Analisis Risiko Keamanan Informasi Pada Rantai Pasok BBM PT X Dengan Pendekatan Kerangka Kerja MITRE ATT&CK, Studi Kasus Serangan Ransomware

Implementasi Kuliah Audit Manajemen Risiko Keamanan Informasi RMKI ITB EL-5217 & EL-5216

Daftar Isi

1. Abstrak
2. Pendahuluan
3. Rantai Pasok BBM PT X
4. Kerangka Kerja Mitre ATT&CK
5. Penerapan Mitre ATT&CK pada Rantai Pasok BBM PT X
6. Taktik dan Teknik Penyerangan pada Rantai Pasok BBM PT X
7. Upaya Pengamanan Rantai Pasok BBM PT X
8. Bagaimana Ransomware Dapat Menyerang Rantai Pasok BBM PT X
9. Jenis Ransomware yang dapat Menyerang PT X
10. Upaya Pengamanan PT X Untuk Mencegah Ransomware
11. Manajemen Risiko & Desain Kontrol Rantai Pasok BBM PT X
12. Program Audit Berbasis Risiko
13. Glossarium
14. Kesimpulan

Abstrak

Artikel ini menjelaskan ruang lingkup bisnis PT X dalam industri energi, dengan fokus pada rantai pasok bahan bakar minyak (BBM) yang mencakup sektor hulu dan hilir. Menggunakan pendekatan MITRE ATT&CK, artikel menganalisis potensi risiko keamanan yang melibatkan taktik dan teknik penyerangan pada berbagai tahap rantai pasok, mulai dari pengembangan perangkat lunak hingga distribusi produk. PT X Integrated Supply Chain (ISC) memainkan peran kunci dalam perencanaan, pengadaan, dan operasional suplai BBM, dengan tiga kapabilitas utama. Sementara itu, Shipping Business Line PT X mengelola transportasi laut untuk mendistribusikan produk BBM, dengan komitmen untuk mendukung industri maritim domestik. Penerapan MITRE ATT&CK menjadi landasan untuk mengidentifikasi dan mengatasi potensi ancaman, termasuk manipulasi alat pengembangan, repositori kode sumber, dan mekanisme pembaruan. Langkah-langkah pengamanan yang diusulkan, seperti monitoring aktif, validasi sumber terbuka, dan enkripsi, diharapkan dapat meningkatkan keamanan rantai pasok BBM PT X. Dengan menyajikan solusi yang komprehensif, artikel ini memberikan pandangan strategis untuk meningkatkan keamanan rantai pasok dalam konteks industri energi, melibatkan perusahaan yang beroperasi di sejumlah wilayah di Indonesia dan luar negeri.

Pendahuluan

Ruang Lingkup usaha PT X terdiri atas bisnis energi di sektor hulu (upstream) dan sektor hilir (downstream). Bisnis sektor hulu meliputi kegiatan di bidang-bidang eksplorasi, produksi, serta transmisi minyak dan gas. Sedangkan Kegiatan usaha PT X di sektor usaha hilir meliputi bisnis Pengolahan, Pemasaran & Niaga, serta bisnis LNG. Untuk mendukung gerak laju kegiatan eksplorasi dan produksi tersebut, PT X juga menekuni bisnis jasa teknologi dan pengeboran. Aktivitas lainnya terdiri atas pengembangan energi panasbumi dan Coal Bed Methane (CBM). Seluruh kegiatan tersebut dilaksanakan di beberapa wilayah di Indonesia dan luar negeri.

Proses distribusi produk PT X dari upstream dan downstream

Artikel ini membahas bagaimana cara menganalisis risiko pada sistem rantai pasok yang ada pada PT X yang berfokus pada produk bahan bakar minyak menggunakan pendekatan kerangka kerja MITRE ATT&CK yang dapat membantu organisasi untuk memahami cara penyerang beroperasi, meningkatkan keamanan, dan merancang pertahanan yang lebih efektif.

Rantai Pasok PT X

PT X memiliki sistem rantai pasoknya tersendiri. Dinamakan Integrated Supply Chain (ISC) memiliki tiga peran utama sebagai (1) Perencana & Optimasi Terintegrasi, (2) Pengadaan/Penjualan (Niaga) & Komersial dan (3) operasional suplai dan ekspor untuk memastikan keamanan suplai dan stok minyak mentah, bahan bakar minyak dan LPG nasional dengan tetap mengedepankan keekonomian.

Dalam menjalankan perannya, ISC memiliki tiga kapabilitas yaitu :

1. Perencanaan & Optimasi

Melaksanakan proses perencanaan dan optimasi untuk hidrokarbon Hilir secara terintegrasi dan memastikan proses perencanaan sesuai dengan target perusahaan. Selain itu juga memastikan optimasi inventori/ persediaan untuk minyak mentah dan produk kilang melalui penjadwalan suplai dan distribusi

2. Niaga & Komersial

ISC mengelola minyak mentah yang dihasilkan oleh APH (anak Perusahaan Hulu PT X) didalam dan diluar negeri, MMKBN (Minyak Mentah dan Kondensat Bagian Negara) dan pembelian dari Kontraktor Kontrak Kerja Sama (KKKS). Disamping minyak mentah, ISC juga melakukan kegiatan impor, ekspor, dan exchange untuk produk kilang

3. Operasional Suplai & Ekspor

ISC mengelola serta memastikan suplai dan distribusi minyak mentah dan produk kilang baik dari sisi kuantitas, kualitas, dan jadwal dengan mempertimbangkan sarana fasilitas dan kondisi di terminal muat dan bongkar di dalam maupun luar negeri.

Shipping Business Line

Pola distribusi bahan bakar minyak pt x

Sektor pemasaran PT X juga mengelola bisnis pengiriman (PT X Shipping) yang mengoperasikan transportasi laut untuk mendistribusikan berbagai produk, seperti minyak mentah, bahan bakar minyak, dan bahan bakar non-minyak untuk melayani permintaan internal dan eksternal. Saat ini, pelanggan eksternal (sewa keluar) termasuk: Patra Niaga, PHE West Madura Offshore (PHE WMO), PT X Lubricants, CNOOC, dan Sea Swift Pte Ltd. PT X Shipping juga mengelola bisnis lain yang terkait dengan pengiriman, seperti layanan bawah air maritim (UWS), dok, mooring master, vetting, dan agen pelayaran.

Pada akhir tahun 2016, PT X Shipping mengoperasikan 59 kapal yang dimiliki dan 160 kapal yang disewa untuk mengangkut muatan internal dan eksternal. Saat ini, 8 kapal baru sedang dibangun dan akan diserahkan pada tahun 2017 sehingga armada PT X Shipping akan bertambah menjadi 77 kapal. Kapal-kapal baru ini menerapkan teknologi desain ecoship, yang merupakan inovasi efisiensi energi dengan menyediakan perangkat tambahan dalam sistem propulsi kapal.

Sejalan dengan komitmen Pemerintah untuk mendukung industri maritim domestik, 8 kapal tersebut dibangun di pelabuhan lokal, yaitu Anggrek Hitam, Multi Ocean Shipyard, dan Daya Radar Utama Shipyards, dengan total investasi USD188 juta. PT X juga menjalankan program Long Term Time Charter (LTTC) untuk mengembangkan industri pelayaran nasional. Pada tahun 2016, PT X menandatangani kontrak dengan perusahaan pelayaran untuk LTTC sebanyak 5 kapal berukuran kecil.

Selain memastikan transportasi muatan di seluruh Indonesia, kebutuhan distribusi perlu didukung oleh layanan maritim di setiap pelabuhan yang dikunjungi. Saat ini, ada 137 pelabuhan yang dikelola oleh PT X Shipping, terdiri dari 107 Terminal Khusus (Tersus) dan Terminal Kepentingan Internal (TUKS), serta 30 pelabuhan EP dan KKKS. PT X Shipping juga mengelola 167 dermaga, 13 Single Point Moorings (SPM), 6 transfer kapal ke kapal (STS), dan 10 Central Buoy Moorings (CBM). Membangun PT X Shipping menjadi Perusahaan Pengiriman Kelas Dunia adalah bagian dari visi PT X sebagai “Perusahaan Energi Asia.” Untuk mencapai visi ini, PT X secara konsisten mematuhi prinsip sabotase dengan menuntut agar armadanya yang beroperasi di Indonesia menggunakan bendera Indonesia dan memberdayakan anggota kru Indonesia. Dengan menerapkan prinsip sabotase, PT X berkontribusi untuk mengembangkan sektor maritim nasional.

Denah Rantai Pasok BBM PT X

Rantai suplai BBM PT X

Gambar diatas menggambarkan representasi grafis dari rantai pasokan minyak dan produk-produknya. Berikut adalah deskripsi rinci dari alur tersebut dalam Bahasa Indonesia:

1. Ladang Minyak: Rantai pasokan dimulai dengan ladang minyak yang digambarkan dengan ikon rig minyak.
2. Kapal Impor:
   - Kapal Impor BBM: Kapal ini digunakan untuk mengimpor bahan bakar yang sudah diolah.
   - Kapal Impor Minyak Mentah: Kapal ini digunakan untuk mengimpor minyak mentah.
3. Kilang (KILANG): Minyak mentah dari Kapal Impor Minyak Mentah dibawa ke kilang, di mana minyak tersebut diproses.
4. Instalasi/Depot/Tangki Transit (INSTALASI / DEPOT / T. TRANSIT): Minyak olahan diangkut melalui pipa ke depot penyimpanan atau tangki transit.
5. Distribusi:
   - Kereta Api Tangki (RAIL TANK WAGON): Untuk mendistribusikan minyak lebih lanjut, digunakan kereta api tangki yang terhubung ke depot melalui pipa.
   - Truk: Truk juga digunakan untuk mengangkut minyak dari depot.
   - Tongkang Minyak (OIL BARGE): Tongkang ini digunakan untuk mengangkut minyak melalui jalur air.
6. Distribusi Sekunder:
   - Stasiun Pengisian Bahan Bakar (PENYALUR (SPBU/APMS/SPBU APUNG)): Dari depot, bahan bakar didistribusikan ke berbagai stasiun pengisian bahan bakar untuk digunakan oleh konsumen.
   - Bunker Service: Bahan bakar disediakan untuk kapal melalui layanan bunker.
   - Industri (INDUSTRI): Minyak dan produk sampingannya disuplai ke berbagai industri.
   - Bunker Pit: Ini adalah metode lain penyediaan minyak untuk kapal, di mana mereka dapat langsung mengakses pit penyimpanan.

Panah menunjukkan arah aliran, dari ekstraksi/impor ke pemrosesan, penyimpanan, dan distribusi ke berbagai pengguna akhir seperti stasiun pengisian bahan bakar, layanan bunker, dan industri. Rantai pasokan tampaknya disusun untuk memastikan distribusi minyak dan produk-produknya yang kontinu dan efisien dari sumber ke konsumen akhir.

Kerangka Kerja ATT&CK

MITRE ATT&CK, yang merupakan singkatan dari Adversarial Tactics, Techniques, and Common Knowledge, adalah suatu kerangka kerja (framework) yang dikembangkan oleh MITRE Corporation. MITRE ATT&CK memberikan panduan tentang berbagai taktik, teknik, dan pengetahuan umum yang dapat digunakan oleh penyerang (adversaries) untuk mencapai tujuan mereka dalam lingkungan komputer atau jaringan. Kerangka kerja ini dapat membantu organisasi untuk memahami cara penyerang beroperasi, meningkatkan keamanan, dan merancang pertahanan yang lebih efektif.

Penerapan Mitre ATT&CK pada Rantai Pasok BBM PT X

Menerapkan MITRE ATT&CK pada rantai pasok bahan bakar minyak (BBM) PT X melibatkan pemahaman tentang bagaimana taktik dan teknik yang dapat digunakan oleh penyerang untuk mengeksploitasi atau mengancam keamanan rantai pasok tersebut.

Musuh dapat memanipulasi produk atau mekanisme pengiriman produk sebelum diterima oleh konsumen akhir dengan tujuan merusak data atau sistem. Kompromi rantai pasokan dapat terjadi pada setiap tahap rantai pasokan, termasuk:

1. Manipulasi alat pengembangan
2. Manipulasi lingkungan pengembangan
3. Manipulasi repositori kode sumber (publik atau pribadi)
4. Manipulasi kode sumber pada dependensi sumber terbuka
5. Manipulasi mekanisme pembaruan/distribusi perangkat lunak
6. Gambar sistem yang terkompromi/terinfeksi
7. Penggantian perangkat lunak sah dengan versi yang dimodifikasi
8. Penjualan produk yang dimodifikasi/palsu kepada distributor sah
9. Pencurian pengiriman

Meskipun kompromi rantai pasokan dapat memengaruhi komponen perangkat keras atau perangkat lunak apa pun, penyerang yang ingin mencapai eksekusi sering kali berfokus pada penambahan berbahaya ke perangkat lunak sah dalam saluran distribusi atau saluran pembaruan perangkat lunak. Penargetan mungkin spesifik untuk kumpulan korban yang diinginkan atau perangkat lunak berbahaya mungkin didistribusikan kepada sejumlah konsumen tetapi hanya beralih ke taktik tambahan pada korban tertentu. Proyek sumber terbuka yang populer dan digunakan sebagai dependensi dalam banyak aplikasi juga mungkin menjadi sasaran sebagai cara untuk menambahkan kode berbahaya kepada pengguna dependensi, khususnya dengan penggunaan luas pustaka periklanan pihak ketiga.

Rantai pasokan bahan bakar minyak (BBM) merupakan bagian kritis dari infrastruktur yang harus dijaga keamanannya. Menggunakan MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) framework untuk menganalisis potensi ancaman dan taktik penyerang dapat membantu meningkatkan keamanan rantai pasokan tersebut. Berikut adalah beberapa taktik dan teknik yang dapat terlibat, dengan contoh implementasinya:

Taktik dan Teknik Penyerangan pada Rantai Pasok BBM PT X:

1. Taktik: Initial Access

• Teknik: Manipulasi Alat Pengembangan
  Contoh: Penyerang menginfeksi alat pengembangan yang digunakan oleh pihak ketiga yang bekerja dengan PT X.
• Teknik: Manipulasi Lingkungan Pengembangan
  Contoh: Menyusup ke lingkungan pengembangan untuk mengakses informasi rahasia atau merusak kode.

2. Taktik: Execution

• Teknik: Manipulasi Repositori Kode Sumber
  Contoh: Memodifikasi kode sumber di repositori untuk menyuntikkan malware atau merusak fungsionalitas.
• Teknik: Manipulasi Kode Sumber pada Dependensi Sumber Terbuka
  Contoh: Menambahkan kode berbahaya pada proyek sumber terbuka yang digunakan dalam aplikasi BBM.

3. Taktik: Persistence

• Teknik: Manipulasi Mekanisme Pembaruan/Distribusi Perangkat Lunak
  Contoh: Menyerang server pembaruan untuk menyebarkan perangkat lunak berbahaya kepada pengguna BBM PT X.
• Teknik: Penggantian Perangkat Lunak Sah dengan Versi yang Dimodifikasi
  Contoh: Menyalahgunakan pembaruan perangkat lunak untuk menggantikan versi resmi dengan versi yang telah dimodifikasi.

4. Taktik: Defense Evasion

• Teknik: Image/ Container yang Terkompromi/Terinfeksi
  Contoh: Mengganti image yang sah dengan versi terinfeksi untuk mengelabui sistem keamanan.

Upaya Pengamanan:

1. Monitoring dan Deteksi:

• Memantau aktivitas di lingkungan pengembangan dan repositori kode sumber.
• Penerapan solusi keamanan untuk mendeteksi perubahan yang mencurigakan pada kode sumber atau alat pengembangan.

1. Validasi Sumber Terbuka:

• Memastikan keamanan proyek sumber terbuka yang digunakan sebagai dependensi.
• Melakukan penilaian risiko terhadap pustaka periklanan pihak ketiga yang luas digunakan.

2. Enkripsi dan Otorisasi:

• Menggunakan enkripsi untuk melindungi integritas dan kerahasiaan data selama distribusi perangkat lunak.
• Memastikan bahwa hanya perangkat lunak yang sah dan diberi otorisasi yang dapat diinstal.

3. Verifikasi Identitas:

• Menerapkan tindakan verifikasi identitas pada semua tahap rantai pasok untuk memastikan keaslian dan integritas produk.

4. Pelatihan dan Kesadaran:

• Melibatkan pihak terkait dalam pelatihan keamanan siber dan meningkatkan kesadaran terhadap ancaman rantai pasok.

5. Audit Reguler:

• Melakukan audit reguler terhadap rantai pasok untuk menilai keamanan dan mendeteksi potensi ancaman lebih awal.

Penerapan langkah-langkah ini dapat membantu meningkatkan keamanan rantai pasok BBM PT X dan melindungi terhadap potensi ancaman yang muncul dari berbagai taktik dan teknik penyerangan.

Bagaimana Ransomware Akan Menyerang Rantai Pasok BBM PT X

Belajar dari kasus Colonial Pipeline yang di serang oleh Ransomware Darkside. Mari kita tinjau secara lebih rinci potensi risiko ransomware dalam proses rantai pasok BBM PT X. Ransomware merupakan ancaman serius yang dapat menyebabkan gangguan besar dalam operasional suatu perusahaan. Berikut adalah beberapa potensi kasus penyerangan ransomware yang mungkin terjadi dalam rantai pasok BBM PT X:

Tahap Pengembangan Perangkat Lunak:

• Manipulasi Alat Pengembangan: Ransomware dapat menyusup ke alat pengembangan yang digunakan dalam pembuatan perangkat lunak untuk rantai pasok BBM PT X. Penyerang dapat menyematkan kode berbahaya pada perangkat lunak yang nantinya akan digunakan dalam rantai pasok.
• Manipulasi Repositori Kode Sumber: Penyerang dapat memodifikasi kode sumber di repositori untuk menyuntikkan ransomware atau malware lainnya. Ini dapat menyebabkan distribusi perangkat lunak yang terinfeksi kepada pengguna akhir.

Tahap Pengadaan dan Penjualan (Niaga):

• Manipulasi Mekanisme Pembaruan/Distribusi Perangkat Lunak: Penyerang dapat menargetkan server pembaruan atau mekanisme distribusi perangkat lunak untuk menyebarkan ransomware kepada pengguna BBM PT X. Ini bisa melibatkan perubahan pada perangkat lunak yang diimpor atau dijual kepada perusahaan.
• Penggantian Perangkat Lunak Sah dengan Versi yang Dimodifikasi: Ransomware dapat diselipkan ke dalam versi modifikasi perangkat lunak yang digunakan dalam rantai pasok. Ketika versi ini diinstal, ransomware dapat diaktifkan.

Tahap Operasional Suplai dan Ekspor:

• Targeting Server Distribusi: Penyerang dapat mengarahkan serangan ransomware ke server distribusi atau pusat operasional suplai PT X. Ini dapat mengakibatkan gangguan pada proses distribusi minyak dan produk BBM.

Tahap Distribusi Produk ke Pengguna Akhir:

• Stasiun Pengisian Bahan Bakar (SPBU): Ransomware dapat mengeksploitasi kelemahan dalam sistem otomatisasi SPBU atau menginfeksi terminal penjualan, menyebabkan ketidakmampuan untuk memproses transaksi atau merusak sistem pembayaran.
• Bunker Service: Sistem Layanan bunker yang menyediakan bahan bakar untuk kapal dapat menjadi target. Ransomware dapat menyebabkan gangguan dalam penyediaan bahan bakar untuk kapal.

Tahap Pengelolaan Transportasi Laut (Shipping Business Line):

• Sistem Pengelolaan Transportasi: Ransomware dapat menyerang sistem yang mengelola armada kapal dan pengiriman. Hal ini dapat menyebabkan gangguan dalam pengiriman dan distribusi produk BBM.
• Sistem pada Pelabuhan dan Dermaga: Sistem Infrastruktur pelabuhan dan dermaga yang terinfeksi ransomware dapat mengganggu proses bongkar muat dan distribusi di pelabuhan. T1059

Jenis Ransomware yang dapat Menyerang

Terdapat berbagai jenis ransomware, dan penyerangan dapat menggunakan variasi atau campuran dari jenis-jenis ini. Beberapa jenis ransomware yang mungkin menyerang rantai pasok BBM PT X meliputi:

Crypto Ransomware:

• Deskripsi: Jenis ransomware ini menggunakan enkripsi kuat untuk mengamankan file dan data pada sistem target. Pengguna kemudian diminta membayar tebusan untuk mendapatkan kunci dekripsi.
• Potensi Dampak: Jika rantai pasok BBM PT X terinfeksi oleh crypto ransomware, data kritis seperti rencana pengadaan, jadwal distribusi, atau informasi pelanggan dapat menjadi tidak dapat diakses.

Locker Ransomware:

• Deskripsi: Ransomware jenis ini mengunci seluruh sistem atau perangkat, mengaksesnya secara keseluruhan. Pengguna akan diberi pesan tebusan dan diminta membayar agar sistem dapat diakses kembali.
• Potensi Dampak: Jika proses operasional suplai atau sistem manajemen transportasi PT X terkunci, dapat menyebabkan gangguan serius dalam distribusi dan pengelolaan rantai pasok BBM.

Doxware (Leakware):

• Deskripsi: Doxware tidak hanya mengenkripsi data, tetapi juga mengancam untuk mengungkapkannya ke publik jika tebusan tidak dibayar. Ini dapat menimbulkan ancaman keamanan dan reputasi.
• Potensi Dampak: Jika data rahasia atau informasi pelanggan PT X terancam untuk diungkapkan, dapat merusak reputasi perusahaan dan memicu masalah hukum.

Ransomware Berbasis Pembayaran Rendah (Low-Volume Ransomware) WannaCry Ransomware:

• Deskripsi: Jenis ransomware ini mungkin menargetkan perusahaan kecil hingga menengah dan menetapkan tebusan yang lebih rendah, dengan harapan bahwa korban akan membayar tanpa melibatkan otoritas penegak hukum.
• Potensi Dampak: Meskipun tebusannya rendah, penyerangan semacam ini masih dapat mengakibatkan kerugian finansial dan gangguan operasional.

Ransomware sebagai Layanan (RaaS):

• Deskripsi: Sebagai model bisnis, RaaS memungkinkan penyerang membeli atau menyewa ransomware dari penjahat siber lainnya. Ini dapat meningkatkan distribusi dan keberhasilan serangan ransomware.
• Potensi Dampak: RaaS dapat membuat serangan ransomware menjadi lebih terorganisir dan dapat meningkatkan jumlah serangan yang terjadi.

Ransomware Targeted atau APT (Advanced Persistent Threat):

• Deskripsi: Ransomware jenis ini dirancang untuk mengeksploitasi kelemahan spesifik dalam sistem target dan sering kali terkait dengan serangan yang lebih canggih.
• Potensi Dampak: Jika PT X menjadi target serangan ransomware APT, dampaknya dapat lebih serius dan sulit diatasi.

Penting untuk diingat bahwa jenis-jenis ransomware terus berkembang, dan penyerang seringkali menggunakan taktik yang baru dan disesuaikan dengan target mereka. Oleh karena itu, langkah-langkah keamanan proaktif dan pembaruan rutin perangkat lunak sangat penting untuk mengurangi risiko penyerangan ransomware.

Upaya Pengamanan PT X untuk mencegah serangan Ransomware

Upaya pengamanan dari ransomware harus mencakup serangkaian tindakan preventif, deteksi, dan reaksi cepat. Berikut adalah beberapa langkah yang dapat diambil PT X untuk melindungi diri dari serangan ransomware:

Pendidikan dan Pelatihan Kesadaran Keamanan:

• Memberikan pelatihan reguler kepada karyawan tentang ancaman keamanan siber, terutama terkait dengan ransomware.
• Meningkatkan kesadaran tentang praktik keamanan, seperti menghindari membuka lampiran atau tautan dari sumber yang tidak dikenal.

Pembaruan Perangkat Lunak:

• Memastikan bahwa semua perangkat lunak, termasuk sistem operasi, peramban, dan aplikasi lainnya, selalu diperbarui dengan pembaruan keamanan terbaru.
• Mengaktifkan pembaruan otomatis untuk memastikan pembaruan dilakukan secara teratur.

Pemantauan Aktivitas Jaringan dan Sistem:

• Melakukan pemantauan aktif terhadap aktivitas jaringan dan sistem untuk mendeteksi perilaku yang mencurigakan atau tanda-tanda serangan ransomware.
• Menggunakan perangkat lunak keamanan jaringan dan sistem untuk mendeteksi dan mencegah ancaman.

Backup Rutin dan Pemulihan Data:

• Melakukan backup rutin data secara teratur dan menyimpan salinan cadangan di tempat yang terpisah dari jaringan utama.
• Memastikan kemampuan pemulihan yang cepat dari cadangan jika serangan ransomware terjadi.

Keamanan Email:

• Menggunakan filter anti-phishing dan anti-malware pada sistem email untuk mengidentifikasi dan menghalangi email yang mencurigakan atau berbahaya.
• Memastikan bahwa karyawan memahami risiko phishing dan tidak mengklik tautan atau lampiran yang mencurigakan.

Pengelolaan Akses Pengguna:

• Menerapkan prinsip kebutuhan berdasarkan hak akses, memastikan bahwa setiap pengguna hanya memiliki akses yang diperlukan untuk pekerjaannya.
• Memonitor dan mengelola hak akses secara berkala untuk mengidentifikasi perubahan atau akses yang tidak sah.

Enkripsi Data:

• Menggunakan enkripsi data untuk melindungi informasi sensitif selama penyimpanan dan pengiriman.
• Mengenkripsi koneksi internet dan penggunaan protokol aman untuk mengurangi risiko penyusupan.

Keamanan Endpoint:

• Menggunakan solusi keamanan endpoint yang kuat untuk melindungi perangkat yang terhubung ke jaringan.
• Memastikan pembaruan definisi antivirus secara teratur.

Implementasi Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS):

• Menggunakan IDS dan IPS untuk mendeteksi dan mencegah serangan ransomware dan ancaman siber lainnya.
• Mengonfigurasi sistem ini untuk memberikan peringatan dan mengambil tindakan otomatis ketika aktivitas mencurigakan terdeteksi.

Rencana Keamanan dan Pemulihan Bencana:

• Membuat dan menguji rencana keamanan dan pemulihan bencana yang mencakup tindakan respons cepat jika terjadi serangan ransomware.
• Memastikan tim keamanan siber terlatih untuk mengatasi dan merespons serangan ransomware dengan efektif.

Kolaborasi dengan Pihak Ketiga:

• Berkolaborasi dengan penyedia keamanan siber eksternal dan memastikan kepatuhan dengan standar keamanan industri.
• Melibatkan tim ahli keamanan siber untuk melakukan audit dan penilaian risiko secara berkala.

Dengan mengimplementasikan kombinasi langkah-langkah ini, PT X dapat meningkatkan keamanan dan mengurangi risiko serangan ransomware dalam rantai pasok BBM mereka. Penting untuk menjaga keamanan sebagai prioritas utama dan terus memperbarui strategi keamanan untuk menghadapi ancaman yang terus berkembang.

Rekomendasi

Identifikasi Risiko

Tabel dibawah ini menjelaskan pemetaan terhadap identifikasi risiko yang kemungkinan terjadi pada proses rantai pasok BBM PT X. Tabel ini mencakup berbagai elemen, mulai dari struktur organisasi hingga aliran informasi, serta keterampilan dan kompetensi orang, kebijakan, dan prosedur, hingga layanan, infrastruktur, dan aplikasi. Mari kita bahas beberapa contoh dari tabel tersebut:

Tabel Identifikasi Risiko

Pertama, dalam bagian “Enabler: Struktur Organisasi”, komponen “Peran Kunci Keamanan Informasi — Chief Information Security Officer (CISO)” memiliki tujuan untuk mengimplementasikan dan menjaga strategi keamanan informasi. Risiko yang terkait adalah strategi keamanan informasi tidak diimplementasikan atau dijaga. Referensi untuk komponen ini adalah OS1.

Di bagian “Enabler: Aliran dan Item Informasi”, komponen “Strategi Keamanan Informasi” bertujuan memberikan arahan yang memadai pada masalah keamanan informasi. Risiko terkait adalah masalah keamanan informasi tidak diarahkan dengan memadai. Referensi untuk komponen ini adalah IFI1.

Pada bagian “Enabler: Orang, Keterampilan, dan Kompetensi”, komponen “Governansi Keamanan Informasi” berusaha membentuk dan menjaga kerangka kerja dan proses pendukung untuk memastikan bahwa strategi keamanan informasi sejalan dengan tujuan dan objektif organisasi. Risiko yang mungkin timbul adalah kerangka kerja governansi keamanan informasi tidak dijaga atau dibentuk. Referensi untuk komponen ini adalah PSC1.

Selanjutnya, pada bagian “Enabler: Kebudayaan, Etika, dan Perilaku”, komponen “Aspek Kepemimpinan — Mempengaruhi perilaku melalui peningkatan kesadaran” memiliki tujuan untuk mendidik orang tentang keamanan dan peran mereka di dalamnya. Risiko yang terkait adalah orang tidak mendapat pendidikan tentang keamanan dan peran mereka di dalamnya. Referensi untuk komponen ini adalah CEB1.

Terakhir, pada bagian “Enabler: Layanan, Infrastruktur, dan Aplikasi”, komponen “Layanan, Infrastruktur, dan Aplikasi” memberikan panduan rinci tentang layanan pihak ketiga, jenis infrastruktur, dan kategori aplikasi yang mendukung pencapaian tujuan manajemen. Risiko yang mungkin timbul adalah panduan rinci tidak disediakan. Referensi untuk komponen ini adalah SIA1.

Setiap baris dalam tabel mengikuti struktur serupa, memberikan gambaran sistematis tentang berbagai komponen terkait manajemen keamanan informasi, tujuan mereka, risiko terkait, dan nomor referensi untuk identifikasi dan pelacakan yang mudah.

Manajemen Risiko & Desain Kontrol

Dengan langkah-langkah pada setiap tahapan proses rantai pasok BBM yang dilakukan oleh PT X, penulis mencoba untuk menggambarkan bagaimana Manajemen Risiko dan desain kontrolnya. Penulis memilih Mitre ATT&CK sebagai desain kontrol dan COBIT 2019 untuk manajemen risiko. Pada tabel 1, penulis mengidentifikasi risiko melalui objektif, kemudian menurunkannya menjadi risiko yang dapat diidentifikasi dengan skenario masing-masing. Dengan menggunakan Mitre ATT&CK, penulis memetakan skenario menjadi kemungkinan teknik yang dapat digunakan oleh penyerang.

Dari teknik yang digunakan oleh penyerang, Mitigasi juga dipetakan untuk menentukan tindakan pencegahan yang diperlukan. Dengan memetakan Identifikasi Risiko pada subbab sebelumnya, penulis memetakan objektif dengan Identifikasi Risiko menggunakan Risk Identification Group. Dari hal tersebut mitigasi yang berupa Objectives & Practices di COBIT 2019 dapat dihubungkan dengan Desain Kontrol, memberikan panduan dalam melakukan manajemen risiko rantai pasok BBM di PT X.

Tabel 2. Pemetaan Identifikasi RIsiko Dengan Objektif Risiko (Proses Enabler)

Untuk lebih lengkap objektif yang disajikan dapat di akses melalui Dokumen Google Sheet Disini

Program Audit Berbasis Risiko

Setelah risiko terkait ransomware dalam rantai pasok BBM PT X diidentifikasi, perusahaan dapat menjalankan audit berbasis risiko. Dalam pelaksanaan audit tersebut, auditor dan pihak yang diaudit dapat mengadopsi pedoman yang serupa untuk menciptakan konsistensi dan menyederhanakan proses audit. Dalam konteks ini, proses audit dan manajemen risiko diorganisasikan dengan menggunakan pendekatan yang seragam, yakni COBIT 2019. Berikut Contoh Dokumen Audit Berbasis Risiko yang akan digunakan

Contoh Program Audit Berbasis Risiko

Kesimpulan

Dalam analisis risiko terhadap serangan ransomware pada rantai pasok Bahan Bakar Minyak (BBM) PT X, perusahaan ini terlihat beroperasi dalam sektor energi dengan fokus pada rantai pasok BBM yang mencakup sektor hulu dan hilir. Menggunakan pendekatan MITRE ATT&CK, risiko keamanan dieksplorasi dengan menganalisis taktik dan teknik penyerangan mulai dari pengembangan perangkat lunak hingga distribusi produk. Integrated Supply Chain (ISC) PT X, yang memiliki peran kunci dalam perencanaan, pengadaan, dan operasional suplai BBM, teridentifikasi dengan tiga kapabilitas utama: perencanaan & optimasi, niaga & komersial, dan operasional suplai & ekspor. Sementara itu, Shipping Business Line PT X bertanggung jawab atas manajemen transportasi laut untuk mendistribusikan produk BBM.

Rantai pasok PT X melibatkan sejumlah tahap, mulai dari pengembangan perangkat lunak, pengadaan dan penjualan, operasional suplai dan ekspor, hingga distribusi produk ke pengguna akhir. Dalam konteks keamanan siber, implementasi MITRE ATT&CK menjadi dasar untuk mengidentifikasi dan mengatasi potensi ancaman. Langkah-langkah pengamanan diusulkan mencakup pembaruan perangkat lunak, backup rutin, monitoring aktif, keamanan email, dan pengelolaan akses pengguna.

Melihat pada potensi risiko ransomware, serangan dapat terjadi pada berbagai tahap rantai pasok, terutama yang kritis seperti pengembangan perangkat lunak, pengadaan dan penjualan, serta distribusi produk. Jenis ransomware yang dapat menyerang meliputi crypto ransomware, locker ransomware, doxware, ransomware berbasis pembayaran rendah, ransomware sebagai layanan (RaaS), dan ransomware targeted atau APT. Upaya pengamanan yang holistik diperlukan, termasuk pendidikan kesadaran keamanan, pembaruan perangkat lunak, pemantauan aktif, dan implementasi rencana keamanan dan pemulihan bencana.

Dengan mengambil langkah-langkah preventif, deteksi dini, dan respons cepat, PT X dapat meminimalkan risiko serangan ransomware dan menjaga keberlanjutan operasional rantai pasok BBM mereka. Keseluruhan, strategi keamanan siber yang komprehensif dan berkelanjutan diperlukan untuk melindungi perusahaan dari ancaman yang terus berkembang dalam dunia digital.

Glossarium

• BBM: Bahan bakar minyak
• Coal Bed Methane: gas alam yang terperangkap dalam lapisan batubara.
• Single Point Moorings: sistem penambatan kapal di laut yang dirancang untuk mengakomodasi kapal tanker, khususnya dalam pengiriman minyak mentah dan produk-produk minyak.
• Central Buoy Moorings: sistem penambatan kapal di laut yang digunakan khususnya dalam industri minyak dan gas. Sistem ini memungkinkan kapal tanker untuk menambat dan mentransfer minyak mentah atau produk minyak lainnya ke dan dari fasilitas darat tanpa harus masuk ke pelabuhan.
• KKKS: Kontraktor Kontrak Kerja Sama
• EP: Exploration & Production
• Upstream: merujuk pada segmen industri yang terlibat dalam eksplorasi, pengeboran, dan produksi sumber daya alam, terutama minyak dan gas.
• Downstream: merujuk pada segmen industri yang terlibat dalam pemrosesan, distribusi, dan penjualan produk-produk yang dihasilkan oleh kegiatan upstream.
• Endpoint: Merujuk pada perangkat atau perangkat komputasi yang terhubung ke jaringan dan memiliki kemampuan untuk berkomunikasi dengan perangkat lain melalui jaringan tersebut. Endpoint dapat mencakup komputer desktop, laptop, server, ponsel pintar, tablet, dan perangkat yang terhubung ke jaringan lainnya.
• Ransomware: jenis perangkat lunak berbahaya (malware) yang meretas sistem atau file seseorang, lalu mengenkripsi data atau mengunci akses ke sistem tersebut. Para pelaku kemudian meminta tebusan (ransom) kepada korban agar data atau akses tersebut dapat dikembalikan.
• Backup: proses membuat salinan data atau informasi penting dari suatu sistem atau perangkat ke lokasi yang aman dan terpisah.
• Repositori: dapat merujuk pada konsep atau tempat penyimpanan.
• LTTC: Long Term Time Charter, bentuk kontrak sewa jangka panjang di industri pelayaran. Dalam konteks ini, “time charter” merujuk pada penyewaan kapal atau armada kapal untuk jangka waktu tertentu kepada pihak penyewa. Dengan kata lain, pemilik kapal (pemberi sewa) menyewakan kapal kepada pihak lain (penyewa) untuk digunakan dalam periode waktu yang telah disepakati.

Referensi:

• Harisnanda, F., Amaly, I., Gusman, A. M., Febriani, F., Zamer, A., & Elisya, W. (2012). ANALISIS SISTEM RANTAI PASOK MINYAK. Jurnal Optimasi Sistem Industri.

Supply Chain Compromise: Compromise Software Dependencies and Development Tools

Supply Chain Compromise: Compromise Software Supply Chain

Supply Chain Compromise: Compromise Hardware Supply Chain

Supply Chain Management

Supply Chain Compromise

Perencanaan dan Optimasi | Pertamina

Shipping Business Line | Pertamina

5 Most Common Types of Ransomware - CrowdStrike

8 Types of Ransomware: Examples of Past and Current Attacks

Ransomware Attacks and Types - How Encryption Trojans Differ