Sesi 6 — Standar & Framework Keamanan SCADA

6.1Overview — Mengapa Standar Keamanan ICS Diperlukan?

Berbeda dengan sistem IT umum, sistem ICS/SCADA memerlukan standar keamanan khusus yang mempertimbangkan keunikan lingkungan OT: real-time requirements, legacy systems, safety constraints, dan dampak fisik dari kegagalan keamanan.

ℹ️ PETA STANDAR KEAMANAN ICS GLOBAL

            STANDARPENERBITFOKUS UTAMASEKTOR
NIST SP 800-82NIST (AS)Panduan komprehensif keamanan ICSSemua sektor
IEC 62443IECSeri standar IACS lifecycle securitySemua industri
NERC CIPNERCCritical Infrastructure ProtectionListrik (Amerika)
NIST CSFNIST (AS)Cybersecurity Framework (Identify→Respond)Semua sektor
ISO/IEC 27001ISO/IECISMS — Information Security ManagementUmum (bisa diadaptasi OT)
IEC 62351IECKeamanan komunikasi power systemListrik, substation

STANDAR	PENERBIT	FOKUS UTAMA	SEKTOR
NIST SP 800-82	NIST (AS)	Panduan komprehensif keamanan ICS	Semua sektor
IEC 62443	IEC	Seri standar IACS lifecycle security	Semua industri
NERC CIP	NERC	Critical Infrastructure Protection	Listrik (Amerika)
NIST CSF	NIST (AS)	Cybersecurity Framework (Identify→Respond)	Semua sektor
ISO/IEC 27001	ISO/IEC	ISMS — Information Security Management	Umum (bisa diadaptasi OT)
IEC 62351	IEC	Keamanan komunikasi power system	Listrik, substation

⚠ STANDAR IT TIDAK CUKUP UNTUK OT

ISO/IEC 27001 dirancang untuk sistem IT. Jika diterapkan langsung ke OT tanpa adaptasi, dapat menyebabkan masalah:

Patch Management — ISO 27001 mensyaratkan patch cepat; di OT patch butuh uji validasi panjang karena bisa crash sistem produksi
Availability vs Confidentiality — ISO 27001 memprioritaskan confidentiality; OT harus memprioritaskan availability
Penetration Testing — Pentest agresif di jaringan IT adalah standar; di OT bisa menyebabkan PLC restart dan menghentikan proses

6.2NIST SP 800-82 — Guide to ICS Security

NIST
800-82

NIST Special Publication 800-82

Guide to Industrial Control Systems (ICS) Security

NIST — National Institute of Standards and Technology, USA · Rev. 3 (2023)

VOLUNTARY

NIST SP 800-82 adalah dokumen referensi paling komprehensif untuk keamanan ICS yang tersedia secara gratis. Digunakan sebagai baseline oleh banyak organisasi global, termasuk di Indonesia sebagai referensi untuk BSSN.

CAKUPAN

SCADA, DCS, PLC, RTU, IED — semua jenis ICS. Mencakup overview ancaman, kerentanan, dan countermeasures.

STRUKTUR

6 bagian utama: Overview ICS → Ancaman → Kerentanan → Risk Management → Program Keamanan → Rekomendasi per Tipe ICS

FRAMEWORK UTAMA

Defense-in-Depth sebagai strategi utama. Network segmentation, access control, monitoring, dan incident response.

CARA MENGGUNAKAN

Gap analysis: bandingkan kondisi saat ini dengan rekomendasi NIST SP 800-82 untuk menemukan area yang perlu diperbaiki.

14 Keluarga Kontrol Keamanan NIST SP 800-82

NIST SP 800-82 SECURITY CONTROLS

AC - Access Control           → Batasi akses berdasarkan role dan need-to-know
AU - Audit & Accountability   → Log semua aktivitas, review secara periodik
AT - Awareness & Training     → Pelatihan keamanan untuk semua personel OT
CM - Configuration Management → Inventory aset, baseline config, change control
CP - Contingency Planning     → BCP, DRP, dan uji recovery rutin
IA - Identification & Authn   → MFA, strong password, device certificates
IR - Incident Response        → IRP khusus ICS, latihan simulasi
MA - Maintenance             → Remote maintenance aman, vendor access control
MP - Media Protection        → USB policy, portable device control
PE - Physical & Enviro Protection → Akses fisik ke control room, CCTV, badge
PL - Planning                → Dokumentasi arsitektur keamanan, review tahunan
RA - Risk Assessment         → Penilaian risiko reguler, threat modeling
SC - System & Comm Protection → Firewall, VPN, enkripsi, network monitoring
SI - System & Info Integrity  → Antimalware, patch management, IDS/IPS

6.3IEC 62443 — Standar Keamanan IACS Komprehensif

IEC
62443

IEC 62443

Security for Industrial Automation and Control Systems (IACS)

IEC — International Electrotechnical Commission · Multi-part standard

INTERNATIONAL STD

IEC 62443 adalah standar paling komprehensif dan paling diterima secara global untuk keamanan sistem otomasi dan kontrol industri. Standar ini mencakup seluruh lifecycle sistem IACS dan mendefinisikan tanggung jawab setiap stakeholder.

SERI BAGIAN

IEC 62443-1-x: General concepts
IEC 62443-2-x: Policies & procedures
IEC 62443-3-x: System requirements
IEC 62443-4-x: Component requirements

STAKEHOLDERS

Asset Owner (pemilik sistem), System Integrator (pembangun sistem), Product Supplier (vendor produk)

KONSEP KUNCI

Security Level (SL 1-4), Zones & Conduits, Security Management System (CSMS)

KEUNGGULAN

Satu-satunya standar yang mencakup semua aspek: teknis, proses, dan manajemen untuk lingkungan industri

Security Level (SL) — IEC 62443

SECURITY LEVEL	DESKRIPSI ANCAMAN	KEMAMPUAN ATTACKER	CONTOH LINGKUNGAN
SL 0	Tidak ada proteksi khusus	—	Sistem internal terisolasi penuh
SL 1	Proteksi dari pelanggaran tidak disengaja	Tidak ada motivasi atau skill khusus	Pabrik kecil, sistem non-kritis
SL 2	Proteksi dari attacker bermotivasi dengan skill dasar	Menggunakan tools tersedia, pengetahuan umum ICS	Utilitas sedang, manufaktur
SL 3	Proteksi dari attacker terorganisir dengan skill lanjut	Menggunakan teknik khusus ICS, sumber daya signifikan	Infrastruktur kritis nasional
SL 4	Proteksi dari aktor negara (nation-state)	Kemampuan terbaik, resources tak terbatas, zero-days	Nuklir, militer, sistem sangat kritis

Konsep Zones & Conduits (IEC 62443-3-3)

📌 ZONES & CONDUITS — PEMBAGIAN ZONA KEAMANAN

Security Zone adalah pengelompokan aset dengan kebutuhan keamanan yang sama. Conduit adalah jalur komunikasi terkontrol antar zone yang menerapkan security policy.

Zone 1 (Enterprise) — Jaringan IT korporat, email, ERP. SL 1-2.
Zone 2 (DMZ Industri) — Buffer zone antara IT dan OT. Historian, data aggregator. SL 2.
Zone 3 (SCADA/Supervisory) — HMI, SCADA Server. SL 2-3.
Zone 4 (Control) — PLC, RTU, DCS controller. SL 3.
Zone 5 (Safety) — SIS/ESD system. SL 3-4. Terpisah fisik dari Zone 4.
Conduit — Firewall, data diode, atau gateway antara setiap zone dengan policy yang ketat.

6.4NERC CIP — Critical Infrastructure Protection

NERC
CIP

NERC CIP Standards

Critical Infrastructure Protection — Bulk Electric System (BES)

NERC — North American Electric Reliability Corporation · CIP-002 hingga CIP-014

MANDATORY (NERC)

NERC CIP adalah standar wajib bagi semua entitas yang terlibat dalam sistem transmisi listrik di Amerika Utara. Meskipun bukan regulasi Indonesia, NERC CIP menjadi referensi terbaik untuk keamanan SCADA di sektor kelistrikan global, termasuk PLN.

STANDAR UTAMA

CIP-002: Asset identification
CIP-003: Security management
CIP-004: Personnel training
CIP-005: Electronic security perimeter
CIP-006: Physical security
CIP-007: System security management

STANDAR LANJUTAN

CIP-008: Incident reporting
CIP-009: Recovery plans
CIP-010: Configuration management
CIP-011: Info protection
CIP-013: Supply chain risk
CIP-014: Physical security

KONSEKUENSI

Denda hingga $1 juta per hari per pelanggaran. NERC melakukan audit reguler. Duke Energy didenda $10 juta (2019).

RELEVANSI UNTUK INDONESIA

PLN dan anak perusahaan mengacu NERC CIP sebagai best practice meskipun tidak wajib secara hukum Indonesia.

6.5Defense-in-Depth Strategy untuk Lingkungan OT

Defense-in-Depth (DiD) adalah strategi keamanan berlapis di mana tidak ada satu kontrol keamanan tunggal yang diandalkan. Jika satu lapisan ditembus, lapisan berikutnya masih melindungi. Ini adalah prinsip utama yang direkomendasikan oleh NIST SP 800-82, IEC 62443, dan semua standar ICS utama.

◈ DEFENSE-IN-DEPTH — 6 LAPISAN PERTAHANAN OT ◈
L6
KEAMANAN FISIK
Perimeter fisik, akses badge, CCTV, kunci lemari panel, escorts untuk tamu. Serangan siber tanpa akses fisik lebih sulit.
L5
SEGMENTASI JARINGAN
Firewall IT/OT, VLAN, DMZ industri, data diode. Membatasi lateral movement jika satu zona dikompromisi.
L4
KEAMANAN HOST / ENDPOINT
Hardening HMI/workstation, application whitelisting, disable USB, antimalware OT, patch management terkelola.
L3
KONTROL AKSES
Role-based access control (RBAC), MFA untuk remote access, principle of least privilege, privileged access management.
L2
MONITORING & DETEKSI
OT-specific IDS/IPS (Claroty, Dragos, Nozomi), SIEM, log management, anomaly detection, 24/7 SOC monitoring.
L1
RESPON & PEMULIHAN
Incident Response Plan, DRP, backup konfigurasi PLC, manual operation capability, koordinasi BSSN/CSIRT.

⚠ KESALAHAN UMUM IMPLEMENTASI DiD DI OT
Hanya mengandalkan firewall — Firewall adalah satu lapisan, bukan satu-satunya lapisan. Ketika firewall ditembus, tidak ada pertahanan lain.
Tidak ada monitoring dalam OT network — Sebagian besar organisasi hanya monitor di perimeter. Attacker yang sudah masuk tidak terdeteksi berbulan-bulan.
Safety system tidak diinspeksi keamanannya — Triton membuktikan SIS juga butuh perlindungan siber.
Remote access tidak dikontrol — VPN vendor/kontraktor sering menjadi titik lemah terbesar.

6.6Purdue Model sebagai Referensi Arsitektur Keamanan

Purdue Model (ISA-95) tidak hanya menggambarkan hirarki fungsional SCADA, tetapi juga menjadi dasar untuk zone segmentation dalam implementasi keamanan ICS. Setiap level harus dipisahkan dengan kontrol keamanan yang sesuai.

◈ PURDUE MODEL — SECURITY ZONE IMPLEMENTATION ◈

4-5 ENTERPRISE

ENTERPRISE ZONE — Business Network

ERP (SAP) · Email · Office Network · Internet · Business Intelligence · HR Systems

═══════ ENTERPRISE FIREWALL (IT/DMZ Boundary) ═══════

DMZ INDUSTRIAL

INDUSTRIAL DMZ — Data Exchange Buffer

Historian Mirror · Data Aggregator · Remote Access Gateway (Jump Server) · Anti-Malware Scan Server · Patch Management Server

═══════ OT FIREWALL (DMZ/Supervisory Boundary) ═══════

3 SUPERVISORY

SUPERVISORY ZONE — SCADA Core

SCADA Server (Primary/Standby) · HMI Workstations · Engineering Workstation · Process Historian · OT IDS/IPS Sensor

─────── Internal OT Firewall / VLAN (Optional) ───────

1-2 CONTROL

CONTROL ZONE — PLC / RTU / DCS

PLC (Schneider M580/M340) · RTU · DCS Controller · IED · Field Control Networks (Modbus TCP, Profibus, EtherNet/IP)

═══════ PHYSICAL ISOLATION (Safety Zone Boundary) ═══════

SIS SAFETY

SAFETY ZONE — SIL 3/4 (ISOLATED)

SIS / ESD Controller (Schneider Triconex TMR) · Fire & Gas System · Safety Logic Solver · Emergency Shutdown Valves

0 FIELD

FIELD ZONE — Physical Process

Sensor (Suhu/Tekanan/Flow/Level) · Aktuator (Valve/Motor/Pump) · Transmitter · Limit Switch · Field Junction Box

6.7Segmentasi IT/OT dan Konsep Industrial DMZ

Segmentasi jaringan IT/OT adalah kontrol keamanan paling fundamental dalam melindungi sistem SCADA. Industrial DMZ (Demilitarized Zone) berfungsi sebagai buffer zone yang mengontrol aliran data antara jaringan IT dan OT.

Mengapa Industrial DMZ Diperlukan?

⚠ TANPA DMZ — RISIKO LANGSUNG IT→OT

Banyak insiden terjadi karena koneksi langsung antara IT dan OT network:

Malware dari email karyawan bisa langsung menyebar ke jaringan OT
Ransomware yang menginfeksi file server IT bisa pivot ke SCADA server
Attacker yang berhasil masuk ke IT network langsung bisa mengakses HMI

ARSITEKTUR INDUSTRIAL DMZ — BEST PRACTICE

╔═══════════════════════════════════════════════════════════════╗
║           INDUSTRIAL DMZ ARCHITECTURE (ZONA BUFFER)            ║
╚═══════════════════════════════════════════════════════════════╝

ZONA IT (Enterprise):
  [ERP/SAP] [Email Server] [File Server] [Office PCs]
       │
  ══ FIREWALL-1 (IT Perimeter) ══
  Rules: Permit IT → DMZ (specific ports only)
  Rules: DENY IT → OT directly (ALL)
       │
ZONA DMZ (Industrial Buffer):
  [Historian Read-Only Mirror]   ← Data dari OT, dibaca oleh IT
  [Remote Access Jump Server]    ← Vendor/maintenance terhubung ke sini dulu
  [Anti-Malware Scan Server]    ← Semua file yang masuk ke OT discan dulu
  [Patch Staging Server]       ← Patch divalidasi di sini sebelum ke OT
  [Data Aggregator/Broker]     ← Normalkan data antara IT dan OT format
       │
  ══ FIREWALL-2 (OT Perimeter) ══
  Rules: Permit DMZ → OT (historian write, SCADA read)
  Rules: DENY IT → OT (even via DMZ, except through proxy)
  Rules: DENY OT → IT directly (except via historian mirror)
       │
ZONA OT (Operational Technology):
  [SCADA Server] [HMI] [PLC] [RTU] [DCS]

ATURAN FUNDAMENTAL DMZ:
  1. Data HANYA mengalir satu arah: OT → DMZ (untuk reporting)
  2. Tidak ada koneksi langsung IT ↔ OT tanpa melalui DMZ
  3. Semua akses remote masuk melalui Jump Server di DMZ
  4. Jump server tidak diizinkan persistent session — session timeout ketat

Data Diode — Solusi Unidirectional Gateway

ℹ️ DATA DIODE — ENFORCED ONE-WAY DATA FLOW

Data Diode adalah perangkat keras yang secara fisik hanya memungkinkan data mengalir dalam satu arah. Tidak ada jalur kembali secara hardware (mirip dioda elektronik). Ini memberikan jaminan tertinggi bahwa OT network tidak bisa diserang dari IT network melalui jalur komunikasi tersebut.

Arah aliran: OT → IT (data proses keluar, tidak bisa masuk perintah dari luar)
Produk komersial: Owl Cyber Defense, Waterfall Security, Bayshore Networks
Cocok untuk: Transfer data historian ke IT tanpa risiko serangan balik ke OT
Kelemahan: Tidak bisa digunakan untuk komunikasi dua arah — tidak cocok jika vendor butuh remote control ke OT

6.8Mapping Standar ke Praktik Nyata

Bagaimana cara menerapkan standar-standar ini dalam praktik sehari-hari? Berikut adalah pemetaan kontrol keamanan dari ketiga standar utama ke implementasi teknis yang konkret:

AREA KONTROL	NIST SP 800-82	IEC 62443	IMPLEMENTASI TEKNIS
Inventarisasi Aset	CM (Configuration Mgmt)	CSMS Asset Management	Network discovery tools (Claroty, Nozomi), OT asset database, firmware version tracking
Kontrol Akses	AC (Access Control)	FR 1 — Identification & Auth Control	RBAC di SCADA software, MFA untuk remote access, shared account elimination
Segmentasi Jaringan	SC (System & Comm)	FR 5 — Restricted Data Flow (Zones)	Firewall rules, VLAN segmentation, Industrial DMZ, data diode
Monitoring & Deteksi	AU (Audit), SI (Integrity)	FR 6 — Timely Response to Events	OT IDS (passive monitoring), SIEM dengan OT use cases, baseline traffic profiling
Manajemen Patch	SI (System Integrity)	CSMS Patch Management	Patch risk assessment, staging server, compensating controls saat patch tidak memungkinkan
Respons Insiden	IR (Incident Response)	CSMS Incident Management	IRP khusus OT, latihan simulasi, koordinasi BSSN, runbook per skenario serangan
Keamanan Fisik	PE (Physical & Environ)	FR 3 — Use Control (physical)	Badge akses control room, CCTV, penguncian lemari panel, escort policy untuk visitor

📋 REKOMENDASI IMPLEMENTASI BERTAHAP UNTUK ORGANISASI INDONESIA
Tahap 1 — Foundational (0–6 bulan): Inventarisasi aset OT, pisahkan jaringan IT/OT dengan firewall, ganti password default semua device, nonaktifkan port/service tidak terpakai, latih operator awareness keamanan dasar
Tahap 2 — Structured (6–18 bulan): Implementasi Industrial DMZ, RBAC dan MFA, log management dan SIEM dasar, prosedur patch management OT, dokumentasi arsitektur keamanan
Tahap 3 — Advanced (18+ bulan): OT-specific IDS/IPS, threat hunting, koordinasi dengan BSSN, gap assessment terhadap IEC 62443, program vulnerability assessment rutin

✓Latihan Soal — Sesi 6

■ PERTANYAAN 1 / 5

1. Standar internasional yang paling komprehensif untuk keamanan Industrial Automation and Control Systems (IACS) yang mencakup seluruh lifecycle dan mendefinisikan Security Level (SL 1-4) adalah...

A NIST SP 800-82

B ISO/IEC 27001

C IEC 62443

D NERC CIP

✓ Benar! IEC 62443 adalah seri standar internasional yang paling komprehensif khusus untuk IACS. Mendefisikan Security Level (SL 0-4), konsep Zones & Conduits, dan mencakup tanggung jawab Asset Owner, System Integrator, dan Product Supplier. NIST SP 800-82 adalah panduan praktis, sedangkan ISO 27001 lebih umum untuk IT.

■ PERTANYAAN 2 / 5

2. Fungsi Industrial DMZ (Demilitarized Zone) dalam arsitektur keamanan IT/OT adalah...

A Zona untuk menempatkan server produksi OT yang paling penting

B Buffer zone antara jaringan IT dan OT yang mengontrol aliran data, mencegah koneksi langsung IT ke OT

C Zona yang terhubung langsung ke internet untuk monitoring remote

D Area fisik terbuka di pabrik yang tidak memerlukan izin akses

✓ Benar! Industrial DMZ adalah zona buffer antara IT dan OT. Di sini ditempatkan: historian mirror (data OT yang bisa dibaca IT), jump server untuk remote access yang terkontrol, anti-malware scanner, dan patch staging server. Aturan fundamental: tidak ada koneksi langsung antara IT dan OT — semua harus melalui DMZ.

■ PERTANYAAN 3 / 5

3. Dalam konteks IEC 62443, Security Level (SL) 3 dirancang untuk melindungi dari ancaman...

A Kesalahan tidak disengaja oleh pengguna biasa

B Attacker oportunistik dengan tools umum dan pengetahuan dasar

C Attacker terorganisir dengan skill lanjut dan teknik khusus ICS — cocok untuk infrastruktur kritis nasional

D Aktor negara (nation-state) dengan kemampuan dan resources tak terbatas

✓ Benar! SL 3 dirancang untuk ancaman dari attacker terorganisir yang menggunakan teknik khusus ICS, memiliki sumber daya signifikan, dan mungkin melakukan operasi multi-tahap. Cocok untuk infrastruktur kritis nasional seperti pembangkit listrik dan pengolahan air. SL 4 untuk nation-state, SL 2 untuk skill menengah, SL 1 untuk kesalahan tidak disengaja.

■ PERTANYAAN 4 / 5

4. Prinsip Defense-in-Depth pada keamanan OT berarti...

A Menggunakan firewall yang sangat canggih dan mahal sebagai satu-satunya lapisan pertahanan

B Menerapkan multiple layer pertahanan (fisik, jaringan, host, akses, monitoring, respons) sehingga jika satu lapisan ditembus, lapisan lain masih melindungi

C Mempertahankan semua sistem dengan kedalaman pengetahuan teknis yang tinggi

D Memisahkan sistem OT secara fisik ke gedung yang lebih dalam/terlindungi

✓ Benar! Defense-in-Depth adalah strategi berlapis: keamanan fisik → segmentasi jaringan → hardening endpoint → kontrol akses → monitoring & deteksi → respons & pemulihan. Filosofinya: tidak ada single point of security failure. Bahkan jika attacker menembus firewall, masih ada kontrol akses, monitoring, dan lainnya.

■ PERTANYAAN 5 / 5

5. Data Diode dalam konteks keamanan IT/OT adalah...

A Software firewall yang hanya mengizinkan satu jenis protokol

B Perangkat keras yang secara fisik hanya memungkinkan data mengalir satu arah, memberikan jaminan bahwa OT tidak bisa diserang dari jalur tersebut

C Komponen elektronik dalam PLC untuk proteksi arus balik

D VLAN yang hanya bisa diakses dari satu arah secara konfigurasi

✓ Benar! Data Diode adalah perangkat keras (bukan software) yang secara fisik mengimplementasikan one-way data flow. Berbeda dengan firewall yang bisa dikonfigurasi ulang atau di-bypass dengan exploit, data diode tidak memiliki jalur kembali secara hardware — memberikan jaminan keamanan tertinggi untuk transfer data OT→IT tanpa risiko serangan balik.

Standar dan FrameworkKeamanan SCADA

Standar dan Framework
Keamanan SCADA