Pakar: Rumah sakit bisa ikuti kerangka keamanan siber dari NIST

Ahli teknologi dan informasi dari Perhimpunan Rumah Sakit Seluruh Indonesia (Persi) Tony S. Hartono mengatakan rumah sakit dapat mengikuti kerangka kerja keamanan siber dari Institut Nasional Standar dan Teknologi AS (NIST).

Dia memandang bahwa Perpres 82 tahun 2022 tentang Infrastruktur Informasi Vital (IIV) dan Permenkes 24 tahun 2022 tentang Rekam Medis membutuhkan peraturan yang lebih mendetail. Kedua peraturan tersebut, menurut dia, sebetulnya dapat mengacu kepada NIST.

“Kita dapat menjamin keamanan siber untuk layanan digital di sektor kesehatan dengan mengikuti Perpres IIV dan Permenkes Rekam Medis, tapi itu nanti memerlukan peraturan susulan dan juknis. Sementara peraturan dan juknisnya itu belum ada atau belum keluar, kita dapat mengikuti kerangka keamanan siber dari NIST,” kata Tony dalam webinar yang diikuti di Jakarta, Senin.

Tony mengimbau agar pihak rumah sakit tidak perlu khawatir dengan adanya Perpres IIV dan Permenkes Rekam Medis. Menurut dia, potensi serangan siber akan selalu ada namun hal tersebut dapat diatasi jika menerapkan kerja sama yang baik dengan Kementerian Kesehatan (Kemenkes) dan Badan Siber dan Sandi Negara (BSSN), serta tetap meningkatkan pengetahuan SDM yang dimiliki rumah sakit.

Baca juga: Pakar: Pentingnya institusi kesehatan siapkan DPO terkait aturan PDP

Baca juga: Menkominfo minta PSE siapkan tiga hal perkuat keamanan siber

“Kita buat proses yang baik dan menggunakan kerangka kerja dari NIST, kita dapat memiliki suatu panduan yang komprehensif sementara kita menunggu peraturan dari BSSN sama petunjuk teknis dari Kemenkes,” kata Tony.

Dia menjelaskan kerangka kerja tersebut membagi keamanan siber ke dalam lima kategori antara lain mengidentifikasi (identify), melindungi (protect), mendeteksi (detect), merespon (respond), dan memulihkan (recover). Jika berpedoman kepada kerangka kerja ini, dia mengatakan rumah sakit tidak perlu khawatir mengenai kemungkinan celah keamanan siber dalam sistem.

“Jadi NIST ini mengeluarkan kerangka kerja dan kita dapat melakukan self assessment di situ secara detail. Dari self assessment itu kita akan bisa menilai seberapa siap kita dengan keamanan siber di rumah sakit,” katanya.

Pertama, kategori pengidentifikasian berarti mula-mula rumah sakit harus dapat melakukan identifikasi seluruh aset yang ada di dalamnya. Kemudian, rumah sakit juga harus bisa memahami konteks bisnisnya, tata kelola, menilai dari sisi risiko, melakukan strategi manajemen risiko, dan manajemen risiko rantai pasokan.

Kedua, kategori pelindungan. Terdapat beberapa hal yang perlu diperhatikan rumah sakit yaitu manajemen identitas autentifikasi dan kontrol akses, kesadaran dan pelatihan SDM yang bekerja di rumah sakit, keamanan data, proses dan prosedur perlindungan informasi, pemeliharaan, serta teknologi pelindung.

Terkait dengan pendeteksian, Tony menekankan bahwa rumah sakit harus mampu mendeteksi segala macam anomali atau tindakan perusakan keamanan siber, baik dari luar maupun dari dalam. Hal tersebut dapat dilakukan dimulai dengan memahami semua aktivitas anomali yang ada di dalam sistem, memonitor keamanan secara kontinu, serta melakukan proses untuk pendeteksian.

Yang tak kalah penting, yaitu kategori respon, mengharuskan pihak rumah sakit dapat melakukan respon dengan baik apabila terjadi aktivitas anomali yang tidak diinginkan terkait keamanan siber. Untuk dapat merespon dengan baik, Tony mengatakan rumah sakit harus memiliki suatu perencanaan untuk respon, komunikasi, analisis, mitigasi, dan perbaikan.

Terakhir, kategori pemulihan. Apabila rumah sakit mendapat serangan siber, maka tindakan pemulihan sudah harus diketahui dengan cara memiliki suatu perencanaan untuk pemulihan, perbaikan, dan komunikasi.*

Baca juga: Kemkominfo terbuka untuk kolaborasi mencetak talenta digital

Baca juga: BSSN ungkap ancaman-ancaman keamanan siber pada KTT G20