5 Tantangan Keamanan Internet of Things Industri Teratas & Cara Mengatasinya

Diterbitkan: 2023-09-04

Pada tahun 2010, pembangkit listrik tenaga nuklir di Natanz, Iran, menjadi korban malware Stuxnet yang menargetkan Simatic Step 7, sebuah produk perangkat lunak untuk mengonfigurasi dan mengoperasikan pengontrol logika yang dapat diprogram (PLC). Serangan tersebut memungkinkan peretas untuk mengeksploitasi unit PLC di seluruh pabrik dan merusak hampir seribu sentrifugal pengayaan uranium, sehingga memberikan pukulan telak terhadap program nuklir negara tersebut.

Dalam kasus Iran, hal ini tidak selalu berarti buruk; kita sebenarnya tidak menginginkan lebih banyak senjata nuklir, bukan? Namun bayangkan jika hal yang sama terjadi pada pabrik atau peralatan Anda yang masing-masing bernilai beberapa juta dolar, dan reputasi Anda dipertaruhkan. Selalu berguna untuk menempatkan segala sesuatunya dalam perspektif, bukan?

Yang kami maksudkan di sini adalah: bisnis Anda tidak boleh menganggap enteng keamanan siber, terutama jika Anda beroperasi di sektor yang sangat kompetitif seperti manufaktur dan manajemen rantai pasokan, dan terutama jika perusahaan Anda telah memanfaatkan pengembangan perangkat lunak Internet of Things — cukup seperti yang dimiliki 72% pesaing Anda.

Mulai dari mendeteksi anomali dalam kinerja peralatan sebelum terjadi kegagalan hingga memantau tingkat inventaris secara real-time menggunakan tag RFID dan beacon BLE, terdapat banyak aplikasi dan manfaat IIoT yang menarik untuk dipertimbangkan. Ada banyak kemungkinan solusi IIoT Anda dapat membahayakan seluruh infrastruktur TI Anda, sehingga menimbulkan konsekuensi berikut:

  • Mesin rusak
  • Waktu henti produksi
  • Kecelakaan di lantai pabrik
  • Pelanggaran data
  • Kerusakan reputasi
  • Kerugian finansial langsung dan tidak langsung yang disebabkan oleh semua hal di atas

Apa saja faktor utama yang membahayakan keamanan IIoT — dan bagaimana perusahaan Anda dapat memperkirakan dan mengatasi tantangan keamanan IIoT sebelum bencana terjadi? Mari kita pecahkan teka-teki itu bersama-sama!

Ikhtisar Kesalahan dan Tantangan Keamanan IIoT

Demi kejelasan, mari kita definisikan IIoT dan komponen teknologinya sebelum memperbesar implikasi keamanannya.

Istilah IIoT mengacu pada jaringan mesin, sensor, pengontrol, dan sistem yang saling berhubungan yang berkomunikasi dan bertukar data satu sama lain dan dengan platform pusat di lingkungan industri.

Sistem cyber-fisik tersebut menggabungkan elemen peralatan industri tradisional dengan konektivitas, analisis data, dan visualisasi data. Perusahaan beralih ke konsultan IIoT untuk memantau operasi manufaktur dan gudang serta mengotomatisasi proses tunggal atau seluruh alur kerja.

Di balik layar, IIoT memiliki arsitektur yang sama dengan solusi Internet of Things (IoT) lainnya, meskipun penerapan edge IoT di mana data dianalisis lebih dekat ke sensor cenderung lebih banyak digunakan di lingkungan industri. Perusahaan yang memanfaatkan IIoT dapat membeli peralatan baru yang dilengkapi dengan sensor dan mendukung konektivitas secara default atau meningkatkan mesin yang sudah ada menggunakan perangkat retrofit IIoT yang tersedia dan tersedia di pasaran.

Dari sudut pandang keamanan IIoT, mengapa penting untuk memahami bagaimana sistem IIoT berfungsi di balik layar? Masalah keamanan IIoT dapat muncul di setiap tingkat sistem cyber-fisik Anda — mulai dari pengontrol yang dapat diprogram hingga aplikasi lama yang memiliki kerentanan yang belum ditambal. Untuk memitigasi risiko keamanan IIoT, perusahaan Anda harus melindungi semua titik akhir di jaringan kabel atau nirkabel Anda, mengamankan data saat transit dan saat disimpan, dan menambal celah keamanan dalam aplikasi yang membentuk infrastruktur TI Anda.

Tanpa basa-basi lagi, mari kita selidiki faktor-faktor apa saja yang melemahkan keamanan dalam solusi IIoT — dan apa yang dapat Anda lakukan untuk melindungi sistem cyber-fisik Anda dari ancaman-ancaman ini.

Tantangan 1: Komunikasi Tanpa Jaminan

Teknologi konektivitas adalah tulang punggung semua sistem IoT, terlepas dari kompleksitas dan area penerapannya.

Di lingkungan industri, seiring dengan semakin banyaknya perangkat dan sensor yang online, semakin banyak titik akhir, saluran komunikasi, dan solusi penyimpanan data yang bermunculan. Dan hal ini memerlukan perpaduan data dan protokol jaringan yang sangat beragam dan sebaiknya seimbang, yang memenuhi persyaratan keamanan IIoT tertentu.

Saat ini, hingga 98% dari seluruh lalu lintas IoT tidak terenkripsi, artinya peretas dapat dengan mudah melewati garis pertahanan pertama — misalnya dengan mengetahui login dan kata sandi pengguna melalui serangan phishing — dan mendapatkan data perusahaan Anda.

Praktik enkripsi yang buruk berasal dari penggunaan teknologi komunikasi lama, seperti Modbus, Profibus, dan DeviceNet. Faktanya, sebagian besar protokol komunikasi IIoT lama tidak memiliki kemampuan enkripsi data sama sekali, sehingga memaksa pengembang IoT untuk mencari solusi, seperti menerapkan VPN dan terowongan atau gateway yang aman serta mengatasi masalah enkripsi pada Secure Sockets Layer (SSL)/Transport Layer Security ( TLS) tingkat.

Larutan

Untuk mengamankan pertukaran data antar komponen solusi IIoT dan dengan demikian mencegah kecelakaan keamanan IIoT, kami menyarankan Anda menerapkan tumpukan teknologi konektivitas anti-gagal yang terdiri dari berikut ini.

Protokol Data yang Andal

Di IIoT, protokol data menentukan bagaimana informasi disusun, dikodekan, dan diinterpretasikan oleh perangkat. Jika perusahaan Anda memilih penerapan IIoT berkabel, Anda dapat memfasilitasi pertukaran data antara peralatan dan gateway yang terhubung melalui protokol Ethernet, seperti Profinet, EtherNet/IP, dan Modbus TCP/IP.

Meskipun protokol ini pada dasarnya tidak mendukung enkripsi data, pengembang IIoT Anda masih dapat membuat data tidak dapat dibaca oleh pihak ketiga dengan menerapkan tumpukan teknologi TLS/SSL pada lapisan transport atau memperkenalkan perangkat perantara, seperti gateway aman atau firewall, antara perangkat yang terhubung dan jaringan. Jika Anda mencari protokol data yang lebih fleksibel untuk IIoT dan solusi otomasi industri, kami sangat merekomendasikan protokol OPC Unified Architecture (OPC UA), yang mendukung enkripsi ujung ke ujung, menggunakan sertifikat digital X.509 untuk otentikasi perangkat, dan dapat digunakan dalam solusi IIoT kabel dan nirkabel.

Saat membangun sistem IIoT nirkabel, tim ITRex biasanya menggunakan Message Queuing Telemetry Transport (MQTT), Constrained Application Protocol (CoAP), Advanced Message Queuing Protocol (AMQP), WebSockets, atau RESTful API dengan HTTPS. Protokol modern ini menawarkan kemampuan enkripsi melalui TLS/SSL atau Datagram Transport Layer Security (DTLS) dan membantu membangun saluran komunikasi yang aman antara peralatan yang terhubung, gateway, dan server cloud.

Untuk informasi lebih lanjut tentang protokol data dan dampaknya terhadap keamanan IIoT, pesan konsultasi gratis dengan tim R&D kami.

Protokol Jaringan Aman

Tidak seperti protokol data, yang sebagian besar berhubungan dengan pertukaran informasi dan interoperabilitas, protokol jaringan menentukan aturan, standar, dan prosedur tentang cara perangkat terhubung, cara data ditransmisikan, dan cara komponen sistem IIoT berinteraksi dalam jaringan.

Dari sudut pandang keamanan IIoT, protokol jaringan dapat menjadi target menarik bagi peretas. Alasannya mencakup terbatasnya kontrol akses dan mekanisme otentikasi serta kurangnya kemampuan enkripsi data. Tergantung pada arsitektur jaringan Anda — yaitu pola point-to-point, star, atau mesh — dan kasus penggunaan yang dimaksudkan, Anda dapat memanfaatkan berbagai protokol jaringan untuk mengatasi tantangan keamanan IIoT. Protokol-protokol ini mencakup Layanan Distribusi Data (DDS), Low Power Wide Area Network (LoRaWAN), Zigbee, WirelessHART, dan Narrowband IoT (NB-IoT).

Untuk memilih rangkaian teknologi konektivitas yang sesuai dan memenuhi semua kebutuhan keamanan IIoT Anda, penting untuk mempertimbangkan jenis sistem cyber-fisik yang ingin Anda bangun, jangkauan transmisi data yang diperlukan, dan persyaratan konsumsi daya. Hal ini dapat dilakukan selama fase penemuan proyek IoT Anda.

Tantangan 2: Praktik Pembaruan Perangkat Lunak yang Tidak Memadai

Tidak seperti komputer, tablet, dan ponsel cerdas, perangkat IoT tidak mendukung sistem keamanan titik akhir, seperti program antivirus, hanya karena perangkat tersebut sering kali menjalankan perangkat lunak tertanam yang sangat disesuaikan atau ketinggalan jaman atau dirancang khusus agar berukuran kecil dan hemat energi.

Meskipun Anda dapat mengatasi sebagian tantangan keamanan IIoT dengan memperkenalkan firewall, deteksi dan pencegahan intrusi (IDP), serta mekanisme kontrol perangkat di tingkat jaringan, meningkatkan aplikasi yang membentuk ekosistem perangkat lunak IIoT Anda ke versi terbaru menjadi sangat penting untuk menyelesaikan kemungkinan masalah keamanan IIoT .

Berbicara tentang perangkat lunak IIoT, kita perlu membedakan antara sistem tertanam, seperti firmware, middleware, dan sistem operasi (OS), dan perangkat lunak biasa — seperti web, desktop, dan aplikasi seluler yang memfasilitasi manajemen perangkat.

Karena kendala desain perangkat IIoT dan banyaknya titik akhir dalam sistem cyber-fisik, menambal kerentanan keamanan perangkat lunak IIoT adalah tugas yang hanya dapat diatasi oleh sedikit perusahaan industri. Itu sebabnya hingga 65% produsen masih menggunakan sistem operasi usang yang memiliki kerentanan keamanan zero-day.

Larutan

Untuk memitigasi risiko keamanan siber IIoT, perusahaan industri harus memiliki mekanisme manajemen pembaruan perangkat lunak yang efisien.

Di ITRex, kami sangat mendukung pembaruan perangkat lunak dan firmware melalui udara (OTA). Dalam skenario ini, platform berbasis cloud yang didukung oleh AWS IoT Device Management, Azure IoT Hub, atau solusi SaaS yang telah dikonfigurasi sebelumnya seperti Bosch IoT Rollouts secara otomatis mengirimkan pembaruan perangkat lunak ke perangkat edge, pengontrol, dan gateway.

Platform manajemen perangkat yang dikonfigurasi dengan benar juga akan melacak armada perangkat Anda dengan lebih baik, mengoptimalkan peluncuran pembaruan sesuai dengan pengaturan dan persyaratan keamanan spesifik perangkat, dan memberi tahu tim TI Anda dalam keadaan darurat.

Tantangan 3: Tindakan Keamanan Fisik yang Buruk

Selain keamanan jaringan IIoT, perusahaan industri yang sadar akan dunia maya juga harus mencegah penjahat dunia maya dan orang dalam yang jahat mencuri perangkat keras dengan tujuan memindai bagian dalam perangkat dan menginfeksinya dengan virus dan program mata-mata.

Tindakan keamanan fisik yang tidak memadai tidak hanya membahayakan integritas dan kerahasiaan data sensitif, namun juga menyebabkan gangguan layanan, waktu henti operasional, dan kerugian finansial. Dampak dari kerentanan keamanan fisik dapat melampaui dampak langsungnya, yaitu berpotensi membahayakan keselamatan publik dan infrastruktur penting.

Larutan

Untuk mengatasi masalah keamanan fisik yang buruk di IIoT, diperlukan pendekatan multi-sisi. Inilah yang harus dilakukan perusahaan Anda sebagai bagian dari perombakan keamanan fisik IIoT.

Memprioritaskan Penerapan Mekanisme Kontrol Akses yang Kuat

Hal ini mencakup langkah-langkah seperti kontrol akses berbasis peran (RBAC) terhadap peralatan yang terhubung, otentikasi biometrik, dan pengawasan video yang didukung visi komputer, serta penerapan sistem deteksi intrusi.

Melakukan Audit Keamanan Fisik dan Penilaian Risiko Secara Reguler

Audit keamanan IIoT membantu mengidentifikasi kerentanan sejak dini. Mereka juga membantu mengembangkan strategi mitigasi yang tepat. Pendekatan proaktif ini memungkinkan organisasi untuk tetap selangkah lebih maju dari potensi ancaman dan mengambil tindakan pencegahan untuk melindungi sistem IIoT mereka. Dalam praktiknya, hal ini berarti memutuskan sambungan perangkat yang terbukti mengalami gangguan dari jaringan, menyembunyikan tanda pabrikan pada perangkat, dan, jika memungkinkan, menghapus komponen solusi IIoT yang tidak perlu untuk mencegah kejadian rekayasa balik.

Melaksanakan Program Pelatihan Karyawan Komprehensif

Meningkatkan kesadaran tentang risiko keamanan fisik dan praktik terbaik adalah kunci untuk memperkuat keamanan siber IIoT (akan dibahas lebih lanjut nanti). Kolaborasi antara TI dan tim keamanan fisik juga penting. Kemitraan ini memastikan pendekatan holistik terhadap keamanan, di mana aspek digital dan fisik dipertimbangkan dan disinkronkan untuk memberikan perlindungan yang kuat terhadap ancaman keamanan yang muncul.

Tantangan 4: Visibilitas Terbatas Pada Perangkat dan Aktivitas Jaringan

Hingga 90% organisasi melaporkan memiliki perangkat shadow IoT di jaringan mereka, dan 44% responden mengakui bahwa perangkat tersebut terhubung tanpa sepengetahuan tim keamanan atau TI mereka.

Akibatnya, banyak personel perusahaan tidak mengetahui perangkat mana yang berkomunikasi satu sama lain, termasuk jenis informasi yang mereka kumpulkan dan tukarkan, dan apakah informasi ini tidak dapat diakses oleh pihak ketiga. Dan fakta bahwa audit keamanan IIoT lebih dari sekadar mengidentifikasi solusi perangkat keras berdasarkan IP dan sistem operasinya hanya memperumit masalah.

Larutan

Ada beberapa langkah yang dapat Anda ambil untuk mencapai visibilitas perangkat dan jaringan dalam penerapan IIoT.

  • Analisis semua komunikasi jaringan menggunakan solusi inspeksi paket mendalam (DPI).
  • Kumpulkan informasi lengkap tentang perangkat, termasuk jenis perangkat keras, model, nomor seri, dan versi sistem tertanam.
  • Kelompokkan perangkat Anda berdasarkan jenis, fungsi, kepentingan misi, dan potensi risiko keamanan IIoT.
  • Buat jaringan area lokal virtual (VLAN) untuk setiap grup perangkat guna meningkatkan visibilitas dan kontrol lalu lintas.
  • Manfaatkan platform manajemen perangkat yang andal, seperti AWS IoT Core, Azure IoT Hub, dan PTC ThingWorks, untuk meningkatkan inventaris perangkat, pemantauan, konfigurasi, peluncuran pembaruan, dan pemecahan masalah.

Tantangan 5: Kurangnya Pelatihan Karyawan dan Kesadaran Dunia Maya

Seperti yang kami sebutkan sebelumnya, kurangnya kolaborasi dan koordinasi antara tim teknologi informasi (TI) dan teknologi operasional (OT) dapat mengakibatkan buruknya praktik manajemen keamanan IIoT.

Meskipun operator peralatan dan manajer pabrik dapat merawat mesin yang terhubung dengan baik, mereka sering kali hanya mengetahui sedikit tentang teknologi tertanam dan konektivitas yang menggerakkan mesin tersebut. Sebaliknya, tim TI berpengalaman dalam keamanan informasi tradisional tetapi cenderung memperlakukan solusi IIoT seperti perangkat keras biasa.

Hal ini dapat menyebabkan tingkat patch yang rendah, visibilitas aktivitas jaringan yang terbatas, dan kesalahan konfigurasi sistem IIoT. Selain itu, penjahat dunia maya dapat mengeksploitasi pengetahuan terbatas karyawan Anda tentang praktik terbaik keamanan IIoT melalui serangan phishing dan peniruan identitas. Tim Anda mungkin juga memilih kata sandi yang lemah atau menggunakan kembali kata sandi di seluruh aplikasi, yang dapat membuka pintu belakang bagi infrastruktur TI Anda, sehingga melemahkan keamanan perangkat lunak IIoT.

Larutan

Berikut adalah rencana tingkat tinggi yang dapat membantu perusahaan Anda meningkatkan kesadaran keamanan siber di kalangan karyawan.

Buat Program Pelatihan yang Khusus Disesuaikan dengan Lingkungan IIoT

Program-program ini harus mencakup topik-topik seperti dasar-dasar keamanan siber, keamanan perangkat IoT, praktik konfigurasi yang aman, kebersihan kata sandi, mengenali dan melaporkan potensi insiden keamanan, dan kepatuhan terhadap kebijakan dan prosedur keamanan internal.

Menyelenggarakan Sesi Pelatihan Reguler untuk Memastikan Karyawan selalu mengetahui Ancaman Keamanan Siber Terkini dan Praktik Terbaik

Hal ini dapat dilakukan melalui lokakarya, seminar, webinar, atau modul pelatihan online di sistem manajemen pembelajaran (LMS) Anda. Sebagai bagian dari aktivitas pelatihan, misalnya, Anda dapat mengajari staf Anda untuk mengenali dan merespons ancaman keamanan IIoT melalui simulasi phishing dan pengujian penetrasi. Anda juga harus menyesuaikan program pelatihan dengan fungsi pekerjaan tertentu, memastikan bahwa karyawan menerima pelatihan yang relevan dengan tanggung jawab mereka. Misalnya, staf TI mungkin memerlukan lebih banyak pelatihan teknis, sementara karyawan operasional mungkin memerlukan pelatihan tentang penggunaan perangkat yang aman dan keamanan fisik.

Mengembangkan Kebijakan dan Prosedur Komprehensif yang Mengatasi Tantangan Keamanan IIoT

Komunikasikan kebijakan ini secara efektif kepada karyawan dan pastikan bahwa mereka memahami peran dan tanggung jawab mereka dalam menjaga keamanan. Tinjau dan perbarui kebijakan ini secara berkala seiring dengan berkembangnya teknologi dan ancaman.

Promosikan Budaya Kesadaran dan Akuntabilitas Keamanan IIoT di Seluruh Organisasi Anda

Dorong karyawan untuk segera melaporkan insiden keamanan atau aktivitas mencurigakan apa pun. Tekankan bahwa keamanan siber adalah tanggung jawab semua orang, mulai dari manajemen puncak hingga staf garis depan, dan berikan penghargaan kepada karyawan karena menunjukkan praktik keamanan yang baik.

Pertimbangkan Bermitra dengan Pakar atau Konsultan IIoT Eksternal untuk Melakukan Penilaian Keamanan

Pakar eksternal dapat memberikan wawasan berharga, praktik terbaik industri, dan intelijen ancaman terkini untuk meningkatkan program pelatihan karyawan. Selain itu, mereka dapat membantu Anda menerapkan praktik “keamanan berdasarkan desain” ke dalam proses pengembangan perangkat lunak IIoT dan memperoleh persyaratan fungsional dan non-fungsional untuk penerapan IIoT.

Pada Catatan Akhir

Tingkat adopsi IIoT telah melonjak dalam beberapa tahun terakhir – begitu pula serangan tingkat tinggi yang menargetkan infrastruktur IIoT yang penting.

Menurut survei terbaru yang dilakukan Check Point, dalam dua bulan pertama tahun 2023, 54% perusahaan mengalami serangan terkait IoT, dengan perkiraan 60 serangan per minggu per organisasi (naik 41% dari tahun lalu). Di antara perangkat yang paling rentan terhadap serangan peretas adalah router, perekam video jaringan, dan kamera IP — singkatnya, perangkat keras yang menjadi tulang punggung infrastruktur TI setiap perusahaan.

Meskipun tim TI Anda mengikuti praktik terbaik keamanan IIoT selama proses pengembangan dan implementasi, tidak ada jaminan peretas tidak akan mengendalikan peralatan dan data Anda dengan mengeksploitasi kerentanan dalam aplikasi dan perangkat di luar ekosistem IIoT. Itu sebabnya perusahaan Anda memerlukan strategi keamanan menyeluruh — itulah yang dapat dilakukan ITRex untuk Anda!

Baik Anda sedang mempertimbangkan untuk meluncurkan uji coba IIoT atau memerlukan bantuan untuk menskalakan bukti konsep (PoC) IIoT di seluruh kasus penggunaan lainnya, hubungi kami! Kami berpengalaman dalam analisis bisnis, rekayasa sistem tertanam, komputasi awan dan DevOps, serta pengembangan aplikasi pengguna akhir.

Artikel ini awalnya diterbitkan di situs itrex.