AVIATION CYBER SECURITY

AVIATION CYBER SECURITY

REGULASI INTERNATIONAL – CYBER SECURITY

ICAO Annex 17

4.9.1 Recommendation.— Each Contracting State should, in accordance withthe risk assessment carried out by its relevant national authorities, ensure thatappropriate measures are developed in order to protect the confidentiality,integrity and availability of critical information and communications technologysystems and data used for civil aviation purposes from interference that mayjeopardize the safety of civil aviation.

AVIATION CYBER SECURITY

REGULASI INTERNATIONAL – CYBER SECURITY

ICAO Annex 17

4.9.2 Recommendation.— Each Contracting State should encourage entitiesinvolved with or responsible for the implementation of various aspects of thenational civil aviation security programme to identify their critical informationand communications technology systems and data, including threats andvulnerabilities thereto, and to develop and implement protective measures toinclude, inter alia, security by design, supply chain security, network separation,and remote access control, as appropriate

AVIATION CYBER SECURITY

REGULASI NASIONAL - CYBER SECURITY PM 80 TAHUN 2017

Pasal 3 - (10) menyatakan bahwa :

“Unit Penyelenggara Bandar Udara, Badan Usaha Bandar Udara, Badan Usaha Angkutan Udara, Perusahaan Angkutan Udara Asing, Penyelenggara PelayananNavigasi Penerbangan, dan Badan Hukum Yang Mendapat Pendelegasian harusmembuat langkah-langkah untuk melindungi kerahasiaan, keutuhan danketersediaan sistem teknologi informasi dan komunikasi serta data yang bersifat rawan terkait penerbangan dari serangan siber (cyber attack) yang dapat membahayakan keselamatan penerbangan paling lambat 6 (enam) bulan sejak Peraturan ini berlaku.”

AVIATION CYBER SECURITY

PM 80 Tahun 2017 Lampiran I – butir 5.11.2 menyebutkan Sistem dan data TeknologiInformasi Komunikasi yang dimaksud antara lain :

1. sistem Air Traffic Managemen t (air traffic management systems)

2. flight management system aircraft on board ;

3. communication, navigation and surveillance systems;

4. aircraft operator reservation and passenger check- in systems;

5. screening systems and/or explosive detection systems, configuration;

6. access con trol and alarm monitoring systems,

7. passenger and baggage reconciliation systems;

8. departure control system;

9. closed -circuit television surveillance systems;

10. security command, control and dispatch systems; dan

11. sistem data base regulated agent dan known consignor.

AVIATION CYBER SECURITY

Contoh Serangan Cyber di Penerbangan

British Airways 27 Mei 2017

AVIATION CYBER SECURITY

Contoh Serangan Cyber di Penerbangan

AVIATION CYBER SECURITY

Contoh Serangan Cyber di Indonesia

Situs Tekomsel 28 April 2017 Situs Indosat 29 April 2017

Tiket.com Maret 2017 Situs Airnav 25 Juli 2017

Pas Masuk Pesawat Udara Elektonik (e-boarding pass)

PM 80 Tahun 2017• Dokumen angkutan udara

dapat berupa cetak atauelektronik

• Dokumen angkutan udaradalam bentuk elektronikhanya boleh untuk calonpenumpang yang telahterdaftar (register) sebagaianggota pelangganBUAU/PAUA

• Validasi keabsahan pas masukpesawat udara elektronik (e-boarding PAS) denganmenggunakan peralatanpemeriksa pas masukpesawat udara elektronik (e-boarding PAS scanner) padasaat akan masuk (boarding) ke pesawat udara

AVIATION CYBER SECURITY

PENDEKATAN AVIATION CYBER SECURITY

1. Memahami ancaman cyber dan kerentanan untuk sektor penerbangan (risk assessment)

2. Mengurangi risiko cyber dan mengambil tindakan yang tepat untuk melindungi aset-aset utama (risk mitigation)

3. Menanggapi insiden cyber dengan efektif (incident management)

4. Mempromosikan perubahan budaya, meningkatkan kesadaran dan meningkatkan kemampuan dibidang cyber (cyber aware culture)

5. Bekerjasama dengan instansi lain terkait cyber

AVIATION CYBER SECURITY

LANGKAH-LANGKAH

PERLINDUNGAN SISTEM

PENGENDALIANADMINISTRATIF

PENGENDALIAN VIRTUAL &

LOGICAL

PENGENDALIANFISIK

AVIATION CYBER SECURITY

LANGKAH-LANGKAH PERLINDUNGAN SISTEM

ADMINISTRATIF

• Membuat Desain keamanan TIK• Membuat Prosedur keamanan TIK• Seleksi & background check karyawan yg menangani

TIK• Pelatihan Cyber Security Awareness• Risk assessment terhadap sistem TIK• Pengawasan (quality control) terhadap implementasi

TIK• Melakukan langkah keamanan sisten rantai pasok TIK

AVIATION CYBER SECURITY

LANGKAH-LANGKAH PERLINDUNGAN SISTEM

VIRTUAL dan

LOGICAL

• Pengamanan jaringan internal & eksternal (NextGenFirewall, control akses network, backup dll)

• Network intusion detection systems• Penerapan anti-virus, anti botnet dan anti malware

didalam perangkat TIK; • Review & pembaharuan terhadap software/sistem TIK• Menguji efektifitas TIK melalui simulasi serangan siber• pengamanan terhadap penggunaan akun privilege TIK• Pencegahan & implementasi strategi potensi kebocoran

data/informasi

AVIATION CYBER SECURITY

LANGKAH-LANGKAH PERLINDUNGAN SISTEM

F I S I K

• Perlindungan fasilitas hardware & server• sistem kewenangan pada akses masuk (biometric, finger

print )• membatasi jumlah orang yang diberi izin masuk• Mempersyaratkan penerbitan izin masuk disetujui oleh

lebih dari 1 orang• sistem pengawasan terus menerus dengan CCTV• Memiliki sistim TIK dan back up system• membuat buku catatan kegiatan (logbook) • membuat sistem peringatan (alert system )

AVIATION CYBER SECURITY

• Airport, Airline, AirNav Indonesia, Badan Hukum yang melakukan kegiatanusaha di airport dan badan hukum yang mendapat pendelegasian harus : a. membuat penilaian kerawanan (vulnerability assessment) pada sistem

dan data TIK b. Menetapkan langkah mitigasi kemungkinan terjadinya cyber attack

• vulnerability assessment dapat memberikan informasi tentang :a. mengetahui kerentanan yang terdapat di lingkungan TIKb. mengetahui sumber daya Teknologi Informasi yang paling rentan

kerawanannya berdasarkan konfigurasi perangkatc. mengetahui vulnerability mana saja yang rentan terhadap kemungkinan

exploitasi

AVIATION CYBER SECURITY

• Airport, Airline, AirNav Indonesia dan badan hukum yang mendapatpendelegasian harus membentuk unit cyber security untuk melaksanakanlangkah-langkah mitigasi.

• Airport, Airline, AirNav Indonesia, Badan Hukum yang melakukan kegiatanusaha di airport dan badan hukum yang mendapat pendelegasian harus : a. Melaporkan kepada Dirjen Hubud jika terjadi cyber attackb. Membuat prosedur penanganan cyber attack

• Langkah-langkah perlindungan dan mitigasi terhadap sistem dan data TIK dan prosedur penanganan cyber attack harus dimuat dalam program keamanan dan / atau prosedur keamanan.

AVIATION CYBER SECURITY

RENCANA TINDAK LANJUT CYBER SECURITY

Sosialisasi PM 80 Tahun 2015 terkait Perlindungan Sistem TIK

Koordinasi dengan Kementerian Infomasi dan Komunikasi (KOMINFO)

Focus Group Discussion Aviation Cyber Security

Koordinasi dengan Badan Siber dan Sandi Negara (BSSN)

Pembuatan Renstra Keamanan Siber Sektor Transportasi Udara selama 5 Tahun

Menyusun petunjuk pelaksanaan (Juklak) perlindungan cyber security

Melakukan Penetration Test terhadap pengoperasian sistem TIK

TERIMA KASIH