Langsung ke konten utama

Penetration Testing

Penetration testing untuk rumah sakit dan penyedia layanan kesehatan Indonesia

Ringkasnya

Cara rumah sakit di Indonesia menguji sistem EMR, integrasi SATUSEHAT, dan perangkat medis dari celah yang bisa dieksploitasi sebelum data pasien bocor.

Penetration testing

Rumah sakit tidak bisa menunggu terjadi pelanggaran untuk mengetahui apakah SIMRS atau koneksi SATUSEHAT-nya bisa dieksploitasi, dan keselamatan pasien menaikkan taruhan untuk mendapat jawaban itu tanpa menimbulkan kerugian di sepanjang prosesnya. Halaman ini membahas apa yang harus tercakup untuk rumah sakit atau klinik secara spesifik, bagaimana pengujian perlu menyesuaikan diri dengan perangkat medis terkoneksi, dan apa yang terjadi setelah laporan selesai. Untuk penjelasan umum tentang cara kerja penetration test, lihat halaman layanan penetration testing kami.

Mengapa pengujian terlihat berbeda di rumah sakit

Pengujian keamanan di rumah sakit harus memperhitungkan dua hal yang tidak begitu menonjol di tempat lain: seberapa banyak yang berada di balik satu sistem rekam pasien, dan seberapa kecil toleransi operasi klinis terhadap downtime atau perangkat rapuh yang rusak.

Platform EMR dan SIMRS

Sistem informasi rumah sakit dan platform rekam medis elektronik menyimpan bentuk terkonsentrasi dari yang diincar penyerang: diagnosis, riwayat perawatan, data identitas, dan detail asuransi. Celah otentikasi dan kontrol akses di sini adalah temuan paling bernilai yang bisa diungkap pengujian.

Endpoint integrasi SATUSEHAT

Permenkes 24/2022 mewajibkan setiap sistem EMR rumah sakit bertukar data dengan platform nasional SATUSEHAT. Setiap titik integrasi adalah API yang masuk cakupan, dan otorisasi lemah atau validasi yang hilang pada koneksi itu adalah jalan langsung menuju data pasien.

Perangkat medis terkoneksi

Pompa infus, monitor pasien, dan peralatan pencitraan sering membawa firmware usang dan tidak pernah dirancang dengan mempertimbangkan eksposur jaringan. Pengujian harus mengidentifikasi apa yang bisa dijangkau perangkat yang dikompromikan, tanpa memperlakukan perangkat itu sendiri sebagai target uji biasa.

Segmentasi antara jaringan klinis dan administratif

Pertanyaan sebenarnya adalah apakah workstation meja depan atau jaringan tamu yang dikompromikan bisa menjangkau SIMRS atau perangkat medis yang terhubung ke jaringan. Pengujian segmentasi memeriksa batas itu, bukan mengasumsikannya bertahan.

Tidak ada mandat pengujian tunggal yang ditulis khusus untuk rumah sakit seperti SEOJK 29/2022 bagi bank, tetapi kewajibannya tetap ada secara substansi. Permenkes 24/2022 mewajibkan kontrol akses, jejak audit, dan enkripsi pada rekam medis elektronik, dan UU PDP mewajibkan pengendali data menerapkan langkah teknis yang memadai untuk melindungi data pribadi spesifik, termasuk rekam kesehatan. Penetration test adalah salah satu cara paling jelas untuk menunjukkan langkah-langkah itu benar-benar berfungsi, bukan sekadar ada di atas kertas.

Cara kami mengujinya dan menyesuaikan dengan perawatan pasien

Kendala yang paling membentuk pengujian di rumah sakit adalah apa yang tidak bisa diuji seperti sistem perusahaan biasa.

Platform SIMRS dan EMREndpoint integrasi SATUSEHATSistem PACS dan pencitraanSegmentasi jaringan perangkat medis terkoneksiPerimeter jaringan eksternal dan portal pasienBeban kerja rumah sakit yang di-hosting cloud
Menetapkan cakupan sesuai operasi klinis dan kendala keselamatan pasienMenguji EMR, SIMRS, integrasi SATUSEHAT, dan segmentasi jaringanMenilai perangkat medis lewat pengujian pasif dan segmentasi, bukan eksploitasi aktif pada unit yang sedang digunakanMenyerahkan laporan dengan prioritas remediasi dan retest gratis

Setiap penugasan mencakup retest gratis setelah perbaikan selesai, dan temuan dijadwalkan mengikuti jendela pemeliharaan yang disepakati tim teknik biomedis dan TI rumah sakit sendiri, sehingga pengujian tidak menjadi penyebab sistem klinis padam.

Apa yang dikatakan angka tentang sektor ini

279 jt

Rekaman terkait kebocoran basis data BPJS Kesehatan yang dilaporkan pada 2021 (The Jakarta Post)

US$3,33 jt

Rata-rata biaya pelanggaran data di ASEAN pada 2024 (IBM, Cost of a Data Breach 2024)

Sistem yang tidak diuji adalah cara satu celah yang bisa dieksploitasi pada platform EMR atau koneksi SATUSEHAT berubah menjadi pelanggaran sebesar kasus BPJS Kesehatan. Dengan rata-rata biaya pelanggaran ASEAN yang sudah mencapai jutaan dolar, pengujian yang benar-benar ditindaklanjuti sebelum penyerang menemukan celahnya adalah salah satu cara paling langsung bagi grup rumah sakit untuk bergerak dari titik dasar itu.

Jika rumah sakit atau grup klinik Anda membutuhkan pengujian yang mencakup hal yang benar-benar penting, sistem data pasien, integrasi SATUSEHAT, dan perangkat terkoneksi, tim kami dapat menyusun langkah berikutnya yang konkret.

Referensi

  1. 1.Republik Indonesia, UU No. 27 Tahun 2022 (UU PDP)
  2. 2.Kementerian Kesehatan, Permenkes No. 24 Tahun 2022 tentang Rekam Medis
  3. 3.The Jakarta Post, pemberitaan dugaan kebocoran data BPJS Kesehatan 2021
  4. 4.IBM Security, Cost of a Data Breach Report 2024 (angka ASEAN)

Ditinjau oleh Naren Krishnan, Cybersecurity Manager

Pertanyaan umum

Tidak ada mandat pengujian khusus rumah sakit seperti yang ditetapkan OJK untuk bank, tetapi kewajibannya tetap ada secara substansi. Permenkes 24/2022 mewajibkan rumah sakit mengamankan rekam medis elektronik dengan kontrol akses, jejak audit, dan enkripsi, sementara UU PDP mewajibkan pengendali data menerapkan langkah teknis yang memadai untuk melindungi data pribadi spesifik seperti rekam kesehatan. Penetration test adalah salah satu cara paling langsung untuk menunjukkan langkah-langkah itu benar-benar berfungsi, bukan sekadar asumsi bahwa kontrol akses bekerja sesuai rancangan.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.