Bagaimana kerentanan sistem kontrol dapat mengancam industri minyak [Q&A]

industri penyulingan

Serangan Colonial Pipeline pada tahun 2021 menyoroti betapa rentannya sistem kontrol industri, dan khususnya pasokan energi, terhadap serangan siber.

Sektor minyak dan gas sangat berisiko karena sering bergantung pada perangkat lama yang tidak menerima pembaruan firmware tepat waktu. Kami berbicara dengan Mark Kerzner, CEO dan salah satu pendiri ElephantScale dan Scaia AI yang telah bekerja dengan banyak pemimpin industri minyak, untuk mengetahui lebih lanjut tentang risiko dan cara mengatasinya.

BN: Mengapa sistem kontrol sektor petrokimia sangat berisiko?

MK: Mereka beresiko karena perubahan yang terjadi pada mereka secara tiba-tiba. Anda lihat, mereka membangun operasi mereka dalam apa yang mereka yakini sebagai lingkungan yang aman. Saya akan memberi Anda satu contoh. Minggu lalu saya memberikan pelatihan keamanan siber untuk sekelompok insinyur dari perusahaan minyak dan gas besar. Mereka dengan percaya diri mengatakan kepada saya bahwa, “Di perusahaan kami, kami memiliki aturan: tidak ada peralatan yang diizinkan untuk terhubung ke Internet.” Ini disebut ‘air gapping’, yang berarti peralatan Anda tidak pernah terkena jaring.

Sekarang bayangkan apa yang terjadi ketika celah udara ini dijembatani. Tiba-tiba, Anda menyadari bahwa Anda membangun sistem Anda tanpa perlindungan dengan asumsi bahwa mereka tetap aman. Nah, celah udara diketahui telah dijembatani sebelumnya, seperti dengan menjatuhkan thumb drive yang terinfeksi ke lantai (pikirkan Stuxnet.) Tapi apa yang terjadi di sini lebih serius. Internet of Things (IoT) tiba-tiba menyusul sektor petrokimia — dan, pada kenyataannya, dengan semua industri aset-berat. Ini biasanya disebut Teknologi Operasional, atau OT.

Sekarang, bayangkan Anda menulis perangkat lunak sebelum internet, tanpa memikirkan keamanan, dan tiba-tiba seseorang menghubungkan semua sistem Anda ke internet. Anda akan buru-buru berlindung. Inilah yang terjadi dengan PL.

BN: Apa peran pengontrol logika yang dapat diprogram (PLC) dan mengapa itu menjadi masalah?

MK: Pengontrol logika yang dapat diprogram pertama kali muncul pada tahun 1970-an. Mereka adalah cara yang bagus untuk membangun sistem ketika dihubungkan ke sensor dan aktuator. Pertama, Anda mengukur apa yang terjadi dengan mesin Anda (ini adalah tugas sensor), kemudian menganalisis reaksi Anda yang seharusnya (ini yang dilakukan PLC), dan kemudian melakukan beberapa tindakan (inilah yang dilakukan aktuator. ) Misalnya, Anda melihat bahwa tekanan ketel uap Anda terlalu tinggi (sensor), menganalisisnya dan membuat keputusan untuk menurunkannya (PLC), dan membuka katup (aktuator.)

PLC adalah ide bagus dan memungkinkan Anda membangun sistem otomatis yang hebat. Tidak ada yang salah dengan mereka sendiri. Tapi bayangkan apa yang terjadi kemudian PLC terbuka terhadap serangan cyber. Aku akan membiarkan imajinasimu menjadi liar… Kamu benar. Itulah yang bisa terjadi. Apa yang membuat ini lebih bermasalah adalah kenyataan bahwa patch perangkat lunak untuk PLC jauh lebih jarang daripada di dunia PC. Mungkin jauh lebih sulit untuk memperbaiki kelemahan keamanan yang dapat ditemukan secara teratur.

BN: Haruskah sistem ini di-gapped dari internet agar tetap aman?

MK: Tentu saja harus! Masalahnya, IoT tidak bisa dihentikan, diterapkan di perangkat modern, bahkan terkadang tanpa sepengetahuan Anda. Dan IoT ini dapat menembus celah udara Anda.

BN: Apakah perusahaan di sektor ini perlu berbuat lebih banyak untuk memahami ancaman?

Ya! Saya berbicara dengan salah satu perusahaan terkemuka di sektor ini. Mereka mengatakan kepada saya bahwa langkah pertama untuk pelanggan baru mereka biasanya adalah memetakan sistem saat ini. Dengan kata lain, klien mengajukan pertanyaan kepada diri mereka sendiri: ‘apa yang saya miliki?’ Dan dalam banyak kasus mereka tidak sepenuhnya memahami sistem mereka yang ada. Sering kali, pemetaan pertama ini menghasilkan ‘oh, wow!’ reaksi ketika mereka menyadari tingkat risiko.

BN: Apa peran pendidikan dalam mengamankan sistem?

MK: Ada pepatah: ‘Satu cahaya bisa menerangi seratus orang.’ Cahaya di sini adalah pengetahuan. Anda perlu menyediakan seratus makanan jika Anda berbicara tentang memberi makan seratus orang, tetapi hanya satu lampu yang cukup bagi mereka untuk melihat makan. Dengan cara yang sama, memperoleh pengetahuan dasar adalah kuncinya. Ini mungkin awal dari perjalanan panjang, tetapi harus dimulai dari suatu tempat. Seringkali, siswa saya akan melampaui saya dalam pengetahuan mereka. Saya menyambut ini, tetapi saya sangat menikmati membantu mereka memulai.

Kredit gambar: khunaspix/depositphotos.com

Author: Martha Meyer