Langsung ke konten utama

SOC-as-a-Service

Managed SOC untuk rumah sakit dan penyedia layanan kesehatan Indonesia

Ringkasnya

Cara rumah sakit di Indonesia menjalankan pemantauan SOC 24/7 yang menangkap ransomware dan melindungi rekam medis pasien, tanpa membangun tim analis sendiri.

Healthcare solutions

Rumah sakit tidak bisa memilih kapan ransomware menyerang atau kapan login mencurigakan muncul di SIMRS. Perawatan pasien berjalan sepanjang waktu, perangkat medis tetap terhubung ke jaringan tanpa peduli ada yang mengawasi atau tidak, dan UU PDP memperlakukan pelanggaran data pasien sebagai pelanggaran data pribadi spesifik dengan tenggat notifikasinya sendiri. Security operations center adalah fungsi yang mengawasi insiden itu terus-menerus, dan sebagian besar rumah sakit Indonesia di luar grup terbesar tidak sanggup mengoperasikannya sendiri.

Halaman ini membahas pengoperasian SOC untuk rumah sakit atau klinik Indonesia secara spesifik: ancaman yang menjangkau sistem klinis, aturan yang menentukan iramanya, serta apa yang benar-benar kami pantau. Untuk penjelasan umum tentang cara kerja SOC, lihat halaman layanan SOC-as-a-Service kami.

Mengapa rumah sakit membutuhkan managed SOC

Profil ancaman yang menjangkau rumah sakit dibentuk oleh apa yang ada di balik meja pendaftaran: rekam pasien, perangkat terkoneksi, dan sistem yang tidak boleh padam tanpa memengaruhi perawatan.

Ransomware mengganggu perawatan pasien

Ransomware yang mengenkripsi EMR atau SIMRS bukan sekadar soal biaya perbaikan. Serangan ini bisa memaksa rumah sakit mengalihkan ambulans, menunda jadwal operasi, dan kembali ke rekam kertas selama sistem dipulihkan, itulah sebabnya rumah sakit menghadapi tekanan untuk membayar tebusan lebih cepat dibanding sektor lain.

Pencurian data pasien dan BPJS

Rekam kesehatan bernilai lebih tinggi dibanding kebanyakan jenis data lain di pasar gelap, dan data EMR, SIMRS, serta klaim BPJS Kesehatan milik rumah sakit adalah bentuk terkonsentrasi dari itu. Pelanggaran dapat mengekspos diagnosis, riwayat perawatan, dan detail asuransi dalam jumlah besar.

Eksposur perangkat medis terkoneksi

Pompa infus, monitor pasien, dan peralatan pencitraan sering menjalankan firmware usang dengan kerentanan yang diketahui. Perangkat yang dikompromikan bisa menjadi jalan masuk lebih dalam ke jaringan rumah sakit, dan dalam kasus terburuk menjadi risiko langsung bagi pasien yang terhubung dengannya.

Risiko SATUSEHAT dan integrasi

Permenkes 24/2022 mewajibkan setiap sistem rekam medis elektronik rumah sakit terhubung dan bertukar data dengan platform nasional SATUSEHAT. Setiap titik integrasi adalah API tambahan yang harus diawasi SOC, bukan hanya sistem milik rumah sakit sendiri.

Di atas ancaman itu, Permenkes 24/2022 menentukan irama untuk rekam medis elektronik secara spesifik: kontrol akses, jejak audit, enkripsi, dan interoperabilitas dengan SATUSEHAT wajib dipenuhi setiap rumah sakit, klinik, dan praktik mandiri. UU PDP menambahkan lapisan di atasnya. Pasal 4 mengklasifikasikan data kesehatan sebagai data pribadi spesifik, yang menuntut persetujuan eksplisit pasien saat memprosesnya serta notifikasi pelanggaran ke subjek data dan otoritas dalam 3x24 jam. Managed SOC adalah lapisan operasional yang membuat bagian pemantauan dan deteksi dari kedua aturan itu menjadi nyata, bukan sekadar kebijakan tertulis.

Kewajiban regulasiSumbernyaCara managed SOC memenuhinya
Kontrol akses dan jejak audit pada rekam medis elektronikPermenkes 24/2022Pemantauan log akses EMR dan SIMRS, peringatan atas akses rekam yang anomali atau tanpa izin
Interoperabilitas dan pertukaran data dengan SATUSEHATPermenkes 24/2022Pemantauan lalu lintas integrasi SATUSEHAT untuk aktivitas API yang tidak lazim
Perlindungan lebih kuat untuk data pribadi spesifikUU PDP, Pasal 4Korelasi akses data pasien dengan sinyal otentikasi dan jaringan
Notifikasi pelanggaran dalam 3x24 jamUU PDP, Pasal 46Deteksi dan catatan investigasi memasok isi dan lini waktu notifikasi

Cara kami menjalankannya untuk rumah sakit

Permukaan serangan rumah sakit lebih luas dari satu sistem saja, jadi kami mengumpulkan dan mengorelasikan log di seluruh estate klinis, bukan satu lapisan saja.

Sistem informasi rumah sakit (SIMRS)Platform rekam medis elektronik (EMR)Endpoint integrasi SATUSEHATSistem PACS dan pencitraanPerangkat medis terkoneksi (IoMT)Sistem klaim BPJS KesehatanEndpoint, server, dan beban kerja cloudSistem identitas dan akses

Tujuan menyatukan semua ini adalah korelasi, dilakukan dengan cara yang tidak mengganggu perawatan pasien. Satu login yang tidak lazim ke SIMRS bisa tampak biasa jika berdiri sendiri, tetapi ketika dibaca bersama perangkat asing yang terhubung ke pompa infus dalam jaringan, ia menjadi insiden yang layak dieskalasi. Pemindaian aktif adalah risiko nyata di dekat perangkat medis dengan firmware yang rapuh, jadi kami mengandalkan penemuan pasif dan pengumpulan log untuk bagian estate itu, dan menyimpan yang lebih aktif untuk jendela pemeliharaan yang disepakati bersama tim teknik biomedis rumah sakit. Layanan berjalan dalam empat fase berkelanjutan.

Onboarding sumber log dari EMR, SIMRS, dan perangkat terkoneksiPemantauan dan korelasi 24/7 tanpa mengganggu operasi klinisTriase, penahanan, dan eskalasi sesuai playbookMengisi catatan notifikasi pelanggaran dan menyetel deteksi

Ketika insiden tereskalasi melampaui penahanan, layanan respons insiden kami mengambil alih investigasi forensik yang lebih dalam dan pemulihan, sementara DPO-as-a-Service kami mengoordinasikan notifikasi UU PDP itu sendiri, karena keduanya berjalan pada tenggat yang sama tetapi merupakan pekerjaan yang terpisah.

Apa yang dikatakan angka tentang sektor ini

279 jt

Rekaman terkait kebocoran basis data BPJS Kesehatan yang dilaporkan pada 2021 (The Jakarta Post)

US$3,33 jt

Rata-rata biaya pelanggaran data di ASEAN pada 2024 (IBM, Cost of a Data Breach 2024)

3x24 jam

Tenggat UU PDP untuk menotifikasi subjek data dan otoritas setelah pelanggaran data pribadi (UU 27/2022, Pasal 46)

Kasus BPJS Kesehatan adalah rujukan yang paling sering dipikirkan organisasi kesehatan Indonesia ketika keamanan data pasien dibahas, sebuah pelanggaran basis data yang dilaporkan melibatkan 279 juta rekaman terkait program jaminan kesehatan nasional. Biaya rata-rata pelanggaran ASEAN dan tenggat notifikasi UU PDP yang singkat menjelaskan mengapa pemantauan berkelanjutan diperlakukan sebagai kontrol dasar bagi rumah sakit, bukan peningkatan opsional. Pelanggaran yang melibatkan data pribadi spesifik seperti rekam kesehatan juga membawa sanksi UU PDP hingga 2 persen dari pendapatan tahunan, dibahas lengkap di halaman kami tentang biaya ketidakpatuhan UU PDP.

Jika Anda ingin memahami apa yang akan dicakup managed SOC bagi rumah sakit atau grup klinik Anda dan bagaimana pemetaannya ke kewajiban UU PDP dan Permenkes Anda, tim kami dapat menyusun langkah pertama yang konkret.

Referensi

  1. 1.Republik Indonesia, UU No. 27 Tahun 2022 (UU PDP)
  2. 2.Kementerian Kesehatan, Permenkes No. 24 Tahun 2022 tentang Rekam Medis
  3. 3.The Jakarta Post, pemberitaan dugaan kebocoran data BPJS Kesehatan 2021
  4. 4.IBM Security, Cost of a Data Breach Report 2024 (angka ASEAN)

Ditinjau oleh Naren Krishnan, Cybersecurity Manager

Pertanyaan umum

Ya, pada sisi deteksi dan bukti. UU PDP mengklasifikasikan data kesehatan sebagai data pribadi spesifik dan mewajibkan notifikasi ke subjek data dan otoritas dalam 3x24 jam sejak pelanggaran data pribadi terjadi. Managed SOC menyediakan pemantauan yang menangkap akses tanpa izin ke sistem EMR dan SIMRS lebih awal, serta catatan investigasi yang menjelaskan apa yang terjadi dan kapan, yang justru menjadi isi notifikasi tersebut. SOC tidak menggantikan manajemen persetujuan pasien, pemetaan data, atau DPO yang memegang hubungan regulasi.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.