Sementara penyedia layanan kesehatan telah menerapkan perlindungan teknis, administratif, dan fisik terhadap informasi pasien, mereka masih kurang rajin dalam mengamankan perangkat medis. Perangkat ini sangat penting untuk perawatan pasien dan dapat membuat rumah sakit berisiko terkena serangan siber, menyebabkan gangguan besar pada perawatan pasien.
Faktanya, sebanyak 88 juta orang terdampak pelanggaran besar yang mengancam jutaan data Informasi kesehatan yang dilindungi elektronik (ePHI) sepanjang tahun lalu, menurut Departemen Kesehatan & Layanan Kemanusiaan A.S. Tahun ini, sejumlah penyedia layanan kesehatan besar kembali diserang serangan siber, termasuk Change Healthcare, Kaiser Permanente, dan Ascension. “Synnovis, penyedia utama layanan laboratorium dan diagnostik di London, menjadi korban serangan ransomware yang menyebabkan gangguan luas,” lapor Halcyon. Serangan itu mempengaruhi sejumlah rumah sakit, termasuk Guy's, St Thomas', King's College, Rumah Sakit Anak Evelina, Royal Brompton, rumah sakit jantung dan paru-paru spesialis Harefield, serta Rumah Sakit Princess Royal di Orpington, lapor The Guardian.
Jumlah rumah sakit di seluruh dunia diperkirakan mencapai 166.548 pada tahun 2029, menurut laporan Statista . Rata-rata perangkat medis yang terhubung per tempat tidur rumah sakit berkisar antara 10 hingga 15, menurut Jurnal HIPAA. Data ini memperlihatkan bahwa pada tahun 2029 akan ada sekitar 1,67 juta perangkat medis yang saling terhubung di seluruh dunia, sementara banyak perangkat masih diproduksi tanpa pendekatan keamanan sejak tahap desain . Menurut survei dari Ponemon Institute dan Proofpoint, 89% organisasi kesehatan mengalami hampir satu serangan setiap minggunya. Risiko ini kian memburuk karena 53% organisasi kesehatan mengaku tidak memiliki keahlian internal untuk menangani persoalan keamanan siber. Angka-angka ini jelas mengkhawatirkan, terutama melihat banyaknya perangkat medis yang saling terhubung di lingkungan rumah sakit.
Meskipun perangkat medis dirancang untuk memantau kesehatan pasien, perangkat ini juga dapat menjadi titik masuk utama bagi peretas ke jaringan rumah sakit. Sementara penyedia layanan kesehatan telah meningkatkan keamanan catatan kesehatan elektronik (EHR), peretas sekarang menargetkan perangkat medis. Ini telah menempatkan keamanan perangkat medis ke dalam situasi “kode biru”. Beberapa contohnya antara lain:
Perangkat lama: Banyak perangkat medis lama yang masih digunakan tidak dirancang dengan mempertimbangkan keamanan siber. Mereka sering menjalankan perangkat lunak usang, yang memperkenalkan titik masuk yang rentan.
Kesenjangan peraturan: Meskipun Food and Drug Administration (FDA) telah mengambil langkah-langkah signifikan untuk menegakkan peraturan perangkat medis dalam beberapa tahun terakhir, masih ada kepatuhan yang tidak konsisten oleh produsen perangkat medis dan penyedia layanan kesehatan.
Kurangnya protokol keamanan: Banyak perangkat medis yang dirancang tanpa protokol yang kuat, sehingga menjadi sasaran empuk bagi para penyerang.
Kompleksitas: Perangkat medis merupakan sistem kompleks yang bisa sulit diamankan akibat banyaknya komponen, antarmuka, dan opsi konektivitas.
Persyaratan interoperabilitas: Perangkat medis harus dapat berkomunikasi dengan berbagai sistem, perangkat, dan jaringan lain, yang pada akhirnya membuka potensi risiko keamanan.
Kurangnya sumber daya: Beberapa produsen perangkat medis tidak memiliki keahlian dunia maya untuk menerapkan kontrol keamanan yang tepat.
Risiko rantai pasokan: Penyedia layanan kesehatan sering kali memiliki visibilitas end-to-end yang terbatas di seluruh jaringan perangkat medis dan rantai pasokan mereka, yang membatasi deteksi dan respons yang tepat.
Mengatasi kerentanan pada perangkat medis tersebut akan secara signifikan meningkatkan ketahanan jaringan penyedia layanan kesehatan dan mengurangi risiko serangan siber.
Contoh perangkat medis yang menjadi target favorit para peretas antara lain:
Sangat penting bagi penyedia layanan kesehatan untuk memastikan bahwa perangkat medis yang saling terhubung dalam infrastruktur rumah sakit tetap aman, sehingga risiko dapat ditekan dan keselamatan pasien terjamin.
Penyedia layanan kesehatan dapat meningkatkan keamanan perangkat medis, memperkuat postur keamanan siber, dan meningkatkan kualitas perawatan pasien dengan memanfaatkan kecerdasan buatan generatif (gen AI). Beberapa strategi utama meliputi:
Pemantauan kepatuhan: Gunakan gen AI untuk memastikan kepatuhan terhadap HIPAA (Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan) serta standar regulasi lainnya.
Intelijen ancaman: Gunakan gen AI untuk menganalisis data dalam jumlah besar, deteksi dan menanggapi potensi ancaman terhadap perangkat medis dan memberikan peringatan kepada penyedia layanan kesehatan.
Privasi data: Pastikan kepatuhan HIPAA dengan menganonimkan ePHI sebelum diproses dengan AI gen dan menggabungkan tokenisasi untuk menghindari penyebaran informasi pasien eksternal.
Pelatihan: Buat pelatihan keamanan siber berbasis AI untuk penyedia layanan kesehatan guna meningkatkan kesadaran, meminimalkan risiko keamanan, dan memenuhi persyaratan kepatuhan.
Manajemen patch: Implementasikan sistem manajemen patch berbasis AI yang efisien untuk memastikan bahwa kerentanan yang paling penting ditambal terlebih dahulu dan perangkat medis menerima pembaruan perangkat lunak tepat waktu.
Respons insiden: Gunakan AI untuk menganalisis data guna mengidentifikasi pola serangan potensial guna memberikan insight kepada analis guna meningkatkan pengambilan keputusan dan mengurangi waktu yang dihabiskan untuk menganalisis peringatan.
Sebagai penutup, industri layanan kesehatan kini sangat bergantung pada konektivitas digital perangkat medis. Produsen perangkat medis secara tradisional belum menerapkan pendekatan keamanan sejak tahap desain, sehingga menghadirkan risiko tambahan ke dalam infrastruktur jaringan rumah sakit. Penyerang memanfaatkan celah ini untuk melancarkan serangan ransomware yang melumpuhkan operasi rumah sakit, bersama berbagai bentuk serangan siber lainnya. Penyedia layanan kesehatan dapat meningkatkan keamanan perangkat medis secara signifikan dengan menerapkan praktik terbaik keamanan siber dan memanfaatkan kekuatan gen AI untuk meningkatkan kualitas perawatan sekaligus menjaga keselamatan pasien.
