Penulis: Mor Ahuvia, Product Marketing Manager, Security Platforms
Berbicara tentang pengamanan perangkat internet of things (IoT), rumah sakit menghadapi tantangan yang unik. Bahkan bagi beberapa penyedia fasilitas kesehatan, tantangan-tantangan itu diperburuk oleh situasi pandemi Covid-19 akibat meningkatnya beban kerja dan tekanan.
Taruhannya Bukan Sekadar Data Rekam Medis
Baru-baru ini, DHS Cybersecurity and Infrastructure Security Agency (CISA) menerbitkan laporan tentang 21 kerentanan pada perangkat medis populer. Kebanyakan masalah terkait kerahasiaan electronic protected health information (ePHI) atau rekam medis elektronik.
Oleh karena itu, ada satu masalah besar, yaitu potensi peretasan atau pembobolan identitas pasien. Belum lagi masalah biaya penanggulangan insiden tersebut. Sebagai informasi, institusi layanan kesehatan harus merogoh kocek hingga US$6,45 juta per insiden, atau 65% lebih tinggi dari rata-rata industri lainnya..
Namun masalahnya tidak berhenti pada ePHI dan biaya pemulihan. Salah satu kerentanan yang dilaporkan oleh DHS CISA adalah “memungkinkan penyerang mengubah informasi status pengobatan,” atau dengan kata lain, pengobatan terhadap pasien itu sendiri.
Bagaimana dengan potensi manipulasi dosis yang diberikan untuk pasien? Para peneliti keamanan siber CyberMDX pernah mendemonstrasikan eksploitasi terhadap kerentanan di perangkat tertentu yang menyediakan “mounting, sumber daya, dan dukungan komunikasi pada pompa infus” dapat “memungkinkan penyerang untuk sepenuhnya mematikan perangkat, memasang malware, atau memberi informasi palsu. Dalam kasus yang ekstrem, penyerang bahkan dapat berkomunikasi langsung dengan pompa yang terkoneksi ke gateway untuk mengubah dosis obat dan laju infus.”
Rumah Sakit, Unicorn IoT?
Keamanan IoT di rumah sakit akan berbeda karena hal-hal berikut.
1.Perangkat bantuan hidup yang tidak aman
Ada 10-15 peralatan medis di tiap tempat tidur pasien. Dan ketika rumah sakit sudah memiliki smart bed, maka tempat tidur pintar itu akan memantau hingga 35 data point, termasuk darah, oksigen, dan sensor tekanan. Namun banyak dari peralatan ini dirancang dengan sedikit atau bahkan tidak ada kemanannya sama sekali. Peralatan ini menggunakan hardcoded password sehingga mudah bagi siapapun yang bisa mengaksesnya secara fisik atau via jaringan. Langkah pengamanan lain yang tidak dimiliki peralatan ini adalah user authentication dan enkripsi saat ada komunikasi nirkabel.
2.Sistem operasi lawas
Hampir separuh dari peralatan medis yang terkoneksi berjalan di atas sistem operasi yang tidak di-update. Termasuk di antara peralatan itu adalah mesin USG, MRI, dan lain-lain. Tak heran jika peralatan ini menjadi sasaran empuk serangan siber, misalnya ransomware. Para ahli di Check Point telah mendemonstrasikan betapa mudahnya mengakses ke sistem USG yang berbasis sistem operasi Windows lawas, dan file image pasien dengan mudahnya dilihat. Tak mengejutkan jika dalam beberapa bulan terakhir ada peningkatan serangan ransomware hingga 75% terhadap institusi kesehatan.
3.Rekam medis yang menggiurkan
Rekam medis elektronik adalah target yang sangat menarik bagi penjahat maya. Harga satu rekam medis ini bisa mencapai US$1.000. Dan rumah sakit harus membayar rata-rata US$430 per rekam medis untuk melakukan mitigasi terhadap tiap identitas medis yang dicuri.
4.Berbagai jenis perangkat IoT
Rumah sakit tidak hanya harus mengurusi peralatan medis yang rentan diretas, tapi aset kantor pintar dan building management systems (BMS) juga telah menjadi target utama serangan siber, entah membidik jaringan rumah sakit maupun target manipulasi atau pengambilalihan. Di antara perangkat nonmedis yang menjadi incaran penjahat siber adalah kamera IP, lift pintar dan printer, termasuk aset BMS, seperti sistem HVAC, generator, dan pipa air pintar.
Perkuat Peralatan dan Jaringan Rumah Sakit
Kabar baiknya adalah rumah sakit dan produsen peralatan kesehatan dapat mengambil langkah preventif untuk meminimalkan risiko keamanan. Di tingkat jaringan, rumah sakit dapat melakukan ini:
- Memastikan visibilitas untuk semua peralatan medis dan mengidentifikasi peralatan yang berisiko tinggi.
- Tangani kerentanan yang bersifat kritis bersama produsen atau gunakan konfigurasi jaringan yang tepat.
- Buat segmentasi terpisah antara jaringan TI, jaringan IoT, dan zona perangkat IoT. Buat juga segmentasi klaster perangkat ke dalam zona perangkat IoT sehingga hanya perangkat yang relevan lah yang dapat berkomunikasi satu sama lain.
- Cegah eksploitasi terhadap kelemahan yang sudah diketahui sebelumnya dengan menggunakan virtual patching.
- Gunakan security rules dan threat intelligence untuk mencegah niat-niat jahat terhadap perangkat IoT, dan mencegah perangkat yang terinfeksi menulari elemen lainnya di jaringan.
- Gunakan monitoring dan tanda bahaya tepusat untuk mengakselerasi deteksi dan respons.
Sedangkan di tingkat perangkat, produsen peralatan kesehatan dapat melakukan hal ini:
- Periksa keamanan dari firmware perangkat untuk menemukan gap dan memperbaikinya.
- Tambahkan proteksi on-device run-time dengan menggunakan nano agent untuk mencegah serangan zero day di perangkat yang mencakup control flow hijacking, memory corruption, dan shell injection.