Podcast: Transisi energi: cepat, bersih… dan aman dari serangan siber?

Josh Flanagan:

Halo semuanya, dan terima kasih kepada semua pendengar kami di seluruh dunia. Selamat datang di podcast Future in Focus LRQA. Nama saya Josh Flanagan, dan hari ini kita akan membahas salah satu tantangan terbesar yang dihadapi transisi energi saat ini: bagaimana kita menghadirkan sistem energi yang tidak hanya cepat dan bersih, tetapi juga aman dan tangguh.

Saya ditemani oleh Howard Hughes, Managing Director untuk Keamanan Siber di LRQA, dan Fotis Kampouris, EVP untuk Asia Pasifik. Howard, Fotis - terima kasih telah bergabung.

Dalam episode ini kita akan mengupas skala dan kecepatan program transisi energi global, dari energi angin lepas pantai dan hidrogen hingga energi nuklir dan transformasi jaringan listrik. Kita akan membahas bagaimana peningkatan digitalisasi mengubah lanskap risiko, mengapa infrastruktur energi menjadi target siber yang lebih menonjol, dan apakah organisasi dapat secara realistis memberikan hasil dengan cepat tanpa mengorbankan keamanan. Kita juga akan melihat seperti apa sebenarnya kepemimpinan dan pengawasan yang baik di bidang ini, dan mengapa kepatuhan saja tidak lagi cukup ketika Anda membangun aset yang perlu beroperasi dengan aman selama beberapa dekade.

Kita mulai dengan Anda, Fotis. Bantu kami menggambarkan situasinya kepada audiens kami. Dapatkah Anda secara singkat menguraikan beberapa proyek energi terbesar di dunia saat ini? Di mana momentum terbesar berada, dan bagaimana volatilitas geopolitik saat ini memengaruhi di mana dan bagaimana proyek-proyek ini dikembangkan?

Fotis Kampouris: 

Hai Josh, dan terima kasih atas undangannya. Ini pertanyaan yang bagus, dan sangat relevan dengan apa yang terjadi saat ini. Ketika saya mundur dan melihat apa yang terjadi secara global, skala aktivitasnya luar biasa. Kita melihat pembangkit tenaga surya dan angin lepas pantai yang besar di Tiongkok, India, Timur Tengah, dan Australia, bersamaan dengan investasi besar dalam interkonektivitas jaringan dan penyimpanan energi - karena kita semua tahu bahwa menghasilkan listrik tanpa transmisi hanya akan menciptakan hambatan yang berbeda.

Pada saat yang sama, seperti yang Anda lihat di berita, energi nuklir kembali muncul - khususnya di Eropa, AS, dan sebagian Asia - sementara hidrogen dan karbon terus bergerak dari ambisi ke proyek nyata, dengan jalur untuk mendukung industri berat dan keamanan energi.

Yang telah berubah adalah bahwa transisi energi bukan lagi kisah dekarbonisasi; ini menjadi kisah keamanan energi. Pemerintah dan investor bertanya dari mana komponen dan peralatan penting berasal, seberapa bergantungnya mereka pada jalur pasokan yang rentan, dan apakah sistem tersebut masih dapat beroperasi dalam lingkungan geopolitik yang lebih terfragmentasi.

Arahnya semakin jelas: kita membutuhkan proyek yang lebih besar, lebih cepat, dan lebih terhubung, tetapi di dunia yang jauh lebih bergejolak.

Josh Flanagan: 

Terima kasih, Fotis. Howard, saya akan menghubungi Anda sekarang. Proyek-proyek ini telah berlangsung cukup lama dalam banyak kasus. Kapan keamanan siber menjadi bagian dari percakapan, dan mengapa hal itu menjadi target siber prioritas tinggi sekarang?

Howard Hughes: 

Terima kasih, Fotis, dan terima kasih, Josh. Anda benar - proyek-proyek ini bukanlah hal baru di industri ini. Yang telah berubah dalam beberapa tahun terakhir adalah beberapa hal.

Pertama, kecanggihan pelaku ancaman. Mereka sangat mumpuni. Dalam beberapa kasus, jika mereka disponsori negara, mereka memiliki anggaran yang tidak terbatas. Anda harus berasumsi bahwa semua alat dan teknik yang digunakan oleh perusahaan keamanan siber, juga digunakan oleh pelaku ancaman yang canggih. Jadi itu hal pertama - musuh telah menjadi jauh lebih mumpuni.

Kedua - dan ada banyak contoh di seluruh dunia - pertama kali kita melihat serangan siber yang digunakan sebagai bagian dari kampanye militer yang lebih kinetik adalah Stuxnet, terhadap pabrik pemurnian nuklir Iran lebih dari satu dekade lalu. Itu secara efektif merupakan senjata OT, atau teknologi operasional, yang digunakan sebagai bagian dari kampanye militer dan politik. Hal itu telah terjadi secara teratur sejak saat itu. Jika Anda melihat apa yang terjadi di Timur Tengah sekarang, Anda dapat melihat aspek-aspek tertentu dari kampanye kinetik di sana didukung oleh aktivitas keamanan siber.

Hal ketiga - dan ini berkaitan dengan apa yang dikatakan Fotis - adalah bahwa kita hidup di dunia yang jauh lebih terhubung. Perpaduan energi terbarukan dan energi tradisional semuanya harus terhubung; orang ingin berbagi di seluruh jaringan. Dengan konektivitas tersebut, dan konektivitas lebih lanjut ke jaringan lain, Anda mungkin pernah mendengar frasa "permukaan serangan" - permukaan serangan menjadi lebih besar. Anda memiliki target yang lebih besar. Ketika Anda tidak terhubung, ketika semuanya terfragmentasi, pelaku ancaman harus secara individual menyerang perusahaan pembangkit listrik atau organisasi distribusi individual. Sekarang, dengan lebih banyak interkoneksi, Anda menyerang satu jaringan dan Anda mungkin menyerang semua energi hilir yang disediakan jaringan tersebut.

Jadi - masa-masa yang menarik. Saya telah menyebutkan OT beberapa kali. Itu adalah sesuatu yang dilakukan LRQA saat ini. Jika saya mencari kritik, itu adalah bahwa kita tidak cukup menyebarluaskannya - dan kita perlu melakukannya. Kami melakukan pengujian OT saat ini, dan kami akan berupaya melakukan pemantauan OT dan hal-hal lain yang terkait dengan teknologi operasional seiring berjalannya waktu.

Josh Flanagan: 

Terima kasih, Howard. Kita telah melihat betapa cepatnya peristiwa geopolitik, termasuk ketidakstabilan baru-baru ini di Timur Tengah, dapat mengganggu pasar energi dan infrastruktur. Bagaimana hal ini seharusnya membentuk kembali cara organisasi berpikir tentang ketahanan jangka panjang dalam transisi energi, khususnya untuk aset yang perlu beroperasi dengan aman selama berpotensi puluhan tahun? Fotis, saya akan mulai dengan Anda, lalu Howard, silakan masuk setelahnya dengan beberapa poin tentang sisi siber.

Fotis Kampouris: 

Memang, seperti yang Anda sebutkan, Josh, aset-aset ini harus beroperasi selama sepuluh, dua puluh, tiga puluh, atau bahkan lima puluh tahun jika kita melihat lingkungan nuklir. Ketidakstabilan baru-baru ini di Timur Tengah telah mengingatkan semua orang bahwa sistem energi rentan terhadap ancaman fisik dan digital. Kita sering merancang aset-aset ini untuk efisiensi dan output, tetapi tidak selalu untuk gangguan - dan itulah tantangannya, karena sistem-sistem ini harus beroperasi dengan aman selama bertahun-tahun untuk memberikan stabilitas di sekitar energi.

Ketahanan sekarang harus dirancang sejak awal, dan itu tidak terjadi sebelumnya. Itu berarti kita perlu mendiversifikasi pemasok, mengambil pandangan kritis terhadap ketergantungan yang lebih kuat, memiliki visibilitas yang lebih baik terhadap rantai pasokan, dan mulai membangun ketahanan digital ke dalam model operasi - seperti yang disebutkan Howard sebelumnya. Pola pikir kita harus bergeser dari optimasi ke daya tahan, dan pemenangnya adalah siapa pun yang mulai merancang sistem-sistem ini dengan cara itu. Di situlah konteks strategis untuk keamanan siber dan ketahanan siber berperan - dan bagaimana kami bekerja sama dengan klien kami dalam hal ini. Howard?

Howard Hughes: 

Terima kasih, Fotis. Sebagian besar hal itu juga berawal dari budaya – visibilitas di ruang rapat. Jangan mendesain sesuatu, membangunnya, dan menerapkannya, lalu menambahkan keamanan setelahnya.

Salah satu hal yang dapat dilakukan LRQA dengan basis pelanggan kami adalah membuat mereka memahami konsep seperti keamanan sejak tahap desain, di mana Anda membangun keamanan ke dalam jaringan di setiap titik desain, atau tujuh pilar model zero-trust, di mana Anda menilai setiap lapisan desain dan memastikan setiap lapisan aman.

Jadi hal pertama adalah budaya dan kesadaran – dari puncak organisasi, di tingkat dewan direksi, hingga ke bawah. 96% pelanggaran yang berhasil tahun lalu secara global berasal dari penipuan email bisnis. Seseorang mengklik kartu hadiah Amazon palsu (kartu hadiah lain juga tersedia) di email mereka – mereka berpikir itu hal yang baik untuk dilakukan, tiba-tiba ada malware di komputer mereka, dan itu membuka port di jaringan. Jadi, budaya, kesadaran, dan pelatihan.

Hal lainnya adalah, dengan kecepatan adopsi teknologi oleh pelaku ancaman, Anda hampir harus mengadopsi pola pikir tertentu - dan itu menakutkan. Saya akan mendorong siapa pun yang melakukan percakapan dengan klien untuk memulai dari posisi bahwa pelanggaran akan terjadi, bahwa pelaku ancaman akan berhasil. Jadi pertanyaannya menjadi: apa saja hal-hal yang harus kita lakukan jika kita mengalami pelanggaran? Pemulihan, respons insiden, latihan pemulihan bencana dan rencana keberlangsungan bisnis. Berapa banyak klien kami yang menjalankan simulasi ruang rapat berkualitas tinggi secara teratur sebagai bagian dari latihan pemulihan bencana? Keamanan siber adalah bagian dari itu.

Jadi ada perubahan pola pikir di sini karena musuh menjadi lebih canggih, karena jumlah mereka lebih banyak, dan karena banyak dari ini disponsori oleh negara. Asumsikan mereka akan memiliki alat dan praktisi yang luar biasa di kelompok pelaku ancaman tersebut. Berlatihlah untuk saat Anda akan mengalami pelanggaran, daripada berasumsi Anda akan berhasil dalam pertahanan.

Beberapa hal lain, dari perspektif penjualan: Saya telah menyebutkan simulasi dan kerangka kerja di ruang rapat - apakah itu sesuatu seperti kerangka kerja NIST. Jika Anda tidak tahu seperti apa hasil yang baik, nilai posisi Anda dibandingkan dengan tolok ukur yang diakui industri. Pengujian rutin - baik dari luar ke dalam (pengujian penetrasi tradisional) maupun dari sudut pandang pihak lawan. Pikirkan tentang red teaming, di mana sebuah tim masuk, berperan sebagai pihak lawan, dan menguji pertahanan Anda.

Jadi ada hal-hal yang kita lakukan saat ini yang tidak hanya dapat digunakan oleh industri energi, tetapi juga seluruh basis klien kita.

Josh Flanagan: 

Sempurna, terima kasih Howard. Saat kita melanjutkan pembahasan pertanyaan, penting untuk membicarakan mengapa ini bisa menjadi topik yang cukup menakutkan. Dalam program transisi energi besar, di mana risiko siber biasanya terlewatkan, siapa yang paling rentan, dan mengapa? Fotis, nanti saya akan tanyakan pada Anda.

Fotis Kampouris: 

Itu pertanyaan yang bagus. Melalui pengalaman saya selama bertahun-tahun, saya telah terlibat dalam sejumlah proyek energi, dan saya harus mengatakan bahwa hal itu biasanya terlewatkan sejak awal - ketika program masih dilihat secara terpisah, sebagai latihan rekayasa, pengadaan, dan pengiriman, alih-alih sebagai aset operasional jangka panjang. Seperti yang kami katakan di awal, aset-aset ini harus tetap beroperasi selama dua puluh, tiga puluh, empat puluh, lima puluh tahun atau lebih.

Tim rekayasa berada di bawah tekanan untuk bergerak cepat. Anggaran berada di bawah pengawasan ketat. Semua keputusan desain dan pemasok utama dikunci sebelum persyaratan keamanan siber diberlakukan. Di sinilah LRQA dapat mendukung, dengan solusi kami seputar penilaian vendor, manajemen rantai pasokan, dan kualitas serta keselamatan - karena kami dapat melihat semua elemen ini secara independen dan mendukung pembeli atau pemasok yang berbeda untuk mengurangi risiko.

Organisasi yang paling rentan seringkali adalah organisasi yang berurusan dengan kepemilikan yang terfragmentasi. Seringkali, satu pihak merancang, pihak lain melakukan pengadaan, dan pihak lain lagi melakukan integrasi. Dalam lingkungan tersebut, semua orang mengatakan bahwa keamanan siber itu penting, tetapi tidak ada yang bertanggung jawab—mereka menyerahkannya kepada pengambil keputusan akhir, yang biasanya adalah pemilik. Jadi, inilah tantangan bagi saya. Masalahnya bukan ketidaktahuan; masalahnya adalah keamanan siber tidak diperlakukan sebagai risiko inti dalam pelaksanaan proyek. Dan keamanan siber harus menjadi risiko sekunder dalam pelaksanaan proyek.

Josh Flanagan: 

Bagus sekali. Kita sudah membahas beberapa kesalahan yang dilakukan organisasi - tetapi akan lebih baik jika kita membahas seperti apa pengawasan yang baik sebenarnya. Howard, saya akan mulai dari Anda terlebih dahulu.

Howard Hughes: 

Terima kasih. Saya akan menggunakan contoh terkini - bukan perusahaan energi, tetapi program keamanan siber infrastruktur nasional yang masih sangat penting di sebuah perusahaan transportasi besar.

Dewan direksi mereka memulai rapat dengan pengarahan keselamatan, diikuti oleh pengarahan keamanan siber. Jadi, hal kedua yang dilakukan dewan direksi adalah pengarahan keamanan siber: ancaman apa saja yang ada saat ini? Apakah kita telah mengalami pelanggaran keamanan pada periode pelaporan terakhir? Itu bukan setelah keuangan atau setelah metrik operasional - itu berada di urutan terdepan. Keselamatan, siber, kemudian keuangan, SDM, penjualan, dan seterusnya. Jadi ada beberapa perubahan budaya di sana. Anda bertanya seperti apa yang baik itu - itu salah satunya. Mulailah dengan budaya.

Dalam proses penganggaran, secara tradisional keamanan siber dimasukkan sebagai semacam pertimbangan tambahan. Praktik terbaik adalah membangun keamanan siber ke dalam program perubahan transformasional sejak awal. Ini bukan hanya soal satu persen dari pendapatan, atau metrik apa pun yang mungkin digunakan seseorang - tetapi: berapa biaya yang kita keluarkan untuk menjaga sistem ini tetap aman? Berapa biaya yang harus kita keluarkan untuk menjaga operasional kita tetap berjalan sehingga, idealnya kita tidak mengalami pelanggaran keamanan, tetapi jika terjadi, kesinambungan bisnis tetap berjalan dan kita masih dapat terus melayani pelanggan dan klien kita?

Saya ingin menambahkan satu hal lagi: pelaporan tingkat dewan direksi, visibilitas sepanjang waktu - baik dan buruknya. Jangan takut dengan peringatan merah. Kami telah diminta untuk menghasilkan banyak laporan tingkat dewan direksi pada tingkat yang sangat rinci; dewan direksi ingin mengetahui detail pelanggaran keamanan terakhir. Jadi ini adalah perubahan budaya, sedikit perubahan pola pikir, tetapi ini sangat, sangat mungkin dilakukan, dan kami adalah jenis perusahaan yang berupaya bermitra dengan penyedia energi untuk menyediakan kemampuan tersebut.

Bagaimana pendapat Anda, Fotis? Adakah hal lain yang ingin Anda tambahkan?

Fotis Kampouris: 

Terima kasih, Howard. Anda telah membahas aspek budaya dan akuntabilitas dengan sangat baik. Mungkin saya akan menambahkan kompetensi - karena risiko bergerak begitu cepat sehingga sangat sulit untuk memiliki semua pakar dan ahli yang tepat di internal perusahaan. Di sinilah LRQA dapat berperan, dengan keunggulan manajemen risiko terhubung kami di seluruh siklus hidup - dari desain dan pengadaan hingga operasi dan perubahan dari waktu ke waktu - untuk selalu bersama klien dan membantu mereka memahami apa yang terjadi setiap hari.

Josh Flanagan: 

Terima kasih, itu wawasan yang sangat bagus. Satu hal yang bisa diambil dari itu adalah hal ini bisa sangat membingungkan bagi bisnis dan proyek tertentu. Kalau bicara soal ketahanan siber, dari mana sebaiknya kita mulai, Howard?

Howard Hughes: 

Secara tradisional—dan ini masih berlaku—pilihlah kerangka kepatuhan dan ukur kinerja Anda berdasarkan kerangka tersebut. Kerangka tersebut sudah ada sejak lama. NIST adalah dasar penilaian yang baik. ISO 27000 juga merupakan dasar penilaian yang baik. Pilihlah salah satu, nilai kinerja Anda berdasarkan metrik tersebut, dan ajak tim Anda untuk ikut serta dalam perjalanan ini.

Secara tradisional, orang akan menyiapkan sistem dan mengujinya. Mereka akan berkata, "Saya akan melakukan empat pengujian penetrasi tahun ini. Saya akan melakukan satu perburuan ancaman tahun ini." Salah satu area di mana transformasi ini terjadi di industri saat ini adalah Anda harus berpikir secara berkelanjutan. Kita harus benar setiap hari; pelaku ancaman hanya perlu benar sekali. Jika pelaku ancaman yang disponsori negara ingin membobol sistem, mereka hanya perlu benar sekali. Kita harus benar setiap hari.

Jadi ada sesuatu di sana tentang pemantauan permukaan serangan yang berkelanjutan—memantau aset Anda secara terus menerus daripada hanya melakukan pengujian beberapa kali setahun, menjalankan pengujian penetrasi setiap kuartal. Pikirkan tentang pendekatan berkelanjutan untuk pemantauan.

Bagi Anda yang melihat berita dalam dua minggu terakhir tentang model terbaru yang dirilis Anthropic - Mythos, melalui program Glasswing - menemukan kerentanan pada jaringan infrastruktur nasional kritis yang berusia lebih dari dua puluh tahun.

Sebagian dari itu hanyalah kebersihan dasar. Jika Anda menemukan masalah pada sistem Anda, Anda harus menambalnya hari itu juga, jam itu juga, menit itu juga - karena masih terbuka, dan jika Anda menemukannya, Anda dapat yakin 100% pelaku ancaman juga akan menemukannya.

Kemudian, latihan simulasi. Setelah Anda mencapai tingkat kepatuhan yang sesuai dan memiliki peta jalan untuk terus meningkatkan, ada sesuatu tentang terus-menerus mensimulasikan pelanggaran pada sistem Anda. Libatkan perusahaan eksternal seperti LRQA untuk memikirkan hal-hal yang tidak terpikirkan. Jangan melakukan serangan tradisional - pikirkan serangan yang sedikit berbeda yang mungkin belum Anda pikirkan, dan latihlah berulang kali.

Itulah beberapa praktik terbaik yang saya sarankan untuk kita diskusikan.

Josh Flanagan: 

Terima kasih kepada Anda berdua atas tanggapan yang sangat berwawasan hari ini. Sebagai penutup: menurut Anda, perubahan pola pikir apa yang perlu dilakukan organisasi untuk melindungi transisi energi? Kita mulai dari Anda, Fotis.

Fotis Kampouris: 

Sebelum saya membahas organisasi tersebut, saya ingin membahas lebih jauh lagi. Transisi energi adalah fase pertumbuhan paling mendasar yang sedang kita hadapi, dan kita juga membutuhkan dukungan dari pemerintah. Pemerintah perlu menyederhanakan dan menghubungkan berbagai kerangka kerja dengan lebih baik, karena – ketika kita berbicara tentang jaringan seputar keamanan siber – bayangkan jaringan listrik antara Prancis dan Inggris, atau Jepang dan Korea: peraturan dan standar yang berbeda membuat koneksi dan komunikasi dalam bahasa yang sama jauh lebih sulit. Jadi kita membutuhkan perubahan semacam itu dalam kerangka peraturan, dari pemerintah dan berbagai lembaga pengatur.

Sedangkan untuk organisasi, agar dapat bergerak dengan kecepatan tersebut, mereka perlu mulai memperlakukan keamanan siber dan ketahanan sebagai sesuatu yang harus diperbaiki sekarang, bukan dipasang kemudian. Itu harus menjadi bagian dari implementasi sejak hari pertama. Biaya kesalahan dalam keamanan siber dapat sangat merugikan: Anda dapat kehilangan energi, Anda dapat kehilangan rantai pasokan, dan yang terpenting, Anda dapat mengalami kerusakan reputasi. Kita telah melihat apa yang terjadi di Timur Tengah dan masalah yang ditimbulkannya dalam beberapa minggu terakhir.

Jadi bagi saya, perubahan pola pikirnya sangat sederhana: kecepatan dan keamanan bukanlah prioritas yang saling bertentangan. Kita harus bergerak cepat, tetapi kita juga perlu mengingat bahwa kita terus-menerus hidup di dunia yang sangat tidak stabil, dan ketahananlah yang memberi kita izin untuk melakukannya.

Howard, silakan.

Howard Hughes: 

Saya tergoda untuk menyebutkan budaya lagi - saya rasa itu sangat penting bagi saya - tetapi saya akan memilih hal lain: kecepatan yang harus Anda capai. Bayangkan bahwa pelaku ancaman yang disponsori negara dan terorganisir secara kriminal memiliki anggaran tak terbatas. Mereka tidak perlu menghadiri rapat; mereka tidak perlu meminta izin. Mereka menemukan target, mereka memiliki alat dan teknik yang tepat, dan mereka ingin bergerak cepat.

Jadi, ini tentang menemukan mitra seperti LRQA, membawa mitra tersebut ke dalam ekosistem Anda, dan membiarkan LRQA membantu Anda bergerak dengan cepat. Jangan menunggu hingga kuartal berikutnya untuk memasang gateway email baru Anda. Jangan menunggu hingga tahun depan untuk menganggarkan penggantian firewall Anda. Jangan berasumsi bahwa empat pengujian penetrasi setahun adalah hal yang baik - itu adalah hal yang baik di tahun 1990-an. Sekarang Anda harus berpikir, "Saya akan melakukan pengujian besok."

Kami baru saja meluncurkan pengujian penetrasi AI, yang menggunakan agen untuk menguji secara lebih efektif, lebih cepat, dan dengan sedikit atau tanpa pemberitahuan sebelumnya - dengan kata lain, "Saya ingin pengujian besok," daripada memesan pengujian untuk bulan depan. Ini tentang menjelaskan kepada klien kami bahwa ada rasa urgensi dalam hal ini, karena setiap hari Anda menunggu berarti pelaku ancaman melakukan pengintaian di jaringan Anda, menghasilkan malware yang dibuat khusus - berpotensi menjadi kerentanan zero-day yang belum pernah digunakan sebelumnya, yang jika mereka pasang di jaringan Anda, pertahanan Anda tidak akan berhasil menangkalnya.

Jadi bagi saya, ini semua tentang budaya dan kecepatan perubahan.

Josh Flanagan: 

Terima kasih kepada Anda berdua. Dengan demikian, episode hari ini telah berakhir. Terima kasih telah berbagi wawasan Anda dan terima kasih kepada semua yang telah mendengarkan.

Hari ini kita telah membahas bagaimana transisi energi bukan hanya soal kecepatan dan skala, tetapi juga soal ketahanan. Seiring sistem energi menjadi lebih terhubung dan lebih rentan terhadap risiko geopolitik dan siber, organisasi perlu memperlakukan keamanan siber sebagai prioritas utama sejak hari pertama – bukan sebagai pertimbangan tambahan.

Jika Anda ingin mempelajari lebih lanjut tentang bagaimana LRQA mendukung organisasi dalam mengelola risiko di seluruh siklus hidup transisi energi, dan penawaran keamanan siber kami, kunjungi lrqa.com atau hubungi kami.

Terima kasih telah mendengarkan, dan sampai jumpa di episode selanjutnya.