Apakah Alat Berat Anda Aman dari Para Peretas?

Perusahaan pengembang sofwware Trackunit dan perusahaan jasa rental alat berat, United Rental, bermitra untuk menerapkan teknologi telematika berdasarkan data. Foto: Trackunit

Teknologi alat berat makin canggih. Perangkat-perangkat teknologi yang disematkan pada barang-barang modal itu pun kian beragam. Lihat saja berbagai perlengkapan yang dipasang pada kabin. Terdapat sistem komputer dan sensor-sensor yang memungkinkan mesin-mesin yang rangka-rangkanya serba baja ini melaporkan performa dan kondisinya secara digital. Para pemilik alat dapat memonitor unit-unit ini dari jarak jauh.

Kecanggihan itu, di satu sisi, tentu saja menguntungkan bagi para pemilik alat karena memungkinkan mereka mendapatkan laporan dan melakukan pemantauan secara real time dari jarak jauh. Namun, di sisi lain, digitalisasi alat berat menyimpan risiko baru.

Para ahli keamanan siber, misalnya, terus mengingatkan bahwa IoT (internet of things) atau semua hal yang serba internet memungkinkan alat-alat berat bisa dimanfaatkan para penjahat untuk menyerang para pengguna atau warga masyarakat lainnya.

Para ahli siber mengingatkan bahwa para peretas bisa memanfaatkan kelemahan sistem keamanan alat-alat berat untuk bisa mengontrol manajemen mesin-mesin konstruksi dengan cara membuat alat-alat itu tidak berfungsi hingga para penjahat mendapat uang tebusan. Bahkan para peretas bisa membahayakan orang-orang dan apa pun yang ada di sekitar mereka.

“Saya perkirakan, dalam waktu yang tidak terlalu lama lagi, akan ada sebuah serangan siber pada crane atau alat-alat berat konstruksi cerdas lainnya dengan sebuah ‘ransomware’,” kata Chief Executive OneKey, perusahaan spesialis keamanan teknologi informasi Jerman, Jan Wendenburg, seperti dilaporkan Conexpoconagg.com.

Merujuk pada penjelasan NordVPN, ‘Ransomware’ adalah salah satu jenis Malware yang digunakan peretas guna mengenkripsi data korban kemudian meminta uang tebusan untuk memulihkannya. Virus Ransomware memiliki banyak jenis, tergantung pada target dan cara kerjanya. Biasanya, peretas menginginkan pembayaran dengan mata uang kripto agar tidak terlacak.

Jan Wendenburg menambahkan, “Para pejahat siber akan mengatakan, kami sudah menghentikan semua alat berat Anda yang sudah ada di tangan para pelanggan dan akan membekukan semuanya dengan ‘ransomware’. Kalau mau dibuka kembali, silahkah bayar 1 miliar dolar, atau bisnis Anda mati. Atau ancaman-anaman lain semacam itu. Itu akan terjadi, cepat atau lambat.”

Dewasa ini sebagian besar model bulldozer, excavator, dan telehandler sudah dilengkapi dengan perangkat cerdas yang menghasilkan data bagi para pengguna yang terhubung dengan internet melalui IoT. Termasuk di dalamnya adalah sensor-sensor untuk memantau penggunaan bahan bakar, emisi karbon, atau perilaku operator di dalam kabin.

Jan Wendenburg dan para koleganya khawatir bahwa para peretas bisa memanfaatkan teknologi untuk memindai ratusan ribu mesin yang terhubung IoT untuk melemahkan sistem keamanannya. “Alat-alat berat konstruksi seperti crane sudah digunakan selama berpuluh-puluh tahun. Hingga sekarang, produk ini sudah digunakan dalam hampir 30 tahun terakhir dan sudah mulai mengalami transformasi ke dalam sebuah komputer. Namun ada sebuah serangan baru yang bisa menghantam crane dan mungkin tidak terduga sama sekali,” Jan Wendenburg mengingatkan.

Dia meneruskan, “Bila Anda sedang mengoperasikan sebuah alat berat seperti crane atau robot, dan Anda adalah seorang penjahat, maka Anda bisa melukai banyak orang. Saya memperkirakan bahwa cepat atau lambat ini akan terjadi. Menurut saya, ini hanya soal waktu. Satu-satunya alasan penjahat siber tidak melakukan serangan siber atau meretas adalah karena sistem pertahanan alat berat itu sangat bagus sehingga sulit bagi mereka untuk melakukan peretasan. Namun, karena ada begitu banyak komputer, maka para peretas bisa masuk dengan begitu mudah.”

Kekhawatiran serupa dilontarkan James Griffiths, salah satu pendiri Cyber Security Associates yang berbasis di Inggris. “Ada sebuah kemungkinan yang sangat nyata bahwa alat-alat berat yang terhubung dengan IoT bisa diretas dan dimanfaatkan oleh orang-orang yang tidak bertanggung jawab,” kata dia.

James Griffiths meneruskan, “Dengan perangkat yang tersambung internet dan begitu banyak digunakan di proyek-proyek konstruksi, ancaman serangan seperti ini akan terus meningkat. Mayoritas perangkat yang terhubung internet menggunakan metode dan protokol standar komunikasi teknologi informasi yang bisa dengan mudah diretas oleh penjahat.”

Apakah alat-alat berat yang terkoneksi internet bisa diretas?

Menurut James Griffiths, para penjahat siber bisa melakukan apa pun untuk mendapatkan uang. Artinya, alat-alat berat konstruksi seperti crane juga bisa diretas. “Mereka bisa mengambil alih alat-alat angkat itu yang tersebar kota-kota besar dan bisa merubuhkannya bersama dengan bangunan-bangunan yang sedang dalam proses konstruksi serta orang-orang yang ada di dalam proyek-proyek tersebut,” kata James Griffiths.

Hal senada juga diungkapkan oleh Peter Elkjaer, Wakil Presiden Trackunit, spesialis perianti lunak. Trackunit sendiri sudah terhubung dengan 1,2 juga unit alat berat. “Salah satu alasan mengapa kami masih tetap memantau dan mengontrol dari jauh alat-alat berat karena ingin memastikan dan menjamin keamanan para pekerja di lokasi kerja. Takutnya, mesin-mesin itu diretas oleh orang-orang yang tidak bertanggung jawab,” katanya.

Dia meneruskan, “Kami secara teratur memetakan kira-kira apa ancaman yang bakal datang dari para peretas, lalu kami menyiapkan sejumlah skenario penyelesaian. Meskipun ada fakta juga bahwa ada peretas yang hanya ingin mencuri alat berat untuk kemudian dijual.”

Peter Elkjaer memastikan bahwa sekarang alat-alat berat konstruksi bisa dikendalikan secara jarak jauh.

John Deere merupakan salah satu pabrikan yang sudah melengkapi mesin-mesinnya dengan teknologi tinggi dan dibuat secara terintegrasi. Alat-alat buatan pabrikan ini sudah bisa dihidup dan dimatikan dari jarak jauh hingga berkilo-kilometer.

Prev Next2 of 6

Meretas lokasi tempat alat berat berada

Para peretas tidak hanya bisa meretas alat-alat berat konstruksi, tetapi juga bisa meretas lokasi di mana alat-alat berat itu berada. Selama mesin-mesin itu terhubung dengan internet, semuanya bisa dilakukan.

Dicontohkan, dalam perang Rusia versus Ukraina, tentara-tentara Rusia bisa mencuri data dari telepon genggam para tentara Ukraina untuk melacak dan memastikan keberadaan mereka sebelum melancarkan serangan. Nah, pencurian data dengan cara serupa bisa juga terjadi pada alat-alat berat konstruksi.

Contoh lain, pada 2014, duo Charlie Miller dan Chris Valasek dilaporkan bahwa mereka berhasil meretas sistem wi-fi sebuah mobil Jeep Cherokee. Mula-mula mereka mampu mengontrol pemutar musik, lalu GPS, sebelum akhirnya mampu mengontrol seluruh kendaraan tersebut.

Kejadian ini memaksa pabrik Fiat Chrysler menarik kembali sebanyak 1,4 juta kendaraan mereka dari pasar Amerika Serikat guna memastikan masalah keamanan piranti lunak seperti ini.

Kemudian, pada Januari 2022 lalu, seorang peneliti muda berusia 19 tahun, David Colombo menulis di akun Twitter miliknya bahwa dia sudah mampu mengeksploitasi sistem keamanan TeslaMate dari jarak jauh. Dia kemudian bisa meretas 25 mobil Tesla di 13 negara berbeda tanpa sepengetahuan pemilik kendaraan. Dia bisa membuka pintu dan jendela mobil-mobil itu dan mulai mengendarainya tanpa awak karena sudah dikendalikannya dari jauh.

“Tesla adalah contoh terbaik karena perusahaan itu sudah mendigitaliasi banyak hal dalam produk-produk kendaraan buatannya,” kata Jan Wendenbrug.

Prev Next3 of 6

Crane konstruksi besar yang dioperasikan dari jarak jauh bisa diretas

Trend Micro mengidentifikasi tiga kegagalan dasar yang umum terjadi dalam sistem kontrol jarak jauh: tidak adanya pergantian kata kunci atau kode secara rutin, kelemahan atau tidak adanya kriptografi, dan minimnya perlindungan piranti lunak.

“Penelitian ini memperlihatkan kenyataan yang menjadi perhatian para pemilik atau para operator industri alat-alat berat di mana sistem kontrol jarak jauh paling banyak ditemukan,” kata Wakil Presiden Tren Micro, Bill Malik.

Dia meneruskan, “Dengan menguji temuan penelitian ini, kami memastikan bahwa kami memiliki kemampuan untuk memindahkan alat-alat industri berukuran besar ke lokasi konstruksi, pabrik, atau dalam bisnis transportasi. Ini contoh klasik dari keamanan risiko baru yang masih terkembang dan bagaimana para peratas lama bisa terus meningkatkan ilmunya untuk menyerang covergensi OT dan IT.”

Prev Next4 of 6

Apa yang bisa dilakukan OEM-OEM agar tidak bisa diretas?

Menurut Jan Wendenburg, perusahaan-perusahaan OEM bertanggung jawab untuk memastikan bahwa piranti lunak mereka, termasuk mesin-mesinnya, aman dan tidak bisa diretas. Keamanan seperti ini termasuk juga memastikan bahwa semua komunikasi terenkripsi atau kerahasiaannya terjaga sehingga semua komunikasi tidak bisa dibaca oleh siapa pun. Dengan demikian, komunikasi dengan orang-orang yang akan membeli mesin-mesin terjaga kerahasiaannya dan sebelum dikirim, piranti lunak dari mesin-mesin itu dipindai, sehingga aman.

“Perusahaan-perusahaan konstruksi biasanya adalah orang-orang paling jago di alam semesta ini dalam membuat alat-alat konstruksi, tetapi mereka tidak ahli dalam menciptakan keamanan digital,” kata Jan Wendenburg.

“Bahkan perusahaan-perusahaan raksasa penghasil kendaraan, tetap saja kesulitan dalam mentransformasi orientasi desain piranti keras ke desain piranti lunak. Mereka bisa membuat kendaraannya, tetapi gagal menciptakan sistem keamanannya.”

Kebutuhan pemeliharaan digital

“Hari-hari ini, para auditor selalu bertanya, apa sistem keamanan yang dipakai dalam komputer Anda di kantor? Banyak perusahaan menjawab, kami memiliki infrastruktur bersertifikat, memiliki piranti lunak antivirus, dan punya fire wall. Namun, bagaimana jika komputer Anda itu tidak hanya berada di kantor?” tanya Jan Wendenburg.

Untuk menjawab pertanyaan seperti ini, Peter Elkjaer mengatakan, Trackunit selalu melakukan pembaruan untuk menghubungkan mesin yang mengoperasikan berbagai aplikasi sekitar 10 kali dalam sehari, memindai semua server yang mengoperasikan platform empat kali sehari, dan masih banyak kegiatan lain yaitu meng-update secara rutin untuk memastikan sistem keamanan komputer terjamin.

“Satu-satunya yang bisa dilakukan untuk mengurangi risiko diretas adalah dengan tetap menjaga dan selalu membarui seluruh platform Anda. Kita harus melihat keamanan sebagai pembeda. Semua sistem ini sungguh mahal, sehingga para pemain kecil sulit melakukannya,” kata Peter Elkjaer lagi.

Sementara Jan Wendenburg menambahkan bahwa para pembeli juga harus memastikan sejak awal akan kemampuan jangka panjang dari sebuah perusahaan alat berat untuk terus memberikan layanan terbaik pada piranti lunak dari alat-alat berat yang mereka jual.

“Bila Anda membeli alat berat dari pihak ketiga dan perangkat lunak itu hanya bisa bekerja selama mereka ada, lalu kemudian membolehkan Anda memakai perangkat tersebut, maka Anda juga harus pastikan bahwa Anda benar-benar percaya pada mereka, termasuk misalnya perusahaan mereka tidak akan bangkrut,” pungkas Jan Wendenburg. Sumber: Conexpoconagg.com

Berita Terkait