Critical infrastructure (CI) adalah tulang punggung suatu negara yang mendukung fungsi ekonomi, sosial, dan politiknya. Ini termasuk segala sesuatu mulai dari jaringan listrik dan air hingga sistem transportasi dan komunikasi. Kerusakan atau disfungsi dalam critical infrastructure bisa memiliki dampak serius pada kehidupan sehari-hari dan stabilitas suatu negara. Dalam menghadapi ancaman serangan siber, critical infrastructure menjadi semakin rentan dan perlu dilindungi dengan cermat. Â
Sejumlah faktor mendorong terjadinya serangan siber terhadap critical infrastructure. Pertama, biaya rendah dan kompleksitas yang lebih sedikit membuat serangan semacam itu dapat dilakukan oleh pelaku dengan sumber daya terbatas. Kedua, tingkat anonimitas yang tinggi memungkinkan pelaku untuk melancarkan serangan tanpa terdeteksi.Â
Ketiga, kurangnya penegakan hukum yang efektif memperburuk situasi ini dengan memberikan kesempatan bagi pelaku untuk beroperasi dengan relatif bebas. Maka dari itu, penting untuk memahami motivasi di balik serangan semacam itu dan mengembangkan strategi yang efektif untuk melindungi critical infrastructure dari ancaman ini.
Salah satu insiden yang mencolok dalam sejarah serangan terhadap critical infrastructure adalah penggunaan worm Stuxnet. Meskipun pertama kali ditemukan pada tahun 2010, perkiraan menunjukkan bahwa pengembangan Stuxnet dimulai sejak tahun 2005. Tujuan spesifik dari serangan ini adalah untuk menunda proyek nuklir Iran dengan merusak pusat pengayaan uraniumnya.
Stuxnet berhasil melakukan penetrasi ke dalam sistem kontrol industri yang mengoperasikan centrifuge uranium dengan cara yang sangat canggih, karena mampu menembus sistem keamanan dan isolasi sistem industri dari konektivitas internet.Â
Proses ini dimulai dengan infeksi melalui perangkat USB yang kemudian menyusup ke dalam sistem operasi Windows dan sistem kontrol Siemens PLC. Dengan memanfaatkan celah keamanan zero-day, Stuxnet berhasil mengambil alih kendali SCADA (Supervisory Control and Data Acquisition) yang mengawasi operasi centrifuge dan mengendalikan Siemens PLC (Programmable Logic Controller) untuk melakukan manipulasi.
Modus operandi Stuxnet kemudian berlanjut dengan mengirimkan instruksi yang merusak kepada peralatan yang mengendalikan putaran centrifuge uranium. Instruksi ini membuat centrifuge berputar lebih cepat dari standar pengoperasiannya dan pada saat yang sama menampilkan operasi normal pada layar pengawas. Dengan cara ini, serangan dilakukan tanpa terdeteksi oleh pengawas dan dengan menghasilkan kerusakan yang signifikan pada fasilitas nuklir Iran.
Yang menarik dari serangan Stuxnet adalah keterlibatan yang kompleks dan keahlian teknis yang diperlukan untuk merancang dan meluncurkannya. The Washington Post melaporkan bahwa terdapat keterangan resmi yang menyebutkan Stuxnet dikembangkan secara bersama-sama oleh badan intelijen Amerika Serikat dan Israel. Kolaborasi ini menunjukkan tingkat sofistikasi yang tinggi dalam merencanakan serangan siber terhadap critical infrastructure musuh.
Adapun serangan Stuxnet memiliki dampak besar terhadap program nuklir Iran. Sekitar 20% dari centrifuge uranium negara itu rusak akibat serangan ini. Tidak hanya itu, lebih dari 200.000 komputer terinfeksi oleh worm ini, dan sekitar 1.000 mesin mengalami degradasi fisik.
Untuk mengatasi ancaman serangan terhadap critical infrastructure, langkah-langkah mitigasi yang efektif perlu dilakukan secara sistematis. Pertama-tama, monitoring dan audit sistem secara berkala sangat penting untuk mendeteksi aktivitas yang mencurigakan atau serangan potensial.Â
Selain itu, pembaruan rutin pada sistem kontrol dan perangkat lunak yang digunakan dalam critical infrastructure harus dilakukan secara teratur untuk mengatasi kerentanan keamanan yang mungkin ada.Â
Upaya-upaya untuk meningkatkan keamanan critical infrastructure juga perlu difokuskan pada peningkatan sistem keamanan yang terus-menerus dan penggunaan teknologi yang lebih modern untuk meningkatkan keandalan dan responsivitas terhadap serangan siber.
Dalam menghadapi ancaman serangan siber di era perang dimensi kelima, perlindungan critical infrastructure menjadi sangat penting bagi keamanan dan stabilitas suatu negara.Â
Dengan pemahaman yang mendalam tentang faktor pendorong serangan dan langkah-langkah mitigasi yang tepat, kita dapat mempersiapkan diri dengan lebih baik untuk menghadapi ancaman ini di masa depan.
Referensi Jurnal:
Amarullah, Abdul Hanief; Runturambi, Arthur Josias Simon; and Widiawan, Bondan (2021) "Analisis Ancaman Kejahatan Siber Bagi Keamanan Nasional Pada Masa Pandemi COVID-19," Jurnal Kajian Stratejik Ketahanan Nasional: Vol. 4: Iss. 2, Article 2. Available at: https://scholarhub.ui.ac.id/jkskn/vol4/iss2/2
Haataja, S. (2023). Cyber operations against critical infrastructure under norms of responsible state behaviour and international law. International Journal of Law and Information Technology, [online] 30(4), pp.423–443. doi:https://doi.org/10.1093/ijlit/eaad006.
National Institute of Standards and Technology (2021). Developing Cyber-Resilient Systems: A Systems Security Engineering Approach: NIST Publishes SP 800-160 Vol. 2, Revision 1 | NIST. [online] NIST. Available at: https://www.nist.gov/news-events/news/2021/12/developing-cyber-resilient-systems-systems-security-engineering-approach.
‌Nguyen, M. (2020). Air, Space, and Cyberspace: Reinvigorating Defense of US Critical Infrastructure. [online] Available at: https://www.airuniversity.af.edu/Portals/10/ASPJ/journals/Volume-34_Issue-3/V-Nguyen_Sparks.pdf.
‌Rees, J. and Rees, C.J. (2023). Cyber-Security and the Changing Landscape of Critical National Infrastructure: State and Non-state Cyber-Attacks on Organisations, Systems and Services. Advanced sciences and technologies for security applications, [online] pp.67–89. doi:https://doi.org/10.1007/978-3-031-40118-3_5.
Referensi Artikel:
Kaspersky (2023). Stuxnet explained: What it is, who created it and how it works. [online] www.kaspersky.com. Available at: https://www.kaspersky.com/resource-center/definitions/what-is-stuxnet.
Kushner, D. (2013). The Real Story of Stuxnet. [online] IEEE Spectrum. Available at: https://spectrum.ieee.org/the-real-story-of-stuxnet.
Matisoftlabs.com. (2017). Matisoft Case Studies Page. [online] Available at: https://www.matisoftlabs.com/case-studies/stuxnet.
Nakashima, E. and Warrick, J. (2012). Stuxnet was work of U.S. and Israeli experts, officials say. [online] Washington Post. Available at: https://www.washingtonpost.com/world/national-security/stuxnet-was-work-of-us-and-israeli-experts-officials-say/2012/06/01/gJQAlnEy6U_story.html.
Stanford.edu. (2015). Stuxnet: The world’s first cyber weapon. [online] Available at: https://cisac.fsi.stanford.edu/news/stuxnet.
‌
Baca konten-konten menarik Kompasiana langsung dari smartphone kamu. Follow channel WhatsApp Kompasiana sekarang di sini: https://whatsapp.com/channel/0029VaYjYaL4Spk7WflFYJ2H
