9.1Konsep Manajemen Risiko pada Sistem ICS/SCADA
Manajemen risiko ICS adalah proses sistematis untuk mengidentifikasi, mengevaluasi, dan mengendalikan risiko siber terhadap sistem industri. Berbeda dengan IT, penilaian risiko OT harus mempertimbangkan dampak fisik dan keselamatan, bukan hanya dampak data.
ℹ️ DEFINISI RISIKO DALAM KONTEKS ICS
Risiko = Likelihood × Impact
Untuk ICS, Impact mencakup dimensi yang tidak ada di IT biasa:
- Safety Impact — Potensi cedera atau kematian operator/masyarakat sekitar
- Environmental Impact — Tumpahan bahan kimia, pencemaran akibat proses yang tidak terkendali
- Financial Impact — Kerugian produksi, biaya perbaikan, denda regulasi
- Reputational Impact — Kepercayaan publik terhadap infrastruktur kritis
Proses Manajemen Risiko ICS (NIST SP 800-30 adaptasi OT)
RISK MANAGEMENT LIFECYCLE
LANGKAH 1: SYSTEM CHARACTERIZATION ▸ Identifikasi semua aset OT (PLC, RTU, HMI, jaringan, protokol) ▸ Pemetaan data flow antar komponen ▸ Klasifikasi aset berdasarkan kritikalitas proses ▸ Dokumentasi interfaces IT/OT LANGKAH 2: THREAT IDENTIFICATION ▸ Identifikasi threat actors (nation-state, ransomware, insider, dll) ▸ Identifikasi threat events (phishing, exploit, USB, supply chain) ▸ Referensi: MITRE ATT&CK for ICS, ICS-CERT advisories LANGKAH 3: VULNERABILITY IDENTIFICATION ▸ Passive scan jaringan OT (Nozomi, Claroty) ▸ CVE check firmware PLC/RTU/HMI ▸ Configuration review (default password, open port) ▸ Architecture review (SPOF, IT/OT boundary, remote access) LANGKAH 4: LIKELIHOOD DETERMINATION ▸ Tingkat paparan (exposed ke internet? VPN? air-gapped?) ▸ Kecanggihan attacker yang relevan ▸ Efektivitas kontrol yang ada saat ini LANGKAH 5: IMPACT ANALYSIS ▸ Safety: SIL level sistem, potential harm ▸ Operational: berapa jam produksi hilang? ▸ Financial: Rp kerugian per jam downtime? ▸ Environmental: potensi tumpahan/ledakan? LANGKAH 6: RISK DETERMINATION → RISK REGISTER LANGKAH 7: CONTROL RECOMMENDATION → TREATMENT PLAN LANGKAH 8: RESIDUAL RISK → ACCEPT / TRANSFER / AVOID
9.2Risk Matrix untuk Lingkungan OT
Risk Matrix adalah alat visual untuk memetakan kombinasi Likelihood (kemungkinan) dan Impact (dampak) guna menentukan level risiko. Untuk OT, skala Impact harus disesuaikan dengan potensi dampak fisik dan safety.
◈ RISK MATRIX 5×5 — SISTEM ICS/SCADA ◈
SANGAT RENDAH
(1)
(1)
RENDAH
(2)
(2)
SEDANG
(3)
(3)
TINGGI
(4)
(4)
SANGAT TINGGI
(5)
(5)
HAMPIR PASTI
(5)
(5)
SEDANG
5
5
TINGGI
10
10
KRITIS
15
15
KRITIS
20
20
KRITIS
25
25
SANGAT MUNGKIN
(4)
(4)
RENDAH
4
4
SEDANG
8
8
TINGGI
12
12
KRITIS
16
16
KRITIS
20
20
MUNGKIN
(3)
(3)
RENDAH
3
3
SEDANG
6
6
TINGGI
9
9
TINGGI
12
12
KRITIS
15
15
JARANG
(2)
(2)
RENDAH
2
2
RENDAH
4
4
SEDANG
6
6
TINGGI
8
8
TINGGI
10
10
SANGAT JARANG
(1)
(1)
RENDAH
1
1
RENDAH
2
2
RENDAH
3
3
SEDANG
4
4
SEDANG
5
5
■ RENDAH (1–3): Monitor
■ SEDANG (4–6): Tangani dalam 90 hari
■ TINGGI (8–12): Tangani dalam 30 hari
■ KRITIS (15–25): Tangani SEGERA
| SKALA IMPACT (OT) | DESKRIPSI | CONTOH KONKRET |
|---|---|---|
| 1 — Sangat Rendah | Tidak ada gangguan proses, tidak ada data loss signifikan | Log entry palsu, perubahan konfigurasi minor |
| 2 — Rendah | Gangguan proses minor, downtime <1 jam, kerugian <Rp 50 juta | HMI restart, sensor satu titik mati |
| 3 — Sedang | Downtime 1–8 jam, kerugian Rp 50–500 juta, tidak ada cedera | Satu unit produksi berhenti, alarm system mati |
| 4 — Tinggi | Downtime >8 jam, kerugian >Rp 500 juta, cedera ringan mungkin | Seluruh pabrik berhenti, tumpahan kimia minor |
| 5 — Sangat Tinggi | Bencana — cedera serius/kematian, kerusakan permanen infrastruktur | Ledakan, kebakaran besar, kematian operator |
9.3CVSS v3.1 untuk Kerentanan ICS
Common Vulnerability Scoring System (CVSS) v3.1 adalah standar industri untuk menilai tingkat keparahan kerentanan keamanan. Nilai CVSS 0.0–10.0 membantu memprioritaskan patch dan mitigasi. Gunakan kalkulator di bawah untuk eksplorasi interaktif.
⚙ KALKULATOR CVSS v3.1 — INTERAKTIF
BASE METRIC — EXPLOITABILITY
Attack Vector (AV)
Attack Complexity (AC)
Privileges Required (PR)
User Interaction (UI)
BASE METRIC — IMPACT
Scope (S)
Confidentiality (C)
Integrity (I)
Availability (A)
9.8
CRITICAL
CVSS v3.1 BASE SCORE
⚠ CVSS DI LINGKUNGAN ICS — PERLU KONTEKS TAMBAHAN
CVSS dirancang untuk sistem IT. Dalam konteks ICS, nilai CVSS standar dapat underestimate risiko nyata karena tidak mempertimbangkan dampak fisik/safety. Contoh: kerentanan dengan CVSS 5.5 pada sistem IT mungkin biasa, tapi pada PLC yang mengontrol boiler bertekanan tinggi, dampaknya bisa KRITIS (ledakan).
ICS-CERT dan CISA merekomendasikan penggunaan Environmental Scoring di CVSS v3.1 untuk menyesuaikan nilai dengan konteks operasional spesifik.
9.4Risk Register — Dokumentasi Risiko Terstruktur
Risk Register adalah dokumen hidup yang mencatat semua risiko yang teridentifikasi, penilaiannya, kontrol yang ada, dan rencana perlakuan. Ini adalah output utama dari proses manajemen risiko.
RISIKOLIKELIHOODIMPACTSKORLEVELKONTROL / MITIGASI
Remote access tanpa MFA ke SCADA
4 — TINGGI
4 — TINGGI
16
KRITIS
Implementasi MFA, Jump Server, session recording
Modbus TCP tanpa autentikasi di OT LAN
3 — SEDANG
4 — TINGGI
12
TINGGI
OT network segmentation, industrial firewall DPI
HMI Windows 7 tidak bisa di-patch
3 — SEDANG
3 — SEDANG
9
TINGGI
App Whitelisting, network isolation, monitor anomali
USB port terbuka di engineering workstation
4 — TINGGI
3 — SEDANG
12
TINGGI
Disable USB via BIOS + Group Policy, device control software
Tidak ada backup konfigurasi PLC
3 — SEDANG
4 — TINGGI
12
TINGGI
Backup otomatis konfigurasi PLC bulanan ke secure storage
Tidak ada OT network monitoring
4 — TINGGI
3 — SEDANG
12
TINGGI
Deploy passive IDS (Nozomi/Claroty) via SPAN port
Default password pada PLC/RTU lama
4 — TINGGI
3 — SEDANG
12
TINGGI
Audit dan ganti semua default password, inventory terstruktur
Koneksi IT-OT tanpa firewall
3 — SEDANG
4 — TINGGI
12
TINGGI
Pasang firewall IT/OT, implementasi Industrial DMZ
📋 EMPAT OPSI PERLAKUAN RISIKO
- Mitigate (Kurangi) — Implementasikan kontrol untuk menurunkan likelihood dan/atau impact. Paling umum dilakukan untuk risiko tinggi-kritis.
- Transfer (Alihkan) — Asuransi siber, outsource ke MSSP (Managed Security Service Provider). Untuk risiko residual yang tidak bisa dihilangkan.
- Avoid (Hindari) — Hentikan aktivitas yang menimbulkan risiko. Contoh: nonaktifkan fitur remote access yang tidak digunakan.
- Accept (Terima) — Untuk risiko rendah yang biaya mitigasinya lebih tinggi dari dampak. Harus didokumentasikan dan disetujui manajemen.
9.5Vulnerability Assessment yang Aman untuk OT
Berbeda dengan IT, melakukan vulnerability scan agresif di jaringan OT bisa sangat berbahaya — beberapa PLC lama dapat crash atau restart saat menerima paket yang tidak biasa. Pendekatan harus selalu passive-first.
| METODE | DESKRIPSI | RISIKO KE OT | REKOMENDASI |
|---|---|---|---|
| Passive Network Monitoring | Menganalisis traffic yang ada via SPAN/TAP. Asset discovery tanpa mengirim paket baru. | Nol | ✓ Selalu lakukan ini pertama |
| Configuration Review | Audit manual konfigurasi PLC, firewall, HMI. Cek default password, open port, firmware version. | Sangat Rendah | ✓ Aman dilakukan kapanpun |
| CVE Lookup tanpa Scan | Cocokan inventory versi firmware/software dengan database CVE. Tidak perlu mengirim traffic. | Nol | ✓ Lakukan setiap kuartal |
| Light Active Scan | Scan ringan (Nmap dengan timing lambat) hanya di maintenance window. | Rendah–Sedang | ⚠ Hanya saat maintenance window, koordinasi dengan operator |
| Authenticated Scan | Login ke device dengan credential dan lakukan audit lokal. Lebih aman dari unauthenticated scan. | Sedang | ⚠ Uji di lab/staging dulu sebelum produksi |
| Aggressive Penetration Test | Exploit kerentanan aktif, lateral movement simulation. | SANGAT TINGGI | ✗ JANGAN di sistem produksi OT. Hanya di lab/test bench identik |
CONTOH: PASSIVE ASSET DISCOVERY DENGAN NOZOMI
// Nozomi Networks menangkap traffic dari SPAN port secara pasif // Membangun inventory aset otomatis dari komunikasi yang ada HASIL DISCOVERY (contoh output): ID │ IP Address │ Device Type │ Vendor │ Firmware │ CVEs ────┼─────────────────┼────────────────────┼─────────────┼───────────┼────────── 001 │ 192.168.10.51 │ PLC │ Schneider │ v3.2.1 │ CVE-2021-22797 (8.1) 002 │ 192.168.10.52 │ PLC │ Schneider │ v3.2.3 │ No CVEs 003 │ 192.168.10.53 │ PLC │ Siemens │ v2.8 │ CVE-2019-10929 (7.5) 004 │ 192.168.20.10 │ HMI Workstation │ Dell/WinCC │ Win7 SP1 │ 17 CVEs (OS unpatched) 005 │ 192.168.20.11 │ Engineering WS │ Dell/STEP7 │ Win10 21H2│ 2 CVEs (low) 006 │ 192.168.10.100 │ RTU │ ABB │ v1.9.4 │ CVE-2022-1701 (6.8) 007 │ 192.168.10.88 │ UNKNOWN DEVICE │ Unknown │ Unknown │ ??? ← ALERT: Rogue device? // Penemuan device tidak dikenal (ID 007) memicu alert segera // CVE-2021-22797 di PLC-001 perlu segera dimitigasi (CVSS 8.1 = HIGH)
9.6Threat Modeling untuk Sistem SCADA — STRIDE & MITRE ATT&CK for ICS
A. STRIDE Model untuk ICS
| STRIDE | DESKRIPSI | CONTOH PADA ICS | KONTROL |
|---|---|---|---|
| S — Spoofing | Menyamar sebagai entitas terpercaya | Paket Modbus palsu dari IP yang berpura-pura jadi HMI sah | Autentikasi, source IP filtering |
| T — Tampering | Modifikasi data atau konfigurasi | Mengubah setpoint suhu di PLC register | Integrity check, audit log, DPI |
| R — Repudiation | Menyangkal melakukan tindakan | Operator menyangkal mengubah konfigurasi berbahaya | Audit trail, session recording |
| I — Info Disclosure | Pengungkapan informasi sensitif | Sniffing traffic Modbus plaintext untuk peta proses | Enkripsi, network segmentation |
| D — Denial of Service | Mengganggu ketersediaan layanan | Flood traffic ke PLC → PLC overload, proses berhenti | Rate limiting, QoS, redundancy |
| E — Elevation of Privilege | Mendapat hak akses lebih tinggi | Operator berhasil mendapat akses admin engineering workstation | RBAC, least privilege, MFA |
B. MITRE ATT&CK for ICS — Taktik Utama
MITRE ATT&CK for ICS — TACTICS
TA0001 — Initial Access : Spear-phishing, exploit public-facing app, supply chain TA0002 — Execution : Scripting, native API, exploit PLC programming env TA0003 — Persistence : Modify PLC program, implant in firmware, valid accounts TA0006 — Lateral Movement : Remote services, exploitation of remote services TA0009 — Collection : Monitor process state, point & tag identification TA0010 — Exfiltration : Data exfil ke command-and-control TA0104 — Inhibit Resp Function : Disable safety system (Triton), block alarm reporting TA0105 — Impair Process Control : Modify control logic (Stuxnet), spoof feedback TA0106 — Impact : Damage to property, loss of control, denial of view Teknik Spesifik ICS yang perlu di-monitor: T0821 — Modify Controller Tasking (ubah program PLC secara remote) T0855 — Unauthorized Command Message (kirim perintah ilegal ke RTU) T0856 — Spoof Reporting Message (manipulasi data sensor yang dilaporkan) T0878 — Alarm Suppression (sembunyikan alarm dari operator)
9.7Studi Kasus: Risk Assessment SCADA WTP Kota
📋 SKENARIO: RISK ASSESSMENT PDAM TIRTA KOTA
Tim keamanan diminta melakukan risk assessment pada sistem SCADA Water Treatment Plant yang baru diketahui memiliki banyak kerentanan pasca audit internal. Berikut proses dan temuan lengkapnya.
LAPORAN RISK ASSESSMENT — WTP KOTA
SCOPE: Sistem SCADA WTP kapasitas 500 L/det — 2 unit filter, 12 dosing pump, 8 valve DURASI: 5 hari (2 passive discovery + 2 config review + 1 reporting) METODE: Passive network monitoring (Nozomi) + manual config review + CVE lookup ═══ TEMUAN KRITIS (HARUS DITANGANI <72 JAM) ═══ FINDING-001 [KRITIS — Skor 20/25] Masalah : Remote access TeamViewer ke HMI utama tanpa MFA, password "teamview123" Likelihood: 4 (sangat mungkin — sudah ada credential leak di dark web) Impact : 5 (sangat tinggi — akses penuh ke kontrol dosis klorin) Bukti : Scan Shodan menemukan port 5938 (TeamViewer) terbuka Mitigasi : Hapus TeamViewer, ganti dengan VPN+MFA+Jump Server dalam 72 jam FINDING-002 [KRITIS — Skor 16/25] Masalah : Flat network — PC karyawan dan PLC di subnet yang sama (192.168.1.0/24) Likelihood: 4 (malware di PC karyawan bisa langsung scan PLC) Impact : 4 (tinggi — kontrol langsung semua pompa) Mitigasi : Segmentasi jaringan — pisahkan OT VLAN dalam 1 minggu FINDING-003 [TINGGI — Skor 12/25] Masalah : PLC Schneider M340 firmware v2.1 memiliki CVE-2021-22797 (CVSS 8.1) Buffer overflow via Modbus TCP → remote code execution Likelihood: 3 (attacker dalam OT network) Impact : 4 (kendali penuh PLC → manipulasi dosis kimia) Mitigasi : Update firmware ke v2.3.1+ (koordinasi dengan vendor, test dulu) FINDING-004 [TINGGI — Skor 9/25] Masalah : 3 dari 5 HMI masih Windows 7 End-of-Life Likelihood: 3 (exploit Win7 banyak tersedia) Impact : 3 (SCADA client access → baca dan kontrol proses) Mitigasi : App Whitelisting + network isolation sementara, rencana migrasi Win10 FINDING-005 [SEDANG — Skor 6/25] Masalah : Tidak ada backup konfigurasi PLC secara periodik Mitigasi : Setup backup otomatis bulanan ke secure offline storage ═══ RINGKASAN ═══ Total temuan: 2 Kritis + 3 Tinggi + 4 Sedang + 2 Rendah = 11 temuan Estimasi biaya mitigasi: Rp 450 juta (firewall, VPN, license AWL, training) Risiko jika tidak dimitigasi: manipulasi dosis klorin → krisis air minum kota
✓Latihan Soal — Sesi 9
■ PERTANYAAN 1 / 5
1. Formula dasar risiko dalam manajemen risiko ICS adalah Risk = Likelihood × Impact. Mengapa dimensi "Impact" pada ICS berbeda dari sistem IT biasa?
AImpact di ICS hanya mempertimbangkan kerugian finansial
BImpact di ICS mencakup dimensi tambahan: safety (cedera/kematian), environmental (tumpahan/ledakan), dan gangguan layanan publik yang tidak ada di sistem IT biasa
CImpact di ICS lebih kecil karena data proses tidak sensitif
DTidak ada perbedaan — impact di ICS sama dengan IT
✓ Benar! Impact pada sistem ICS jauh lebih luas dari IT. Selain kerugian finansial, ada dampak safety (cedera/kematian operator atau masyarakat), dampak lingkungan (tumpahan bahan kimia, kebakaran akibat proses tidak terkendali), dan gangguan layanan publik (air minum, listrik, BBM). Ini mengapa risiko pada SCADA harus dinilai dengan metodologi yang berbeda dari IT.
■ PERTANYAAN 2 / 5
2. Mengapa vulnerability scanning agresif (penetration testing penuh) TIDAK BOLEH dilakukan langsung di sistem SCADA produksi?
AKarena penetration testing mahal dan tidak efektif untuk OT
BKarena traffic scan agresif dapat menyebabkan PLC/RTU legacy crash atau restart, mengganggu proses industri yang sedang berjalan secara nyata
CKarena tidak ada tools penetration testing yang mendukung protokol OT
DKarena penetration testing hanya boleh dilakukan oleh vendor PLC
✓ Benar! PLC dan RTU lama sering kali memiliki stack TCP/IP yang minimal dan tidak diuji terhadap traffic tidak biasa. Paket scan yang di IT dianggap biasa (SYN scan, OS fingerprinting, service probe) bisa menyebabkan buffer overflow di firmware PLC → PLC restart/crash → proses berhenti → potensi bencana fisik. Penetration testing OT hanya boleh dilakukan di lab test bench yang identik dengan produksi.
■ PERTANYAAN 3 / 5
3. Dalam MITRE ATT&CK for ICS, taktik "Inhibit Response Function" (TA0104) mencakup teknik seperti yang dilakukan Triton/TRISIS, yaitu...
AMencuri data proses untuk dijual ke kompetitor
BMenonaktifkan safety system dan alarm suppression sehingga kondisi berbahaya tidak direspons dengan benar
CMemperlambat jaringan OT dengan DDoS
DMenginstal ransomware pada HMI
✓ Benar! TA0104 Inhibit Response Function adalah taktik yang bertujuan mencegah sistem safety dan alarm bekerja dengan benar saat kondisi berbahaya. Triton/TRISIS adalah contoh paling berbahaya: menonaktifkan SIS/ESD agar saat proses tidak aman, sistem keselamatan tidak memicu shutdown otomatis. Alarm suppression (T0878) adalah teknik lain dalam taktik ini.
■ PERTANYAAN 4 / 5
4. Risk Register dalam manajemen risiko ICS berfungsi sebagai...
ADatabase semua aset OT yang dimiliki perusahaan
BDokumen hidup yang mencatat semua risiko teridentifikasi, penilaian (likelihood × impact), kontrol yang ada, dan rencana perlakuan risiko
CLog insiden keamanan yang pernah terjadi
DDaftar vendor yang diizinkan mengakses sistem SCADA
✓ Benar! Risk Register adalah output utama dari proses manajemen risiko. Dokumen ini bersifat "hidup" — diperbarui secara berkala saat risiko baru ditemukan atau risiko lama dimitigasi. Kolom utama: deskripsi risiko, likelihood, impact, skor risiko, level (kritis/tinggi/sedang/rendah), kontrol saat ini, rencana mitigasi, penanggung jawab, dan target penyelesaian.
■ PERTANYAAN 5 / 5
5. Metode vulnerability assessment paling aman untuk sistem SCADA yang sedang beroperasi adalah...
AAggressive penetration testing untuk menemukan kerentanan sebanyak mungkin
BPassive network monitoring via SPAN/TAP + CVE lookup manual berdasarkan inventory versi firmware — tanpa mengirim paket scan ke device OT
CScan Nmap intensif di jam kerja untuk mendapatkan hasil komprehensif
DMeminta vendor PLC untuk melakukan pentest pada sistemnya sendiri
✓ Benar! Passive monitoring via SPAN/TAP memiliki risiko nol ke proses OT — tidak ada paket yang dikirim ke device. Dikombinasikan dengan CVE lookup manual (cocokan inventory firmware dengan database NIST NVD/ICS-CERT), ini memberikan visibility yang baik tanpa risiko crash. Active scan hanya dilakukan di maintenance window dan harus diuji di lab dulu.