Setiap cerita keamanan tentang OT saat ini dimulai dengan Zero Trust. Dan memang benar. Prinsipnya solid: jangan percaya apa pun secara implisit, verifikasi di mana memungkinkan, batasi akses, dan minimalkan blast radius.
Tetapi coba jelaskan itu kepada Siemens S7-300 dari tahun 2008.
PLC itu tidak memiliki stack TLS. Tidak ada penyimpanan sertifikat. Tidak ada autentikasi modern. Ia berbicara Profinet, MPI, atau mungkin Modbus/TCP. Ia telah melakukan persis apa yang perlu dilakukan selama lima belas tahun. Lini berjalan di atasnya. Operator mengetahui perilakunya. Teknisi pemeliharaan tahu lampu indikator mana yang normal. Dan di suatu tempat masih ada laptop rekayasa yang menjalankan perangkat lunak yang tidak ingin dipasang ulang oleh siapapun.
Anda tidak akan begitu saja mengganti PLC itu. Bukan karena keamanan tidak penting. Tetapi karena lini akan mati selama berminggu-minggu, vendor mungkin sudah tidak ada, dokumentasinya tidak lengkap, dan tidak ada yang tahu persis apa yang terjadi di dalam program itu.
Itulah realitas keamanan OT. Bukan versi whitepaper. Versi lantai pabrik.
Masalah dengan “segmentasi saja”
Segmentasi sering disajikan seolah-olah itu masalah membuat VLAN dan menulis aturan firewall. Di IT, Anda kadang bisa lolos dengan itu. Endpoint berbicara TCP/IP, mendukung TLS, mengautentikasi terhadap identity provider, dan dapat di-patch dengan relatif mudah.
Di OT Anda berada di alam semesta yang berbeda. Perangkat yang tidak mendukung keamanan modern. Protokol tanpa autentikasi. Firmware yang tidak dapat di-patch. Koneksi serial yang tiba-tiba muncul di jaringan melalui konverter. Workstation rekayasa yang perlu menjangkau IT perusahaan dan jaringan proses. Vendor yang ingin akses jarak jauh melalui TeamViewer di laptop bersama.
Segmentasi di OT oleh karena itu bukan pertanyaan jaringan. Ini adalah pertanyaan desain. Anda perlu tahu tidak hanya sistem mana yang saling berkomunikasi — Anda perlu memahami mengapa mereka melakukannya, dan apa yang terjadi secara fisik jika Anda memutus komunikasi itu.
Zona dan conduit: IEC 62443 dalam praktik
IEC 62443 menyediakan kerangka kerja yang tepat untuk ini: zona dan conduit. Zona adalah sekelompok aset dengan profil risiko yang sebanding dan fungsi yang sama. Conduit adalah koneksi terkontrol antara zona.
Dalam praktiknya: sekelompok PLC yang bersama-sama mengontrol satu lini produksi membentuk zona. Server SCADA yang membacanya berada di zona yang berbeda. Jalur komunikasi di antara mereka adalah conduit — dan di situlah tepatnya Anda menerapkan kontrol.
Poin kuncinya: Anda tidak perlu memodernisasi PLC itu sendiri. PLC lama tidak bisa berbicara TLS, tetapi segmen jaringan di sekitarnya tentu saja dapat dibatasi, dipantau, dan dikendalikan. Di OT, pertahanan bukan di dalam perangkat. Pertahanan ada di sekitarnya.
Apa yang Anda lakukan di batasnya
Firewall yang peka protokol. Bukan firewall enterprise standar yang hanya melihat port. Karena mengizinkan TCP port 502 tidak sama dengan mengizinkan lalu lintas Modbus yang aman. Pembacaan Modbus berbeda dari penulisan Modbus. Membaca data berbeda dari memaksa coil.
Firewall OT yang baik memahami perbedaan itu. SCADA boleh membaca register. Rekayasa boleh menulis, tetapi hanya dari workstation yang terkontrol. Vendor hanya masuk melalui jump host. Akses pemeliharaan bersifat sementara, dicatat, dan dapat dilacak.
Gateway satu arah. Jika zona hanya perlu memberikan data — data proses ke historian atau platform cloud — tidak ada alasan untuk komunikasi dua arah. Diode data bukan aturan firewall. Ini adalah batasan fisik. Data bisa keluar; lalu lintas tidak bisa kembali. Anda tidak perlu mengajari PLC untuk mempercayai sertifikat. Anda cukup memastikan tidak ada jalur kembali yang ada.
Tidak semuanya perlu menjadi lebih pintar. Terkadang arsitektur hanya perlu menjadi lebih ketat.
Pemantauan pada conduit. Tidak semuanya bisa diblokir — di OT, aturan firewall yang salah dapat menghentikan produksi. Tetapi jika Anda tidak bisa mengenkripsi lalu lintas, Anda bisa memeriksanya. Deep packet inspection pada protokol OT mengungkapkan perintah mana yang melintasi kabel.
PLC yang belum dimodifikasi selama tiga tahun dan tiba-tiba menerima unggahan firmware layak mendapat perhatian. Workstation rekayasa yang menulis ke controller di luar jendela pemeliharaan layak mendapat perhatian. Perangkat yang tidak dikenal yang berkomunikasi dengan lini produksi layak mendapat perhatian.
Di OT, keamanan bukan hanya tentang memblokir. Ini tentang memahami perilaku normal dan mengenali penyimpangan.
Model Purdue sebagai titik awal
Dalam praktiknya, model Purdue masih berguna — bukan sebagai dogma, tetapi sebagai kerangka percakapan. Di bawah: proses fisik dan controller. Di atasnya: SCADA dan HMI. Di atasnya: operasi situs dengan historian, MES, dan workstation rekayasa. Antara OT dan IT: DMZ nyata dengan server jump, proxy patch, dan ekspor data.
Tetapi keuntungan terbesar sering tidak datang dari batas IT/OT. Yang satu itu biasanya mendapat perhatian. Batas yang terlupakan berada di bawah: antara sel produksi, antara jaringan proses dan jaringan keselamatan, antara dunia serial lama dan jaringan IP baru.
Itulah tepat risiko yang tidak dilihat siapapun lagi, karena jaringan pernah dibangun datar dan terus berjalan sejak saat itu. Sampai tidak lagi.
NIS2 membuat kelalaian lebih sulit
Dengan NIS2, keamanan OT menjadi kurang opsional. Untuk sektor seperti energi, air, produksi makanan, manufaktur, dan proses vital atau penting lainnya, semakin diperlukan untuk menunjukkan tindakan yang proporsional dan tepat. “Kami memiliki firewall antara IT dan OT” tidak lagi cukup.
Anda harus dapat menjelaskan aset apa yang Anda miliki, bagaimana lingkungan OT Anda terstruktur, aliran komunikasi mana yang diperlukan, bagaimana akses jarak jauh dikelola, dan bagaimana insiden dideteksi.
IEC 62443 membantu dengan itu. Bukan karena memecahkan segalanya, tetapi karena menyediakan bahasa yang sesuai untuk lingkungan industri. Jika Anda dapat menjelaskan segmentasi dalam istilah zona, conduit, dan tindakan kontrol, Anda memiliki cerita yang secara teknis solid dan dapat dikelola di tingkat eksekutif.
Dari mana mulai
Godaannya adalah memulai dengan teknologi. Memilih firewall, menggambar VLAN, membandingkan alat pemantauan.
Jangan mulai dari sana.
Mulailah dengan inventaris aset. Bukan apa yang dikatakan dokumentasi — apa yang sebenarnya ada. PLC, switch, konverter, laptop rekayasa, sistem vendor, dan koneksi legacy mana yang sebenarnya ada?
Kemudian petakan komunikasinya. Perangkat mana yang berbicara dengan perangkat mana, melalui protokol mana, dalam arah mana, dan mengapa? “Mengapa” itu sangat penting. Jika tidak ada yang bisa menjelaskan mengapa dua sistem berkomunikasi, Anda telah menemukan risiko atau koneksi yang tidak perlu.
Baru kemudian Anda menggambar zona. Berdasarkan fungsi, risiko, dan kohesi operasional — bukan berdasarkan rentang IP.
Dan setiap zona dan setiap conduit membutuhkan kepemilikan. Siapa yang dapat menyetujui perubahan? Siapa yang mengontrol aturan firewall? Siapa yang secara berkala memvalidasi apakah komunikasi masih diperlukan? Tanpa kepemilikan, segmentasi adalah gambar. Dengan kepemilikan, itu menjadi kontrol.
Intinya
Keamanan OT jarang gagal karena orang tidak tahu Zero Trust atau IEC 62443. Ini gagal karena model-model itu terlalu sering tetap berada di atas lantai pabrik.
PLC lama tidak akan mendukung keamanan modern. Koneksi Modbus tidak tiba-tiba menjadi aman. Lini yang telah berjalan selama lima belas tahun tidak diganti karena arsitektur keamanan akan terlihat lebih bagus.
Itulah mengapa keamanan OT tidak dimulai dengan kepercayaan, dan tidak dengan ketidakpercayaan juga. Ini dimulai dengan batasan.
Anda tidak perlu menjelaskan Zero Trust kepada Siemens S7-300. Anda perlu merancang jaringan di sekitarnya sehingga ia tidak pernah harus memahaminya.