Kaspersky menemukan setidaknya 33 kerentanan (vulnerability) pada protokol yang paling umum digunakan untuk mentransfer data dari wearable device untuk pemantauan pasien jarak jauh (telehealth). Yang mengkhawatirkan, 18 kerentanan di antaranya adalah "kerentanan kritis".
Akibat pandemi, sektor kesehatan harus mengakselerasi digitalisasi agar dapat menghadirkan layanan dan perawatan pasien dengan cara-cara baru. Penelitian Kaspersky baru-baru ini menemukan bahwa 91 persen penyedia layanan kesehatan global telah menerapkan pemanfaatan telehealth.
Namun, digitalisasi yang cepat ini juga turut menciptakan risiko keamanan baru, terutama terkait data pasien.
Salah satu bagian dari telehealth adalah pemantauan pasien jarak jauh menggunakan perangkat dan monitor yang dapat dipakai di tubuh pasien (wearables). Contohnya adalah gadget atau gawai yang secara terus menerus, atau pada interval, melacak indikator kesehatan pasien, seperti aktivitas jantung.
Pengiriman atau transmisi data dari perangkat dan sensor umumnya dilakukan dengan protokol MQTT karena alasan kemudahan dan kenyamanan. Oleh karena itu, protokol ini dapat ditemukan tidak hanya di wearable device, tetapi juga di hampir semua gawai pintar. Sayangnya, saat menggunakan MQTT, autentikasi sepenuhnya bersifat opsional dan jarang menyertakan enkripsi. Hal ini, menurut Kaspersky, membuat MQTT sangat rentan terhadap serangan man in the middle. Artinya, semua data yang ditransfer melalui internet berpotensi dicuri. Dan dalam konteks wearable device, data yang ditransmisikan berupa data medis yang sangat sensitif, informasi pribadi, dan bahkan pergerakan seseorang.
Sejak 2014, telah ditemukan 90 kerentanan di MQTT, termasuk yang kerentanan berkategori kritis. Kaspersky menyebutkan, banyak di antara kerentanan itu belum ditambal hingga hari ini. Pada tahun 2021, terdapat 33 kerentanan baru ditemukan, termasuk 18 kerentanan yang bersifat kritis atau 10 kerentanan lebih banyak dari tahun 2020. Menurut Kaspersky, seluruh kerentanan ini dapat menyebabkan risiko pencurian data pasien.
Selain itu, peneliti Kaspersky juga menemukan kerentanan pada salah satu platform paling populer untuk wearable device: platform Qualcomm Snapdragon Wearable. Kaspersky mengeklain, ada lebih dari 400 kerentanan yang ditemukan Kaspersky sejak platform diluncurkan, dan ada yang belum ditambal sejak tahun 2020.
Kaspersky menyebutkan bahwa sebagian besar wearable device dapat melacak data kesehatan, lokasi, dan pergerakan penggunanya. Alhasil, kerentanan pada wearable device tidak hanya menimbulkan risiko pencurian data tapi juga berpotensi memantik aksi berbahaya lainnya, seperti menguntit (stalking).
“Pandemi telah menyebabkan peningkatan tajam di pasar telehealth, dan ini tidak hanya melibatkan komunikasi dengan dokter Anda melalui perangkat lunak video. Kita berbicara tentang berbagai macam teknologi dan produk kompleks yang berkembang pesat, termasuk aplikasi khusus, wearable device, sensor yang dapat ditanamkan, dan database berbasis cloud. Namun, banyak rumah sakit masih menggunakan layanan pihak ketiga yang belum teruji untuk penyimpanan data pasien, dan kerentanan pada sensor dan wearable device di industri kesehatan tetap terbuka. Sebelum mengimplementasikan perangkat tersebut, kami mengimbau untuk pelajari sebanyak mungkin tentang tingkat keamanannya demi menjaga keamanan data perusahaan dan pasien Anda,” saran Maria Namestnikova, Head of Russian Global Research and Analysis Team (GReAT), Kaspersky.
Untuk menjaga keamanan data pasien, Kaspersky merekomendasikan tiga langkah berikuti kepada para penyedia layanan kesehatan:
- Periksa keamanan aplikasi atau perangkat yang direkomendasikan oleh rumah sakit atau organisasi medis.
- Minimalkan transfer data oleh aplikasi telehealth jika memungkinkan (misalnya, jangan biarkan perangkat mengirim data lokasi jika tidak diperlukan).
- Ubah kata sandi yang sudah ada (default) dan gunakan enkripsi jika perangkat menawarkan fitur enkripsi.