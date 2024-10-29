Pelanggaran data di penyedia medis Confidant Health menunjukkan perbedaan besar antara informasi identifikasi pribadi (PII) di satu sisi dan data sensitif di sisi lain.
Ceritanya dimulai ketika peneliti keamanan Jeremiah Fowler menemukan database tidak aman yang berisi 5,3 terabyte data terbuka yang terkait dengan Confidant Health. Perusahaan menyediakan bantuan pemulihan kecanduan dan perawatan kesehatan mental di Connecticut, Florida, Texas, dan negara bagian lainnya.
Pelanggaran, pertama kali dilaporkan oleh WIRED, melibatkan PII, seperti nama dan alamat pasien, serta juga informasi sensitif seperti rekaman audio dan video sesi terapi, catatan asupan psikiatri terperinci dan riwayat medis yang komprehensif.
Artikel itu menunjukkan betapa mengerikannya beberapa informasi itu: “Satu file asupan psikiatri tujuh halaman... memperinci masalah dengan alkohol dan zat lain, termasuk bagaimana pasien mengaku telah mengambil... narkotika dari persediaan rumah sakit kakek nenek mereka sebelum anggota keluarga meninggal,” menurut artikel itu. “Dalam dokumen lain, seorang ibu menggambarkan hubungan 'kontroversial' antara suami dan putranya, termasuk bahwa ketika putranya menggunakan stimulan, dia menuduh pasangannya melakukan pelecehan seksual.“
Laporan Biaya Pelanggaran Data 2024 dari IBM menyoroti bahwa 46% pelanggaran melibatkan PII pelanggan. Laporan tersebut juga mencatat peningkatan yang signifikan dalam biaya per catatan untuk data kekayaan intelektual (IP), melonjak dari USD 156 menjadi USD 173.
Namun, tingkat paparan dalam insiden Confidant Health mewakili peningkatan yang signifikan dalam potensi bahaya bagi individu yang terkena dampak, jauh melampaui risiko yang terkait dengan pelanggaran PII belaka.
Buletin industri
Ikuti perkembangan tren industri yang paling penting—dan menarik—di bidang AI, otomatisasi, data, dan lainnya dengan buletin Think. Lihat Pernyataan Privasi IBM.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM kami untuk informasi lebih lanjut.
Penyerang siber dan aktor jahat menilai data sensitif, termasuk data medis, berharga karena dapat digunakan untuk serangan rekayasa sosial, pemerasan yang ditargetkan atau bahkan menjual kepada pesaing atau musuh yang tidak etis. Sifat sensitif informasi justru membuatnya berharga untuk eksploitasi secara jahat.
Untuk lebih jelasnya, paparan data sensitif seperti detail medis adalah risiko tidak hanya untuk target tetapi juga bagi tempat kerja mereka. Data tersebut dapat digunakan untuk memeras karyawan agar memberikan kata sandi dan data lain yang dapat membantu mereka dalam pelanggaran data di perusahaan karyawan.
Vektor serangan potensial meliputi:
Pelanggaran baru-baru ini berfungsi sebagai pengingat nyata akan kebutuhan penting untuk langkah-langkah perlindungan data yang kuat, terutama dalam pengaturan perawatan kesehatan. Kuncinya adalah kelengkapan dan kewaspadaan yang konstan.
Melindungi informasi sensitif dalam perawatan kesehatan dan pengaturan lainnya menuntut pendekatan yang komprehensif.
Menerapkan kontrol akses dan autentikasi yang kuat sangatlah penting. Ini termasuk menerapkan autentikasi multi-faktor untuk semua akun pengguna dan membangun kontrol akses berbasis peran untuk membatasi akses data berdasarkan fungsi pekerjaan. (Audit rutin dan tinjauan izin pengguna harus dilakukan untuk memastikan manajemen akses yang tepat.)
Enkripsi memainkan peran penting dalam menjaga data sensitif. Sangat penting untuk mengenkripsi data baik saat istirahat maupun dalam transit, menggunakan enkripsi ujung ke ujung untuk semua komunikasi dan transfer data. Enkripsi perangkat harus diterapkan untuk perangkat mobile dan laptop untuk melindungi data jika terjadi kehilangan atau pencurian.
Keamanan jaringan adalah aspek penting lain dari perlindungan data. Menerapkan firewall generasi berikutnya dan sistem deteksi/pencegahan intrusi membantu mempertahankan diri dari ancaman eksternal. Segmentasi jaringan dapat mengisolasi data sensitif, sementara jaringan pribadi virtual menyediakan akses jarak jauh yang aman.
Langkah-langkah perlindungan data harus mencakup penerapan solusi pencegahan kehilangan data untuk memantau dan mengendalikan pergerakan data. Penyamaran data dan tokenisasi dapat digunakan untuk melindungi informasi sensitif, dan pencadangan reguler dengan prosedur pemulihan yang teruji memastikan ketersediaan data jika terjadi insiden.
Keamanan titik akhir penting untuk melindungi dari malware dan ancaman lainnya. Memelihara perangkat lunak antivirus dan anti-malware yang mutakhir, menerapkan solusi deteksi dan respons titik akhir, serta menggunakan manajemen perangkat mobile untuk perangkat milik perusahaan.
Dari sudut pandang organisasi, mengembangkan dan menegakkan kebijakan perlindungan data yang komprehensif adalah hal mendasar. Ini termasuk menerapkan rencana respons insiden formal dan menetapkan prosedur penyimpanan dan pembuangan data yang jelas. Pelatihan kesadaran keamanan rutin untuk semua karyawan, dengan pelatihan khusus untuk mereka yang menangani data sensitif, membantu menumbuhkan budaya kesadaran keamanan di seluruh organisasi.
Manajemen risiko adalah proses berkelanjutan yang melibatkan melakukan penilaian risiko rutin dan pemindaian kerentanan. Program manajemen risiko formal harus dilaksanakan, dengan pembaruan rutin dan patch diterapkan ke semua sistem dan perangkat lunak.
Mengelola risiko pihak ketiga sama pentingnya. Ini melibatkan penerapan prosedur manajemen risiko vendor yang ketat, memastikan semua kontrak pihak ketiga mencakup klausul perlindungan data dan secara teratur mengaudit akses pihak ketiga dan praktik penanganan data.
Kepatuhan dan audit adalah komponen penting dari program keamanan yang kuat. Organisasi harus memastikan kepatuhan terhadap peraturan perawatan kesehatan yang relevan, seperti HIPAA. Audit keamanan internal dan eksternal secara teratur harus dilakukan, dan log terperinci dari semua akses data dan aktivitas sistem harus dipertahankan.
Tata kelola data sangat penting untuk perlindungan data yang efektif. Ini termasuk menerapkan sistem klasifikasi data formal, menetapkan kepemilikan data dan peran pengelolaan dan secara teratur menginventarisasi dan memetakan semua data sensitif.
Kemampuan respons dan pemulihan insiden sangat penting untuk meminimalkan dampak pelanggaran keamanan. Organisasi harus mengembangkan dan secara teratur menguji rencana respons insiden, membentuk tim tanggap insiden khusus dan menerapkan kemampuan deteksi dan respons ancaman otomatis.
Langkah-langkah keamanan fisik tidak boleh diabaikan. Mengamankan akses fisik ke pusat data dan area sensitif, menerapkan prosedur pembuangan yang tepat untuk media fisik dan menggunakan sistem pengawasan dan kontrol akses di area kritis adalah semua aspek penting dari strategi keamanan yang komprehensif.
Dengan menerapkan langkah-langkah ini, organisasi dapat secara signifikan meningkatkan postur perlindungan data mereka. Namun, penting untuk diingat bahwa keamanan siber adalah proses berkelanjutan yang membutuhkan kewaspadaan konstan. Penilaian reguler dan perbaikan program keamanan sangat penting untuk mempertahankan perlindungan yang kuat terhadap informasi sensitif dalam lingkungan ancaman siber yang terus berkembang.
Saat kita menavigasi lanskap yang makin digital, insiden ini menyoroti kebutuhan mendesak untuk perubahan paradigma dalam cara kita melihat dan melindungi data sensitif. Tidak lagi cukup hanya fokus pada pengamanan PII. Organisasi harus mengadopsi pendekatan holistik yang mengakui nilai unik dan kerentanan informasi pribadi yang sensitif.