6 Juta Data Pasien Rumah Sakit Indonesia Bocor, Ini Resiko dan Pencegahannya

Jumat, 07 Januari 2022 | 21:00
RaidForums

6 Juta Data Medis dan dijual di RaidForums

Nextren.com - Awal tahun 2022 ini ada kabar kurang sedap bagi masyarakat Indonesia, yaitu dugaan bocornya jutaan data identitas pasien lengkap dengan hasil tes kesehatannya.

Jutaan data pribadi yang beredar luas bisa disalahgunakan untuk kejahatan atau menjadi sasaran marketing dan promosi yang bersifat spam.

Bagaimana penanganan data di negara lain? Yuk kita simak kasus berikut ini.

McDonalds mengalami kebocoran data di bulan Juni 2021 dimana peretas berhasil mencuri data dari sistemnya di pasar Amerika, Korea Selatan dan Taiwan.

Mereka segera meminta bantuan konsultan eksternal yang kompeten dan terpercaya untuk melakukan investigasi untuk mengidentifikasi penyebab kebocoran dan mencegah hal yang sama terjadi lagi.

Apakah yang dilakukan oleh McDonalds sudah cukup?Tidak!

Mereka mengumumkan data apa saja yang bocor, apakah data tersebut terkait karyawan, franchisee dan email pelanggannya.

Lalu mereka menghubungi pemilik data supaya berhati-hati dengan email phishing yang mungkin dilakukan dengan data yang bocor tersebut.

Sebagai bentuk tanggung jawabnya, mereka menghubungi pihak regulator di negara terkait dan memberikan informasi kebocoran data ini dan menghubungi satu per satu pelanggan dan karyawan yang datanya menjadi korban kebocoran sehingga tidak menjadi korban eksploitasi.

Mungkin bagi sebagian orang yang kurang mengerti etika mengelola data dan tanggung jawab mengelola data, kelihatan antisipasi yang dilakukan oleh McDonald’s ini sangat merepotkan.

Baca Juga: 700 Juta Data Linkedin Berhasil Dijual Hacker, Ada Punya Indonesia?

Tetapi ini adalah bentuk tanggung jawab yang memang harus disadari oleh seluruh pengelola data.

Jika terjadi kebocoran data, pengelola data jelas mendapatkan malu.

Tetapi yang menjadi korban dan mengalami kerugian terbesar dari kebocoran data itu bukan pengelola data melainkan pemilik data.

Hal ini yang sering terjadi di Indonesia dimana ketika kebocoran data terjadi, pengelolanya bukannya mengevaluasi diri, mengumumkan data apa saja yang bocor dan siapa saja yang mungkin terpengaruh supaya bisa melakukan antisipasi.

Sebaliknya malah berusaha menyangkal dengan bermain-main dengan definisi kebocoran data atau sibuk melakukan lobby politik mengamankan posisinya dengan bombastis mengatakan bahwa ia mengelola big data yang besar dan kompleks.

Padahal justru kalau mengelola big data yang besar dan kompleks itu berarti tanggung jawabnya besar dan kompleks dan tidak boleh bocor.

Pemegang KTP Indonesia sebenarnya sudah menjadi korban kebocoran data yang masif terindikasi dari banyaknya penyalahgunaan data kependudukan untuk kepentingan jahat.

Contohnyapenyalahgunaan data yang sering terjadi adalah sebagai berikut :

Karena sering dan maraknya hal ini terjadi, hal ini dianggap sebagai suatu hal yang wajar.

Padahal ini adalah hal yang tidak wajar melainkan kurang ajar dan melanggar hukum.

Baca Juga: Bocornya 279 Juta Data Pribadi Penduduk Indonesia, 20 Juta Nama Lengkap dengan Foto

Kebocoran data medis

Ditahun 2022 ini, kembali kita mendapatkan “hadiah” tahun baru yang kurang menyenangkan dimana 6 juta data pasien dari banyak rumah sakit Indonesia sebanyak kembali bocor dan dijual.

Kali ini tidak hanya data kependudukan saja melainkan juga data medis pasien seperti foto medis, data administrasi pasien, hasil test laboratorium, data ECG dan radiologi.

Tanggapan yang diberikan oleh pihak terkait cukup cepat dan sudah mengalami kemajuan.

Hal ini patut diapresiasi dan diharapkan pengelola data segera mengindentifikasi penyebab kebocoran data ini, lalu mengumumkan data apa saja yang bocor supaya pemilik data tidak menjadi korban eksploitasi.

Kalau data sudah bocor, menghukum pengelola data tidak ada membatalkan data yang bocor.

Ibaratnya nasi sudah menjadi bubur, data yang sudah bocor tidak bisa dibatalkan dan akan selalu bocor.

Namun, jika pengelola data bisa berempati menempatkan dirinya sebagai pemilik data dan apa yang dia harapkan kalau data medis yang bocor tersebut adalah data medis dirinya, orang tuanya, teman atau kerabatnya.

Tentu ia bisa lebih hati-hati mengelola tanggung jawab yang besar ini supaya hal yang sama tidak terulang lagi.

Setidaknya pengelola data harus berusaha mencegah dampak negatif dari eksploitasi data yang bocor ini dan secara proaktif mencegah eksploitasi terhadap data yang bocor ini.

Baca Juga: Duh 1 Juta Data Pemain Game Developer China Bocor, Apa Penyebabnya?

Resiko Kebocoran Data

Apa saja resiko dan bagaimana eksploitasi data yang bocor ini ?

Data medis yang bocor bisa disalahgunakan dan mengakibatkan kerugian yang besar bagi pemiliknya.

Jika pasien yang mengalami kebocoran data tersebut mengidap penyakit atau kondisi medis tertentu yang sifatnya rahasia, maka jika diketahui publik bisa membuat dirinya dijauhi atau diberhentikan dari pekerjaannya. Tentu hal ini akan sangat merugikan.

Bisa juga ada foto medis pasien yang tidak pantas dilihat,lalu disebarkan sehingga akan memberikan dampak psikologis yang berat bagi pasien.

Ini hanya sedikit resiko sehubungan dengan rekam medis yang bocor dan tidak terhitung data pribadi seperti nomor telepon dan data kependudukan yang bocor dan jelas akan menjadi sasaran eksploitasi.

Apa yang harus dilakukan ke depan

Sehubungan dengan insiden ini, sebenarnya bisa menjadi pembelajaran dari pengelola data penting.

Pengamanan data tidak hanya cukup dilakukan dari sisi perlindungan terhadap penyanderaan data dengan mengenkripsi (ransomware).

Adapun untuk antisipasi ransomware adalah backup data penting yang terpisah dari database utama atau menggunakan Vaksin Protect yang dapat mengembalikan data sekalipun berhasil di enkripsi ransomware.

Tetapi lebih jauh lagi data penting juga harus dilindungi dari aksi extortionware. Dalam aksi itu, jika korbannya tetap tidak mau membayar karena memiliki backup data, maka data yang berhasil diretas diancam disebarkan ke publik,jika pengelola data tidak membayar uang tebusan yang diminta.

Karena itulah langkah antisipasi yang tepat harus dilakukan seperti mengenkripsi database sensitif di server,sehingga sekalipun berhasil diretas tetap tidak akan bisa dibuka atau mengimplementasikan DLP Data Loss Prevention.

Alfons Tanujaya (Pakar Keamanan Siber dari vaksin.com)

Tag

Editor : Wahyu Subyanto