Jakarta, InfoPublik - Ditjen Perhubungan Udara Kementerian Perhubungan (Kemenhub) menggunakan pendekatan aviation cyber security untuk menangkal serangan siber (cyber attack) di penerbangan nasional.

Dirjen Perhubungan Udara Agus Santoso mengemukakan, pemanfaatan Teknologi Informasi dan Komunikasi (TIK) berupa internet (siber) di zaman sekarang sudah menjadi keharusan di berbagai bidang,  termasuk penerbangan. 

"Semua hal dalam penerbangan seperti bisnis penerbangan, operasional, ground service, Communication-Navigation dan Surveillance (CNS), infrastruktur bandara, manajemen lalu lintas udara (Air Traffic Management /ATM), hingga rantai pasokan (supply chain) sekarang sudah menggunakan sistem cyber," ungkapnya, dalam keterangan di Jakarta, Rabu, (16/5).

Lebih lanjut diungkapkan, penggunaan TIK ini selain dapat meningkatkan konektivitas sehingga menghasilkan banyak manfaat seperti peningkatan keamanan, peningkatan efisiensi dan mengurangi biaya, juga terdapat kerentanan dan peluang sistem untuk dieksploitasi yang disebut cyber attack akibat konektivitasnya yang besar.

Contoh cyber attack, lanjut Agus, bisa terjadi di sistem reservasi tiket maskapai, sistem TIK bandara, dan sebagainya yang sangat merugikan bahkan bisa membahayakan. Untuk itulah diperlukan cyber security dalam penerbangan sehingga cyber attack bisa ditangkal sedini mungkin, dan bisa diperbaiki dengan cepat untuk melindungi aset-aset utama dan menanggapi insiden siber dengan efektif.

"Kami juga mempromosikan perubahan budaya, meningkatkan kesadaran dan meningkatkan kemampuan di bidang siber. Selain itu kami juga bekerja sama dengan instansi lain terkait siber ini," ujarnya.

Menurut Agus, terkait siber ini sudah ada dalam aturan keamanan penerbangan global dan diturunkan dalam aturan nasional. Aturan globalnya mengacu pada annex 17 dari Organisasi Penerbangan Sipil Internasional (ICAO). Aturan global tersebut kemudian diturunkan dalam beberapa pasal pada Peraturan Menteri Perhubungan No. PM 80/2017 tentang Program Keamanan Penerbangan Nasional (PKPN).

"Dalam aturan itu disebutkan, penyelenggara bandar udara, maskapai nasional dan asing, AirNav dan badan hukum yang mendapat pendelegasian harus membuat langkah-langkah untuk melindungi kerahasiaan, keutuhan dan ketersediaan sistem teknologi informasi dan komunikasi serta data yang bersifat rawan terkait penerbangan dari cyber attack yang dapat membahayakan keselamatan penerbangan. Langkah-langkah perlindungan tersebut harus dibuat paling lambat 6 bulan sejak peraturan ini berlaku pada 8 September 2017," kata Agus. 

Airport, airline, AirNav Indonesia dan badan hukum yang mendapat pendelegasian tersebut harus membentuk unit cyber security untuk melaksanakan langkah-langkah mitigasi. 

"Mereka juga harus melaporkan kepada Dirjen Perhubungan Udara jika terjadi cyber attack dan membuat prosedur penanganannya. Langkah-langkah perlindungan dan mitigasi terhadap sistem dan data TIK serta prosedur penanganan cyber attack harus dimuat dalam program keamanan dan atau prosedur keamanan," ujarnya.

Langkah-langkah perlindungan sistem dilakukan dengan cara perlindungan administratif, Pengendalian virtual and logical, juga pengendalian fisik. Untuk administratif dilakukan dengan membuat desain keamanan TIK, membuat prosedur keamanan TIK, seleksi dan background check karyawan yang menangani TIK, pelatihan cyber security awareness, risk assessment terhadap sistem TIK, pengawasan (quality control) terhadap  implementasi TIK, serta melakukan langkah keamanan sistem rantai pasok TIK.

Untuk pengendalian virtual & logical dilakukan dengan pengamanan jaringan internal - eksternal (nextgen firewall, control akses network, backup dll), network intusion detection systems, penerapan anti-virus, anti botnet dan anti malware di dalam perangkat TIK, review dan pembaharuan terhadap software/ sistem TIK, menguji efektifitas TIK melalui simulasi serangan siber, pengamanan terhadap penggunaan akun privilege TIK serta pencegahan dan implementasi strategi potensi kebocoran data/ informasi.

Sedangkan untuk pengendalian fisik, di antaranya dengan perlindungan fasilitas hardware dan server, sistem kewenangan pada akses masuk (biometric, finger  print), membatasi jumlah orang yang diberi izin masuk, mempersyaratkan penerbitan izin masuk disetujui oleh lebih dari 1 orang, sistem pengawasan terus menerus dengan CCTV, memiliki sistim TIK dan back up system, membuat buku catatan kegiatan (logbook) serta membuat sistem peringatan (alert system).