Bagaimana Kemenkes melindungi sistem perawatan kesehatan dari serangan siber

Berbicara pada acara Cybersecurity Connect 2023 akhir Oktober lalu di Jakarta, Chief DTO Kemenkes Setiaji memaparkan bahwa keamanan siber merupakan hal penting yang menjaga kelangsungan sistem perawatan kesehatan universal.

Serangan siber terhadap sistem perawatan kesehatan akan menyebabkan kerusakan fasilitas kesehatan, penyalahgunaan data kesehatan, bahkan lebih buruk lagi bisa mengancam nyawa. “Karena itu, Kementerian Kesehatan berkomitmen mendorong tiap institusi kesehatan dilengkapi perangkat keamanan siber yang andal untuk mengantisipasi kemungkinan-kemungkinan serangan,” ungkap dia.

Saat ini Kemenkes sedang menjalankan proyek rekam medis elektronik (EMR) dalam platform SATUSEHAT sehingga data yang disimpan dan dipertukarkan harus dijamin keamanannya. Hingga saat ini, sebanyak lebih dari 100 juta pengguna dan 2.200 fasilitas kesehatan di seluruh Indonesia telah terintegrasi dalam SATUSEHAT.

Melindungi data kesehatan

Menurut Setiaji, data rekam medis termasuk dalam klasifikasi data rahasia dalam sistem informasi kesehatan sehingga harus diperlakukan secara berbeda dari data lain. Semakin tinggi tingkat kompleksitas dan interoperabilitas data, maka semakin tinggi pula risiko kerawanan siber.

Kemenkes mengambil tiga langkah untuk menjamin keamanan data pada SATUSEHAT. “Pertama yaitu mengoptimalkan peran tim tanggap siber atau Computer Security Incident Response Team sektoral di bidang kesehatan Health-CSIRT, dan meningkatkan standar keamanan yang harus dipatuhi semua orang yang terlibat dalam ekosistem SATUSEHAT dan menggunakan layanan multicloud,” kata dia.

Kemenkes telah membentuk tim Health-CSIRT yang bekerja 24 jam untuk melakukan mitigasi, pencegahan, penanggulangan dan pemulihan terhadap insiden keamanan siber di lingkungan Kementerian Kesehatan. Tim ini tidak hanya bekerja untuk pengamanan data SATUSEHAT saja, tetapi di seluruh lingkungan IT Kemenkes berikut instansi-instansi di bawah Kemenkes.

Kemenkes baru-baru ini juga telah merampungkan proses sertifikasi SATUSEHAT menggunakan ISO 27001 dan ISO 27018. Sertifikasi tersebut memastikan bahwa pengelolaan data dan pengamanan data yang ada di sistem informasi kesehatan Kemenkes telah menggunakan standar yang diakui secara internasional.

“Penting bagi kita menginformasikan ke masyarakat bahwa platform SATUSEHAT sudah mengikuti standar prosedur keamanan yang baik. Kita juga menginformasikan ke masyarakat mengenai pentingnya informasi data yang diakses melalui SATUSEHAT,” Setiaji melanjutkan.

Selanjutnya, kemenkes melakukan test untuk memastikan aplikasi itu tidak memiliki celah keamanan. Proses enkripsi secara nasional juga diterapkan sebagai benteng pertahanan terakhir supaya data yang dibocorkan pelaku serangan siber tidak mengandung unsur-unsur data pribadi atau telah diekstrak sebelumnya.

Layanan multicloud

Upaya berikutnya ialah menggunakan layanan multicloud. Menurut Setiaji, layanan multicloud digunakan agar data bisa selalu dipantau dan mudah dimitigasi apabila terjadi serangan. Saat ini penyedia layanan cloud juga telah melengkapi infrastruktur mereka dengan teknologi canggih untuk mendeteksi sensor-sensor yang mencurigakan atau malicious software yang dapat merusak sistem.

“Kemenkes mendorong fasilitas-fasilitas layanan kesehatan turut memanfaatkan layanan cloud ketimbang menggunakan on premise data center. Selain mempercepat proses migrasi data, proses monitoring di dalam cloud juga lebih mudah,” kata Setiaji.

Pengelolaan data aplikasi SATUSEHAT dilakukan bersama dengan Pusat Data Nasional (PDN) dan juga melibatkan pihak swasta lainnya seperti Amazon Web Services (AWS). Layanan multicloud sudah comply dengan regulasi Badan Siber dan Sandi Negara (BSSN) dan Kementerian Kominfo.

Kemudian yang terakhir adalah kesadaran seluruh pihak untuk melindungi data kesehatan. Setelah Undang-Undang Perlindungan Data Pribadi diberlakukan, setiap penyelenggara sistem elektronik diwajibkan untuk menjaga keamanan datanya secara berlapis.

Ini artinya dari sisi pemerintah dan fasilitas kesehatan harus memikul tanggung jawab yang sama untuk memastikan data yang dipertukarkan tidak bocor. “Begitu pula dengan pengguna atau masyarakat, jangan sampai user id dan password bisa diakses oleh pihak lain yang tidak berkepentingan,” kata Setiaji.

Standar keamanan tinggi untuk rumah sakit

Berbicara di panel yang sama, Pengurus Pusat Data dan Informasi Persatuan Rumah Sakit Seluruh Indonesia (PERSI) Agus Mutamakin, menegaskan bahwa keamanan siber di rumah sakit hukumnya adalah wajib, bukan sebuah pilihan.

“Maraknya serangan ransomware dan pencurian data yang berujung pemerasan telah membuka mata kita semua bahwa rumah sakit harus memiliki standar keamanan tinggi.”

Menurut Agus, banyak sekali alat kesehatan yang dioperasikan menggunakan software terhubung ke dalam sistem teknologi informasi rumah sakit, dari rekam medis, alat pacu jantung hingga alat injeksi insulin. “Apabila perangkat tersebut dimanipulasi atau diretas, bayangkan kejadian fatal apa yang harus dialami oleh pasien,” Agus melanjutkan.

Dengan adanya proses integrasi data rekam medis ke dalam SATUSEHAT, kewaspadaan pihak rumah sakit harus semakin ditingkatkan, baik untuk mengantisipasi ancaman yang sifatnya eksternal maupun internal.

Menurut Agus, rumah sakit yang bernaung di bawah PERSI telah memiliki SOP keamanan data yang mencakup penguatan infrastruktur dan jaringan pada sistem informasi data rumah sakit, serta manajemen akses yang berlaku bagi seluruh karyawan rumah sakit.

Berdasarkan laporan asosiasi, beberapa kebocoran terjadi karena kelalaian manusia. Dengan satu komputer dipakai beberapa pengguna, maka kesalahan-kesalahan seperti lupa menutup aplikasi atau kelalaian dalam memberitahukan password adalah beberapa hal yang sering menjadi penyebab.

“Selama ini perhatian terhadap keamanan data baru muncul ketika ada insiden. Kami ingin mencegahnya jangan sampai insiden-insiden semacam ini terulang,” tutup Agus.