Penetration Testing
Penetration testing untuk rumah sakit dan penyedia layanan kesehatan Indonesia
Ringkasnya
Cara rumah sakit di Indonesia menguji sistem EMR, integrasi SATUSEHAT, dan perangkat medis dari celah yang bisa dieksploitasi sebelum data pasien bocor.
Rumah sakit tidak bisa menunggu terjadi pelanggaran untuk mengetahui apakah SIMRS atau koneksi SATUSEHAT-nya bisa dieksploitasi, dan keselamatan pasien menaikkan taruhan untuk mendapat jawaban itu tanpa menimbulkan kerugian di sepanjang prosesnya. Halaman ini membahas apa yang harus tercakup untuk rumah sakit atau klinik secara spesifik, bagaimana pengujian perlu menyesuaikan diri dengan perangkat medis terkoneksi, dan apa yang terjadi setelah laporan selesai. Untuk penjelasan umum tentang cara kerja penetration test, lihat halaman layanan penetration testing kami.
Mengapa pengujian terlihat berbeda di rumah sakit
Pengujian keamanan di rumah sakit harus memperhitungkan dua hal yang tidak begitu menonjol di tempat lain: seberapa banyak yang berada di balik satu sistem rekam pasien, dan seberapa kecil toleransi operasi klinis terhadap downtime atau perangkat rapuh yang rusak.
Platform EMR dan SIMRS
Sistem informasi rumah sakit dan platform rekam medis elektronik menyimpan bentuk terkonsentrasi dari yang diincar penyerang: diagnosis, riwayat perawatan, data identitas, dan detail asuransi. Celah otentikasi dan kontrol akses di sini adalah temuan paling bernilai yang bisa diungkap pengujian.
Endpoint integrasi SATUSEHAT
Permenkes 24/2022 mewajibkan setiap sistem EMR rumah sakit bertukar data dengan platform nasional SATUSEHAT. Setiap titik integrasi adalah API yang masuk cakupan, dan otorisasi lemah atau validasi yang hilang pada koneksi itu adalah jalan langsung menuju data pasien.
Perangkat medis terkoneksi
Pompa infus, monitor pasien, dan peralatan pencitraan sering membawa firmware usang dan tidak pernah dirancang dengan mempertimbangkan eksposur jaringan. Pengujian harus mengidentifikasi apa yang bisa dijangkau perangkat yang dikompromikan, tanpa memperlakukan perangkat itu sendiri sebagai target uji biasa.
Segmentasi antara jaringan klinis dan administratif
Pertanyaan sebenarnya adalah apakah workstation meja depan atau jaringan tamu yang dikompromikan bisa menjangkau SIMRS atau perangkat medis yang terhubung ke jaringan. Pengujian segmentasi memeriksa batas itu, bukan mengasumsikannya bertahan.
Tidak ada mandat pengujian tunggal yang ditulis khusus untuk rumah sakit seperti SEOJK 29/2022 bagi bank, tetapi kewajibannya tetap ada secara substansi. Permenkes 24/2022 mewajibkan kontrol akses, jejak audit, dan enkripsi pada rekam medis elektronik, dan UU PDP mewajibkan pengendali data menerapkan langkah teknis yang memadai untuk melindungi data pribadi spesifik, termasuk rekam kesehatan. Penetration test adalah salah satu cara paling jelas untuk menunjukkan langkah-langkah itu benar-benar berfungsi, bukan sekadar ada di atas kertas.
Cara kami mengujinya dan menyesuaikan dengan perawatan pasien
Kendala yang paling membentuk pengujian di rumah sakit adalah apa yang tidak bisa diuji seperti sistem perusahaan biasa.
Setiap penugasan mencakup retest gratis setelah perbaikan selesai, dan temuan dijadwalkan mengikuti jendela pemeliharaan yang disepakati tim teknik biomedis dan TI rumah sakit sendiri, sehingga pengujian tidak menjadi penyebab sistem klinis padam.
Apa yang dikatakan angka tentang sektor ini
279 jt
Rekaman terkait kebocoran basis data BPJS Kesehatan yang dilaporkan pada 2021 (The Jakarta Post)
US$3,33 jt
Rata-rata biaya pelanggaran data di ASEAN pada 2024 (IBM, Cost of a Data Breach 2024)
Sistem yang tidak diuji adalah cara satu celah yang bisa dieksploitasi pada platform EMR atau koneksi SATUSEHAT berubah menjadi pelanggaran sebesar kasus BPJS Kesehatan. Dengan rata-rata biaya pelanggaran ASEAN yang sudah mencapai jutaan dolar, pengujian yang benar-benar ditindaklanjuti sebelum penyerang menemukan celahnya adalah salah satu cara paling langsung bagi grup rumah sakit untuk bergerak dari titik dasar itu.
Jika rumah sakit atau grup klinik Anda membutuhkan pengujian yang mencakup hal yang benar-benar penting, sistem data pasien, integrasi SATUSEHAT, dan perangkat terkoneksi, tim kami dapat menyusun langkah berikutnya yang konkret.
Referensi
Ditinjau oleh Naren Krishnan, Cybersecurity Manager
Pertanyaan umum
Tidak ada mandat pengujian khusus rumah sakit seperti yang ditetapkan OJK untuk bank, tetapi kewajibannya tetap ada secara substansi. Permenkes 24/2022 mewajibkan rumah sakit mengamankan rekam medis elektronik dengan kontrol akses, jejak audit, dan enkripsi, sementara UU PDP mewajibkan pengendali data menerapkan langkah teknis yang memadai untuk melindungi data pribadi spesifik seperti rekam kesehatan. Penetration test adalah salah satu cara paling langsung untuk menunjukkan langkah-langkah itu benar-benar berfungsi, bukan sekadar asumsi bahwa kontrol akses bekerja sesuai rancangan.
Terkait
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.