Penulis: Mor Ahuvia, Product Marketing Manager, Security Platforms
Berbicara tentang pengamanan perangkat internet of things (IoT), rumah sakit menghadapi tantangan yang unik. Bahkan bagi beberapa penyedia fasilitas kesehatan, tantangan-tantangan itu diperburuk oleh situasi pandemi Covid-19 akibat meningkatnya beban kerja dan tekanan.
Taruhannya Bukan Sekadar Data Rekam Medis
Baru-baru ini, DHS Cybersecurity and Infrastructure Security Agency (CISA) menerbitkan laporan tentang 21 kerentanan pada perangkat medis populer. Kebanyakan masalah terkait kerahasiaan electronic protected health information (ePHI) atau rekam medis elektronik.
Oleh karena itu, ada satu masalah besar, yaitu potensi peretasan atau pembobolan identitas pasien. Belum lagi masalah biaya penanggulangan insiden tersebut. Sebagai informasi, institusi layanan kesehatan harus merogoh kocek hingga US$6,45 juta per insiden, atau 65% lebih tinggi dari rata-rata industri lainnya..
Namun masalahnya tidak berhenti pada ePHI dan biaya pemulihan. Salah satu kerentanan yang dilaporkan oleh DHS CISA adalah “memungkinkan penyerang mengubah informasi status pengobatan,” atau dengan kata lain, pengobatan terhadap pasien itu sendiri.
Bagaimana dengan potensi manipulasi dosis yang diberikan untuk pasien? Para peneliti keamanan siber CyberMDX pernah mendemonstrasikan eksploitasi terhadap kerentanan di perangkat tertentu yang menyediakan “mounting, sumber daya, dan dukungan komunikasi pada pompa infus” dapat “memungkinkan penyerang untuk sepenuhnya mematikan perangkat, memasang malware, atau memberi informasi palsu. Dalam kasus yang ekstrem, penyerang bahkan dapat berkomunikasi langsung dengan pompa yang terkoneksi ke gateway untuk mengubah dosis obat dan laju infus.”
Rumah Sakit, Unicorn IoT?
Keamanan IoT di rumah sakit akan berbeda karena hal-hal berikut.
1.Perangkat bantuan hidup yang tidak aman
Ada 10-15 peralatan medis di tiap tempat tidur pasien. Dan ketika rumah sakit sudah memiliki smart bed, maka tempat tidur pintar itu akan memantau hingga 35 data point, termasuk darah, oksigen, dan sensor tekanan. Namun banyak dari peralatan ini dirancang dengan sedikit atau bahkan tidak ada kemanannya sama sekali. Peralatan ini menggunakan hardcoded password sehingga mudah bagi siapapun yang bisa mengaksesnya secara fisik atau via jaringan. Langkah pengamanan lain yang tidak dimiliki peralatan ini adalah user authentication dan enkripsi saat ada komunikasi nirkabel.
2.Sistem operasi lawas