Masalah dari teknologi proprietary untuk solusi yang lebih
standar dan terbuka bersama-sama dengan peningkatan jumlah koneksi antara sistem
SCADA dan jaringan kantor dan Internet telah membuat mereka lebih rentan terhadap
serangan. Akibatnya, keamanan dari beberapa sistem berbasis SCADA telah datang ke
pertanyaan karena mereka dilihat sebagai berpotensi rentan terhadap serangan cyber.
Secara khusus, peneliti keamanan prihatin tentang:
kurangnya keprihatinan tentang keamanan dan otentikasi dalam desain,
penyebaran, dan operasi dari beberapa jaringan SCADA yang ada.
keyakinan bahwa sistem SCADA memiliki manfaat keamanan melalui
ketidakjelasan melalui penggunaan protokol khusus dan eksklusif interface.
keyakinan bahwa jaringan SCADA aman karena mereka secara fisik dijamin.
keyakinan bahwa jaringan SCADA aman karena mereka terputus dari Internet.
Hal ini membuat SCADA dapat dikategorikan Low impact dalam hal Privacy.
Karena kerugian yang diakibatkan memiliki efek buruk yang terbatas pada operasi
organisasi, aset organisasi, atau individu. Sebuah efek samping yang terbatas misalnya,
hilangnya kerahasiaan, integritas, atau mungkin ketersediaan (i) menyebabkan
degradasi/penurunan dalam kemampuan organisasi untuk dapat melakukan fungsi
utamanya, tetapi efektivitas fungsi ini terasa berkurang; (ii) mengakibatkan kerusakan
kecil pada aset organisasi; (iii) mengakibatkan kerugian keuangan kecil; atau (iv)
SCADA | 4
mengakibatkan cedera kecil untuk individu. Sebuah kerahasiaan data informasi menjadi
hilang ketika seseorang tanpa otoritas yang sah, mampu membaca, menyalin informasi
yang tersimpan secara elektronik.
2. INTEGRITY (Integritas)
Menjaga atau melawan modifikasi informasi yang tidak benar atau kerusakan,
termasuk memastikan informasi non repudiation (tanpa penolakan) dan keaslian.
Hilangnya integritas adalah modifikasi yang tidak sah atau perusakan informasi.
Istilah ini mencakup dua konsep terkait:
- Data Integrity (Integritas data): Memastikan bahwa informasi dan program berubah
hanya dengan cara tertentu dan berwenang.
Dalam hal ini saya mengambil salah satu contoh dari “STUDI SISTEM KOMUNIKASI DATA
PADA SCADA DI PT GAJAH TUNGGAL, Tbk.”
Dilakukan analisa data waktu transmisi yang dibutuhkan untuk pengiriman data
suhu dan berat mesin Harburg Freudenberger pada sistem SCADA. Data pengukuran
suhu dan berat pada mesin Harburg Freudenberger, akan diterima server dan dikirim ke
beberapa client. Data yang diperlukan untuk dapat melakukan analisa data waktu
transmisi adalah kapasitas data (yang mewakili data suhu dan berat) serta kecepatan
transmisi pada sistem SCADA yang digunakan adalah 100Mbps.
Suhu dan berat didapat dengan cara melakukan pengamatan secara langsung pada
server. Data yang terdapat pada server merupakan data real-time yang dikirim dari
mesin Harburg Freudenberger. Dalam hal ini pencatatan data dilakukan setiap 2 menit.
Hal ini membuat SCADA dapat dikategorikan Low impact dalam hal Data Integrity,
karena kerugian memiliki efek buruk yang berada di level cukup rendah pada sistem
pengiriman data, karena pengamatan dilakukan secara langsung pada server. Selain itu,
data yang didapat dari server merupakan data real-time yang dikirim oleh mesin setiap
2 menit, sehingga hal ini memungkinkan rendahnya modifaksi yang terjadi pada data
yang dikirimkan oleh server.
SCADA | 5
- System Integrity (Integritas Sistem): Memastikan bahwa sistem melakukan fungsi yang
dimaksudkan secara utuh, bebas dari disengaja atau sengaja tidak sah manipulasi dari
sistem.
Supervisory Control And Data Acquisition (SCADA) Sistem
Gambar 4. Sistem SCADA
Pipa dipantau dan dioperasikan menggunakan sistem SCADA yang canggih. Sistem
SCADA mengatur tekanan dan aliran dengan memantau dan mengendalikan operasi
pompa dan posisi katup. Sistem SCADA juga melakukan berbagai fungsi tambahan
termasuk pengolahan alarm, deteksi kebocoran, analisis hidrolik, pompa stasiun
pemantauan, analisis throughput, dan fungsi lainnya yang dianggap penting untuk
keselamatan operasi pipa. Sistem melakukan fungsi secara utuh, hal ini dilakukan untuk
mencegah terjadinya manipulasi dari sistem, dan mengendalikan sistem secara
keseluruhan.
Hal ini membuat SCADA dapat dikategorikan Moderate impact dalam hal System
Integrity, karena kerugian memiliki efek samping yang serius pada operasi organisasi,
aset organisasi, atau individu. Efek samping yang serius misalnya kerugian yang mungkin
(i) menyebabkan penurunan yang signifikan dalam kemampuan organisasi untuk
dapat melakukan fungsi utamanya, tetapi efektivitas fungsi berkurang secara signifikan
(ii) Mengakibatkan kerusakan yang signifikan pada aset organisasi
(iii) Mengakibatkan kerugian keuangan yang signifikan
SCADA | 6
3. Availability (Ketersediaan)
Memastikan akses yang tepat dan dapat diandalkan, serta penggunaan informasi
oleh hanya yang berwenang. Hilangnya ketersediaan adalah gangguan akses atau
penggunaan informasi atau sistem informasi, dengan hilangnya kerahasiaan informasi,
maka penghapusan data informasi membuat hilangnya data dimaksud pada saat
dibutuhkan, misalkan karena dihapus.
“Serangan Sistem Kontrol Limbah Maroochy Shire
Council di Queensland”
Fungsi handal dari sistem SCADA dalam infrastruktur modern kita mungkin penting
untuk kesehatan dan keselamatan masyarakat. Dengan demikian, serangan terhadap
sistem ini dapat langsung atau tidak langsung mengancam kesehatan dan keselamatan
publik. Seperti serangan telah terjadi, dilakukan pada sistem kontrol limbah Maroochy
Shire Council di Queensland, Australia. Tak lama setelah kontraktor memasang sistem
SCADA pada bulan Januari 2000 ada komponen sistem mulai berfungsi tak menentu.
Pompa tidak berjalan ketika dibutuhkan dan alarm tidak dilaporkan. Lebih kritis, limbah
membanjiri taman terdekat dan terkontaminasi parit drainase permukaan air terbuka
dan mengalir 500 meter ke kanal pasang surut. Sistem SCADA mengarahkan katup
limbah untuk membuka ketika protokol desain telah menyimpannya tertutup. Awalnya
ini diyakini bug sistem. Pemantauan sistem log mengungkapkan malfungsi adalah hasil
dari serangan cyber. Peneliti melaporkan 46 kasus terpisah dari gangguan luar
berbahaya sebelum pelakunya diidentifikasi. Serangan itu dibuat oleh karyawan yang
tidak puas dari perusahaan yang telah diinstal sistem SCADA. Karyawan berharap untuk
dipekerjakan waktu penuh untuk membantu memecahkan masalah.
Hal ini membuat SCADA dapat dikategorikan High impact dalam hal Availability,
karena kerugian memiliki efek samping yang parah atau bencana pada operasi
organisasi, aset organisasi, atau individu. Sebuah efek samping yang parah atau bencana
misalnya kerugian yang mungkin :
(i) menyebabkan degradasi/penurunan parah atau kehilangan kemampuan
organisasi sehingga tidak mampu melakukan satu atau lebih dari fungsi utamanya.
(ii) Mengakibatkan kerusakan besar pada aset organisasi
SCADA | 7
(iii) Mengakibatkan kerugian keuangan yang besar, atau
(iv) Mengakibatkan cedera parah atau bencana kepada indivisu yang melibatkan
hilangnya nyawa atau cedera yang mengancam kehidupan yang serius.