Data Medis yang Bocor Bisa Jadi 'Makanan Empuk'

Ilustrasi serangan siber.
Sumber :
  • KFGO.com

VIVA – Kementerian Kesehatan atau Kemenkes mengaku sedang menelusuri dugaan kebocoran data medis dari 6 juta pasien yang dijual di raid forum. Mereka tengah mengevaluasi permasalahan yang terjadi termasuk sistemnya.

Peneliti keamanan siber Alfons Tanujaya menilai tanggapan yang diberikan Kemenkes cukup cepat dan sudah mengalami kemajuan dibandingkan kasus sebelumnya.

"Hal ini patut diapresiasi dan diharapkan pengelola data segera mengindentifikasi penyebab kebocoran data lalu mengumumkan data apa saja yang bocor supaya pemilik data tidak menjadi korban eksploitasi," kata dia di Jakarta, Jumat, 7 Januari 2022.

Data medis yang bocor berisi keluhan pasien, surat rujukan Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan, laporan radiologi, hasil tes laboratorium dan surat persetujuan menjalani isolasi untuk COVID-19.

Kebocoran data juga menyertakan nomor induk kependudukan (NIK), anamnesis atau data keluhan utama pasien, diagnosis dengan kode ICD 10 atau pengkodean diagnosis internasional, alamat rumah, tanggal lahir hingga nomor ponsel.

Menurutnya, data medis yang bocor bisa disalahgunakan dan mengakibatkan kerugian besar bagi pemiliknya.

Jika pasien yang mengalami kebocoran data mengidap penyakit atau kondisi medis tertentu yang sifatnya rahasia, yang kemudian jika diketahui oleh publik akan mengakibatkan dirinya dijauhi atau diberhentikan dari pekerjaannya.

"Atau, foto medis pasien yang tidak pantas dilihat lalu disebarkan yang akan memberikan dampak psikologis yang berat bagi pasien. Ini hanya sedikit risiko sehubungan dengan rekam medis yang bocor. Belum terhitung data pribadi seperti nomor telepon dan data kependudukan. Yang jelas akan jadi sasaran eksploitasi," tegas Alfons.

Insiden ini bisa menjadi pembelajaran bagi pengelola data penting. Pengamanan data tidak hanya cukup dilakukan dari sisi perlindungan terhadap penyanderaan data yang dapat mengembalikan data sekalipun di enkripsi ransomware.

Data penting juga harus dilindungi dari aksi extortionware, di mana jika korbannya tetap tidak mau membayar karena memiliki backup data, maka data yang berhasil diretas diancam untuk disebarkan ke publik jika pengelola data tidak membayar uang tebusan yang diminta.

"Langkah antisipasi yang tepat harus dilakukan seperti mengenkripsi database sensitif di server sehingga sekalipun berhasil diretas tetap tidak akan bisa dibuka atau mengimplementasikan Data Loss Prevention (DLP)," jelas Alfons.