Cyberthreat.id – Layanan kesehatan berbasis teknologi informasi berkembang cepat di masa pandemi Covid-19. Ramai startup-startup teknologi mengembangkan aplikasi telemedis atau sistem manajemen klinik.

Dengan serbadigital tersebut, pasien semakin mudah untuk berobat, janji ketemu dengan dokter, dan berkonsultasi kesehatan secara real-time.

Namun, satu hal yang juga menjadi perhatian ialah bagaimana para startup itu mengamankan segala lalu lintas data yang dipertukarkan di aplikasi?

Pertukaran informasi pribadi tersebut sangat rentan bocor. Sudah banyak insiden kebocoran data pasien beredar di internet. Salah satunya basis data yang diduga milik Kementerian Kesehatan pada tahun lalu. (Baca: Peretas: Saya Mengeksploitasi Seorang Pegawai Kemenkes)

Setidaknya ada tiga risiko utama aplikasi kesehatan (mobile health/mHealth).

Pertama, kerentanan pada aplikasi. Ketika mendesain aplikasi, mungkin pengembang tidak cermat, terlebih memanfaatkan momentum pandemi, penulisan kode juga bisa terburu-buru sehingga terdapat celah keamanan data.

Sebuah studi HealthGlobal menemukan bahwa lebih dari 80 persen aplikasi Covid-19 membocorkan data, tulis Health Tech Magazine, diakses Kamis (10 Februari 2022).

Saat dilakukan pengujian, sekitar 70 persen apliksi medis memiliki sedikitnya satu kerentanan keamanan tingkat tinggi.

Kedua, faktor risiko lain yang berpengaruh ialah perangkat pengguna. Ponsel pintar dapat dicuri atau hilang sehingga akses data pribadi pengguna sangat dimungkinkan.

Dan, masalah ketiga, tentu saja faktor orang di belakang perangkat. Manusia biasanya menjadi celah yang paling rentan di antara aspek keamanan siber.

Kesembronoan dalam memakai perangkat atau aplikasi atau menyimpan data pribadi bisa membawa petaka kebocoran data. Apalagi bila pengguna tidak mempedulikan keamanan, seperti berbagi kata sandi, hal ini meningkatkan paparan ancaman.

Internal atau pihak ketiga

Yang perlu diperhatikan, terutama oleh penyedia aplikasi, ialah bagaimana aplikasi tersebut dikembangkan. Apakah aplikasi dibangun oleh tim internal sendiri atau memakai pengembang pihak ketiga.

Jika memakai pihak ketiga, tentu harus ada mekanisme perjanjian dengan vendor tersebut. “Vendor perlu dievaluasi,” tulis Health Tech Magazine.

Penyedia aplikasi harus meminta bukti pemrosesan data pengguna bagaimana data itu disimpan, diproses, dan dibagikan.

‎”Mengevaluasi sejauh mana vendor mengidentifikasi ancaman terhadap data, dan bagaimana mereka menanggapi ancaman yang diketahui dan baru ditemukan juga harus menjadi konsen penyedia aplikasi.

Pastikan bahwa vendor memahami tanggung jawab dan memiliki proses untuk mendeteksi dan mengelola potensi pelanggaran keamanan, termasuk berpedoman pada regulasi yang berlaku.‎

Tips

Lalu, bagaimana mengamankan aplikasi kesehatan yang dipakai? Tentu faktor-faktor mendasar keamanan siber harus diterapkan. Berikut ini tips yang perlu diperhatikan pengembang dan pengguna aplikasi, antara lain:

• ‎Otentikasi: ‎‎ Kata sandi dan otentikasi pengguna yang kuat adalah salah satu faktor keamanan yang paling penting. Jangan pernah menyimpan kata sandi dalam plaintext. Sebaliknya, enkripsi kata sandi dengan teknologi terbaru adalah cara pengamanan yang lebih baik. Juga, menerapkan otentikasi multifaktor.‎
• ‎Manajemen Hak Istimewa:‎‎ Terapkan prinsip hak istimewa seminimal mungkin dan memperketat izin apa yang perlu diberikan kepada suatu program. Jika peretas akhirnya masuk di aplikasi, mereka tidak akan dapat melakukan apa pun di luar apa yang biasanya dilakukan aplikasi, seperti meningkatkan hak istimewa untuk mendapatkan akses ke database sensitif.‎
• ‎Penyimpanan dan Komunikasi Data yang Aman:‎‎ Bila memungkinkan, hindari menyimpan data sensitif pada perangkat atau di cadangan. Lindungi informasi sensitif yang disimpan dalam file dengan menggunakan enkripsi yang kuat, dan evaluasi apakah diperlukan sesuatu yang lebih kuat daripada enkripsi asli di iOS atau Android. Menerapkan transmisi jaringan data sensitif yang aman.‎
• ‎Kepatuhan regulasi:‎‎ HIPAA adalah peraturan yang paling relevan, dengan pedoman yang jelas mengenai penggunaan kredensial rahasia, enkripsi wajib, otentikasi dan faktor lainnya. Namun, peraturan lain, seperti Peraturan Perlindungan Data Umum Uni Eropa, UU ITE, PP Nomor 71/2019, dan UU Pelindungan Data Pribadi juga perlu menjadi pedoman. Perlu diingat bahwa jika aplikasi memfasilitasi diagnosis, pengobatan, penyembuhan atau mitigasi masalah kesehatan, mungkin perlu izin dari BPOM atau Kementerian Kesehatan.
• ‎Pengujian dan Publikasi:‎‎ Pengujian menyeluruh melibatkan berbagai langkah sangat penting untuk memastikan kode bebas dari malware dan kerentanan yang diakui secara publik. Setelah aplikasi diuji, itu harus tersedia hanya di toko aplikasi yang disetujui. Apple App Store dan Google Play Store dapat memantau dan memeriksa aplikasi untuk fitur keamanan sebelum dan sesudah tersedia untuk diunduh. Ini mengurangi risiko pengguna menginstal aplikasi yang berpotensi berbahaya.‎
• ‎Sumber pedoman: Bagi pengembang bisa mencari pedoman yang tersedia secara bebas‎‎ untuk memastikan aplikasi dibangun dengan mempertimbangkan keamanan, privasi, dan kepatuhan. Ada rekomendasi untuk praktik pengkodean umum, protokol transfer yang kuat, pengujian pustaka pihak ketiga, dan banyak lagi.[]‎