
Gelombang serangan siber tingkat tinggi yang belum pernah terjadi sebelumnya terhadap perusahaan air minum Amerika selama setahun terakhir terus mengalir.
Dalam satu insiden, peretas pro-Iran menembus PLC perusahaan air minum di wilayah Pittsburgh dan merusak layar sentuh dengan pesan anti-Israel, sehingga memaksa perusahaan tersebut untuk kembali untuk mengontrol secara manual sistem pengaturan tekanan airnya. Operator air dan air limbah untuk sementara 500 komunitas Amerika Utara koneksi terputus antara jaringan TI dan OT setelah ransomware menyusup ke beberapa sistem back-end dan mengungkap data pribadi pelanggannya. Situs web yang berhubungan dengan pelanggan dan jaringan telekomunikasi di perusahaan air minum teregulasi terbesar di AS telah hilang gelap setelah serangan siber pada bulan Oktober.
Itu hanyalah beberapa cerita mengerikan yang baru-baru ini memicu ketakutan terhadap keamanan dan keselamatan fisik sistem air minum dan air limbah. Serangan siber ini telah memicu peringatan dan pedoman keamanan dari Badan Keamanan Siber dan Infrastruktur (CISA)itu gedung Putihitu FBI dan Kantor Direktur Intelijen Nasional (ODNI), itu Badan Perlindungan Lingkungan (EPA)dan itu ISAC Air (Pusat Berbagi dan Analisis Informasi).
Sebagian besar serangan ditujukan pada sasaran yang paling lemah, yaitu perusahaan penyedia air kecil tanpa keahlian dan sumber daya keamanan, yang sebagian besar merupakan serangan oportunistik. Sementara itu, serangan siber terhadap perusahaan utilitas besar seperti Veolia dan American Water menyerang sistem IT, bukan OT – tidak ada satupun yang benar-benar mengganggu layanan air. Secara keseluruhan, serangan siber terhadap air tampaknya terutama bertujuan untuk “mencari-cari dan mengikis kepercayaan,” kata Gus Serino, presiden I&C Secure dan mantan insinyur kontrol proses di Otoritas Sumber Daya Air Massachusetts.
Kini kita sedang berlomba-lomba untuk mengamankan sektor air – khususnya perusahaan-perusahaan utilitas kecil yang lebih rentan – dari serangan siber lebih lanjut. Banyak perusahaan air minum besar telah “meningkatkan upaya mereka” dalam mengamankan jaringan OT mereka, dan perusahaan lain mulai membangun infrastruktur keamanan mereka beberapa tahun yang lalu, kata Dale Peterson, presiden konsultan keamanan ICS/OT Digital Bond. “Klien pertama saya pada tahun 2000 adalah perusahaan penyedia air minum,” kenangnya. “Beberapa [large utilities] telah mengerjakan ini sejak lama.”
Tantangannya terletak pada mengamankan utilitas yang lebih kecil, tanpa membebani mereka secara berlebihan dengan infrastruktur keamanan yang tidak diperlukan dan memerlukan biaya besar. Alat-alat yang memerlukan keahlian dan biaya tambahan tidak dapat digunakan di lokasi-lokasi yang bahkan tidak memiliki dukungan TI khusus, apalagi pengetahuan dunia maya. Peterson berpendapat bahwa rekomendasi pemerintah untuk sistem pemantauan keamanan yang canggih terlalu berlebihan bagi sebagian besar perusahaan utilitas kecil. Perusahaan-perusahaan kecil ini memiliki prioritas yang lebih besar dan lebih nyata, katanya, seperti mengganti pipa-pipa yang sudah tua atau rusak pada infrastruktur fisik mereka.
Risiko Siber ICS/OT: Sesuatu di dalam Air?
Seperti industri ICS/OT lainnya, perusahaan air minum dengan segala ukuran telah melengkapi sistem pengontrol logika terprogram (PLC) yang dulunya terisolasi dan peralatan OT dengan akses jarak jauh, sehingga operator dapat memantau dan mengelola instalasi secara lebih efisien dari jauh — untuk mengendalikan pompa air atau memeriksa misalnya alarm. Hal ini telah membahayakan peralatan yang biasanya terisolasi.
“Mereka menghidupkan dan mematikan pompa, mengatur perubahan, merespons alarm atau kegagalan [in] sebuah sistem. Mereka melakukan remote untuk melihat layar SCADA/HMI untuk melihat apa yang salah atau untuk mengambil tindakan perbaikan,” jelas Serino dari I&C Secure, yang bekerja sama dengan perusahaan air minum. Ia mengatakan jarang sekali sistem tersebut tersegmentasi dengan benar, dan VPN “tidak selalu” digunakan untuk akses jarak jauh yang aman.
Vendor PLC seperti Siemens semakin banyak membangun fitur keamanan ke dalam perangkat mereka, namun pembangkit listrik tenaga air biasanya tidak menjalankan peralatan generasi berikutnya ini.
“Saya belum melihat PLC yang aman dipasang” di lokasi perairan yang lebih kecil, kata Serino. “Kalaupun ada PLC baru, fitur keamanannya tidak 'aktif'. Jadi jika kamu [an attacker] bisa masuk dan mendapatkan akses ke perangkat di jaringan itu, Anda dapat melakukan apa pun yang mampu Anda lakukan pada PLC.”
Karena banyak integrator sistem ICS/OT yang memasang sistem OT secara tradisional juga tidak mengatur keamanan untuk peralatan dan perangkat lunak yang mereka pasang di jaringan utilitas air, jaringan ini sering kali dibiarkan terbuka, dengan port terbuka atau kredensial default. “Kita perlu membantu pembuatan integrator [and installing] Peralatan SCADA untuk utilitas ini memastikan keamanannya” untuk utilitas, kata Chris Sistrunk, pemimpin teknis praktik konsultasi ICS/OT Google Cloud Mandiant dan mantan insinyur senior di Entergy.
Kredensial default adalah salah satu kelemahan keamanan paling umum yang ditemukan di jaringan OT, serta perangkat industri yang terekspos di Internet publik. Kelompok peretas Cyber Av3ngers yang berbasis di Iran dengan mudah membobol PLC Unitronics Vision Series buatan Israel di Otoritas Air Kota Aliquippa pabrik (serta utilitas dan organisasi air lainnya), hanya dengan masuk menggunakan kredensial pengaturan pabrik PLC yang mudah ditemukan.
Kabar baiknya adalah beberapa integrator sistem besar seperti Black & Veatch bekerja sama dengan perusahaan air minum besar dalam membangun keamanan pada instalasi OT baru mereka. Ian Bramson, wakil presiden keamanan siber industri global di Black & Veatch, mengatakan timnya bekerja dengan perusahaan utilitas yang menganggap keamanan sebagai masalah keselamatan fisik. “Mereka ingin membangun [security] masuk dan jangan langsung memasangnya,” jelasnya, untuk mencegah konsekuensi keselamatan fisik akibat buruknya kontrol keamanan keamanan siber.
Pembersihan Keamanan Siber untuk Air
Sementara itu, terdapat banyak sumber daya keamanan siber gratis untuk perusahaan air minum yang kekurangan sumber daya, termasuk Air-ISAC 12 teratas Dasar-Dasar Keamanan dan penilaian keamanan gratis dari American Waterworks Association (AWWA). alat untuk utilitas air yang membantu mereka memetakan lingkungan mereka ke Kerangka Keamanan Siber NIST. Kevin Morley, manajer hubungan federal untuk AWWA dan pakar keamanan siber perusahaan utilitas, mengatakan alat ini mencakup survei teknologi perusahaan utilitas dan kemudian memberikan daftar prioritas kontrol keamanan yang harus diterapkan dan ditangani oleh perusahaan utilitas, dengan fokus pada risiko dan ketahanan.
“Ini menciptakan peta panas” yang menunjukkan kelemahan dan risiko keamanan perusahaan utilitas, katanya. Hal ini membantu perusahaan utilitas dengan alasan bisnis keamanan siber dalam proses anggaran. “Mereka bisa mendatangi pimpinan dan mengatakan 'kami telah melakukan analisis ini dan inilah yang kami temukan,'” jelasnya.
Ada juga program relawan siber baru yang membantu perusahaan air minum pedesaan. National Rural Water Association baru-baru ini bekerja sama dengan DEF CON untuk mencocokkan sukarelawan pakar keamanan siber dengan perusahaan utilitas yang membutuhkan bantuan siber. Enam perusahaan utilitas di Utah, Vermont, Indiana, dan Oregon mencakup kelompok awal untuk DEF CON yang dipesan lebih dahulu proyek Franklin, di mana sukarelawan pakar keamanan ICS/OT akan menilai postur keamanan mereka dan membantu mereka mengamankan dan melindungi sistem OT mereka dari ancaman dunia maya.
Sistrunk dari Mandiant, yang bekerja sebagai relawan ahli cyber untuk beberapa utilitas kecil, menunjukkan tiga langkah keamanan utama dan dasar yang harus diambil oleh utilitas kecil (dan besar) untuk meningkatkan pertahanan mereka: memberlakukan otentikasi multifaktor, terutama untuk akses jarak jauh ke sistem OT; menyimpan cadangan secara offline atau dengan pihak ketiga yang tepercaya; dan mempunyai rencana tanggapan tertulis tentang siapa yang harus dihubungi ketika serangan siber terjadi.
Serino juga merekomendasikan firewall. “Dapatkan firewall jika Anda tidak memilikinya, dan konfigurasikan serta kunci firewall tersebut untuk mengontrol aliran data masuk dan keluar,” katanya. Merupakan hal yang umum jika firewall di sebuah perusahaan air minum salah dikonfigurasi dan dibiarkan terbuka lebar untuk lalu lintas keluar, ia mencatat: “Jika musuh bisa masuk, mereka dapat membangun kegigihan dan komando serta kendali mereka sendiri, sehingga memperketat perimeter” untuk kedua saluran keluar tersebut. dan lalu lintas masuk itu penting.
Ia juga merekomendasikan sistem logging terpusat, terutama untuk perusahaan air minum besar yang memiliki sumber daya untuk mendukung operasi logging dan deteksi: “Memiliki kemampuan untuk mendeteksi masalah sehingga Anda dapat menghentikannya sebelum mencapai tujuan akhir yang menyebabkan dampak.”