PERSI dan BSSN Kupas Isu-Isu Terkini Keamanan Siber di RS, Menanti Regulasi dan Pemahaman Manajemen

2022-04-29 06:01:51



Perhimpunan Rumah Sakit Seluruh Indonesia (PERSI) bersama Badan Siber dan Sandi Negara (BSSN) menyelenggarakan Webinar Meditech #4 bertema “Cybersecurity Regulatory for Hospital Industry” pada Rabu (27/4).

Direktur Keamanan Siber dan Sandi Pembangunan Manusia BSSN Giyanto Awan Sularso, S.Kom., M.M menyatakan selama pandemi, ketika interaksi secara fisik makin dibatasi, pemanfaatan ruang siber, termasuk di bidang kesehatan, makin masif. Kondisi itu pun memicu makin mencuatnya isu keamanan siber.

“Keamanan siber merupakan pendukung inovasi, pertumbuhan ekonomi serta perkembangan sosial. Tantangan dan peluang di ruang siber akan makin berkembang sehingga membutuhkan kolaborasi antara pemerintah, industri, akademisi, dan masyarakat agar tercipta ruang siber yang aman dan kondusif,” kata Giyanto. 

Webinar kali ini, lanjut Giyanto, merupakan bagian dari upaya BSSN bersama PERSI untuk meningkatkan kapasitas para pemangku kepentingan terkaut keamanan siber, memberikan pengayaan informasi faktual terkait keamanan informasi serta diseminasi regulasi khususnya bagi para penyedia layanan kesehatan.

Selanjutnya, Kepala Subag Informasi dan Evaluasi Setditjen Pelayanan Kesehatan Kementerian Kesehatan Haidar Istiqlal menyatakan perkembangan terkini terkait keamaman  siber ditandai makin masifnya penggunaan telemedisin baik itu dalam penanganan covid, kepentingan edukasi serta kuratif. “Keamanan data digital di bidang kesehatan menyangkut aspek konfidential, keutuhan dan ketersediaan. Risiko yang harus diantisipasi adalah akses yang tidak terotorisasi, kesalahan penggunaan, kebocoran intersepsi, interupsi, modifikasi dan fabrikasi,” ujar Haidar.

Haidar juga mengingatkan tentang data kesehatan yang kini dianggap sebagai tambang emas yang bisa diperjualbelikan. “Untuk itu rekam medis elektronik harus diproteksi, belum lagi risiko atas menjamurnya aplikasi kesehatan. Aplikasi-aplikasi itu bermunculan namun tidak jelas keakuratannya, tidak jelas penyedia konten dan pengelola sistemnya serta harus diantisipasi agar data tidak di-share ke pihak-pihak yang tidak berkepentingan,” ujar Haidar.

Selain itu, Haidar juga mengingatkan tentang insiden pada 13 Mei 2017 ketika Ransomware WannaCry mengganggu di RS Dharmais RS serta di Sampit yang memvbuat RS lumpuh. “Selain itu, sempat muncul pula kabar tentang bocornya data BPJS serta eHac. Berdasarkan data memang sebanyak 69% kemanan informasi di sektor kesehatan berada dalam kondisi mengkuatirkan dan memang belum ada pengaturan yang khusus mengenai keamanan informasi di sektor kesehatan,” ujar Haidar.

Selama ini, panduan regulasi masih tersebar di SNI ISO 27799:2017, Health Insurance Portability and Accountability Act of 1996, General Data Protection Regulation (GDPR), Permen Kominfo, UU Adminduk, RUU RUU Pelindungan Data Pribadi (PDP). “Terdapat lima luaran kemananan tingkat tinggi keamanan siber di bidang kesehatan yaitu tata kelola  keamaman siber, mengamankan manusia, melindungi data pasien, menerapkan upaya pertahanan siber serta mendeteksi dan merespon insiden.”

Pembicara berikutnya, mewakili Kompartemen Data dan Informasi PERSI Ir Tony Seno, M.Ikom dalam paparannya yang berjudul Rencana Kegiatan PERSI Terkait Keamanan Siber menyatakan risiko kebocoran data semakin meningkat saat ini.

“Kondisi ini terkait dengan kendala organisasi yaitu pimpinan RS tidak memahami infrastruktur TI dan tidak bisa melihat celah-celah keamanan. keterbatasan alokasi pembiayaan untuk keamanan informasi, keterbatasan kemampuan SDM, tidak adanya pimpinan yang bertanggung,  jawab sepenuhnya pada keamanan informasi serta tidak adanya Security Operation Center (SOC) yang bertugas mengidentifikasi dan mengevaluasi ancaman serta kurangnya pelatihan tentang keamanan informasi pada staf RS, terutama staf medis dan administrasi,” ujar Tony Seno.

Selain itu, terdapat juga masalah teknis yaitu jaringan mudah diakses melalui WIFI, port terbuka di kamar pasien, peralatan tua yang terhubung, update dan upgrade tidak dilakukan dengan cepat, salah konfigurasi, sistem lama yang sudah tidak digunakan masih tetap dihidupkan, tidak adanya pelacakan, pelaporan, dan manajemen ancaman, tidak ada catatan (log) untuk setiap kejadian di sistem dan jaringan, tidak ada pemantauan untuk mendeteksi serangan yang lalu maupun yang akan datang, infrastruktur tidak dibangun menggunakan landasan keamanan, ketiadaan kontrol-kontrol keamanan, memudahkan akses informasi tanpa membutuhkan privilege khusus serta tersebarnya sistem seperti EHR, Portal, Alkes, Tablet, Smartphone, Wearable yang bisa saling berkomunikasi tanpa perlindungan data.

Untuk itu, lanjut Tony, PERSI menyusun rencana di bidang SDM mulai kuisioner, webinar, pelatihan serta sertifikasi kompetensi. Sementara di bidang proses akan dilakukan sosialisasi budaya keamanan informasi, tim keamanan informasi, klasifikasi data, self assessment, sertifikasi -SNI/ISO 27001, SNI/ISO 27799, serta audit keamanan. Selanjutnya di bidang teknologi akan dilakukan program Zero Trust Cyber Intelligence, HL7 FHIR serta HTTPS REST API.

Dari sisi praktik, IT Manager RSUP Dr. Wahidin Sudirohusodo Poentoro ST, MKom dalam paparannya yang berjudul Pengalaman dan Tantangan dalam Mengelola Keamanan Informasi di RS Dr. Wahidin Sudirohusodo mengusulkan revisi  atas Permenkes 82 tahun 2013 tentang SIMRS dengan memasukkan komponen keamanan data dan informasi secara detail serta  sosialisasi secara berkala terkait ISO 27001 dengan implementasi menggunakan Indek KAMI.

“Selain itu, kami usulkan juga PERSI menginisiasi pembentukan komunitas kemanan data dan informasi fasilitas kesehatan khususnya RS serta pembentukkan kanal khusus informasi terkait potensi insiden keamanan data atau isu-isu keamanan data.” (IZn – persi.or.id)