Mengamankan AI di Jaringan Energi: Pelajaran dari CISA 2.0

AI untuk Sektor Energi Indonesia: Transisi Berkelanjutanโ€ขโ€ขBy 3L3C

CISA CPG 2.0 memberi pelajaran penting untuk mengamankan AI, smart grid, dan infrastruktur energi Indonesia agar transisi energi berjalan aman dan andal.

keamanan siber energiAI untuk energismart grid Indonesiainfrastruktur kritikaltata kelola keamananzero trusttransisi energi
Share:

Featured image for Mengamankan AI di Jaringan Energi: Pelajaran dari CISA 2.0

Mengapa Standar Siber Penting untuk Transisi Energi Berbasis AI

Serangan siber ke infrastruktur energi global meningkat tiap tahun, sementara jaringan listrik makin penuh sensor, IoT, dan sistem AI untuk optimasi beban dan integrasi energi terbarukan. Kombinasi ini berbahaya: sistem makin pintar, tapi juga makin rentan.

Di Indonesia, 2025 jadi titik kritis. PLN, pengelola IPP, operator PLTS skala utilitas, sampai pengelola microgrid di kawasan industri mulai serius menerapkan AI untuk prediksi beban, smart metering, dan manajemen jaringan. Kalau sisi keamanannya tertinggal, manfaat AI bisa berubah jadi risiko sistemik.

Di sisi lain, di Amerika Serikat, CISA (Cybersecurity and Infrastructure Security Agency) baru saja merilis Cross-Sector Cybersecurity Performance Goals (CPG) versi 2.0 untuk melindungi infrastruktur kritikal, termasuk sektor energi. Dokumen ini bukan sekadar panduan teknis; ini benchmark yang cukup matang dan relevan untuk jadi inspirasi kerangka keamanan siber energi di Indonesia.

Artikel ini membahas apa inti pembaruan CISA CPG 2.0, lalu menerjemahkannya ke konteks Indonesia: bagaimana mengamankan AI, smart grid, dan infrastruktur energi Indonesia yang makin digital.

Apa yang Diubah CISA di CPG 2.0 โ€“ Dalam Bahasa Sederhana

Secara praktis, CISA melakukan empat hal besar di versi 2.0:

  1. Menambah kategori baru: โ€œGovernโ€ (Tata Kelola)
  2. Menggabungkan sasaran IT dan OT agar lebih menyatu
  3. Menambah fokus pada supply chain, zero trust, dan komunikasi insiden
  4. Memperjelas level biaya, dampak, dan tingkat kesulitan tiap sasaran

1. Kategori "Govern": Cybersecurity Bukan Urusan Tim IT Saja

CISA menyisipkan kategori sasaran baru: Govern. Intinya jelas: kalau direksi dan manajemen puncak tidak pegang kendali, cybersecurity tidak akan pernah matang.

Dalam konteks perusahaan energi dan utilitas, kategori Govern biasanya mencakup:

  • Penetapan struktur tata kelola keamanan siber yang jelas (siapa pemilik risiko di level bisnis, bukan hanya di level teknis)
  • Penyelarasan strategi keamanan siber dengan strategi bisnis dan transisi energi
  • Pelaporan berkala ke manajemen puncak tentang posture risiko, insiden, dan prioritas investasi
  • Kebijakan manajemen risiko pihak ketiga (vendor, integrator, penyedia AI, dan cloud)

Bagi perusahaan energi Indonesia, ini berarti:

Kalau AI untuk optimasi energi sekarang dianggap proyek inovasi, keamanan siber harus jadi prasyarat bisnis, bukan checklist IT di akhir proyek.

2. IT dan OT Digabung: Jaringan Kantor & Pembangkit Tidak Bisa Dipisah Lagi

CISA juga menggabungkan sasaran IT dan OT. Dulu banyak organisasi memisahkan:

  • IT: email, ERP, billing, data analytics, aplikasi bisnis
  • OT: SCADA, DCS, RTU, PLC, sistem proteksi jaringan, BESS controller, dan seterusnya

Masalahnya, di era smart grid dan AI:

  • Data dari OT dikirim ke data platform untuk dianalisis AI
  • Perintah optimasi dari AI dikirim balik ke peralatan OT (misalnya mengatur output PLTS, menggeser beban, atau mengendalikan baterai)

CISA menegaskan: risiko harus dilihat ujung ke ujung, bukan lagi silo IT vs OT. Ini sangat relevan buat:

  • PLTS dan PLTB skala utilitas dengan remote monitoring dan AI-based forecasting
  • Sistem smart metering yang terhubung ke sistem penagihan dan aplikasi pelanggan
  • Pusat kontrol jaringan yang memakai AI untuk optimasi dispatch dan manajemen beban

3. Fokus Baru: Supply Chain, Zero Trust, dan Komunikasi Insiden

Versi 2.0 juga menambah sasaran di tiga area yang sekarang jadi sumber risiko besar:

a. Supply chain

Article image 2

Banyak serangan masuk lewat vendor: software pihak ketiga, perangkat IoT murah, sistem remote access kontraktor. CISA mendorong organisasi:

  • Menerapkan kontrol keamanan untuk vendor (persyaratan minimum, audit, kontrak)
  • Mengelola SBOM (software bill of materials) untuk tahu komponen apa saja di software penting
  • Mengurangi ketergantungan pada satu vendor tanpa kontrol yang jelas

Untuk Indonesia, ini menyentuh langsung proyek energi yang:

  • Menggunakan platform AI impor untuk forecasting dan optimasi energi
  • Beli smart meter, inverter, dan RTU dari berbagai produsen luar negeri

Kalau supply chain tidak diaudit, kita mengundang backdoor dan kerentanan yang sulit dideteksi.

b. Zero trust

Konsepnya sederhana: jangan percaya siapa pun secara otomatis, baik di dalam maupun luar jaringan. CISA mendorong:

  • Autentikasi kuat (MFA) untuk semua akses kritikal
  • Segmentasi jaringan ketat (akses minimum sesuai peran)
  • Monitoring kontinyu terhadap perilaku yang tidak wajar

Ini penting untuk sistem AI di sektor energi:

  • Model AI yang mengontrol jaringan tidak boleh bisa diakses sembarang staf
  • Data sensitif (misal data konsumsi pelanggan dari smart meter) harus diperlakukan sebagai aset bernilai tinggi

c. Komunikasi insiden

Banyak organisasi gagap komunikasi saat insiden: siapa yang menghubungi siapa, kapan, dan dengan pesan apa. CISA memasukkan:

  • Rencana komunikasi insiden yang teruji (internal dan eksternal)
  • Integrasi dengan regulator, lembaga pemerintah, dan mitra industri

Di sektor energi, komunikasi yang kacau saat insiden bisa memperpanjang pemadaman dan menghancurkan kepercayaan publik.

4. Sasaran Lebih Praktis: Biaya, Dampak, dan Tingkat Kesulitan

Dalam CPG 2.0, tiap sasaran bukan hanya "lakukan X", tapi juga diberi konteks:

  • Perkiraan biaya (rendah, sedang, tinggi)
  • Dampak ke penurunan risiko
  • Tingkat kesulitan implementasi

Bagi perusahaan energi yang sedang menghitung ROI proyek AI dan keamanan, pendekatan seperti ini sangat membantu menyusun prioritas: mana kontrol keamanan yang murah tapi berdampak besar.

Relevansi CISA CPG 2.0 untuk Sektor Energi Indonesia

Untuk Indonesia, CPG 2.0 bukan aturan wajib. Tapi sebagai kerangka acuan, ia sangat berguna untuk menghindari trial-and-error yang mahal.

1. Smart Grid dan Smart Metering Butuh Benchmark yang Jelas

PLN dan swasta mulai mendorong:

  • Advanced Metering Infrastructure (AMI) dan smart meter
  • SCADA yang terhubung ke cloud
  • AI untuk prediksi beban dan losses

Tanpa benchmark yang jelas, implementasi sering:

Article image 3

  • Fokus ke fungsi (baca meter, kirim data, optimasi beban)
  • Mengabaikan desain keamanan sejak awal

CISA CPG bisa dipakai sebagai checklist awal:

  • Apakah desain AMI sudah mempertimbangkan zero trust?
  • Apakah akses remote vendor ke meter dan concentrator sudah diaudit?
  • Apakah data pelanggan diproteksi sesuai sensitivitasnya?

2. Integrasi Energi Terbarukan dan Baterai: Target Empuk Serangan

Studi di berbagai negara menunjukkan sistem BESS (Battery Energy Storage System) skala grid makin sering jadi target serangan, terutama karena:

  • Firmware dan software-nya jarang di-patch
  • Akses remote vendor kurang dikontrol
  • Terhubung langsung ke jaringan transmisi/distribusi

Indonesia mulai melihat proyek BESS besar untuk mendukung integrasi PLTS/PLTB di beberapa wilayah. Mengadopsi prinsip CPG 2.0 berarti:

  • Menilai risiko supply chain tiap vendor BESS dan inverter
  • Memastikan otentikasi kuat dan segmentasi jaringan antara BESS controller, SCADA, dan sistem lain
  • Menyusun prosedur respons insiden spesifik untuk BESS (misal skenario manipulasi setpoint, overcharge, atau pemadaman paksa)

3. AI untuk Prediksi Beban dan Dispatch: Dari Manfaat Jadi Risiko

AI kini digunakan untuk:

  • Memprediksi beban harian dan musiman
  • Mengoptimalkan dispatch PLTU, PLTG, PLTS, PLTB, dan BESS
  • Mengidentifikasi potensi gangguan jaringan secara dini

Masalahnya, AI adalah target baru:

  • Data pelatihan bisa dimanipulasi (data poisoning)
  • Model bisa dieksfiltrasi atau dimodifikasi
  • Output model bisa dipengaruhi lewat input yang sengaja disusun (adversarial input)

Dengan pendekatan CPG 2.0, organisasi bisa mulai dengan prinsip:

  • Perlakukan model AI sebagai aset kritikal, bukan hanya file teknis
  • Terapkan kontrol akses ketat dan audit logging untuk pipeline data dan model
  • Integrasikan AI ke dalam kerangka tata kelola siber (Govern), termasuk pelaporan risiko ke manajemen puncak

Langkah Praktis: Menerjemahkan CPG 2.0 ke Aksi untuk Perusahaan Energi

Berikut cara praktis mengadaptasi semangat CPG 2.0 ke konteks Indonesia, khususnya bagi perusahaan energi dan utilitas yang sedang mengadopsi AI dan smart grid.

1. Mulai dari Tata Kelola: Bentuk Dewan atau Komite Keamanan Siber Energi

Susun struktur tata kelola yang jelas:

  • Tunjuk pemilik risiko untuk sistem kritikal (SCADA, AMI, BESS, platform AI)
  • Buat komite lintas fungsi (operasi, IT, OT, keamanan, legal, bisnis) yang rutin meninjau risiko
  • Masukkan indikator risiko siber ke laporan manajemen dan komisaris, bukan hanya indikator keuangan dan operasional

Tanpa ini, proyek AI energi akan berjalan tanpa rem pengaman.

2. Lakukan "Mini CPG Assessment" Internal

Ambil konsep dari CPG 2.0 dan buat asesmen internal sederhana:

  1. Daftar sistem kritikal: pembangkit, gardu induk, SCADA, AMI, BESS, platform AI
  2. Untuk tiap sistem, nilai:
    • Seberapa penting sistem itu terhadap keandalan layanan dan keselamatan publik
    • Kontrol keamanan apa saja yang sudah ada (akses, monitoring, backup, respons insiden)
    • Celah terbesar yang paling berisiko
  3. Beri label tiap kontrol:
    • Biaya: rendah/sedang/tinggi
    • Dampak ke risiko: rendah/sedang/tinggi
    • Kesulitan: mudah/sedang/sulit

Article image 4

Hasilnya bisa dipakai untuk prioritisasi investasi 2026โ€“2028, terutama untuk proyek yang memanfaatkan AI.

3. Perkuat Manajemen Vendor dan Supply Chain Teknologi Energi

Beberapa langkah yang realistis:

  • Tambahkan klausa keamanan siber di semua kontrak vendor (khususnya untuk smart meter, inverter, RTU, BESS, dan software AI)
  • Wajibkan laporan kerentanan dan patch rutin dari vendor
  • Untuk solusi AI, minta penjelasan tentang:
    • Bagaimana data disimpan dan diproteksi
    • Di mana model AI di-host
    • Siapa saja yang punya akses administrasi

Ini mungkin terasa birokratis, tapi jauh lebih murah daripada insiden besar yang menghentikan operasi atau merusak reputasi.

4. Terapkan Prinsip Zero Trust di Sistem Kritis Energi

Tidak perlu langsung sempurna. Fokus dulu ke area yang dampaknya paling besar:

  • Aktifkan MFA untuk semua akses ke VPN, SCADA remote, dan console cloud
  • Segmentasi jaringan: pisahkan jaringan kantor, jaringan OT, dan jaringan eksperimen AI
  • Batasi akses berdasarkan peran, bukan berdasarkan lokasi atau jabatan

Tujuannya sederhana: satu akun bocor tidak boleh menjatuhkan seluruh jaringan.

5. Latih dan Uji Respons Insiden โ€“ Termasuk Skenario AI & Smart Grid

Banyak rencana respons insiden masih fokus ke:

  • Ransomware di email kantor
  • Kebocoran data pelanggan

Sekarang perlu ditambah skenario spesifik energi:

  • Manipulasi sinyal kontrol ke BESS atau PLTS
  • Output AI yang tiba-tiba menyimpang karena data dimanipulasi
  • Gangguan masif ke smart meter yang memengaruhi penagihan dan kepercayaan publik

Latihan tabletop 1โ€“2 kali setahun dengan melibatkan manajemen puncak jauh lebih berharga daripada dokumen tebal yang tidak pernah dibaca.

Menempatkan Cybersecurity sebagai Fondasi AI Energi Indonesia

Transisi energi Indonesia tidak hanya soal menambah PLTS, PLTB, atau baterai. Transisi ini sangat bergantung pada kecerdasan sistem: prediksi, otomatisasi, dan optimasi berbasis AI.

Ini artinya, keamanan siber bukan tambahan opsional, tapi fondasi. Tanpa itu, AI di sektor energi bisa menjadi titik lemah yang diserang, bukan keunggulan yang dibanggakan.

CISA CPG 2.0 menunjukkan satu hal penting:

Negara dan operator besar sudah bergerak ke arah kerangka keamanan yang lebih terpadu, berbasis tata kelola, dan realistis terhadap risiko baru seperti AI dan supply chain.

Indonesia tidak perlu menyalin mentah-mentah. Tapi menjadikan CPG 2.0 sebagai referensi untuk menyusun kerangka keamanan AI di sektor energi adalah langkah yang sangat rasional.

Bila Anda sedang:

  • Merancang proyek smart grid
  • Mengembangkan platform AI untuk prediksi beban atau integrasi energi terbarukan
  • Menyusun roadmap digitalisasi perusahaan energi

maka pertanyaan yang layak diajukan sekarang, bukan nanti:

Seandainya proyek ini selesai dan langsung menjadi target serangan, seberapa siap organisasi kita?

Jawaban yang jujur di 2025 akan menentukan seberapa tangguh sistem energi Indonesia di 2030.