Dr Muzaffar Rao dari UL membahas diploma profesional dalam program keamanan OT, dan apa yang memotivasi penelitiannya dalam keamanan siber OT dan ICS.
Bagi Dr Muzaffar Rao, Universitas Limerick (UL) telah menjadi basis penelitian selama beberapa tahun.
Ketika Rao pertama kali bergabung dengan UL pada tahun 2013, dia adalah seorang mahasiswa PhD yang melakukan penelitian tentang perangkat keras yang dapat dikonfigurasi ulang untuk keamanan, khususnya sistem kriptografi berbasis field programmable gate array (FPGA).
Setelah meraih gelar PhD, Rao mulai bekerja di universitas tersebut sebagai peneliti pascadoktoral di Pusat Robotika dan Sistem Cerdas, yang menurut Rao memungkinkannya untuk lebih mengembangkan “keahlian dalam sistem kriptografi berbasis perangkat keras”.
Maju ke masa sekarang, dan Rao sekarang menjadi profesor madya di Departemen Teknik Elektronika dan Komputer di UL, serta peneliti asosiasi di Lero, Pusat Perangkat Lunak Penelitian Irlandia.
Rao juga merupakan direktur program diploma profesional dalam program keamanan teknologi operasional (OT) – sebuah program Level 9 khusus yang menurut Rao adalah “penawaran unik di Irlandia”, karena program ini didedikasikan khusus untuk keamanan OT dan sistem kontrol industri (ICS).
Tujuan utama dari program ini, menurut Rao, adalah untuk membekali para profesional dengan pengetahuan praktis dan keterampilan khusus yang diperlukan untuk “mengintegrasikan sistem TI dan OT secara aman sambil secara efektif mengelola risiko dunia maya yang terkait”.
“Dikembangkan melalui kerja sama yang erat dengan mitra industri, kursus ini berfokus pada tantangan operasional dunia nyata, ancaman spesifik OT, kerangka hukum dan peraturan yang relevan, dan strategi mitigasi risiko,” jelasnya.
“Penekanan kuat diberikan pada menjembatani kesenjangan keterampilan tenaga kerja untuk memastikan lulusan dapat melindungi dan mengamankan lingkungan operasional yang kompleks.”
Rao mengatakan kepada SiliconRepublic.com bahwa baru-baru ini, kursus tersebut diberikan melalui Airbus CyberRange, sebuah platform simulasi dan pelatihan yang memberikan “pembelajaran mendalam dan langsung melalui latihan realistis dan berbasis skenario yang mencerminkan infrastruktur penting di dunia nyata dan sistem manufaktur cerdas”.
Mengamankan OT dan ICS
Meskipun tugasnya telah diperluas ke tugas-tugas baru seperti pengajaran dan pengembangan kurikulum, penelitian keamanan siber yang dilakukannya terus menjadi bagian utama dari jabatannya di UL.
Penelitian Rao saat ini berfokus pada penguatan keamanan dan ketahanan OT dan ICS, khususnya di lingkungan infrastruktur penting yang mengandalkan sistem lama.
“Sistem ini,” katanya kepada kami, “seringkali sulit atau tidak mungkin untuk ditambal, diganti, atau dimatikan, sehingga pendekatan keamanan konvensional menjadi tidak praktis.”
Dia mengatakan “hal utama” dari karyanya adalah pengembangan mekanisme kriptografi ringan yang dirancang khusus untuk perangkat keras industri yang menua dengan kekuatan pemrosesan terbatas, bandwidth terbatas, dan siklus hidup operasional yang panjang – dengan tujuan memperkenalkan kontrol keamanan yang kuat tanpa mengganggu operasi industri.
Ia juga meneliti kerangka kerja peringatan dini dan deteksi intrusi untuk “ancaman tingkat lanjut, termasuk di tingkat negara-negara, di lingkungan OT dan ICS”.
“Hal ini termasuk mengatasi situasi di mana pemantauan sangat minim atau tidak ada, dengan perhatian khusus pada sensor industri dan perangkat periferal yang tidak terpantau yang menciptakan titik buta yang dapat dieksploitasi oleh penyerang.”
Namun mengapa penelitian ini penting?
Rao menjelaskan bahwa sebagian besar infrastruktur penting Irlandia – termasuk energi, air, layanan kesehatan, dan manufaktur – masih bergantung pada “teknologi operasional yang sudah tua dan tidak dapat dengan mudah ditingkatkan atau dihentikan”.
“Kendala-kendala ini menciptakan kesenjangan keamanan yang signifikan dan menjadikan layanan-layanan penting sangat rentan terhadap ancaman siber yang canggih, termasuk ancaman dari negara-negara yang menargetkan sistem industri di seluruh Eropa,” kata Rao.
“Dengan mengembangkan solusi kriptografi ringan yang cocok untuk perangkat lama, meningkatkan deteksi dini intrusi, dan mengamankan lingkungan IT/OT yang semakin saling terhubung, penelitian ini secara langsung mengatasi risiko-risiko ini.
“Hal ini meningkatkan visibilitas sistem, membatasi pergerakan lateral penyerang, dan memperkuat kemampuan Irlandia untuk mencegah dan merespons serangan siber-fisik. Pada akhirnya, upaya ini berkontribusi terhadap ketahanan nasional, kelangsungan layanan penting, dan keselamatan publik di saat serangan siber menjadi semakin sering, tertarget, dan kompleks.”
Kesalahpahaman dan motivasi
Rao mengatakan dia tertarik pada bidang penelitian khusus ini karena terletak di “persimpangan bidang-bidang yang secara konsisten membentuk jalur akademis saya”.
Faktanya, dia mengatakan penelitian PhD-nya tentang desain kriptografi berbasis FPGA secara alami memaparkannya pada “tantangan keamanan yang unik dan kurang tertangani” dari OT dan ICS.
“Lingkungan ini sangat bergantung pada perangkat keras lama yang mendukung infrastruktur penting namun tidak memiliki perlindungan yang diharapkan dalam sistem TI modern.”
Salah satu kesalahpahaman tentang penelitiannya yang sering ditemui Rao adalah keyakinan bahwa meningkatkan keamanan di lingkungan OT dan ICS “hanya masalah menerapkan kontrol keamanan TI tradisional atau menunggu penggantian sistem yang sudah ketinggalan zaman”.
“Pada kenyataannya, infrastruktur penting jarang memiliki pilihan untuk melakukan downtime, melakukan patching secara berkala, atau visibilitas yang seragam, dan banyak sistem industri tidak pernah dirancang dengan mempertimbangkan keamanan,” jelasnya.
Ia menambahkan bahwa ada juga keyakinan bahwa keamanan yang efektif memerlukan pemantauan yang ketat, perangkat keras yang mahal, atau “perubahan intrusif yang berisiko mengganggu operasional”. Rao mengatakan penelitiannya secara langsung menantang asumsi ini dengan “menunjukkan bahwa keamanan yang kuat dan deteksi intrusi dini dapat dicapai dengan menggunakan teknik ringan dan sadar domain yang memperhatikan batasan operasional”.
“Metode ini mengatasi kelemahan seperti sensor yang tidak terpantau dan dapat mendeteksi serangan canggih dengan baik sebelum berkembang menjadi insiden fisik atau keselamatan, tanpa mengganggu layanan penting.”
Dengan menghabiskan waktu bertahun-tahun di bidang penelitian ini, kita pasti bertanya-tanya apa yang membuat Rao kembali ke domain OT dan ICS.
Seperti yang dijelaskan Rao kepada kami, dia terus menemukan motivasi dalam “kombinasi tantangan intelektual dan dampak dunia nyata”.
“Tidak seperti sistem TI konvensional, lingkungan OT tidak bisa begitu saja ditambal, diganti, atau dijadikan offline, bahkan ketika lingkungan tersebut menghadapi ancaman negara yang semakin canggih dan konvergensi TI/OT yang semakin meningkat,” katanya.
“Mengembangkan kriptografi ringan, deteksi intrusi tahap awal, dan arsitektur aman di bawah kendala sumber daya dan operasional yang ketat merupakan hal yang menuntut secara teknis dan penting secara sosial.
“Peluang untuk menghasilkan penelitian yang memiliki relevansi praktis dan berkontribusi langsung terhadap ketahanan layanan penting adalah hal yang membuat pekerjaan ini menarik bagi saya.”