”CYBERSECURITY” DI INDUSTRY PELAYANAN KESEHATAN AS TAHUN 2021
Pendahuluan
Penggunaan tekhnologi dalam layanan kesehatan AS (seperti; teleheath, telemedicine, dll), cukup meningkat pada beberapa tahun terakhir. Peningkatan penggunaan teleheath & telemedicine semakin terasa saat pandemi COVID-19. Pada satu sisi, peningkatan tersebut dinilai baik (dari sisi pasien & RS), tetapi di sisi lain terdapat kekawatiran terkait keamanan data pasien.
Terkait hal tersebut, tulisan ini mencoba mengungkap tentang hasil penelitian lembaga di AS yang fokus pada cybersecurity di industry pelayanan kesehatan.
Hasil penelitian tentang cybersecurity di industri pelayanan kesehatan AS
Black Book Market Research LLC telah mensurvei 2.464 profesional keamanan dari 705 organisasi penyedia untuk mengidentifikasi celah, kerentanan, dan kekurangan yang tetap ada dalam menjaga RS dan dokter terhadap pelanggaran data dan serangan dunia maya (Fla, 2020)[1]. Penelitian tersebut menyatakan bahwa 96% profesional IT setuju dengan sentimen bahwa penyerang data melampaui kemampuan organisasinya, dan penyedia mereka berada dalam posisi yang kurang menguntungkan dalam menanggapi kerentanan.
Industri pelayanan kesehatan diperkirakan menghabiskan $ 134 miliar untuk keamanan siber dari 2021 hingga 2026, $ 18 miliar pada 2021, meningkat 20% setiap tahun menjadi hampir $ 37 miliar pada 2026 (Fla, 2020). Masih menurut hasil penelitian tersebut, menyatakan bahwa 82% CIO (chief information officer) dan CISO (chief information security officer) dalam organisasi pelayanan kesehatan pada Q3 2020 setuju bahwa uang yang dihabiskan saat ini belum dialokasikan sebelum masa jabatan mereka secara efektif, dan seringkali hanya dihabiskan setelah pelanggaran, dan tanpa penilaian kesenjangan penuh atas kapabilitas yang dipimpin oleh manajemen senior di luar IT.Temuan kunci hasil penelitian tersebut meliputi:
- Talent Shortage for Cybersecurity Professionals Continues, Far Exceeds Demand by Health Systems
Black Book mensurvei 291 eksekutif sumber daya manusia industri pelayanan kesehatan untuk menentukan penawaran dan permintaan organisasi dari kandidat keamanan siber berpengalaman. Rata-rata, peran keamanan siber dalam sistem kesehatan membutuhkan waktu 70% lebih lama untuk diisi daripada pekerjaan TI organisasi lainnya. Sistem kesehatan sedang berjuang untuk menemukan pekerja yang memiliki keterampilan terkait cybersecurity karena durasi lowongan seperti yang dilaporkan oleh survei responden SDM rata-rata sekitar 118 hari untuk mengisi posisi, dan hal ini hampir tiga kali lebih tinggi dari rata-rata nasional untuk industri lain. “Kekurangan bakat untuk pakar keamanan siber dengan keahlian perawatan kesehatan mendekati posisi yang sangat berbahaya,” kata Brian Locastro, peneliti utama pada studi Industri Keamanan Siber Negara Bagian 2020 oleh Penelitian Buku Hitam.
Tujuh puluh lima persen dari 66% CISO sistem kesehatan yang menanggapi hasil survei setuju bahwa profesional keamanan siber yang berpengalaman tidak mungkin memilih jalur karier industri pelayanan kesehatan karena satu alasan utama. Padahal, CISO pelayanan kesehatan bertanggung jawab atas pelanggaran data melebihi industri lainnya. Akhirnya, hal ini akan berdampak pada keuangan dan reputasi organisasi.
- COVID-19 Has Greatly Increased Risk of Data Breaches from Remote Work & Cloud-Based Business Operations
Keamanan siber industri pelayanan kesehatan menjadi lebih rumit karena penyedia layanan dipaksa untuk menangani pandemi COVID-19. Keterbasatan dan kekurangan dana Departemen keamanan IT di satu sisi, harus berjuang untuk mengakomodasi lonjakan permintaan layanan jarak jauh dari pasien dan dokter sambil secara bersamaan menanggapi lonjakan risiko keamanan. Survei Black Book menemukan bahwa 90% sistem kesehatan dan karyawan RS yang beralih ke tugas bekerja di rumah karena pandemi, tidak menerima pedoman atau pelatihan yang diperbarui tentang peningkatan risiko mengakses data sensitif pasien yang membahayakan sistem. ”Meskipun ancaman meningkat, sebagian besar RS dan dokter tidak siap untuk menangani ancaman keamanan siber, meskipun mereka menimbulkan masalah kesehatan masyarakat yang utama,” kata Locastro.
Empat puluh persen dari seluruh karyawan RS klinis menerima sedikit atau bahkan tidak ada pelatihan kesadaran keamanan siber pada tahun 2020, di luar pendidikan awal tentang akses log in. Lima puluh sembilan persen CIO sistem kesehatan yang disurvei mengubah strategi keamanan untuk menangani keotentikan dan akses pengguna karena insiden berbahaya dan peretas adalah titik masuk utama penyerang tahun 2020 untuk sistem kesehatan. Kredensial yang dicuri dan disusupi adalah masalah berkelanjutan untuk 53% sistem kesehatan yang disurvei karena peretas semakin sering menggunakan kesalahan konfigurasi cloud untuk menembus jaringan.