SOC-as-a-Service
Managed SOC untuk rumah sakit dan penyedia layanan kesehatan Indonesia
Ringkasnya
Cara rumah sakit di Indonesia menjalankan pemantauan SOC 24/7 yang menangkap ransomware dan melindungi rekam medis pasien, tanpa membangun tim analis sendiri.
Rumah sakit tidak bisa memilih kapan ransomware menyerang atau kapan login mencurigakan muncul di SIMRS. Perawatan pasien berjalan sepanjang waktu, perangkat medis tetap terhubung ke jaringan tanpa peduli ada yang mengawasi atau tidak, dan UU PDP memperlakukan pelanggaran data pasien sebagai pelanggaran data pribadi spesifik dengan tenggat notifikasinya sendiri. Security operations center adalah fungsi yang mengawasi insiden itu terus-menerus, dan sebagian besar rumah sakit Indonesia di luar grup terbesar tidak sanggup mengoperasikannya sendiri.
Halaman ini membahas pengoperasian SOC untuk rumah sakit atau klinik Indonesia secara spesifik: ancaman yang menjangkau sistem klinis, aturan yang menentukan iramanya, serta apa yang benar-benar kami pantau. Untuk penjelasan umum tentang cara kerja SOC, lihat halaman layanan SOC-as-a-Service kami.
Mengapa rumah sakit membutuhkan managed SOC
Profil ancaman yang menjangkau rumah sakit dibentuk oleh apa yang ada di balik meja pendaftaran: rekam pasien, perangkat terkoneksi, dan sistem yang tidak boleh padam tanpa memengaruhi perawatan.
Ransomware mengganggu perawatan pasien
Ransomware yang mengenkripsi EMR atau SIMRS bukan sekadar soal biaya perbaikan. Serangan ini bisa memaksa rumah sakit mengalihkan ambulans, menunda jadwal operasi, dan kembali ke rekam kertas selama sistem dipulihkan, itulah sebabnya rumah sakit menghadapi tekanan untuk membayar tebusan lebih cepat dibanding sektor lain.
Pencurian data pasien dan BPJS
Rekam kesehatan bernilai lebih tinggi dibanding kebanyakan jenis data lain di pasar gelap, dan data EMR, SIMRS, serta klaim BPJS Kesehatan milik rumah sakit adalah bentuk terkonsentrasi dari itu. Pelanggaran dapat mengekspos diagnosis, riwayat perawatan, dan detail asuransi dalam jumlah besar.
Eksposur perangkat medis terkoneksi
Pompa infus, monitor pasien, dan peralatan pencitraan sering menjalankan firmware usang dengan kerentanan yang diketahui. Perangkat yang dikompromikan bisa menjadi jalan masuk lebih dalam ke jaringan rumah sakit, dan dalam kasus terburuk menjadi risiko langsung bagi pasien yang terhubung dengannya.
Risiko SATUSEHAT dan integrasi
Permenkes 24/2022 mewajibkan setiap sistem rekam medis elektronik rumah sakit terhubung dan bertukar data dengan platform nasional SATUSEHAT. Setiap titik integrasi adalah API tambahan yang harus diawasi SOC, bukan hanya sistem milik rumah sakit sendiri.
Di atas ancaman itu, Permenkes 24/2022 menentukan irama untuk rekam medis elektronik secara spesifik: kontrol akses, jejak audit, enkripsi, dan interoperabilitas dengan SATUSEHAT wajib dipenuhi setiap rumah sakit, klinik, dan praktik mandiri. UU PDP menambahkan lapisan di atasnya. Pasal 4 mengklasifikasikan data kesehatan sebagai data pribadi spesifik, yang menuntut persetujuan eksplisit pasien saat memprosesnya serta notifikasi pelanggaran ke subjek data dan otoritas dalam 3x24 jam. Managed SOC adalah lapisan operasional yang membuat bagian pemantauan dan deteksi dari kedua aturan itu menjadi nyata, bukan sekadar kebijakan tertulis.
| Kewajiban regulasi | Sumbernya | Cara managed SOC memenuhinya |
|---|---|---|
| Kontrol akses dan jejak audit pada rekam medis elektronik | Permenkes 24/2022 | Pemantauan log akses EMR dan SIMRS, peringatan atas akses rekam yang anomali atau tanpa izin |
| Interoperabilitas dan pertukaran data dengan SATUSEHAT | Permenkes 24/2022 | Pemantauan lalu lintas integrasi SATUSEHAT untuk aktivitas API yang tidak lazim |
| Perlindungan lebih kuat untuk data pribadi spesifik | UU PDP, Pasal 4 | Korelasi akses data pasien dengan sinyal otentikasi dan jaringan |
| Notifikasi pelanggaran dalam 3x24 jam | UU PDP, Pasal 46 | Deteksi dan catatan investigasi memasok isi dan lini waktu notifikasi |
Cara kami menjalankannya untuk rumah sakit
Permukaan serangan rumah sakit lebih luas dari satu sistem saja, jadi kami mengumpulkan dan mengorelasikan log di seluruh estate klinis, bukan satu lapisan saja.
Tujuan menyatukan semua ini adalah korelasi, dilakukan dengan cara yang tidak mengganggu perawatan pasien. Satu login yang tidak lazim ke SIMRS bisa tampak biasa jika berdiri sendiri, tetapi ketika dibaca bersama perangkat asing yang terhubung ke pompa infus dalam jaringan, ia menjadi insiden yang layak dieskalasi. Pemindaian aktif adalah risiko nyata di dekat perangkat medis dengan firmware yang rapuh, jadi kami mengandalkan penemuan pasif dan pengumpulan log untuk bagian estate itu, dan menyimpan yang lebih aktif untuk jendela pemeliharaan yang disepakati bersama tim teknik biomedis rumah sakit. Layanan berjalan dalam empat fase berkelanjutan.
Ketika insiden tereskalasi melampaui penahanan, layanan respons insiden kami mengambil alih investigasi forensik yang lebih dalam dan pemulihan, sementara DPO-as-a-Service kami mengoordinasikan notifikasi UU PDP itu sendiri, karena keduanya berjalan pada tenggat yang sama tetapi merupakan pekerjaan yang terpisah.
Apa yang dikatakan angka tentang sektor ini
279 jt
Rekaman terkait kebocoran basis data BPJS Kesehatan yang dilaporkan pada 2021 (The Jakarta Post)
US$3,33 jt
Rata-rata biaya pelanggaran data di ASEAN pada 2024 (IBM, Cost of a Data Breach 2024)
3x24 jam
Tenggat UU PDP untuk menotifikasi subjek data dan otoritas setelah pelanggaran data pribadi (UU 27/2022, Pasal 46)
Kasus BPJS Kesehatan adalah rujukan yang paling sering dipikirkan organisasi kesehatan Indonesia ketika keamanan data pasien dibahas, sebuah pelanggaran basis data yang dilaporkan melibatkan 279 juta rekaman terkait program jaminan kesehatan nasional. Biaya rata-rata pelanggaran ASEAN dan tenggat notifikasi UU PDP yang singkat menjelaskan mengapa pemantauan berkelanjutan diperlakukan sebagai kontrol dasar bagi rumah sakit, bukan peningkatan opsional. Pelanggaran yang melibatkan data pribadi spesifik seperti rekam kesehatan juga membawa sanksi UU PDP hingga 2 persen dari pendapatan tahunan, dibahas lengkap di halaman kami tentang biaya ketidakpatuhan UU PDP.
Jika Anda ingin memahami apa yang akan dicakup managed SOC bagi rumah sakit atau grup klinik Anda dan bagaimana pemetaannya ke kewajiban UU PDP dan Permenkes Anda, tim kami dapat menyusun langkah pertama yang konkret.
Referensi
Ditinjau oleh Naren Krishnan, Cybersecurity Manager
Pertanyaan umum
Ya, pada sisi deteksi dan bukti. UU PDP mengklasifikasikan data kesehatan sebagai data pribadi spesifik dan mewajibkan notifikasi ke subjek data dan otoritas dalam 3x24 jam sejak pelanggaran data pribadi terjadi. Managed SOC menyediakan pemantauan yang menangkap akses tanpa izin ke sistem EMR dan SIMRS lebih awal, serta catatan investigasi yang menjelaskan apa yang terjadi dan kapan, yang justru menjadi isi notifikasi tersebut. SOC tidak menggantikan manajemen persetujuan pasien, pemetaan data, atau DPO yang memegang hubungan regulasi.
Terkait
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.