■ SESI 12 — KULIAH TEORI

Incident Response & Forensik Digital
pada Sistem SCADA/ICS

Metodologi penanganan insiden siber pada sistem ICS: dari deteksi awal, containment yang aman, eradikasi, hingga pemulihan. Ditambah teknik forensik digital khusus OT — pengumpulan bukti dari PLC, HMI, dan jaringan tanpa mengganggu proses industri yang berjalan.

NIST SP 800-61ICS-CERT PLAYBOOKINCIDENT TRIAGE CONTAINMENT OTFORENSIK PLCCHAIN OF CUSTODYLESSONS LEARNED

KONTEN SESI

12.1

Karakteristik Insiden ICS

12.2

Siklus Incident Response

12.3

Deteksi & Triage OT

12.4

Containment yang Aman

12.5

Forensik Digital OT

12.6

Sumber Bukti Forensik

12.7

Studi Kasus: Respon Insiden PLTU

✓

Latihan Soal

12.1Karakteristik Insiden Siber pada Sistem ICS

Incident Response pada ICS berbeda secara mendasar dari IT karena memiliki dimensi fisik dan keselamatan. Respon yang salah — misalnya mematikan sistem secara tiba-tiba — bisa lebih berbahaya dari insiden itu sendiri.

⚠ PERBEDAAN FUNDAMENTAL: INSIDEN IT vs ICS

ASPEK	INSIDEN IT BIASA	INSIDEN ICS/SCADA
Dampak utama	Data loss, reputasi, finansial	Kecelakaan fisik, cedera/kematian, kerusakan permanen
Shutdown sistem	Aman dilakukan untuk isolasi	BERBAHAYA — bisa picu kondisi tak aman di proses fisik
Preserve vs Contain	Isolasi cepat = prioritas	Keselamatan proses = prioritas > isolasi
Waktu respons	Jam hingga hari masih tolerabel	Menit — proses terus berjalan, attacker aktif
Komunikasi	IT team saja	IT + OT Engineer + Safety Officer + Plant Manager + Regulator
Evidence collection	Bisa shutdown untuk forensik	Forensik LIVE — sistem tidak boleh dimatikan

Insiden ICS diklasifikasikan berdasarkan dampak terhadap proses fisik, bukan hanya dampak data:

JENIS INSIDENSAFETY IMPACTAVAILABILITYSEVERITYCONTOH KONKRET

Manipulasi proses aktif oleh attacker KRITIS KRITIS KRITIS Stuxnet, Triton, manipulasi dosis klorin PDAM

Ransomware di SCADA Server/HMI TINGGI KRITIS KRITIS Colonial Pipeline, JBS — HMI dienkripsi, operator buta

Unauthorized access — monitoring saja SEDANG SEDANG TINGGI APT reconnaissance — mengumpulkan topologi jaringan OT

Malware di IT yang belum ke OT RENDAH SEDANG SEDANG Malware di PC kantor, belum lateral ke SCADA server

Alarm / monitoring tidak normal RENDAH RENDAH RENDAH Log anomali, false alarm spike — mungkin hanya bug atau misconfiguration

12.2Siklus Incident Response ICS (Adaptasi NIST SP 800-61)

NIST SP 800-61 mendefinisikan 4 fase IR. Untuk ICS, setiap fase memiliki pertimbangan tambahan yang tidak ada di IT biasa — terutama keselamatan proses dan kontinuitas operasi.

FASE 1

Preparation

IRP, runbook, drills, tools siap, kontak vendor

FASE 2

Detection & Analysis

SIEM alert, IDS, audit log, triage severity

FASE 3

Containment

Isolasi AMAN — jangan matikan proses kritis

FASE 4

Eradication

Hapus malware, tutup akses, patch kerentanan

FASE 5

Recovery

Restore dari backup bersih, validasi proses

FASE 6

Lessons Learned

Post-incident review, update IRP, perbaiki kontrol

ICS-SPECIFIC IRP — RUNBOOK STRUKTUR

PREPARATION (SEBELUM INSIDEN):
  ▸ IRP terdokumentasi dan diuji setahun sekali (tabletop exercise)
  ▸ Tim IR OT terlatih: OT Engineer, IT Security, Safety Officer, Plant Mgr
  ▸ Kontak vendor PLC/SCADA tersedia 24/7 (hotline Siemens, Schneider, dll)
  ▸ Backup konfigurasi PLC/RTU terbaru tersedia offline
  ▸ Network baseline tersedia (normal traffic profile dari Nozomi/Claroty)
  ▸ Jumper/bypass plan: cara isolasi sistem tanpa hentikan proses fisik
  ▸ Koordinasi: BSSN (National), ID-SIRTII/CC (sektoral), vendor SCADA

DETECTION INDICATORS (OT-SPECIFIC):
  🔴 PLC behavior anomaly: register berubah tanpa perintah dari HMI
  🔴 Firmware PLC berbeda dari baseline (hash mismatch)
  🔴 Traffic OT ke IP/domain yang tidak dikenal
  🔴 Engineering workstation menghubungi C2 server
  🟡 Login ke SCADA di luar jam kerja atau dari IP tidak biasa
  🟡 Setpoint diubah di luar prosedur normal
  🟡 Alarm rate spike tidak terkait perubahan proses
  🟡 Antivirus/AWL alert di HMI workstation

12.3Deteksi dan Triage Insiden OT

Triage adalah proses menentukan tingkat keparahan insiden secepat mungkin agar respons yang tepat dapat diambil. Untuk ICS, triage harus segera menjawab: "Apakah proses fisik dalam bahaya sekarang?"

TRIAGE DECISION TREE — ICS INCIDENT

PERTANYAAN TRIAGE (dalam urutan prioritas):

  Q1: Apakah proses fisik dalam kondisi tidak aman SEKARANG?
       ├── YA  → EMERGENCY SHUTDOWN prosedural + hubungi Safety Officer SEGERA
       └── TIDAK → Lanjut Q2

  Q2: Apakah attacker masih aktif di sistem (live intrusion)?
       ├── YA  → Containment HATI-HATI: isolasi lateral, jangan matikan PLC
       └── TIDAK → Lanjut Q3 (forensik)

  Q3: Apakah integritas PLC/RTU/firmware masih terjaga?
       ├── TIDAK (firmware modified) → KRITIS: restore dari backup tervalidasi
       └── YA → Lanjut Q4

  Q4: Apakah scope insiden meluas ke OT atau terbatas di IT?
       ├── OT  → Aktifkan full ICS-IR team + vendor + regulator
       └── IT  → Tangani dengan IR prosedur IT standar

SEVERITY CLASSIFICATION (ICS-CERT Model):
  EMERGENCY  : Safety risk AKTIF / attacker kontrol proses sekarang
  CRITICAL   : Sistem kontrol kritis terkompromis / proses terpengaruh
  HIGH       : Akses tidak sah ke OT tapi proses belum terpengaruh
  MEDIUM     : Insiden di IT dengan potensi pivot ke OT
  LOW        : Anomali / suspicious event, belum konfirmasi insiden

⚠ JANGAN TERBURU-BURU ISOLASI DI ICS

Di IT, respons standar adalah "isolasi dulu, tanya kemudian." Di ICS, ini bisa fatal. Sebelum isolasi jaringan OT: (1) Pastikan semua proses dalam kondisi aman atau sudah di-hold; (2) Koordinasi dengan operator dan Safety Officer; (3) Siapkan mode manual backup. Memutus komunikasi HMI-PLC tiba-tiba saat proses berjalan dapat menyebabkan kondisi tak terkendali.

12.4Containment yang Aman di Lingkungan ICS

Containment bertujuan membatasi penyebaran insiden tanpa menyebabkan kerusakan lebih lanjut. Untuk ICS, "containment" tidak sama dengan "shutdown" — ada serangkaian teknik berlapis yang lebih aman.

STRATEGI CONTAINMENT BERLAPIS — ICS

LEVEL 1 — NETWORK CONTAINMENT (risiko rendah ke proses):
  ✓ Blokir IP attacker di firewall OT (jika diketahui) — TANPA putus komunikasi HMI-PLC
  ✓ Isolasi segmen jaringan yang terinfeksi di IT — cegah lateral ke OT
  ✓ Revoke VPN credential yang dikompromis — putus remote access attacker
  ✓ Aktifkan monitoring intensif di semua boundary IT/OT
  ✓ Block DNS/C2 outbound di firewall (jika ada koneksi ke C2)

LEVEL 2 — CREDENTIAL RESET (setelah konfirmasi scope):
  ✓ Ganti password semua akun SCADA yang mungkin dikompromis
  ✓ Revoke sertifikat yang mungkin dicuri
  ✓ Reset MFA token semua user yang terdampak
  ✓ Disable akun engineering yang tidak sedang digunakan

LEVEL 3 — DEVICE ISOLATION (hanya jika proses aman untuk di-hold):
  ✓ Switch proses ke mode manual/local di PLC (bypass SCADA)
  ✓ Isolasi HMI yang terinfeksi dari jaringan OT
  ✓ Pastikan backup operator control tersedia (panel lokal, manual valve)

YANG TIDAK BOLEH DILAKUKAN SAAT CONTAINMENT ICS:
  ✗ Matikan PLC tiba-tiba saat proses sedang berjalan
  ✗ Putus koneksi HMI-PLC tanpa koordinasi operator
  ✗ Jalankan antivirus scan agresif di HMI saat proses aktif
  ✗ Reboot engineering workstation yang sedang download PLC program

12.5Forensik Digital Khusus OT — Live Forensics

Forensik ICS hampir selalu live forensics — mengumpulkan bukti dari sistem yang masih berjalan tanpa mematikannya. Ini berbeda dari forensik IT di mana mesin sering dimatikan sebelum imaging.

📌 PRINSIP CHAIN OF CUSTODY DALAM FORENSIK ICS

Dokumentasi setiap langkah — Catat: siapa yang mengumpulkan bukti, kapan, dari mana, dengan tools apa. Bukti yang tidak terdokumentasi tidak valid di persidangan.
Hash verification — Setiap file bukti di-hash (SHA-256) sebelum dan sesudah pengumpulan. Hash berbeda = bukti terkontaminasi.
Write blocker untuk media — Gunakan hardware write blocker saat imaging disk dari HMI. Mencegah timestamp modification yang merusak forensik.
Volatile data first — RAM, running processes, network connections harus diambil PERTAMA karena hilang saat power off. Urutan: RAM → Network state → Running processes → Disk.

FORENSIK PLC — TEKNIK PENGUMPULAN BUKTI

LANGKAH 1: DOKUMENTASI STATUS AWAL
  ▸ Screenshot/foto semua layar HMI sebelum disentuh
  ▸ Catat: timestamp server, versi firmware PLC, status alarm
  ▸ Foto kondisi fisik ruang server/control room

LANGKAH 2: VOLATILE DATA COLLECTION (LIVE — PLC TETAP JALAN)
  # Export konfigurasi dan program PLC (via engineering software)
  $ simatic_s7_backup --plc 192.168.10.51 --output plc-a-$(date +%Y%m%d).s7d
  $ md5sum plc-a-*.s7d  # Hash untuk chain of custody

  # Bandingkan dengan baseline yang tersimpan
  $ diff plc-a-baseline.s7d plc-a-20240315.s7d
    # Jika berbeda → kemungkinan program PLC telah dimodifikasi!

  # Network capture (pasif — SPAN port)
  $ tcpdump -i eth1 -w ot-capture-$(date +%Y%m%d%H%M).pcap
  $ sha256sum ot-capture-*.pcap  # Hash setiap capture file

LANGKAH 3: HMI FORENSIK (LIVE)
  # Export event log dari WinCC / iFIX / Ignition
  # Export Windows Event Log
  PS> wevtutil epl Security C:\forensics\security-$(Get-Date -f yyyyMMdd).evtx
  PS> wevtutil epl System  C:\forensics\system-$(Get-Date -f yyyyMMdd).evtx
  # RAM capture (jika tools tersedia)
  PS> winpmem_mini.exe C:\forensics\ram-dump.dmp
  PS> Get-FileHash C:\forensics\*.* -Algorithm SHA256  # Hash semua

LANGKAH 4: NETWORK FORENSIK
  # Export log dari OT IDS (Nozomi/Claroty)
  ▸ Download alert events dalam rentang waktu insiden
  ▸ Export full PCAP untuk periode T-24jam hingga T+1jam insiden
  ▸ Export asset change log (jika ada device baru/firmware berubah)

12.6Sumber Bukti Forensik pada Sistem ICS

Forensik ICS membutuhkan pengumpulan bukti dari berbagai layer — dari log sistem operasi HMI hingga data process historian yang merekam setiap perubahan nilai sensor.

LAYER FIELD & CONTROL

PLC / RTU / IED

• Program ladder logic (backup)
• Data block values
• Diagnostic buffer (event log PLC)
• Firmware version / hash
• Last program download timestamp
• Communication log (jika ada)

LAYER SUPERVISORY

HMI / SCADA Server

• Windows Event Log (Security, System, App)
• SCADA software audit log (WinCC, iFIX)
• Operator action log
• RAM dump (volatile processes)
• Prefetch files / Shimcache
• Browser history (jika relevan)
• USB insertion history (Registry)

LAYER NETWORK

Network & DMZ

• PCAP / Network traffic capture
• OT IDS alerts (Nozomi, Claroty)
• Firewall logs (permit/deny)
• VPN connection logs
• Switch port logs (MAC table history)
• DNS query logs

LAYER HISTORIAN

Process Historian

• Tag value history (sensor, setpoint)
• Alarm history (semua alarm & ack)
• Operator command history
• Process trend data
• Nilai sebelum/sesudah perubahan
• Sangat berguna: timeline rekonstruksi

LAYER AKSES

Access & Identity

• Active Directory / LDAP login log
• Badge/swipe card access log
• CCTV footage (physical access)
• VPN authentication logs
• Jump Server session recording
• MFA/OTP usage logs

LAYER EXTERNAL

Threat Intelligence

• ICS-CERT / CISA advisories
• MITRE ATT&CK for ICS TTPs
• Dragos / Claroty threat intel
• IOC (Indicator of Compromise)
• Hash comparison (VirusTotal)
• IP reputation databases

12.7Studi Kasus: Respon Insiden di PLTU 350 MW

📋 SKENARIO: PLTU MENEMUKAN ANOMALI PADA SISTEM SCADA

Tim NOC PLTU 350 MW menerima alert dari SIEM pada pukul 22:47 — login ke SCADA server dari IP 192.168.20.99 (IP tidak dikenal) gagal 7 kali, lalu berhasil pada percobaan ke-8. Berikut respons yang dilakukan.

◈ TIMELINE INCIDENT RESPONSE — PLTU 350 MW ◈

🔴

22:47 — DETEKSI

SIEM Alert: Login anomali ke SCADA Server

7x failed login + 1x success dari 192.168.20.99. IP ini bukan workstation yang dikenal. SOC analyst on-duty menerima notifikasi. Triage: TINGGI — akses tidak sah ke sistem SCADA produksi.

🟡

22:52 — ANALISIS AWAL

Identifikasi: IP 192.168.20.99 adalah laptop personal karyawan IT

Nozomi menunjukkan 192.168.20.99 melakukan port scan aktif ke subnet OT 192.168.10.0/24. SCADA log menunjukkan akun "admin_scada" digunakan untuk login. Akun ini seharusnya tidak diakses dari laptop personal. Konfirmasi: kemungkinan insider threat atau laptop dikompromis.

🟠

23:05 — CONTAINMENT

Isolasi laptop + disable akun + koordinasi operator

Langkah containment (tanpa ganggu proses):
(1) Network switch: port 192.168.20.99 di-disable — laptop diisolasi dari jaringan
(2) Akun admin_scada di-lock — login tidak bisa lagi
(3) Koordinasi Plant Manager: proses dalam kondisi normal, tidak perlu emergency action
(4) OT IDS monitoring diintensifkan: watch semua traffic dari subnet .20.x ke .10.x

🔧

23:30 – 02:00 — FORENSIK & ERADIKASI

Forensik laptop + verifikasi integritas SCADA

Forensik laptop: RAM dump, Windows log export, hash semua artifacts
Temuan: Infostealer malware mengumpulkan credential — termasuk "admin_scada"
Verifikasi PLC: Compare backup konfigurasi PLC dengan current config — tidak ada perubahan
SCADA log: Akun admin_scada hanya browse topologi jaringan, tidak ubah setpoint
Eradikasi: Laptop di-wipe dan reinstall. Semua password SCADA diganti. MFA diaktifkan.

✅

02:30 — RECOVERY

Sistem bersih, monitoring ketat 72 jam

Semua credential di-reset. Laptop baru diissue untuk karyawan bersangkutan. Enhanced monitoring aktif 72 jam. Alert threshold diturunkan. Laporan awal dikirim ke BSSN dalam 24 jam (sesuai peraturan insiden infrastruktur kritis).

📚

T+3 HARI — LESSONS LEARNED

Post-Incident Review dan perbaikan kontrol

Root cause: Laptop IT tanpa EDR, kredensial SCADA tersimpan di browser
Perbaikan: (1) Deploy EDR ke semua PC IT; (2) Password SCADA tidak boleh disimpan di browser; (3) MFA wajib untuk semua akun SCADA; (4) Network Access Control — laptop personal tidak boleh masuk ke VLAN SCADA; (5) Review semua akun shared yang ada.

✓Latihan Soal — Sesi 12

■ PERTANYAAN 1 / 5

1. Mengapa pendekatan "isolasi cepat" yang standar di IT TIDAK dapat langsung diterapkan di lingkungan ICS saat terjadi insiden?

AKarena sistem ICS lebih mahal dan tidak boleh dimatikan sembarangan

BKarena memutus koneksi atau mematikan sistem ICS tiba-tiba dapat menyebabkan kondisi proses fisik tak terkendali — berpotensi kecelakaan, cedera, atau kerusakan peralatan

CKarena sistem ICS tidak memiliki kemampuan untuk diisolasi dari jaringan

DKarena regulasi melarang penghentian sistem ICS tanpa izin BSSN

✓ Benar! Di ICS, "keselamatan proses fisik > isolasi insiden siber." Memutus komunikasi HMI-PLC saat reaktor beroperasi, pompa memompa bahan kimia, atau turbin berputar dapat menyebabkan kondisi tak terkendali yang lebih berbahaya dari insiden siber itu sendiri. Containment ICS harus dilakukan berlapis, dimulai dari tindakan yang paling tidak mengganggu proses.

■ PERTANYAAN 2 / 5

2. Dalam forensik digital ICS, mengapa "volatile data" harus dikumpulkan PERTAMA sebelum data lainnya?

AKarena volatile data lebih mudah dikumpulkan

BKarena volatile data (RAM, koneksi jaringan aktif, running processes) akan hilang permanent saat sistem dimatikan atau restart, sehingga harus diambil saat sistem masih hidup

CKarena aturan forensik mewajibkan urutan RAM → Disk

DKarena volatile data lebih bisa dipercaya sebagai bukti hukum

✓ Benar! Volatile data bersifat ephemeral: RAM terhapus saat power off, koneksi jaringan aktif berubah tiap detik, running processes berakhir. Malware sering hanya berjalan di RAM tanpa menulis ke disk (fileless malware) — satu-satunya cara mendeteksinya adalah RAM dump saat sistem masih hidup. Urutan pengumpulan: RAM → Active connections → Running processes → Disk (non-volatile).

■ PERTANYAAN 3 / 5

3. Tindakan pertama yang BENAR saat SOC menerima alert "login anomali ke SCADA server dari IP tidak dikenal" adalah...

ASegera matikan SCADA server untuk mencegah attacker mengambil kontrol

BLakukan triage: verifikasi alert, identifikasi IP sumber, cek apakah proses fisik dalam kondisi aman, baru tentukan tindakan containment yang tepat

CHubungi media dan umumkan insiden untuk transparansi

DJalankan antivirus scan penuh di semua HMI sekarang

✓ Benar! Triage sebelum bertindak: (1) Verifikasi — apakah ini alert valid atau false positive? (2) Identifikasi IP sumber — siapa device itu?; (3) Cek proses fisik — apakah dalam bahaya sekarang?; (4) Tentukan severity; baru (5) Ambil tindakan containment yang tepat dan proporsional. Mematikan SCADA server tiba-tiba tanpa koordinasi justru bisa menyebabkan gangguan proses lebih parah.

■ PERTANYAAN 4 / 5

4. Process Historian pada sistem SCADA sangat berharga untuk forensik digital karena...

AHistorian menyimpan backup semua file sistem operasi HMI

BHistorian merekam nilai semua tag (sensor, setpoint, alarm) secara time-stamped — memungkinkan rekonstruksi timeline persis apa yang terjadi pada proses fisik sebelum, selama, dan setelah insiden

CHistorian tersimpan di cloud sehingga tidak bisa dimanipulasi attacker

DHistorian menyimpan semua screenshot HMI secara otomatis

✓ Benar! Process Historian merekam nilai setiap sensor, setpoint, dan alarm dengan timestamp resolusi 1 detik atau lebih tinggi. Saat forensik, data ini bisa digunakan untuk: rekonstruksi timeline perubahan proses, identifikasi kapan setpoint diubah secara tidak wajar, korelasi dengan event log untuk membuktikan kausalitas antara aksi attacker dan dampak proses fisik.

■ PERTANYAAN 5 / 5

5. Prinsip "Chain of Custody" dalam forensik digital ICS bertujuan untuk...

AMemastikan forensik dilakukan oleh tim yang bersertifikat

BMendokumentasikan dan membuktikan bahwa bukti digital tidak dimodifikasi sejak pengumpulan — melalui pencatatan siapa memegang bukti, kapan, dan verifikasi hash SHA-256 — sehingga bukti valid di pengadilan

CMengamankan rantai pasokan hardware untuk forensik

DMemastikan semua tim IR mendapat informasi yang sama

✓ Benar! Chain of Custody menjamin integritas bukti digital dari saat pengumpulan hingga presentasi di pengadilan. Komponen utama: (1) Hash SHA-256 setiap file bukti saat dikumpulkan; (2) Log siapa yang mengakses bukti dan kapan; (3) Penyimpanan di media write-protected; (4) Verifikasi hash setiap kali bukti diakses. Jika hash berbeda → bukti mungkin terkontaminasi → tidak valid sebagai bukti hukum.

← SESI 11

SESI 12 / 16 — INCIDENT RESPONSE & FORENSIK DIGITAL ICS

SESI 13 →

Incident Response & Forensik Digitalpada Sistem SCADA/ICS

Incident Response & Forensik Digital
pada Sistem SCADA/ICS