Bab 1: Paradigma Baru Keamanan Air Nasional di Era Siber-Fisik

1.1 Pendahuluan: Redefinisi Kedaulatan Air

Memasuki tahun 2026, diskursus “keamanan air” (water security) telah bergeser dari isu hidrologi menuju pertahanan siber-fisik. Transformasi digital agresif yang dilakukan oleh PDAM demi efisiensi dan penurunan NRW telah menciptakan permukaan serangan baru yang luas. Laporan ini menyajikan evaluasi forensik menyeluruh terhadap insiden dan tren keamanan siber 2024-2025, serta memberikan proyeksi strategis untuk tahun 2026, memposisikan PDAM bukan sekadar penyedia layanan, melainkan simpul kritis pertahanan nasional.

1.2 Konteks Strategis: Warisan Krisis 2024-2025

Tahun 2024-2025 tercatat sebagai periode “Keterbukaan Besar” (The Great Exposure). Serangan ransomware terhadap Pusat Data Nasional Sementara (PDNS) pada Juni 2024 menjadi titik balik yang menelanjangi kelemahan tata kelola data negara. Bagi sektor air, insiden ini menegaskan bahwa integrasi data “Smart City” tanpa strategi pencadangan mandiri (offline backup) adalah risiko fatal. Di kancah global, serangan terhadap PLC Unitronics oleh kelompok yang terafiliasi dengan aktor negara menunjukkan bahwa perangkat keras operasional air kini menjadi target spesifik perang hibrida.

Dalam konteks domestik, implementasi penuh UU Perlindungan Data Pribadi (UU PDP) sejak Oktober 2024 menciptakan tekanan hukum baru bagi direksi BUMD. Manajemen kini harus menyeimbangkan anggaran antara perbaikan pipa bocor dan investasi firewall di tengah ancaman sanksi pidana.

1.3 Metodologi Evaluasi

Analisis ini mensintesis data dari BSSN, dokumen CVE, dan laporan ancaman global, mencakup tiga dimensi:

  1. Dimensi Teknis: Kerentanan lapisan SCADA dan IoT.
  2. Dimensi Regulasi: Dampak UU PDP dan standar IEC 62443.
  3. Dimensi Ancaman: Profil aktor ancaman dari sindikat kriminal hingga aktor negara.

Bab 2: Evaluasi Forensik Insiden 2024-2025

2.1 Pembelajaran dari Ransomware PDNS (Juni 2024)

Serangan varian LockBit 3.0 (Brain Cipher) terhadap PDNS mengajarkan tiga pelajaran brutal bagi PDAM:

  1. Sentralisasi Tanpa Redundansi: Mengandalkan pusat data pemerintah daerah tanpa backup mandiri adalah kesalahan strategis.
  2. Keterbatasan Dukungan Pusat: Saat krisis nasional terjadi, utilitas air daerah bukan prioritas utama pemulihan pusat, menuntut kemandirian respons insiden.
  3. Ancaman Data Pribadi: Enkripsi data pelanggan (NIK, alamat) di PDAM dapat memicu tuntutan hukum masif di bawah UU PDP.

2.2 Serangan Global Sektor Air: Unitronics & Volt Typhoon

Eksploitasi PLC Unitronics (CVE-2024-38434): Kelompok CyberAv3ngers menargetkan PLC Unitronics yang populer di PDAM menengah karena harga terjangkau. Kelemahan pada kata sandi bawaan “1111” dan protokol komunikasi PCOM memungkinkan pengambilalihan kendali penuh atas proses pengolahan air.

Ancaman Persisten Volt Typhoon: Berbeda dengan serangan destruktif, Volt Typhoon melakukan pre-positioning senyap di jaringan infrastruktur kritis menggunakan taktik Living off the Land (menggunakan alat administrasi bawaan sistem). Tujuannya adalah mempertahankan akses jangka panjang untuk potensi sabotase di masa depan.

2.3 Statistik Serangan 2025

Meskipun volume total serangan berfluktuasi, sifat serangan menjadi lebih terarah. Kebangkitan Botnet Mirai yang menargetkan perangkat IoT menjadi ancaman serius bagi PDAM yang mengadopsi Smart Metering secara masif tanpa pengamanan memadai.

Bab 3: Lanskap Ancaman Indonesia 2026

Tahun 2026 menandai evolusi ancaman menuju otomatisasi AI dan motif strategis.

3.1 Ancaman AI-Agen dan Ransomware Otonom

Kita kini menghadapi “Agen AI” (Agentic AI) yang mampu melakukan pengintaian dan eksploitasi celah keamanan secara otonom dalam hitungan menit setelah kerentanan baru diumumkan. Serangan phishing menjadi sangat kontekstual dan meyakinkan (berbahasa Indonesia sempurna), serta ransomware mulai menargetkan rantai pasok (supply chain) vendor SCADA.

3.2 Sabotase Siber-Fisik (Killware)

Ancaman eksistensial bagi sektor air adalah “Killware"—serangan yang bertujuan membahayakan nyawa.

  • Manipulasi Kimia: Mengubah dosis klorin ke tingkat mematikan (seperti kasus Oldsmar).
  • Water Hammering: Memanipulasi katup untuk membuka-tutup cepat guna memecahkan pipa distribusi utama melalui tekanan hidrolik ekstrem.

3.3 Ancaman Orang Dalam & Hacktivism

Tekanan ekonomi meningkatkan risiko karyawan menjual data pelanggan atau melakukan sabotase. Di sisi lain, situs web PDAM tetap menjadi sasaran defacement bermuatan politis dan penyebaran disinformasi krisis air yang dapat memicu kepanikan publik.

Bab 4: Profil Kerentanan Struktural PDAM

4.1 Dilema Otonomi & Disparitas

Desentralisasi menciptakan kesenjangan keamanan ekstrem. PDAM kecil beroperasi tanpa staf keamanan siber, sementara anggaran selalu memprioritaskan perbaikan fisik daripada digital. Keamanan siber sering dianggap sunk cost hingga insiden terjadi.

4.2 Perangkap Konvergensi IT/OT

  • Sistem Warisan: Sistem SCADA berbasis Windows XP/7 yang usang kini dipaksa terkoneksi ke jaringan korporat demi dashboard manajemen, menghilangkan “air gap” pelindung.
  • Shadow OT: Pemasangan sensor IoT liar oleh tim operasional tanpa sepengetahuan tim IT menciptakan backdoor tak terawasi.
  • Jaringan Datar: Ketiadaan segmentasi jaringan memungkinkan malware dari laptop admin HRD menyebar bebas hingga ke server kontrol pompa.

4.3 Ketergantungan Vendor

Praktik akses jarak jauh vendor yang tidak aman (TeamViewer dengan password statis yang dibagikan) menjadi vektor serangan utama yang sering diabaikan.

Bab 5: Kerangka Regulasi & Tekanan Kepatuhan

5.1 Implementasi UU PDP: Risiko Hukum Direksi

UU No. 27 Tahun 2022 (PDP) membawa konsekuensi nyata:

  • Denda: Hingga 2% dari pendapatan tahunan (bukan laba) dapat membuat PDAM bangkrut secara teknis.
  • Pidana: Direksi dapat dituntut pidana atau digugat perdata (fiduciary duty) jika terbukti lalai menyediakan pengamanan data yang layak.

5.2 Peran Lembaga Pengawas & BSSN

Lembaga Pengawas PDP diprediksi akan agresif mencari kasus preseden pada 2026, menjadikan BUMD target ideal. Sementara itu, regulasi BSSN mewajibkan sektor Infrastruktur Informasi Vital (IIV) memiliki CSIRT dan Rencana Kontinjensi yang teruji, bukan sekadar dokumen di atas kertas.

Bab 6: Transformasi Teknologi & Strategi Pertahanan

6.1 Adopsi Standar IEC 62443

Adopsi standar global ini harus fokus pada konsep Zona dan Saluran. Jaringan IT dan OT harus dipisahkan oleh DMZ Industrial. Aset kritis (pompa, klorinasi) harus ditempatkan pada level keamanan tertinggi (SL-3/SL-4).

6.2 AI untuk Pertahanan & Digital Twins

  • Deteksi Anomali AI: Menggunakan Deep Learning untuk mempelajari pola operasi normal, sehingga dapat membedakan manuver pompa sah vs serangan peretas.
  • Digital Twins: Simulasi serangan siber pada kembaran digital sistem distribusi untuk menguji respons prosedur darurat tanpa risiko operasional.

6.3 Visibilitas Aset

Menggunakan alat passive monitoring untuk menginventarisasi aset OT secara otomatis dan menerapkan strategi “Penambalan Berbasis Risiko” (memperbaiki celah paling kritis saja) untuk menghindari downtime berlebih.

Bab 7: Rekomendasi Strategis & Peta Jalan

7.1 Rekomendasi Kebijakan

  1. CSIRT Sektor Air: Pembentukan tim respons insiden sektoral terpusat oleh Kementerian PUPR/PERPAMSI.
  2. Mandatori Anggaran: Regulasi Kemendagri yang mewajibkan alokasi khusus (5-8% Capex) untuk keamanan siber.
  3. Sertifikasi Direksi: Kompetensi manajemen risiko digital sebagai syarat uji kepatutan Direksi PDAM.

7.2 Peta Jalan Teknis (2026-2028)

  • Fase 1 (Dasar): Inventarisasi aset otomatis, segmentasi jaringan dasar (IT/OT separation), MFA untuk akses jarak jauh.
  • Fase 2 (Menengah): Deteksi anomali AI, Offline Disaster Recovery Site, audit IEC 62443.
  • Fase 3 (Maju): Arsitektur Zero Trust, integrasi Digital Twins, pertukaran intelijen ancaman nasional.

Kesimpulan

Sektor air Indonesia menghadapi kerentanan asimetris: ancaman tumbuh eksponensial, pertahanan tumbuh linear. Namun, dengan memanfaatkan momentum UU PDP dan teknologi AI, serta perubahan mindset bahwa keamanan siber adalah tanggung jawab Direksi, kedaulatan air digital dapat dicapai.

Daftar Pustaka

  1. Universitas Islam Indonesia. (2024). Analisis Dampak Kebocoran Data Pusat Data Nasional Sementara 2 (PDNS 2) Surabaya. journal.uii.ac.id
  2. Jurnal Desentralisasi. (2024). Analisis Kebijakan Keamanan Siber di Indonesia: Studi Kasus Kebocoran Data Nasional. ejournal.appihi.or.id
  3. Elisity. (n.d.). EPA Unveils Critical Cybersecurity Planning Tools to Protect Water Systems. elisity.com
  4. WaterISAC. (n.d.). ICS/OT/SCADA Vulnerability Awareness – Unitronics Vision Series PLCs. waterisac.org
  5. ITGID. (n.d.). Sanksi UU PDP: Analisis Risiko & Mitigasi Denda Maksimal. itgid.org
  6. Detik Sulsel. (2025). PDAM Makassar Perbaiki Pipa Bocor di Jl Beringin. detik.com
  7. DPR RI. (2024). Weak Security of the Temporary National Data Center Against Cyber-Attack. berkas.dpr.go.id
  8. Wisdiam. (n.d.). 11 Recent Cyber Attacks on the Water and Wastewater Sector. wisdiam.com
  9. University of Hawaii. (n.d.). CyberAv3ngers Compromise Unitronics PLCs. westoahu.hawaii.edu
  10. Claroty. (n.d.). From Exploits to Forensics: Unraveling the Unitronics Attack. claroty.com
  11. Congress.gov. (n.d.). China's Ambitions to Hold at Risk US and Allied Critical Infrastructure. congress.gov
  12. Department of Defense. (2025). Annual Report to Congress: Military and Security Developments Involving the PRC. media.defense.gov
  13. NJCCIC. (n.d.). Volt Typhoon: China-Linked Cyber Operations Targeting Critical Infrastructure. cyber.nj.gov
  14. Cloud Computing Indonesia. (2025). Ancaman Digital 2025: 133,4 Juta Serangan Siber Terjadi di RI. event.cloudcomputing.id
  15. Liputan6. (2025). 133 Juta Serangan Siber Hantam Indonesia di 2025, Mirai Botnet Jadi Ancaman Baru. liputan6.com
  16. BPIP-CSIRT. (2025). Ancaman Siber 2025: Indonesia Harus Waspada AI Agentik. csirt.bpip.go.id
  17. CyberHub Indonesia. (2025). Prediksi Ancaman Siber AI di Tahun 2025 untuk Organisasi. cyberhub.id
  18. Proxsis IT. (n.d.). 6 Serangan Siber per Detik: Begini Cara Proteksi Bisnismu. it.proxsisgroup.com
  19. Asimily. (2025). Top Utilities Cyberattacks of 2025 and Their Devastating Impact. asimily.com
  20. Darktrace. (n.d.). Cybersecurity for Water Treatment Systems | Challenges & Solutions. darktrace.com
  21. DKIS Kota Cirebon. (2022). UU PDP Nomor 27 Tahun 2022: Hak Masyarakat dan Urgensi Mencegah Kebocoran Data. dkis.cirebonkota.go.id
  22. Cyber Press. (n.d.). Another Indonesian Government Website Falls Victim to Hackers. cyberpress.org
  23. Fulcrum. (n.d.). Indonesia's National Data Centre Ransomware Attack: A Digital Governance Failure?. fulcrum.sg
  24. Claroty. (n.d.). Claroty Releases New AI-Powered CPS Library. claroty.com
  25. Darktrace. (n.d.). Proactive OT Security: Lessons on Supply Chain Risk Management. darktrace.com
  26. BP Lawyers. (2025). Data Pribadi Konsumen Bocor? Siap-Siap Lembaga PDP Berikan Sanksi. bplawyers.co.id
  27. CNN Indonesia. (2022). RUU PDP Final: Bjorka Bisa Kena Denda Rp5 Miliar. cnnindonesia.com
  28. CNBC Indonesia. (2025). Badan Pengawas Data Bocor Belum Berdiri, Warga RI Rasakan Dampaknya. cnbcindonesia.com
  29. Universitas Jambi. (n.d.). Tanggung Jawab dan Perlindungan Hukum Direksi dalam Pengurusan PT. ujh.unja.ac.id
  30. Neliti. (n.d.). Tanggung Gugat Direksi BUMD atas Keputusan yang Merugikan Keuangan BUMD. media.neliti.com
  31. Nenggala Alugoro. (2025). Tanggung Jawab Perdata atas Kebocoran Data Pribadi. nenggalaalugoro.org
  32. CNBC Indonesia. (2025). Tak Ada Wasit Data, Begini Nasib Data Pribadi Warga RI. cnbcindonesia.com
  33. Tempo.co. (n.d.). Lembaga Perlindungan Data Pribadi Belum Dibentuk, Elsam Soroti Risiko. tempo.co
  34. SSEK Law Firm. (n.d.). Fortifying Indonesia's Cyber Defenses: New Regulations for National Security. ssek.com
  35. Nozomi Networks. (n.d.). Building Cyber-Resilient OT Systems — IEC 62443 in Practice. nozominetworks.com
  36. ISA Global Cybersecurity Alliance. (n.d.). ISAGCA Homepage. isagca.org
  37. MDPI Water. (n.d.). Research on Anomaly Detection in Wastewater Treatment Systems Based on VAE-LSTM. mdpi.com
  38. International Journal of Science and Research Archive. (2025). The Usage of AI-Based Anomaly Detection in SCADA Systems. journalijsra.com
  39. Claroty. (n.d.). Secure Your Cyber-Physical Systems Across the XIoT. claroty.com
  40. Darktrace. (n.d.). Customer Story: South Coast Water District. darktrace.com
  41. Idrica. (2025). Water Technology Trends 2025. idrica.com
  42. Claroty. (n.d.). Dynamic Discovery for Healthcare. claroty.com
  43. Dragos. (2025). SANS State of OT Security 2025: What the Data Tells Us. dragos.com
Audit Keamanan Siber Utilitas Air?
Diskusikan asesmen risiko dan strategi pertahanan siber untuk infrastruktur kritis Anda.
🔐 Hubungi Saya