Singapura telah memperbarui blueprint keamanan siber teknologi operasional (OT) untuk fokus pada peningkatan berbagi data, kebijakan dan proses, serta pelatihan keterampilan. Menurut Badan Keamanan Siber (CSA), blueprint tersebut juga telah diperluas untuk mencakup infrastruktur non-kritis.
Juga: Serangan naratif berbasis AI semakin mengancam: 3 strategi pertahanan untuk pemimpin bisnis
Pertama kali dirilis pada tahun 2019, masterplan keamanan OT membutuhkan pembaruan untuk menjaga agar sejalan dengan lanskap ancaman yang telah berkembang dalam skala, kompleksitas, dan frekuensi, kata CSA. Sebagai alat digital dan konektivitas sekarang banyak diadopsi, ketahanan siber menjadi penting untuk sektor non-CII (infrastruktur informasi kritis), dan semua organisasi harus memikirkan prinsip “aman saat diterapkan”.
“lingkungan siber OT telah menjadi semakin berbahaya karena taktik dan strategi yang berkembang dari pelaku ancaman,” kata CSA.
CSA mengatakan masterplan yang diperbarui bertujuan untuk mengatasi ancaman yang menargetkan sistem OT di tengah pergeseran geopolitik dan teknologi, termasuk lonjakan signifikan dalam serangan hacktivism yang menargetkan aset OT dari “negara-negara yang tidak berpihak” dan integrasi teknologi, seperti komputasi tepi dan Internet of Things (IoT), yang telah meningkatkan permukaan serangan untuk sistem OT.
Juga: Seiring dengan pertumbuhan penggunaan perangkat IoT, risiko keamanan yang terkait juga meningkat
CSA mengatakan masterplan tersebut direvisi berdasarkan konsultasi dengan pemangku kepentingan OT, lembaga pemerintah, pemain industri, dan akademisi.
Pembaruan 2024 mencakup inisiatif yang bertujuan untuk meningkatkan ketahanan siber dan “membentuk perilaku organisasi OT” melalui kebijakan dan pelatihan baru untuk mempercepat respons terhadap ancaman, kata CSA. Termasuk rencana untuk kerangka kerja untuk mengembangkan tenaga kerja keamanan siber lokal dan kompetensi profesional melalui kemitraan dengan Institusi Pendidikan Tinggi untuk mengintegrasikan silabus keamanan siber OT ke dalam program gelar ilmu komputer dan teknik.
Blueprint yang diperbarui juga akan memudahkan berbagi data dan pelaporan untuk memperkuat pemahaman situasional tentang lanskap siber Singapura dan melindungi lebih baik CIIs dan infrastruktur OT pentingnya.
Juga: Singapura memperbarui undang-undang keamanan siber untuk memperluas pengawasan regulasi
Selain itu, CSA menjelaskan bahwa inisiatif-inisiatif ini akan membantu menyederhanakan proses untuk mempercepat berbagi informasi dan meningkatkan kerjasama dengan pusat informasi dan analisis OT dan regulator sektor. Saat otoritas keamanan mulai mengevaluasi mekanisme untuk mendukung pelaporan insiden, akhirnya mendorong organisasi untuk meningkatkan dan melaporkan kegiatan tersebut.
Selain itu, sedang dikembangkan model berbasis data untuk meningkatkan visibilitas di sepanjang rantai pasokan yang memengaruhi sektor CII dan non-CII. Tujuannya di sini adalah untuk menyediakan data dan analisis risiko vendor yang akurat dan terkini, kata CSA.
“Risiko siber tersebar luas dan memengaruhi sistem CII dan OT penting lainnya karena risiko ketergantungan atau rantai pasokan,” kata CSA. Platform data akan meningkatkan visibilitas CSA terhadap risiko keamanan siber yang dihadapi infrastruktur OT dan memantau risiko-risiko ini. Regulator kemudian dapat mengeluarkan peringatan dan nasihat untuk memandu sektor-sektor ini pada remediasi atau kontrol mitigasi yang diperlukan, kata CSA.
Masterplan 2024 bertujuan untuk mendorong prinsip-prinsip pengembangan mendasar yang tertanam dalam keamanan daripada dimasukkan sebagai pemikiran belakang.
Juga: Tantangan terbesar dengan peningkatan serangan keamanan siber, menurut analis
“Adopsi prinsip aman saat diterapkan sangat penting dalam melindungi seluruh manajemen siklus hidup sistem OT, mulai dari desain produk, implementasi, dan pemeliharaan melibatkan beberapa pemangku kepentingan dari produsen peralatan asli (OEM), integrator sistem hingga pemilik aset,” kata CSA.
OEM, misalnya, harus memastikan produk mereka mengadopsi praktik terbaik industri untuk mengurangi ancaman siber sepanjang siklus hidupnya. Mereka juga harus memastikan produk mereka aman secara default dan memperhatikan kompleksitas dan biaya perlindungan pengguna.
CSA menambahkan bahwa 14 OEM dan vendor keamanan siber, termasuk Honeywell, Schneider Electric, Siemens Energy, ST Engineering, Yokogawa Engineering Asia, Check Point Software Technologies, dan Fortinet, telah berjanji untuk mengadopsi prinsip aman saat diterapkan.
Rencana juga sedang disusun untuk mendirikan pusat keunggulan keamanan siber OT untuk memfasilitasi penelitian tentang teknologi keamanan siber OT yang muncul dan mengembangkan alat untuk mengatasi kekhawatiran industri tentang dampaknya pada operasi bisnis, kata CSA.
Juga: AI sedang mengubah keamanan siber dan bisnis harus bangun dari ancaman
“Dari insiden Stuxnet 2010, serangan EKANS pada Honda pada tahun 2020, hingga penemuan toolkit malware Pipedream pada tahun 2022, jelas bahwa ancaman terhadap lingkungan OT kita nyata dan semakin berkembang dalam kompleksitas dan niat,” kata David Koh, chief executive CSA, dan komisioner keamanan siber Singapura. “Kompromi sukses terhadap sistem [OT], yang pengiriman layanan pentingnya bergantung, akan membahayakan keamanan nasional, keselamatan publik dan lingkungan, ekonomi, dan cara hidup kita. Taruhannya terlalu tinggi untuk diabaikan, dan kita harus mendorong batas dan melakukan lebih banyak.”
“Konvergensi yang semakin meningkat antara sistem TI dan OT juga memperluas permukaan serangan dan memperkenalkan risiko baru yang harus dimitigasi,” kata Koh, mengulang perlunya pelatihan yang lebih kuat sambil meningkatkan ketahanan keamanan siber sistem OT dengan mengadopsi praktik keamanan siber terbaik.