Celah Kejahatan Siber Data Kesehatan
pada tanggal
Friday, May 14, 2021
Edit
Sejumlah lembaga dan perusahaan riset dunia menyebutkan sejak pandemi Covid-19 pada Maret 2020, serangan terhadap dunia siber meningkat 3-4 kali lipat. Trend Micro, perusahaan keamanan siber Internasional, lebih spesifik menyebutkan sektor kesehatan paling banyak dilaporkan mengalami serangan siber berupa ransomware dan pencurian data pasien. Dengan kemajuan teknologi internet saat ini, sistem informasi layanan kesehatan dan rumah sakit di dunia bertansformasi ke platform digital.
Para pelaku kejahatan siber menjadikan layanan kesehatan dan rumah sakit sebagai target utama karena mereka bisa mengunduh informasi dalam jumlah yang besar hanya dalam sekali serangan. Sektor ini menjadi sasaran empuk karena bukan sekadar tingginya nilai data, melainkan juga karena masih lemahnya sistem keamanan teknologi yang dioperasikan. Modus serangannya dilakukan dengan berbagai teknik seperti malware; ransomware; spyware; phising; hingga structure query language injection, sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi.
Misalnya, pada 2017, dua rumah sakit di Jakarta menderita serangan ransomware yang mengakibatkan terganggunya layanan operasional rumah sakit. Modusnya mengunci akses data, lalu meminta tebusan dengan Bitcoin jika pengguna ingin aksesnya terbuka kembali.
Ada juga serangan pada pertengahan 2020. Indikasinya ada penawaran data pasien Covid-19 di Indonesia, yang diklaim hasil peretasan, di forum online RaidForums yang diunggah pada 18 Juni 2020. Data yang ditawarkan mencakup nomor induk kependudukan (NIK), nama, kewarganegaraan, usia, jenis kelamin, nomor telepon, tanggal kirim sampel, hingga ke hasil tes Covid-19. Pada Maret lalu, dokumen Kementerian Kesehatan yang berisikan data pribadi jurnalis penerima vaksin Covid-19 beredar melalui media sosial mapun grup-grup percakapan Whatsapp. Data pribadi itu menyangkut nama, tempat tanggal lahir, nomor induk kependudukan, alamat, nomor telepon, asal organisasi, media, serta usia.
Untuk meningkatan keamanan siber terhadap data fasilitas kesehatan dan rumah sakit, pemerintah melalui Kementerian Kesehatan tengah menjajaki kerja sama dengan Inggris. Selain memiliki National Security Cyber Centre (NCSC) dan membuat National Security Cyber Strategy, pemerintah Inggris melibatkan sektor swasta dan perguruan untuk menangani masalah keamanan siber, terutama di bidang kesehatan dan rumah sakit. Keseriusan Inggris terhadap keamanan siber juga didukung berbagai universitas, dengan 14 di antaranya kini memiliki pusat penelitian dan pengembangan cyber securitykeamanan siber.
Perusahaan rintisan (start-up) perlindungan siber juga terus bermunculan di Inggris. Sebut saja Threatinformer yang menawarkan kajian risiko otomatis keamanan siber. Callsign, yang berbasis di London menawarkan platform otentikasi digital, yang bisa menggambarkan keahlian analisis data. Perusahaan rintisan ZoneFox menawarkan layanan lebih spesifik untuk mendeteksi perilaku jaringan dan menandai kegiatan yang tidak biasa. Ada juga perusahaan rintisan CybSafe di Inggris yang mahir di bidang peningkatan keahlian dalam upaya menghilangkan kesalahan pengguna. Berikutnya, terkait pengamanan siber, perusahaan Templar Executives menyediakan jasa khusus, perusahaan yang menyediakan jasa pengamanan siber di bidang kesehatan, baik untuk instansi pemerintah maupun swasta.
Pemerintah Inggris juga telah membuka dua pusat inovasi siber di Cheltenham dan London untuk mendukung perusahaan yang mengembangkan teknologi digital. Di Indonesia, Pemerintah Inggris juga menjalankan Digital Access Programme yang membuka akses digital yang terjangkau dan aman untuk masyarakat marginal dengan salah satu fokus untuk keamanan siber. Dibandingkan Inggris, Indonesia tentu saja jauh ketinggalan dan perlu belajar dari negara itu seiring pesatnya ancaman keamanan siber. Seperti apa kondisi keamanan siber Indonesia dan apa yang harus dilakukan untuk melindungi data pelayanan kesehatan dan rumah sakit, berikut wawancara dengan pakar kemanan siber dan juga dosen Politeknik Siber dan Sandi Negara, Badan Siber dan Sandi Negara (BSSN), Yusuf Setiadji.
Menurut Anda bagaimana soal ancaman keamanan siber fasilitas kesehatan dan rumah sakit di Indonesia?
Pengalaman saya, fasilitas kesehatan di kita mulai faskes pertama hingga rumah sakit rujukan nasional atau swasta belum memiliki ekosistem digital yang memadai. Mungkin di Jakarta bisa dibilang lebih baik, tapi di daerah-daerah rasanya belum seperti yang diharapkan. Ada celah atau gap dalam ekosistem digital nasional yang menimbulkan kerawanan terjadi kebocoran. Kondisi geografi Indonesia juga menjadi kendala untuk membuat sistem keamanan digital Indonesia terintegrasi dengan baik.
Apakah adanya celah ini yang dimanfaatkan oleh peretas untuk melakukan serangan siber di fasilitas kesehatan dan rumah sakit?
Gap atau jurang pemisah ini mejadi kelemahan atau kerawanan yang menurut saya paling riskan dalam rantai keamanan siber. Manusia atau orang yang mengerjakan itu adalah rantai terlemahnya.
Kenapa manusia dianggap faktor paling lemah?
Paling mudah serangan lewat manusia. Ada kesenjangan yang membuat sumber daya manusia di fasilitas kesehatan tidak standar. Contoh saja, saya pernah ke sebuah cabang bank BUMN, di luar pusat kota. Di sana saya melihat ada tukang parkir yang sampai mengetahui informasi rinci tentang jam buka bank, apakah ada gangguan, dan informasi lainnya. Kondisi yang sama dapat terjadi dalam pelayanan kesehatan. Oleh karena itu harus diperbaiki. Tidak boleh ada celah yang menimbulkan kerawanan seperti ini.
Bagaimana semestinya sistem teknologi fasilitas kesehatan dan rumah sakit agar tidak rawan peretasan?
Sistem BPJS, misalnya, memerlukan akses ke sebuah basis data terpusat. Standar keamanan harus disamakan mulai dari fasilitas kesehatan tingkat satu hingga rumah sakit rujukan nasional. Tentu saja harus dari wilayah terpencil hingga kota besar. Jika berbeda-beda atau tidak standar, ini akan menimbulkan titik rawan untuk terjadinya serangan siber ke sistem.
Artinya Indonesia sejauh ini belum memiliki sistem teknologi dan informasi yang baik untuk fasilitas kesehatan dan rumah sakit?
Betul. Tidak standar atau tidak sama antara kota besar dengan fasilitas kesehatan di wilayah terkecil seperti di desa. Sumber daya manusia juga menjadi tantangan, termasuk budaya soal pentingnya keamanan siber di Indonesia.
Kelemahannya seperti apa?
Kalau melihat kondisinya, yang terstandar itu ada di kota besar. Data tercatat di pusat data secara nasional. Di pelosok, kemungkinan besar tidak seperti ini. Perlu ada SOP (standard operating procedure) yang ketat.
Orang yang menjalankan juga harus terlatih dan berintegritas. Pertanyaannya, apakah kita sudah memiliki itu semua? Sepanjang masih ada celah kelemahan, serangan siber masih akan terjadi.
Dalam hal keamanan siber layanan kesehatan dan rumah sakit, Indonesia tertinggal jauh dengan negara lain?
Kalau dalam konteks nasional, masih banyak yang harus dikerjakan. Tapi untuk daerah-daerah tertentu seperti kota besar, perkembangannya semakin pesat.
Bagaimana fasilitas kesehatan atau rumah sakit mendeteksi serangan siber?
Kita harus menghitung risiko dari awal. Kita harus kembalikan lagi pada saat kita mengerjakan layanan atau sistem teknologinya. Di awal semestinya sudah mulai menghitung risikonya. Saat kita mau buat layanan digital faskes, semestinya berhitung risiko apa serangan yang akan muncul. Risiko bisa diminimalkan dengan kontrol pengamanan berkala.
Serangan siber apa yang kerap terjadi pada sistem teknologi dan informasi layanan kesehatan dan rumah sakit?
Serangan yang sering terjadi ransomware. Data pasien itu terkunci, tak bisa diakses. Sebenarnya kalau disiapkan data backup sebelumnya, risikonya tidak akan terlalu besar. Sangat mudah solusinya, tapi harus disediakan data backup sebelum terjadi serangan. Kondisi yang sering terjadi, tidak ada backup data, sehingga dampak buruknya besar.
Bagaimana dengan pencurian data pasien?
Kalau pencurian data ini pihak peretas akan mengambil data pribadi. Bagi mereka, yang berguna bukan rekam jejak pasien sakit, tapi yang diperlukan adalah data pribadinya. Seperti KTP, kartu keluarga (KK), alamat, dan nomor telepon. Itu bisa disalahgunakan untuk mengajukan pinjaman online menggunakan data pasien yang dicuri. Ini yang berbahaya.
Sesering apa pencurian data pribadi pasien ini?
Pencurian data pribadi fasilitas kesehatan dan rumah sakit di Indonesia belum marak. Di luar negeri itu ada istilah identity fraud. Ini penyalahgunaan data pribadi orang lain. Ada orang yang menyamar dengan data pribadi orang lain. Identitas orang itu diambil. Di kesehatan, data pribadi ini ada kaitannya dengan urusan pembayaran dan pendanaan. Ada risiko seperti itu juga.
Menurut Anda, dalam kasus peretasan, data pribadi atau rekam jejak kesehatan pasien yang paling rawan disalahgunakan?
Pertanyaannya, data apakah yang berguna untuk diambil? Kapan pasien harus cek, kapan dia ganti obat, itu bukan sesuatu yang berharga bagi peretas. Bagi mereka, yang berharga itu data pribadi. Nama, KTP, KK, alamat. Itu yang berguna.
Artinya, peretas akan lebih memilih melakukan ransomware?
Bagi mereka yang memiliki niat jahat, poin pentingnya adalah bagaimana cara mengeksploitasi kerawanan dan mendapatkan keuntungan maksimal. Dalam pelayanan kesehatan akan lebih menguntungkan data tersebut tak bisa diakses dibandingkan datanya diambil lalu dijual. Bagi peretas, lebih berharga jika data itu dikunci, lalu fasilitas kesehatan atau rumah sakit dikasih tenggat waktu mau bayar atau tidak. Rumah sakit sangat butuh data itu untuk mengetahui riwayat perawatan pasien dan sebagainya. Kalau faskes atau rumah sakit tidak backup data, mereka mau tak mau harus membayar tebusan yang diminta.
Apa celah yang bisa dimanfaatkan oleh peretas untuk mencuri data pribadi pasien di fasilitas kesehatan atau rumah sakit?
Kesalahan-kesalahan kecil dalam menempatkan data dan konfigurasi sistem. Sistem, sumber daya manusia yang berintegritas, dan uji penetrasi ke sistem secara berkala, akan mencegah risiko serangan siber.
Apa yang dimaksud dengan kesalahan menempatkan data?
Ada konfigurasi tidak tepat dalam sistem sehingga data bisa diambil. Tapi, kalau kita sering melakukan uji penetrasi secara berkala, kelemahan ini bisa diketahui lebih awal. Uji penetrasi ini salah satu cara mencegah risiko kebocoran data.
Kesalahan menempatkan ini yang Anda maksud seperti terjadi dalam kasus kebocoran data jurnalis yang menerima vaksin Covid-19?
Saya menduga itu keteledoran. Penempatan dalam sebuah sistem dengan tidak hati-hati dan rahasia memiliki kerawanan yang bisa dieksploitasi orang lain. Ini menyangkut kemampuan teknis dan integritas manusianya. Bisa juga sistemnya yang mudah dibobol. Tapi kalau melakukan uji penetrasi secara berkala, pembobolan bisa dicegah.
Bagaimana dengan kesadaran masyarakat Indonesia dalam keamanan data pribadi ini?
Dalam kondisi saat ini, masyarakat harus betul-betul sadar soal pentingnya keamanan data pribadi. Contoh kecil saja, kalau kita membeli pulsa di kios, konsumen diminta mencatat nomor teleponnya atau mengirim nomor itu ke sebuah nomor tertentu yang terpusat. Nomor-nomor itu kerap disalahgunakan untuk kepentingan tertentu. Dalam konteks data pasien, masyarakat harus memastikan fasilitas kesehatan mana yang bisa menjamin kerahasiaan data pribadi mereka.
Apa masukan Anda kepada fasilitas kesehatan atau rumah sakit agar bisa mengantisipasi serangan siber ke sistem mereka?
Kita harus melihat negara lain. Di luar negeri, ada negara yang pelayanan kesehatannya di serahkan ke swasta. Ini kapitalis banget. Ada juga negara dengan sistem kesehatannya yang mahal, tapi belum tentu perlindungan data kesehatannya bagus. Menurut saya, kita harus belajar dari Inggris.
Kenapa Inggris?
Inggris itu memiliki layanan kesehatan seperti Indonesia, National Health Service, yang mirip BPJS. Iurannya juga terjangkau, termasuk untuk kalangan pendatang atau pelajar. Pemerintah Inggris dan sektor swastanya juga serius memberikan perlindungan terhadap data pribadi milik pasien. Di sana ada banyak Perusahaan rintisan (start-up) yang menawarkan jasa pengaman siber, juga pencegahannya, termasuk soal pelatihan.
Bisa Anda jelaskan soal peran pemerintah dan swasta di Inggris untuk mencegah dan menangani perlindungan data pribadi di sektor kesehatan?
Di Inggris, pemerintah hadir untuk menjaga kerahasiaan data. Ini berkolaborasi dengan pihak industri atau swasta. Di sana memang ketat standar kerahasiannya.
Bagaimana kolaborasinya?
Pemerintah memiliki standar keamanan siber. Pihak Swasta yang memastikan kalau mereka punya sertifikasi untuk itu. Sehingga sistem informasi itu sudah diuji atau punya standar internasional. Kita belum punya opsi digital solution seperti itu di Indonesia. Mereka sudah mengumpulkan dataset puluhan tahun lalu tentang riwayat pasien di rumah sakit atau fasilitas kesehatan. Data itu bisa digunakan untuk penggalian informasi bagi kebutuhan pasien bersangkutan atau penelitian, tanpa perlu membuka data pribadi pasien. Mereka punya teknik khusus memisahkan dua data itu.
Apa yang Anda maksud dengan dataset?
Data yang disimpan dan dikumpulkan dari riwayat pengobatan sebelum-sebelumnya. Misalnya jumlah pasien yang menderita sakit gigi dalam kurun waktu sepuluh tahun. Dari data ini ketahuan kapan pasien tersebut pernah sakit gigi. Dataset ini tidak mengungkap data pribadi, termasuk asal daerah dan sebagainya. Adapun data pribadi diamankan secara khusus dengan teknik perlindungan yang ketat. Indonesia harus belajar dari Inggris. Perlu kerjasama dengan Inggris untuk mengelola keamanan data pasien sehingga tak bocor.
Bagaimana Anda melihat inovasi keamanan siber di Inggris?
Ada sekitar 100 inovator keamanan siber kesehatan di Inggris yang bersinggungan langsung dengan kesehatan pasien. Ini yang belum ada di Indonesia. Sedangkan Indonesia adalah pasar yang besar, penetrasi internet sudah masuk ke berbagai dimensi kehidupan. Semestinya ada kerja sama dengan perusahaan rintisan atau inovator di Inggris untuk belajar soal perlindungan data di bidang kesehatan.
Yusuf Setiadji
Pakar keamanan siber dan dosen Politeknik Siber dan Sandi Negara, BSSN