Lagi, Data Layanan Kesehatan Diretas, Pakar Siber: Paling Mudah Diperjualbelikan
Ilustrasi/ist
Keamanan siber sektor layanan kesehatan kembali jebol. Data pengguna aplikasi electronic Health Alert Card atau eHAC milik Kementerian Kesehatan diduga bocor. Pihak Kementerian Kesehatan mengatakan data yang diduga bocor itu adalah data pada eHAC lama yang kini sudah tidak digunakan karena aplikasinya sudah terintegrasi ke aplikasi Peduli Lindungi.
Sementara itu, Juru Bicara Kementerian Komunikasi dan Informatika, Dedy Permadi, mengatakan pihaknya masih melakukan investigasi atas dugaan kebocoran data pada aplikasi eHAC tersebut. Ia tidak menjawab ketika ditanya soal upaya-upaya preventif Kemenkominfo untuk mengamankan data-data pada aplikasi milik pemerintah ke depannya.
Pakar keamanan siber sekaligus pendiri Indonesia Cyber Security Forum (ICSF), Ardi Sutedja, mengatakan peretasan database pasien dalam industri layanan kesehatan di Indonesia bukan fenomena baru.
“Seingat saya sudah mulai marak sejak tahun 2009, jauh sebelum kita di Indonesia mengenal apa itu Keamanan Siber,” ujarnya kepada The Iconomics, Selasa (31/8).
Dalam catatan The Iconomics, akhir Juli lalu, sektor layanan kesehatan Indonesia juga dihebohkan dengan kabar bocornya data nasabah BRI Life. Namun, berdasarkan investigasi BRI Life, pelaku kejahatan siber ternyata melakukan intrusi ke dalam sistem BRILife Syariah yang merupakan stand alone system dan terpisah dari core system BRILife.
Sebelumnya pada Juni 2021, juga ada kabar soal kebocoran data peserta BPJS Kesehatan.
Ardi Sutedja mengatakan data-data kesehatan ini memang “menarik untuk diretas” karena masih banyak pihak pengelola data kesehatan ini menggunakan teknologi komputer pengolahan data yang sudah tua dan tidak menggunakan sistem pengamanan terkini.
Apalagi, menurut Ardi, data-data kesehatan hasil peretasan ini paling mudah untuk diperjual-belikan di forum-forum underground karena memiliki nilai ekonomi.
“Sekali meretas data-data kesehatan ini, bukan dalam hitungan puluhan tapi sudah jutaan data sehingga nilai ekonominya atau nilai transaksi jual belinya secara underground pun menjadi semakin menarik,” ujarnya.
Sekali melakukan peretasan data-data kesehatan ini, menurut Ardi, si peretas sudah berhasil mendapatkan berbagai informasi tentang pasien, meliputi nama lengkap, tanggal lahir, nomor polis asuransi kesehatan, data diaganosa pasien, dan sebagainya.
“Penguasaan data-data seperti ini tidak lain adalah si peretas ini sudah menguasai ‘kunci pintu rumah kita’ atau ‘menguasai kombinasi brankas kita’ sehingga seterusnya dia bebas untuk melakukan apa saja,” ujarnya.
Agar kedepan tidak terjadi lagi, Ardi merekomendasikan 10 hal yang harus dilakukan oleh pengelola data di bidang layanan kesehatan.
Pertama, melakukan analisa risiko kemananan secara periodik tahunan. Kedua, gunakan mitra atau vendor/kontraktor TIK yang memiliki kredibilitas dan terpercaya, baik secara profesional dan tersertifikasi. Jangan berdasarkan hubungan kedekatan dengan pengambil kebijakan.
Ketiga, melakukan program pendidikan dan pelatihan SDM yang kontinu dan berkelanjutan. Keempat, melakukan pemantuan secara kontinu terhadap semua perangkat maupun data yang diolah.
Kelima, membatasi akses terhadap informasi peka seperti data-data pasien. Keenam, buatkan akses WiFi atau jaringan terpisah untuk kepentingan umum, terpisah dari jaringan yang digunakan oleh staf dan manajemen fasilitas pelayanan kesehatan.
Ketujuh, membatasi penggunaan fasilitas perangkat pribadi seperti HP oleh staf dan manajemen fasilitas pelayanan kesehatan. Kedelapan, melakukan pemutakhiran infrastruktur TIK.
Kesembilan, jangan mempekerjakan staf TIK berdasarkan standar gaji rendah. Bila ingin memiliki tingkat keamanan yang baik, tentunya harus berani investasi di staf yang punyai nilai tawar yang tinggi dan memiliki kompetensi dan kualifikasi yang optimal.
Kesepuluh, melakukan investasi di SDM legal.
Leave a reply
