REKAMAN WEBINAR

Pelajaran dari 2016 untuk 2017: Waktunya untuk Memperhatikan Ancaman Keamanan Data Kesehatan

 
Ilustrasi Health Information Security 2016 to 2017

Laporan dari Protenus menemukan bahwa sebuah organisasi pelayanan kesehatan rata-rata membutuhkan waktu sekitar 607 hari untuk menemukan penerobos yang masuk ke dalam database kesehatan.

Sepanjang 2016, pesan dari beberapa pakar cybersecurity telah dikomuniksikan secara konsisten dan kepentingannya cukup mendesak, dimana para pemimpin di organisasi pelayanan kesehatan perlu untuk memprioritaskan keamanan informasi dan teknologi mereka, karena di Negeri tempat Donald Trump dijadikan presiden ini, para pemimpin tersebut belum melakukan hal yang cukup untuk melindungi data-data pasien.

Berdasarkan laporan terbaru “Breach Barometer” dari Protenus, vendor cybersecurity pelayanan kesehatan yang berbasis di Baltimore, yang berkolaborasi dengan suatu situs penyedia berita penerobosan data, industri pelayanan kesehatan telah tergoda dengan penerobosan yang melibatkan data kesehatan atau data pasien di tahun 2016, dimana insidensi peretasan dan ransomware menjadi pengingat masyarakat akan masih rentannya proteksi terhadap informasi kesehatan (protected health information / PHI).

Berdasarkan analisis Protenus dan situs tersebut, ada 450 insiden penerobosan data yang dilaporkan ke 

Departement of Health and Human Service (HSS) atau yang dibongkar oleh media pada tahun 2016, dimana setidaknya setiap hari sepanjang tahun selalu ada insidensi penerobosan data, dan penerobosan-penerobosan ini berdampak pada 27 juta rekam medis pasien. Bila tren ini terus berlanjut, pada tahun 2017 ini dapat diprediksi bahwa setidaknya paling sedikit akan ada satu penerobosan data setiap harinya.

Laporan lain dari Protenus menemukan beberapa temuan yang penting, dimana para ahli mengungkapkan bahwa karyawan di organisasi pelayanan kesehatanlah yang memiliki link paling lemah dalam pertahanan cybersecurity, dimana menurut Healther Landi, penulis dari situs healthcare-informatics.net, hal inilah yang menjadi dasar akan pentingnya untuk melakukan review terhadap insidensi penerobosan data, dengan mengambil pelajaran dari insidensi yang sudah terjadi, serta dengan menemukan cara untuk melindungi privasi pasien.

Protenus melaporkan bahwa 43% dari penerobosan data di tahun 2016 (192 insiden) yang dilakukan oleh para penerobos, dan 162 insidennya, memberikan dampak pada 2 juta riwayat pasien.

Menurut laporan dari Protenus, rata-rata insiden penerobosan rekam pasien yang terjadi karena error, terjadi tiga kali lebih sering daripada penerobosan yang disebabkan oleh penerobos dengan niat yang tidak baik. Meskipun begitu, pelaku insidensi semacam ini, seperti yang tertera dalam laporan Protenus, teralihkan identitasnya karena adanya dua insiden error yang besar pada bulan Agustus dan Desember, dimana ketika error tersebut dihilangkan, akan terlihat dua kategori yang rata-rata secara kasar hampir sama.

Penulis dari Protenus mengemukakan bahwa, ketika memastikan ulang bahwa tidak semua penerobos memiliki niat yang tidak baik, organisasi pelayanan kesehatan perlu memprioritaskan untuk membuat pelatihan untuk karyawan, pengingat yang dapat terus mengingatkan, dan pelatihan-pelatihan lagi.

Menurut Healther, salah satu alasan mengapa kejadian penerobosan perlu digarisbawahi, adalah dimana terdapat bukti bahwa banyak masalah penerobosan data tidak diperhatikan karena organisasi pelayanan kesehatan hanya fokus kepada ancaman-ancaman dari luar saja, bukan dari dalam. Sebagai tambahan, para penerobos ini cenderung bergerak di bawah radar dan dapat tidak terdeteksi untuk beberapa waktu. Pada titik ini, Healther menyoroti satu insiden, dimana karyawan rumah sakit berpotensi secara tidak tepat mengakses informasi medis pasien selama bertahun-tahun tanpa terdeteksi, karena rumah sakit tidak memiliki teknologi untuk memonitor maupun untuk memproteksi privasi dari pasien. Rumah sakit tersebut pada akhirnya menemukan potensi pengaksesan data tidak tepat pada rekam medis dari tahun 2013, yang kemungkinan dapat terjadi jauh sebelum tahun tersebut.

“Tanpa teknologi yang dapat menyediakan peringatan ketika ada yang mengakses rekam medis secara tidak tepat (tanpa wewenang yang seharusnya), rumah sakit-rumah sakit tersebut seharusnya dapat memberitahukan kepada setiap pasien mereka sejak tahun 2013, yang tentunya akan menjadi proses yang sangat memakan biaya.”  tutur Healther.

Penemuan yang dilaporkan oleh Protenus juga mengindikasikan bahwa rata-rata dari 233 hari, sebuah organisasi pelayanan kesehatan menemukan bahwa data kesehatan yang mereka miliki telah diterobos. Tentunya yang menjadi masalah utama adalah ketika kasus penerobosan dilakukan oleh orang-orang internal, karena hal tersebut akan memakan waktu lebih dari dua kali lipat dari waktu sebelumnya, yaitu 607 hari. Menurut Healther, adalah yang penting untuk organisasi pelayanan kesehatan dalam melakukan pendekatan yang proaktif untuk memonitoring data pasien, karena semakin cepat kejadian penerobosan terdeteksi, semakin cepat pelayanan kesehatan-pelayanan kesehatan tersebut dapat memitigasi resiko dari dampak negatif yang signifikan terhadap data-data pasien tersebut.

Ketika terbatasnya anggaran dan sumber daya-sumber daya disalahkan oleh beberapa organisasi terkait kapabilitas pendeteksian penerobosan data, laporan dari Protenus meringkas bahwa organisasi-organisasi tersebut cenderung reaktif daripada proaktif terhadap pendekatan monitoring privasi, dan hal ini tentunya dapat mengijinkan akses tanpa wewenang yang tak ternotifikasi pada data-data pasien untuk jangka waktu yang cukup lama.

Pada suatu kesempatan, Mac McMillan, CEO Austin, perusahaan konsultansi yang berbasis di Texas, memiliki pandangan yang sama terhadap kemananan data pelayanan kesehatan. “Saya rasa sudah ada beberapa teman yang mulai sedikit proaktif; tetapi sebagian besarnya, kami masihlah industri yang sangat reaktif.” ungkap McMillan.

Disamping menyinggung secara spesifik terkait penerobosan data, McMillan mengatakan bahwa penerobosan-penerobosan data tersebut tetap berlanjut menjadi masalah sampai organisasi pelayanan kesehatan menyadari bahwa organisasi-organisasi tersebut perlu merubah model perilaku dan model analisis kita dalam menghentikan ancaman penerobosan data tersebut. Situasi penerobosan data ini, menurut McMillan, adalah salah satu situasi dimana organisasi-organisasi kesehatan perlu menggunakan metode kuno, dimana organisasi-organisasi tersebut perlu memonitoring pengguna berdasarkan aturan-aturan, dengan kata lain, dengan melihat seseorang yang keluar dari hal yang seharusnya mereka lakukan atau dari aturan yang telah disepakati yang terdapat dalam sistem yamg terdapat di dalam profil mereka. Masalahnya, tambah McMillan, adalah hampir semua penerobos mengabadikan kesalahan, artinya, mereka mengetahui apa saja aturan yang ada dan secara hati-hati bertindak tanpa melewati garis batas – garis batas tersebut. Dan, jika organisasi – organisasi pelayanan kesehatan tidak melihat perilaku tersebut, McMillan yakin, pelaku insidensi penerobosan tidak akan pernah tertangkap.

McMillan menggarisbawahi bahwa seorang karyawan yang datang untuk kerja dengan dengan banyak orang dan melakukan pekerjaan mereka sehari-hari, secara umum akan melihat jumlah pasien selama shift mereka dan mereka akan memiliki pola kebiasaan yang merefleksikan bahwa orang tersebut sedang melakukan pekerjaan mereka. “Orang yang mengintai atau memancing disekitar database atau mencuri identitas akan memiliki profil yang secara identik dua atau tiga kali berbeda dari orang yang hanya melakukan pekerjaan mereka saja. Selama mereka tetap berada pada batas tertentu dari profil mereka, sistem tersebut tidak akan pernah berkata apapun, dan alarm-pun tidak akan pernah berbunyi. Satu-satunya cara untuk mendeteksi tindakan penerobosan data adalah dengan melakukan anailisis perilaku.” tutur McMillan.

Sebagian besar pakar di bidang cybersecurity setuju, untuk dapat mengatasi penerobosan oleh orang dalam, organisasi pelayanan kesehatan perlu untuk melatih karyawan mereka sembari menggunakan teknologi untuk mendeteksi akses tidak wajar terhadap rekam medis elektronik.

Penyebab lain yang perlu menjadi perhatian adalah ketika Kantor HHS untuk Civil Rights secara tipikal fokus kepada pelanggaran privasi yang lebih besar, dimana hal tersebut telah menandakan bahwa pelanggaran skala kecil pada privasi medis terkadang dapat menyebabkan luka yang paling parah. Contohnya adalah ketika seorang peneliti dari Protenus melaporkan bahwa seorang karyawan rumah sakit membagikan detail dari seorang remaja yang mencoba melakukan bunuh diri dengan orang-orang yang ada disekolahnya. “Anak tersebut telah dibully dan ditertawakan oleh teman-teman sebayanya, yang menyebabkan ibu dari anak tersebut menggugat organisasi pelayanan kesehatan yang bertanggung jawab tersebut. Penerobosan skala kecil ini dapat berdampak hebat pada kehidupan pasien dan berimbas signifikan pada pengeluaran rumah sakit untuk pembiayaan, denda, dan penyelesaian secara hukum.” ungkap peneliti dari Protenus tersebut.

Disamping dampak negatif dari segi pemberitaan dan dampak secara finansial terhadap organisasi pelayanan kesehatan, tutur Healther, disana juga terdapat faktor kepercayaan, dan hal tersebut harus selalu ada didepan dan didalam pemikiran para pemimpin di pelayanan kesehatan.  Melindungi dan mengamankan data pasien adalah hal yang essensial untuk diperbaiki, begitu juga dengan meningkatkan kepercayaan pasien kepada penyedia pelayanan kesehatan.

“Secara kritis, pelayanan kesehatan harus bergerak maju untuk memikirkan perihal diluar privasi, keamanan, atau compliance saja, karena  ketiga hal tersebut merupakan pilar utama untuk tujuan sesungguhnya: memastikan kepercayaan. Sebagai sebuah industri (pelayanan kesehatan), kita harus memikirkan pergantian fundamental yang dapat berpengaruh untuk membangun dan memperbaiki kepercayaan.”

Karena meningkatnya perhatian terhadap dampak dari insidensi penerobosan, Protenus memprediksi bahwa tahun 2017 ini akan menjadi “Tahun Kewaspadaan Penerobosan”, dimana organisasi pelayanan kesehatan mulai menyadari untuk melihat problem yang konstan dan signifikan ini telah tidak ditindaklanjuti untuk waktu yang lama. Healther menuturkan, diluar sana ada banyak organisasi pelayanan pasien yang secara proaktif menyelesaikan masalah yang ada, dan telah cukup lama berdiam diri untuk beberapa waktu, untuk membangun solusi teknologi pengamanan, yang salah satunya adalah penganalisis perilaku, seperti yang dituturkan oleh McMillan, serta berinvestasi pada sumber daya yang ada untuk melakukan pelatihan dan pendidikan karyawan. Ada beberapa pelajaran yang dapat diambil dari organisasi-organisasi tersebut, dimana ungkap Healther, informatika kesehatan akan lebih banyak membahas mengenai pelajaran-pelajaran tersebut di tahun ini, dengan banyaknya pemimpin di bidang informatika kesehatan yang akan lanjut untuk bergulat dengan tantangan-tantangan terkait kemanan data.

Secara garis besar, tulisan diatas merupakan tren yang diprediksi akan berkembang di Amerika Serikat, dan mungkin juga di seluruh dunia. Nah, bagaimana dengan kabar keamanan data kesehatan di Indonesia?

Sumber: healthcare-informatics.net

Trackback from your site.

Leave a comment