BSSN Desak Percepatan Regulasi Keamanan Siber di Layanan Kesehatan
Badan Siber dan Sandi Negara (BSSN) menyoroti celah krusial yang kerap terlupakan dalam gelombang digitalisasi layanan kesehatan nasional: fondasi perlindungan data pasien yang masih rapuh. Lembaga in...
Badan Siber dan Sandi Negara (BSSN) menyoroti celah krusial yang kerap terlupakan dalam gelombang digitalisasi layanan kesehatan nasional: fondasi perlindungan data pasien yang masih rapuh. Lembaga ini menegaskan bahwa tanpa kerangka hukum yang spesifik dan tegas di sektor medis, jutaan rekam medis elektronik berisiko menjadi sasaran empuk para peretas. Dorongan ini muncul di tengah kian massifnya integrasi teknologi di rumah sakit, klinik, hingga aplikasi konsultasi daring yang belum sepenuhnya diiringi standar keamanan memadai.
Mengapa Data Kesehatan Jadi Target Bernilai Tinggi
Di balik layar, rekam medis elektronik (RME) dan data administratif pasien diperjualbelikan di pasar gelap dengan harga mencapai puluhan kali lipat dibanding informasi kartu kredit. Satu baris data kesehatan lengkap—mulai dari riwayat penyakit kronis, klaim asuransi, hingga hasil laboratorium—dapat disalahgunakan untuk penipuan identitas jangka panjang yang sulit terdeteksi. Serangan siber berjenis ransomware juga kian menyasar penyedia layanan kesehatan karena tingginya urgensi operasional: rumah sakit seringkali lebih memilih membayar tebusan demi menghindari gangguan pada layanan kritis yang mengancam jiwa.
Ibarat sebuah brankas rumah sakit yang dulu hanya berisi lembar kertas, kini brankas itu telah berubah menjadi gudang digital raksasa yang terhubung ke internet. Ironisnya, kunci pengamannya masih banyak yang setara dengan gembok sederhana. Banyak fasilitas kesehatan mengandalkan perangkat lunak usang, jaringan internal tanpa segmentasi, dan protokol keamanan yang tidak diuji secara berkala. Surat elektronik phishing yang menyerupai klaim BPJS Kesehatan misalnya, mampu membuka pintu bagi penyerang untuk menyusup ke sistem inti dalam hitungan menit.
Data BSSN mencatat bahwa selama dua tahun terakhir, serangan terhadap infrastruktur kesehatan meningkat lebih dari dua kali lipat, dengan vektor paling dominan berupa eksploitasi kerentanan aplikasi berbasis web dan pencurian kredensial tenaga medis. Angka ini belum termasuk insiden yang tidak dilaporkan karena kekhawatiran reputasi. Padahal, keterbukaan insiden justru menjadi bahan evaluasi kolektif untuk memperkuat benteng pertahanan bersama.
Payung Hukum yang Mendesak dan Ruang Lingkupnya
BSSN memandang bahwa Undang-Undang Perlindungan Data Pribadi (UU PDP) yang sudah berlaku saja tidak cukup karena sifatnya yang umum. Dunia kesehatan memerlukan regulasi turunan yang secara spesifik mengatur klasifikasi data kesehatan, kewajiban enkripsi ujung-ke-ujung, audit keamanan berkala oleh pihak independen, serta protokol pemulihan bencana dan notifikasi jika terjadi kebocoran. Tanpa aturan teknis yang detil, tiap institusi berpotensi mendefinisikan standar keamanan versinya sendiri, menciptakan disparitas perlindungan yang berbahaya.
Regulasi ini, menurut BSSN, harus mencakup setidaknya empat pilar. Pertama, sertifikasi keamanan bagi semua penyedia sistem informasi kesehatan, baik milik pemerintah maupun swasta. Kedua, pelatihan literasi siber wajib bagi seluruh tenaga medis dan administrasi yang mengakses data pasien. Ketiga, sanksi progresif bagi pelanggaran, termasuk denda yang signifikan bagi kelalaian pengamanan data. Keempat, pembentukan pusat respons insiden kesehatan nasional yang terintegrasi dengan BSSN untuk memitigasi serangan secara real-time.
Pengalaman negara lain bisa menjadi cermin. Uni Eropa dengan General Data Protection Regulation (GDPR) misalnya, memberlakukan aturan ketat pada data kesehatan sebagai kategori data sensitif yang harus diproses dengan persetujuan eksplisit dan pengamanan tingkat tinggi. Amerika Serikat melalui Health Insurance Portability and Accountability Act (HIPAA) juga mewajibkan entitas layanan kesehatan menerapkan kontrol akses ketat, pelacakan audit, dan enkripsi. Indonesia, dengan volume pengguna layanan Jaminan Kesehatan Nasional yang menembus 250 juta jiwa, tidak bisa lebih lamban dari standar global tersebut.
Langkah Operasional BSSN dan Harapan ke Depan
Di ranah operasional, BSSN tengah mempercepat penyusunan naskah akademik yang akan menjadi pijakan regulasi sektoral ini. Paralel dengan itu, lembaga ini menggencarkan program asepsi siber—semacam imunisasi digital—dengan menyasar rumah sakit rujukan di 34 provinsi melalui simulasi insiden dan pendampingan teknis. Program ini bertujuan memetakan kerentanan sekaligus membangun kesadaran bahwa keamanan siber bukan semata perkakas antivirus, melainkan budaya.
Standar ISO 27001 dan NIST Cybersecurity Framework diadaptasi sebagai acuan teknis bagi penyedia layanan kesehatan yang belum memiliki kapasitas merancang sistem keamanannya sendiri. BSSN juga mendorong agar setiap proyek pengadaan teknologi di fasilitas kesehatan publik memasukkan klausul keamanan wajib, sehingga tidak ada lagi alat kesehatan berbasis Internet of Things (IoT) yang mengambang tanpa proteksi.
Namun, regulasi hanyalah satu sisi mata uang. Para pelaku industri dan pemerintah daerah juga perlu menyadari bahwa investasi keamanan siber adalah biaya operasional yang tak bisa dinegosiasikan. Jika dulu anggaran teknologi lebih banyak dialokasikan untuk kemampuan diagnostik dan kenyamanan administrasi, kini pos keamanan siber harus menjadi prioritas yang setara. Satu kali serangan yang melumpuhkan sistem pendaftaran dan akses obat bisa menimbulkan kerugian finansial sekaligus korban klinis yang tak terkira.
BSSN optimis bahwa dengan dorongan regulasi yang kuat, ekosistem kesehatan Indonesia dapat bertransformasi menjadi layanan yang tidak hanya canggih secara medis, tetapi juga tangguh secara digital. Publik, di sisi lain, diimbau untuk lebih kritis mempertanyakan bagaimana data rekam medis mereka disimpan dan dilindungi. Kolaborasi antara regulator, penyelenggara layanan, dan pengguna inilah yang pada akhirnya akan menentukan apakah data satu juta pasien berada di tangan yang aman atau justru lenyap tanpa jejak.
Comments (0)