Penulis: Samuel Hill, Medigate
Dalam beberapa tahun terakhir ini, sistem kesehatan di kawasan (Asia Pasifik) ini telah diganggu oleh serangan siber. Empat langkah ini dapat membantu penyedia layanan kesehatan meningkatkan kebersihan sibernya.
Pada bulan April 2021, satu serangan siber terhadap UnitingCare Queensland menyebabkan empat rumah sakit dan beberapa panti jompo tidak dapat mengakses rekam medis pasien. Hanya satu bulan sebelumnya, serangan maya terhadap Eastern Health memaksa empat rumah sakit di Melbourne, Australia, untuk menonaktifkan sistem TI mereka dan menunda operasi kurang mendesak (elective surgery).
Baru-baru ini, di Singapura Agustus lalu, serangan ransomware di sebuah klinik swasta memengaruhi data pribadi dan informasi klinis lebih dari 73.000 pasien, termasuk nama, alamat, nomor kartu identitas pasien, detail kontak, dan informasi klinis pasien.
Rumah sakit khususnya adalah target yang menarik bagi penyerang karena sifat kritis dari operasional rumah sakit dan berpeluang menyebabkan gangguan yang bersifat masif. Faktor utama keberhasilan serangan ini adalah kebersihan siber (cyber hygiene) yang buruk.
Kurangnya budaya keamanan yang kuat dan perlunya peningkatan pelatihan keamanan dalam sistem layanan kesehatan terdokumentasikan dengan baik. Misalnya, pada tahun 2019 Auditor General Victoria berusaha membuktikan suatu hal dengan meretas dan mengakses data pasien yang sensitif di beberapa rumah sakit terbesar di negara bagian di Australia menggunakan tool hacking dasar.
Hasil audit mengungkapkan bahwa beberapa rumah sakit membuat kesalahan dasar keamanan siber, seperti menggunakan nama akun default dan kata sandi yang ditetapkan oleh produsen yang dapat dengan mudah ditemukan secara online.
Akibatnya, negara-negara pun mulai mengamanatkan bahwa penyedia layanan kesehatan harus memastikan keamanan yang memadai secara hukum. Misalnya, Peraturan Rumah Sakit Swasta dan Klinik Medis di Singapura menyatakan bahwa pemegang lisensi harus menerapkan perlindungan yang memadai untuk melindungi rekam medis pasien.
Seperti halnya saat rumah sakit yang menjaga praktik kebersihan fisik yang kuat seperti sering mencuci tangan untuk mencegah penyebaran penyakit, keamanan siber juga harus diperlakukan sama. Untuk mencegah serangan siber, penyedia layanan kesehatan harus memerhatikan dengan cermat kebersihan dunia maya (cyber hygiene) atau mendapati diri mereka menghadapi konsekuensi yang tidak terduga, mahal, dan berpotensi mengancam jiwa.
Clinical Cyber Hygiene mengacu pada kemampuan organisasi untuk menemukan, menilai, dan mengelola risiko keamanan siber secara berkelanjutan. Pada dasarnya, kebersihan siber klinis merinci metode dan mekanisme yang digunakan organisasi untuk menjaga privasi dan integritas jaringan klinis mereka dan mencegah penyebaran serangan dunia maya.
Clinical Cyber Hygiene juga menunjukkan seberapa baik organisasi mengenali dan mengelola risiko keamanan siber. Memiliki pendekatan yang kuat terhadap kebersihan dunia maya tidak hanya meningkatkan efisiensi operasi klinis, tetapi juga pada akhirnya meningkatkan keselamatan dan privasi pasien. Ini memastikan bahwa informasi pribadi pasien terlindung dari ancaman dan mempertahankan kemampuan organisasi untuk memberikan perawatan kritis jika terjadi serangan. Dengan sektor perawatan kesehatan yang melaporkan jumlah serangan ransomware tertinggi di Australia dengan selisih yang signifikan, inilah saatnya bagi semua organisasi di bidang layanan kesehatan untuk meningkatkan pendekatannya terhadap kebersihan dunia maya klinis.
Inilah empat best practice yang kami lihat telah dilakukan oleh penyedia layanan kesehatan:
1. Melakukan profiling terhadap semua perangkat yang ada di jaringan klinis
Apakah Anda menyimpan informasi terkini dan rinci tentang setiap perangkat di jaringan Anda? Jika tidak, bagaimana Anda bisa melindungi mereka? Organisasi layanan kesehatan harus dapat mengidentifikasi 100% perangkat yang di-hosting di jaringan mereka, dan lebih dari itu mereka harus memiliki digital fingerprint dari setiap perangkat, termasuk produsen, model, OS, perangkat keras, versi aplikasi, lokasi, status jaringan, postur keamanan dan pola pemanfaatan. Saat perangkat baru diperkenalkan ke jaringan, penting untuk memelihara database yang terperinci dan akurat dari semua aset yang terhubung. Hal ini akan secara drastis meningkatkan efisiensi audit keamanan dan patching jika ada kerentanan yang ditemukan.
2. Memberikan skor multi-factor risk pada tiap perangkat
Penilaian risiko adalah proses yang terus berkembang yang membantu organisasi mengidentifikasi aset atau perangkat yang paling rentan di jaringan. Skor risiko tidak boleh hanya dihitung berdasarkan risiko membahayakan, tetapi juga harus memperhitungkan potensi dampak pada keselamatan pasien dan operasi klinis. Misalnya, jika dua perangkat memiliki risiko yang hampir sama untuk disusupi, tetapi salah satunya dapat mengakibatkan pemusnahan data pasien yang sensitif, itu akan diberi skor risiko yang jauh lebih tinggi. Organisasi dengan kebersihan dunia maya yang kuat akan terus-menerus mengevaluasi kembali skor risiko dan menyesuaikannya jika dibutuhkan.
3. Mengambil pendekatan metodis dan lintas fungsi untuk manajemen risiko
Sangat penting untuk memiliki metodologi yang jelas dalam program manajemen risiko Anda, karena hanya gara-gara satu tautan lemah, semua kerja keras Anda bisa kandas. Misalnya, program manajemen risiko yang mencakup semua fasilitas dan perangkat kesehatan internal, tetapi tidak memperhitungkan mitra klinis, akan menimbulkan kesenjangan (gap) yang signifikan. Selain itu, memiliki metodologi yang jelas sangatlah penting untuk pelacakan kinerja (performance tracking) karena tidak mungkin mengukur peningkatan atau mengidentifikasi masalah jika tidak ada tolok ukur yang ditetapkan. Mengingat sifat perangkat medis yang sangat mobile, dan fragmentasi pemberian perawatan yang berkelanjutan, manajemen risiko harus mencakup semua operasi.
4. Manfaatkan insight dari hasil monitoring perangkat untuk memberikan informasi procurement
Pemantauan perangkat yang sedang berlangsung (misalnya pemantauan lokasi, penggunaan, dll) memungkinkan penyedia layanan kesehatan mengidentifikasi kerentanan di perangkat yang berbeda dan menentukan pola. Mereka yang bertanggung jawab dalam pengadaan perangkat medis dapat memanfaatkan informasi ini selama proses pengambilan keputusan untuk memastikan mereka membeli perangkat yang paling tepat dan aman, yang akan mengurangi risiko membahayakan secara keseluruhan.
Seperti kata pepatah, "you get nothing for nothing", tanpa melakukan apa-apa, Anda pun tidak akan mendapatkan apa-apa. Meskipun butuh waktu dan dedikasi untuk meningkatkan kebersihan dunia maya, upaya ini sangat berharga. Karena sektor perawatan kesehatan terus menjadi target utama bagi pelaku ancaman, tindakan (atau kelambanan) penyedia layanan kesehatan akan berimplikasi lebih besar terhadap keselamatan pasien daripada sebelumnya.