BSSN Desak Percepatan Regulasi Keamanan Siber Sektor Kesehatan

Ketika data rekam medis pasien beralih dari lemari arsip ke server cloud, potensi kebocoran informasi sensitif justru bermigrasi ke ranah yang lebih sulit dilacak. Ibarat rumah sakit membangun brankas...

Jul 12, 2026 - 11:48
0 0
BSSN Desak Percepatan Regulasi Keamanan Siber Sektor Kesehatan

Ketika data rekam medis pasien beralih dari lemari arsip ke server cloud, potensi kebocoran informasi sensitif justru bermigrasi ke ranah yang lebih sulit dilacak. Ibarat rumah sakit membangun brankas canggih tetapi lupa memasang kuncinya, digitalisasi layanan kesehatan tanpa pengamanan memadai bisa menjadi petaka bagi jutaan warga. Badan Siber dan Sandi Negara (BSSN) kembali menyoroti celah kritis ini dan menyerukan agar pemerintah segera memiliki regulasi keamanan siber yang secara spesifik menyasar sektor kesehatan. Tanpa payung hukum yang kuat, data pribadi pasien—mulai dari riwayat penyakit, hasil laboratorium, hingga informasi asuransi—terus berada dalam risiko diperjualbelikan di pasar gelap digital.

Dorongan ini bukan tanpa alasan. Transformasi digital di fasilitas layanan kesehatan melaju cepat, terutama setelah pandemi mendorong penggunaan telemedicine, catatan kesehatan elektronik (EHR/Electronic Health Record), dan Internet of Medical Things (IoMT), seperti pompa infus pintar atau monitor detak jantung nirkabel. Setiap perangkat yang terhubung ke jaringan berpotensi menjadi pintu masuk bagi pelaku kejahatan. BSSN mencatat, sepanjang tahun 2025 terjadi peningkatan insiden serangan siber di lingkungan rumah sakit hingga 47% dibanding tahun sebelumnya, dengan vektor serangan paling dominan berupa ransomware dan pencurian kredensial melalui surel phishing.

Mengapa Sektor Kesehatan Menjadi Target Empuk

Nilai data medis di pasar gelap jauh melampaui data keuangan biasa. Sepotong informasi kartu kredit curian mungkin hanya dihargai beberapa dolar, tetapi satu berkas rekam medis lengkap bisa terjual hingga ratusan dolar karena dapat digunakan untuk penipuan asuransi, pemalsuan resep obat terlarang, atau bahkan pemerasan langsung kepada pasien. Kekayaan data inilah yang membuat rumah sakit dan klinik menjadi buruan para peretas. Di banyak negara berkembang, termasuk Indonesia, infrastruktur teknologi informasi di fasilitas kesehatan seringkali masih bersifat tambal sulam—perangkat lunak usang yang tidak lagi mendapat pembaruan keamanan, kata sandi bawaan pabrik yang tidak diganti, serta jaringan Wi-Fi yang tidak tersegmentasi antara perangkat medis dan sistem administrasi.

BSSN dalam kajian terbarunya menemukan bahwa lebih dari 60% rumah sakit di Indonesia masih mengandalkan sistem operasi versi lawas pada perangkat medis mereka. Situasi ini diperparah oleh minimnya kesadaran tenaga kesehatan akan praktik higiene siber dasar, seperti penggunaan autentikasi multifaktor atau kebijakan kata sandi yang ketat. Akibatnya, begitu satu akun staf berhasil dibobol, seluruh jaringan internal dapat dengan mudah diakses tanpa hambatan berarti.

Cetak Biru Regulasi yang Diusulkan

BSSN mengusulkan agar regulasi keamanan siber di sektor kesehatan tidak sekadar menjadi lampiran dari undang-undang perlindungan data pribadi yang sudah ada, melainkan sebuah kerangka aturan yang mengikat secara teknis dan operasional. Beberapa poin penting yang ditekankan antara lain: kewajiban bagi setiap fasilitas kesehatan untuk menunjuk petugas keamanan siber tersertifikasi, penerapan standar enkripsi data AES-256 baik saat data disimpan (at rest) maupun saat dikirim (in transit), serta audit keamanan sistem secara berkala setiap tiga bulan. Selain itu, setiap insiden pelanggaran data wajib dilaporkan ke BSSN dalam waktu maksimal 1x24 jam sejak terdeteksi—serupa dengan aturan di Uni Eropa melalui General Data Protection Regulation (GDPR).

“Kita tidak bisa lagi memperlakukan keamanan siber di sektor kesehatan sebagai urusan opsional. Ketika menyangkut nyawa dan privasi pasien, tidak ada ruang untuk kompromi. Regulasi yang kami dorong ini akan menjadi fondasi agar setiap pemangku kepentingan—dari pengembang aplikasi kesehatan, pengelola rumah sakit, hingga penyedia layanan komputasi awan—memiliki tanggung jawab yang jelas,” ujar Kepala Biro Hukum dan Kerja Sama BSSN, Diah Kusumawati, dalam diskusi terbatas pekan lalu.

Regulasi ini juga akan mendorong setiap perangkat IoMT yang beredar di Indonesia wajib memiliki sertifikasi keamanan siber sebelum dipasarkan. Langkah ini diharapkan dapat memutus rantai pasok perangkat medis palsu atau modifikasi yang seringkali menjadi celah masuknya kode berbahaya ke dalam sistem rumah sakit.

Perbandingan dengan Praktik Global

NegaraRegulasiSanksi Pelanggaran Data
Amerika SerikatHIPAA Security RuleDenda hingga 1,5 juta dolar AS per pelanggaran
Uni EropaGDPR4% dari pendapatan tahunan global
SingapuraCybersecurity Act + Healthcare Services ActDenda S$100.000 atau 2 tahun penjara
Indonesia (eksisting)UU PDP (belum spesifik sektor)Denda maksimal 2% dari pendapatan atau Rp6 miliar

Meski Undang-Undang Perlindungan Data Pribadi (UU PDP) sudah berlaku, sanksi yang tercantum belum cukup memberikan efek jera akibat belum adanya pedoman teknis untuk sektor-sektor kritis seperti kesehatan. BSSN menilai Indonesia perlu belajar dari Singapura yang secara tegas memisahkan aturan siber untuk layanan esensial, termasuk rumah sakit, agar pengawasan dan penindakan bisa lebih terukur.

Urgensi di Tengah Gelombang Serangan Ransomware

Ancaman bukan lagi sekadar teori. Pada kuartal pertama 2026, dua rumah sakit besar di Pulau Jawa mengalami insiden ransomware yang menyebabkan sistem pendaftaran dan akses rekam medis lumpuh selama lebih dari 72 jam. Para peretas menuntut tebusan dalam bentuk mata uang kripto senilai Rp800 juta. Meski tidak ada bukti data pasien sampai bocor ke publik, insiden tersebut menunjukkan betapa rapuhnya sistem yang menangani ribuan nyawa setiap hari. BSSN menegaskan, dengan regulasi yang mewajibkan pencadangan data terenkripsi dan protokol pemulihan bencana (disaster recovery plan), dampak operasional dari serangan semacam itu dapat diminimalkan secara signifikan.

Pengembangan regulasi ini ditargetkan selesai dalam bentuk Peraturan Presiden pada akhir tahun 2026, setelah melalui serangkaian diskusi publik dengan asosiasi rumah sakit, akademisi, dan pelaku industri teknologi kesehatan. BSSN berharap, saat aturan tersebut berlaku, Indonesia tidak lagi menjadi lumbung data medis yang mudah disusupi, melainkan menjadi contoh negara dengan ketahanan siber kesehatan yang patut ditiru di kawasan Asia Tenggara.

Baca juga:

What's Your Reaction?

Like Like 0
Dislike Dislike 0
Love Love 0
Funny Funny 0
Wow Wow 0
Sad Sad 0
Angry Angry 0

Comments (0)

User