Kita perlu memahami bahwa kita tidak dapat mengendalikan evolusi teknologi informasi, baik kecepatan maupun kemajuannya. Namun kita dapat menerapkan standar dan praktik terbaik yang terpadu dan terprediksi dalam melawan serangan cyber. Dengan kemunculan dan pertumbuhan yang cepat dari Internet Things (IoT), sangat penting untuk mengevaluasi kembali standar dan praktik semacam itu untuk melindungi infrastruktur kritis dari ancaman tambahan yang dibawa oleh perangkat IoT.
Menjaga kemajuan teknologi dapat seperti menjadi hamster di roda: balapan tidak pernah berakhir. Tapi dorongan itu pada akhirnya adalah apa yang menghasilkan kemajuan inovatif di IT – baik bagi peretas maupun profesional cyber. Era Internet of Things telah membawa perubahan teknologi secara global, baik untuk di industri data center, maupun di industri lainnya. Lantas, ini akan menimbulkan pertanyaan untuk melindungi infrastruktur kritis di Era IoT.
Melindungi Infrastruktur Kritis di Era IoT
Berikut adalah beberapa rekomendasi yang harus dipertimbangkan oleh pemerintah dan industri untuk menghadapi serangan cyber dan melindungi infrastruktur penting, termasuk jaringan, sistem dan data, tanpa mengurangi manfaat dan penggunaan teknologi terbaru di jaringan mereka.
1. Pemerintah Harus Menyediakan Petunjuk Jelas untuk Infrastruktur Kritis dan IoT
Perangkat IoT adalah salah satu kemajuan utama dalam beberapa tahun terakhir yang telah mengubah medan cyber. Walaupun ada lebih banyak perangkat IoT daripada manusia sejak 2008, panduan atau kebijakan untuk mengatur penggunaan perangkat ini kurang.
Berikut yang perlu di dukung oleh pemerintah :
- menerapkan peraturan infrastruktur dan undang-undang IoT yang penting
- mengamanatkan kepatuhan terhadap pedoman keamanan
- berkolaborasi dengan sektor swasta untuk mengambil keahlian dari sumber yang sebenarnya
- berkolaborasi dengan lembaga pemerintah lainnya untuk mengembangkan satu proses cyber untuk secara seragam
- mengkategorikan infrastruktur dengan dampak tinggi dan kritis, dan program dana yang akan membuat prioritas seperti Disaster Recovery (DR) dan sebagainya.
Kebijakan tidak boleh dikembangkan untuk melarang perangkat IoT. Namun, harus dirancang dengan untuk mendefinisikan dan mengamankan infrastruktur penting.
Dengan menetapkan syarat pada setiap perangkat IoT yang dijual ke pemerintah Indonesia, seperti dapat di ‘patch’, bebas dari kerentanan keamanan yang diketahui, dan memungkinkan pengguna mengubah kata sandi default. Hal tersebut memerlukan beberapa langkah dasar untuk keamanan IoT dan seharusnya menjadi undang-undang dalam melindungi infrastruktur kritis di era IoT.
2. Penugasan Tanggung Jawab
Sampai peraturan definitif untuk implementasi keamanan perangkat IoT, tanggung jawab pengamanan dan pemantauan ada pada organisasi yang menggunakan perangkat IoT. Organisasi harus mengembangkan kebijakan IoT mereka sendiri untuk mengatur penggunaan perangkat ini. Ini dapat dilakukan dengan menetapkan tanggung jawab untuk memantau perangkat ke departemen IT dan cybersecurity, serta menindak pengguna perangkat yang bertanggung jawab atas penggunaan di luar pedoman organisasi.
Dalam banyak kasus, perangkat IoT sudah banyak dipakai di jaringan, apakah organisasi menyadarinya atau tidak. Organisasi dapat menggunakan alat pemindaian seperti HBSS dan SCOM untuk mengidentifikasi perangkat IoT dan memutuskannya atau memerlukan pembenaran untuk penggunaannya. Untuk perangkat IoT yang terhubung melalui WiFi, organisasi mungkin perlu membuat atau mengubah kata sandi WiFi, lalu mengembangkan proses untuk memberikan izin kata sandi.
Sebagai alternatif, jika sebagian besar pengguna menggunakan perangkat IoT, atau jika menghentikan penggunaan IO akan membatasi produktivitas atau mempengaruhi misi, mungkin sebaiknya Anda membuat jaringan terpisah hanya untuk perangkat IoT. Terlepas dari solusinya, ini akan memakan biaya dan membutuhkan waktu untuk diimplementasikan. Itulah mengapa sebaiknya menetapkan kebijakan sebelum mengizinkan perangkat IoT di jaringan. Pastikan bahwa kebijakan tidak hanya mengatur perangkat tetapi juga bagaimana data yang digunakan oleh perangkat tersebut diproses dan disimpan.
Begitu organisasi memutuskan bagaimana menangani perangkat yang sudah ada di jaringan, maka perlu dikembangkan proses persetujuan untuk perangkat tambahan yang memberikan justifikasi dan bukti manfaat signifikan bagi organisasi. Jika perangkat telah sesuai persyaratan, organisasi perlu menentukan apakah perangkat I/O sudah aman dan jika tidak maka tentukan bagaimana cara mengamakannya.
Organisasi perlu menetapkan peraturan untuk menggunakan perangkat (misalnya, hanya menghubungkan perangkat ke Wi-Fi korporat atau jaringan khusus IoT) dan menetapkan konsekuensi untuk melanggar peraturan tersebut.
3. Berkolaborasi untuk Meningkatkan Keamanan
Setelah pemerintah menerbitkan undang-undang, menawarkan perlindungan untuk mendorong perusahaan secara sukarela berbagi informasi dengan sektor publik dan swasta, upaya berbagi informasi akhirnya dapat mulai maju.
Beberapa kelompok kerja publik-swasta yang disponsori oleh pemerintah dapat menangani masalah-masalah sulit dari jenis informasi apa yang harus dibagi dan, yang lebih sulit lagi, bagaimana hal itu harus dibagi. Kemitraan publik-swasta lainnya di dunia maya juga terbukti bermanfaat.
Misalnya, menyatukan perusahaan, membentuk asosiasi, dan pelaku sektor IT utama lainnya untuk bekerja sama dengan instansi pemerintah, dan mitra industri lainnya. Melalui kolaborasi ini, teknologi informasi dapat bekerja untuk memfasilitasi infrastruktur informasi global yang aman, tangguh dan terlindungi.
Kerangka Cybersecurity NIST, yang dimaksudkan untuk membantu mengamankan infrastruktur penting, merupakan contoh kolaborasi yang sangat baik yang menghasilkan hasil yang nyata. Model kemitraan publik-swasta sangat bagus untuk keamanan dunia maya dan juga efektif untuk keamanan IoT.
4. Edukasi Keamanan IT
Bahkan jika sebuah organisasi menyingkirkan perangkat IoT dan menerapkan praktik terbaik untuk mempertahankan infrastruktur kritisnya, masih ada cara untuk memasuki jaringan. Satu email phishing ke alamat email pengguna yang penasaran dan keseluruhan jaringan dapat tiba-tiba menjadi berisiko.
Organisasi harus mendidik dan melatih pengguna dan menindaklanjuti secara teratur untuk mengukur keefektifan program pelatihan dan menentukan bagaimana cara meningkatkannya. Terlepas dari keamanan teknis sebuah jaringan, faktor manusia akan selalu memberikan peluang bagi para penyerang. Edukasi keamanan IT perlu dirumuskan dalam peraturan untuk melindungi infrastruktur kritis di era IoT.
5. Mengembangkan Proses untuk Terus Menerus Mengawasi Aset Kritis dan Perangkat Terhubung
Dalam mendefinisikan infrastruktur penting, harus dilakukan secara bijaksana dan terarah. Secara teratur selidiki dan evaluasi kembali apa yang terhubung dengan sistem dan dapat mengakses jaringan serta data. Setiap perangkat terhubung ke internet seperti termostat, kamera, sensor, atau perangkat lain – berpotensi menjadi portal ke data yang paling penting.
Kebijakan, baik yang dikembangkan oleh pemerintah, industri, atau organisasi perorangan, harus mengatur penggunaan perangkat IoT di infrastruktur kritis perusahaan. Kebijakan tersebut harus ditegakkan dan juga dievaluasi ulang karena teknologi terus berkembang.
Rekomendasi ini akan membantu organisasi mempertahankan keadaan yang aman. Namun, keamanan maksimum hanya dimungkinkan melalui peraturan yang diberlakukan oleh kebijakan. Sementara beberapa anggota parlemen mungkin berpendapat bahwa undang-undang dan peraturan dapat menghambat pertumbuhan kontribusi ekonomi IoT, pertumbuhan tanpa keamanan dapat berdampak buruk terhadap ekonomi. Oleh karena itu, sangat penting bahwa pemerintah harus mengembangkan dan menerapkan kebijakan untuk menentukan serta mengatur baik infrastruktur penting maupun IoT.
Kebijakan peraturan tidak hanya dapat membantu mempertahankan diri dari serangan cyber, namun juga dapat melindungi privasi pengguna. Seperti yang dicontohkan dalam kasus dimana perangkat IoT yang dijual masih dapat dikendalikan oleh pemilik sebelumnya dan data ponsel pribadi dapat dengan mudah dipanen, tidak hanya oleh penegakan hukum namun oleh pihak yang tidak bertanggung jawab. Kebijakan dan peraturan untuk melindungi infrastruktur kritis sangat penting untuk segera dirumuskan. Dan ini akan sejalan dengan penegakan peraturan kedaulatan data yang telah diterbitkan pemerintah dan badan otoritas.
IoT berkembang secara eksponensial, dan dengan kemajuan yang terjadi begitu cepat, penggunaan dan manfaat potensial berada di luar jangkauan spekulasi. McKinsey Global melaporkan dampak ekonomi IoT yang diharapkan dari $ 3,9 triliun menjadi $ 11,1 triliun per tahun pada tahun 2025. Dan menurut Cisco, IoT memiliki potensi untuk mengembangkan keuntungan perusahaan global sebesar 21 persen pada tahun 2022.
Sebaliknya, lebih banyak perangkat berarti titik masuk yang lebih potensial ke jaringan. Dan ini juga berarti akan lebih banyak peluang bagi serangan cyber untuk melancarkan aksi. Keseluruhan definisi infrastruktur penting harus dipertimbangkan kembali, dan manfaat perangkat IoT harus diimbangi dengan meningkatnya risiko serangan cyber hingga saat ini.