Kolaborasi Global Cybersecurity di Industri Penerbangan
Ilustrasi
Cyberthreat.id - Industri penerbangan sangat unik, tetapi jika bicara transformasi digital di dunia bisnis semuanya sama, termasuk industri penerbangan. Digitalisasi pada dasarnya bersifat global, melampaui beberapa yurisdiksi, dan mewajibkan kolaborasi secara 'internal' dengan para pesaingnya sendiri.
Industri penerbangan adalah industri yang sangat sukses. Menurut data Organisasi Penerbangan Sipil Internasional (ICAO), terdapat 4,1 miliar penumpang pesawat terbang di tahun 2017. Jumlah itu akan meningkat menjadi sekitar 10 miliar pada tahun 2040
Data Asosiasi Transportasi Udara Internasional (IATA) menyatakan 35% perdagangan dunia berdasarkan nilai yang diangkut dengan kargo udara, setara dengan $ 6,4 triliun barang.
"Ini adalah industri yang kritis untuk keamanan nasional lokal dan ekonomi global," tulis laporan World Economic Forum (WEF) 2020 dilansir Security Week, Senin (27 Januari 2020)
WEF percaya bahwa keberhasilan dan keselamatan dari industri penerbangan tergantung kepada "keseimbangan yang sukses antara prioritas peraturan dan risiko." Kehadiran Revolusi Industri 4.0 dan transformasi digital mengubah semuanya.
"Karena teknologi berubah, begitu juga prioritas pemangku kepentingan penerbangan dan lebih banyak pekerjaan diperlukan untuk memastikan ketahanan optimal. Dan ini belum termasuk teknologi baru seperti kendaraan udara tak berawak (drone)."
Industri penerbangan menghadapi masalah yang sama dihadapi semua perusahaan ketika teknologi informasi (IT) dan teknologi operasi (OT) menyatu - tetapi mungkin dengan taruhan yang lebih tinggi.
Jika cybersecurity gagal secara non-sistemik (katakanlah di maskapai penerbangan), nyawa bisa hilang. Jika gagal secara sistemik (katakanlah, di satu bandara udara atau lebih atau lebih), efek berjenjang dapat mengguncang industri global, mempengaruhi kepercayaan publik, dan merusak ekonomi global.
WEF pada 21-24 Januari 2020 meluncurkan inisiatif yang dirancang untuk meningkatkan ketahanan siber di industri penerbangan, dan sekarang telah menerbitkan keluaran utama pertama dari inisiatif ini
Inisiatif ini melibatkan wawancara, survei, dan lokakarya dengan peserta industri, asosiasi perdagangan, regulator, penyedia layanan navigasi udara, maskapai penerbangan, bandara, dan produsen Original Equipment Manufacturer (OEM) serta bisnis IT dan asuransi yang bekerja dengan dan mendukung industri ini.
Orang, Manejemen Risiko, dan Teknologi
WEF menlakukan survei dengan memeriksa ancaman, risiko, dan kerentanan yang paling memengaruhi industri penerbangan. Survei itu "mengidentifikasi tiga domain utama fokus di mana tindakan kolektif dapat ditingkatkan untuk mengidentifikasi dan mengelola risiko cyber."
Area-area tersebut adalah Orang, Manajemen modal dan risiko, serta Teknologi dan operasi.
1. Orang adalah titik awal yang penting.
Dari survei ke kerentanan (diambil dari insiden yang dialami selama 12 bulan sebelumnya), perilaku manusia mendominasi. Sejauh ini kerentanan tunggal terbesar adalah phishing, ditambah rekayasa sosial lainnya, kesalahan berbagi data, penyalahgunaan dan penyalahgunaan akses yang sah, kehilangan atau pencurian peralatan dan pelanggaran kebijakan lainnya.
Organisasi perlu fokus pada faktor orang/human sebanyak sistem dan infrastruktur TI. "Tujuannya tidak hanya untuk menarik, melibatkan, dan mempertahankan profesional cybersecurity yang berkualitas, tetapi juga untuk membangun 'IQ cyber' yang lebih tinggi bagi semua pemangku kepentingan dan karyawan dalam suatu organisasi, terutama staf operasional yang berinteraksi dengan sistem kritis."
2. Manajemen modal dan risiko
WEF memperingatkan bahwa selama ini terdapat ketidaksejajaran antara tim keamanan dan petinggi perusahaan penerbangan. Salah satu alasannya adalah karena ketergantungan tim keamanan pada pelaporan kualitatif dan bukan kuantitatif.
Sebagian besar tim menggunakan indikator merah/hijau atau tinggi/rendah untuk mengambil risiko dalam melaporkan ke petinggi. Sangat sedikit tim keamanan yang menggunakan metode kuantitatif yang lebih pasti seperti OpenFAIR, QIRA, LossPIQ dan CyberQuantified.
3. Fokus teknologi dan operasi adalah masalah utama konvergensi antara TI dan OT. Ini adalah masalah yang dihadapi - sampai taraf tertentu - oleh semua organisasi yang terlibat dalam transformasi bisnis; tetapi sangat parah dalam penerbangan.
"Kompromi sistem penerbangan yang mengakibatkan data yang salah mengalir antara pesawat, organisasi pemeliharaan pesawat, bandara, dan sistem navigasi udara bisa berdampak penting."
Rekomendasi WEF di bidang ini termasuk menegakkan keamanan dengan desain dalam pengembangan perangkat dan sistem yang terhubung baru; mengambil pendekatan holistik dan berbasis risiko untuk bertahan melawan serangan cyber yang semakin kompleks dan sering terjadi; dan memahami konsep risk serta mendorong pemahaman itu dalam rantai pasokan (supply chain).
Kunci dari segalanya adalah "seberapa baik organisasi berhasil mengintegrasikan keamanan sebagai bagian yang melekat dari DNA-nya". Ini tidak mengenyampingkan pedoman keamanan yang sudah tersedia - seperti NIST SP 800-30 dan ISO/IEC 27005: 2018.
Di masa depan WEF akan melibatkan "komunitas multi-pemangku kepentingan untuk mendesain bersama dan mengujicobakan pendekatan dan metodologi umum yang akan dibagikan dengan komunitas kebijakan Forum WEF."
