Serangan siber merupakan kejahatan yang umumnya dilakukan oleh pihak eksternal. Di industri kesehatan sendiri, para penjahat kriminal ini berusaha membuka akses atas data medis di rumah sakit dan menggunakannya untuk keuntungan pribadi. Padahal, terdapat risiko berbahaya yang bisa terjadi pada pasien maupun rumah sakit dengan tersebarnya data data rahasia atas insiden siber ini.
Memang benar, pihak yang berusaha mengakses data pasien berasal dari luar rumah sakit. Ironisnya, pihak internal rumah sakit juga tidak sedikit yang ikut serta berpartisipasi dalam kemudahan pihak eksternal untuk mengakses data rumah sakit. Kejahatan semacam ini harusnya bisa dihadapi jika pihak internal rumah sakit memahami langkah-langkah yang harus dilakukan untuk melawan dan mencegah terjadinya serangan siber. Misalnya dengan menggunakan password yang tidak mudah ditebak, penyimpanan data login secara aman, memahami berbagai jenis serangan siber, dan lain-lain.
Berikut adalah sebagian hasil penelitian yang dilakukan Accenture pada tahun 2018 terkait kelalaian karyawan rumah sakit menghadapi serangan siber. Penelitian dilakukan dengan jumlah responden sebanyak 912 orang, terbagi rata antara pasien dengan profesional rumah sakit. Ternyata ditemukan bahwa 68% tidak sadar bahwa data pasien sudah rentan diakses oleh para hackers. Ironisnya, lebih dari setengah responden mengenali bahwa terjadi lebih dari 10 kejadian kebocoran data pasien di rumah sakitnya.
Kelalaian Karyawan Menjadi Pintu Masuk Penjahat Siber
Selain menjadi sosok yang turut memegang peran penting dalam menjaga keamanan data institusi kesehatan, karyawan juga bisa menjadi salah satu penyebab terjadinya kebocoran. Berikut ini beberapa kemungkinan bagaimana kebocoran bisa terjadi karena kelalaian karyawan rumah sakit:
Tindakan ceroboh seperti menulis username dan password serta menyimpannya di samping komputer merupakan salah satu penyebab mudahnya data pasien dibobol.
Karyawan bertindak tidak bijak dengan menjual data login atau akses kepada orang maupun pihak lain yang tidak berwenang.
Karyawan yang tidak bertanggung jawab mencari keuntungan dengan cara menyediakan akses terhadap data-data rahasia bagi para pihak lain yang tidak berwenang.
Karyawan tidak menyadari adanya pelatihan cybersecurity di dalam rumah sakitnya, bahkan rumah sakit tidak menyediakan pelatihan bagi karyawannya.
Karyawan tidak patuh dengan kebijakan penting yang dapat membantu menjaga kamanan data seperti tidak melakukan manajemen password yang aman, mengunduh lampiran email ataupun perangkat lunak menggunakan jaringan yang tidak aman.
Karyawan RS adalah Kunci Cyber Health
Industri kesehatan memang semakin rentan dengan bahaya serangan online. Serangan ini tidak hanya mengancam keamanan data rahasia pasien, tapi juga membahayakan operasional harian di rumah sakit. Jam kerja yang panjang dan sibuk membuat karyawan rumah sakit tidak memiliki waktu maupun tenaga untuk belajar tentang risiko data online.
Tidak ada yang menyangkal bahwa data pasien adalah sesuatu hal yang sangat berharga, baik secara materi maupun penggunaan. Data pasien ini umumnya disimpan di dalam server rumah sakit atau peralatan medis yang digunakan pada pasien. Tujuan dari hal ini adalah untuk mempersilahkan dokter, bahkan pasien, untuk saling menginformasikan kondisi kesehatan pasien. Peralatan medis yang sudah cukup mumpuni pun menjadi “peti harta karun” bagi para hackers, apabila tidak dilindungi dengan baik.
Para pemilik dan pimpinan rumah sakit memang sudah siap menyediakan lebih banyak sumber daya untuk keamanan siber. Tapi dengan banyaknya ancaman baru yang ditemukan setiap hari, sulit mengetahui mana yang harus diprioritaskan. Tingginya permintaan atas informasi pasien yang disertai dengan sistem yang sudah usang menjadi salah satu dari beberapa alasan mengapa layanan kesehatan adalah target terbesar serangan siber. Berikut adalah beberapa aspek yang perlu disorot bersama.
Karyawan RS perlu mengakses data secara remote, membuka lebih banyak kesempatan untuk hackers
Kerja kolaboratif merupakan kunci penting dalam industri kesehatan dengan para unit yang bekerja sama untuk memberikan solusi terbaik bagi para pasien. Meski demikian mengakses data secara jarak jauh juga berarti meningkatkan risiko karena tidak semua alat yang digunakan untuk mengakses cukup aman.
Karyawan RS tidak ingin terganggu dalam praktik kerja, hanya karena munculnya teknologi kesehatan yang baru
Karyawan industri kesehatan merupakan salah satu pekerjaan tersibuk dan yang paling langka di dunia. Mereka bekerja dengan waktu yang sangat panjang dan tenggat waktu yang ketat, jadi mereka tidak akan punya waktu maupun tenaga untuk menambah proses keamanan online dalam beban kerja mereka.
Karyawan RS kurang mendapat pengetahuan mengenai Cyber Security, mengurangi ketahahan RS menjaga risiko online
Profesional kesehatan mendapatkan pelatihan untuk mengatasi banyak hal dalam praktik kerjannya, namun hal ini tidak termasuk dengan keamanan online. Keterbatasan dana dan waktu merupakan alasan mengapa sulit bagi semua karyawan layanan kesehatan menjadi mahir di bidang keamanan siber.
Memang tidak semua karyawan akan dengan sengaja mencari keuntungan dari data pasien. Meski demikian, lengah dalam menaati peraturan kunci untuk keamanan data bisa mempermudah serangan oleh para hackers. Meski tidak langsung, kecerobohan karyawan dalam menyimpan data sensitif seperti password dan username bisa menjadi salah satu jalan mudah bagi para hackers untuk membobol keamanan data pasien di rumah sakit.
Pimpinan rumah sakit perlu menyadari bahwa untuk memulai menjaga keamanan data pasien, perlu dimulai dari alat komunikasi yang digunakan oleh para profesional rumah sakit. Telepon genggam, Laptop, dan Tab saling tersambung satu sama lain. Jika peralatan ini hanya dianggap sebagai alat komunikasi, maka data kesehatan mutlak sudah menjadi bebas diakses siapapun. Perlu juga diberikan pelatihan kepada para profesional rumah sakit yang bekerja dari jarak jauh. Ketika mereka paham dengan dampak Cyber Security dan bagaimana cara menganggulanginya, maka langkah penting untuk menjaga data pasien pun sudah dilakukan dengan baik. Rumah sakit juga sudah harus mulai menginvestasikan sumber daya nya untuk keperluan platform Endpoint Detection & Response (EDC) dan Mobile Device Management (MDM).