Logo
Cybersecurity

Keamanan Siber di Sektor Kesehatan Asia Tenggara: Mengapa Sistem Data Pasien Adalah Pertahanan Baru

Sektor kesehatan kini menjadi industri yang paling banyak mengalami pelanggaran data secara global, dan Asia Tenggara berada tepat di pusaran ancaman tersebut. ITSEC Asia, perusahaan keamanan siber terkemuka di Indonesia, menjelaskan mengapa rumah sakit dan sistem layanan kesehatan perlu melangkah lebih jauh dari sekadar kepatuhan regulasi dan membangun continuous security validation sebelum serangan berikutnya terjadi.

ITSEC AsiaITSEC Asia
|
Jun 30, 2026
Keamanan Siber di Sektor Kesehatan Asia Tenggara: Mengapa Sistem Data Pasien Adalah Pertahanan Baru

Pendahuluan

Apa yang dibutuhkan seorang penyerang untuk mengompromikan data rekam medis pribadi 1,5 juta pasien, termasuk seorang perdana menteri yang sedang menjabat? Dalam kasus SingHealth pada 2018, jawabannya ternyata hanya satu celah kerentanan yang belum ditambal, sebuah email phishing, dan hampir satu tahun akses yang tidak terdeteksi sebelum ada yang menyadari sesuatu telah salah. Investigasi yang menyusul menemukan bahwa tidak ada penetration test yang pernah dilakukan, tidak ada autentikasi dua faktor yang diaktifkan pada sistem-sistem kritis, dan keamanan siber diperlakukan sebagai urusan manajemen IT semata bukan sebagai risiko organisasi. Komite Penyelidik mendeskripsikan kegagalan-kegagalan tersebut sebagai serangkaian peluang yang terlewat, yang bahkan seorang penyerang dengan kemampuan jauh lebih rendah pun bisa mengeksploitasi dengan cara yang sama.

Itu terjadi pada 2018. Sejak saat itu, ancaman terhadap sistem layanan kesehatan di Asia Tenggara tidak berkurang. Ancaman itu justru terindustrialisasi. Serangan siber di kawasan ini berlipat ganda pada 2024 dibandingkan tahun sebelumnya, dengan sektor kesehatan secara konsisten masuk dalam daftar target utama bersama keuangan dan pemerintahan. Secara global, sektor kesehatan menyumbang 23% dari seluruh pelanggaran data pada 2024, melampaui sektor keuangan untuk pertama kalinya, dengan rata-rata biaya per insiden mencapai $7,42 juta, tertinggi di antara semua industri. Di Indonesia saja, BSSN mencatat lebih dari 3 miliar serangan siber atau anomali trafik hanya dalam tujuh bulan pertama 2025, dan data kesehatan tetap menjadi salah satu kategori yang paling sering terekspos dalam lanskap pelanggaran data yang terus berulang di negara ini. ITSEC Asia, perusahaan keamanan siber terkemuka di Indonesia, bekerja langsung bersama organisasi-organisasi layanan kesehatan di seluruh kawasan dalam menghadapi lingkungan ini, dan menyaksikan sendiri betapa banyak institusi yang masih belum siap menghadapi skala dan kecanggihan ancaman yang kini mengincar mereka.

Source: SingHealth COI Report: A Catalogue of Cybersecurity Failures · Cyberattacks in Southeast Asia Doubled in 2024 · Healthcare Tops Data Breach Incidents 2024 · BSSN Cyber Attacks H1 2025

Mengapa Sektor Kesehatan Adalah Target Bernilai Tertinggi di Kawasan Ini

Data pasien bukan sekadar sensitif, data tersebut bersifat sensitif secara permanen. Kartu kredit yang disusupi bisa dibatalkan dan kata sandi yang dicuri bisa direset, tetapi rekam medis yang memuat diagnosis, resep, informasi asuransi, dan pengenal biometrik tidak dapat diubah, dan nilainya tetap bertahan selama bertahun-tahun. Sifat permanen inilah yang mendorong kelompok ransomware dan aktor yang disponsori negara untuk semakin mengalihkan fokus mereka ke sistem layanan kesehatan, di mana kombinasi antara data yang kaya dan ketergantungan operasional yang kritis menciptakan daya tekan maksimal.

Beberapa angka kunci yang menggambarkan skala ancaman ini antara lain:

  • Sektor kesehatan kini menyumbang 17% dari seluruh serangan ransomware lintas industri secara global, dengan 458 kejadian ransomware tercatat di sektor ini sepanjang 2024.

  • Rata-rata permintaan tebusan terhadap penyedia layanan kesehatan telah mencapai $7 juta, dengan permintaan tertinggi yang pernah terdokumentasi terhadap satu institusi mencapai $100 juta.

  • Di Vietnam, peretas mengiklankan penjualan 112.000 rekam medis pasien dan staf dari satu pelanggaran rumah sakit pada Juni 2024.

  • Di Indonesia, pelanggaran data basis data asuransi kesehatan nasional pada 2021 mengkompromikan data 279 juta individu, termasuk warga yang telah meninggal, menjadikannya salah satu eksposur data kesehatan pemerintah terbesar yang pernah tercatat.

Permukaan serangan di sektor kesehatan juga lebih luas dan kompleks dibandingkan industri lainnya. Sebuah rumah sakit modern menghubungkan sistem rekam medis elektronik, platform pencitraan medis, sistem informasi laboratorium, jaringan farmasi, infrastruktur penagihan, dan semakin banyak perangkat medis yang terhubung ke internet, semuanya dalam satu lingkungan yang sama. Bagi sistem layanan kesehatan di Asia Tenggara, yang sebagian besar merupakan institusi publik berukuran menengah dengan anggaran keamanan siber terbatas dan infrastruktur yang sudah menua, angka-angka ini merepresentasikan risiko operasional yang bersifat eksistensial, melampaui sekadar paparan regulasi hingga mengancam keselamatan pasien secara langsung.

Source: Cobalt: Healthcare Data Breach Statistics 2025 · Cyberattacks in Southeast Asia Doubled in 2024 · Indonesia BPJS 279M Records Breach

Lanskap Regulasi Semakin Ketat, dan Sektor Kesehatan Tidak Dikecualikan

Bagi organisasi layanan kesehatan yang beroperasi di Indonesia, lanskap regulasi yang mengatur perlindungan data pasien telah berubah secara fundamental dalam dua tahun terakhir, dan kewajiban yang dituntutnya jauh melampaui sekadar mencantumkan kebijakan privasi di sebuah situs web. Kewajiban utama yang kini dihadapi organisasi layanan kesehatan mencakup:

  • UU PDP (Undang-Undang Perlindungan Data Pribadi Indonesia), yang telah berlaku penuh sejak Oktober 2024, mengklasifikasikan data kesehatan sebagai kategori data pribadi khusus dengan persyaratan perlindungan yang lebih ketat.

  • Dalam hal terjadi pelanggaran, pengendali data wajib memberitahu individu yang terdampak maupun otoritas regulasi dalam waktu 72 jam  identik dengan standar GDPR Uni Eropa.

  • Sanksi administratif berdasarkan Pasal 57 dapat mencapai 2% dari pendapatan tahunan, dengan sanksi pidana hingga IDR 5 miliar dan penjara lima tahun untuk pelanggaran yang lebih serius.

  • Berdasarkan Peraturan BSSN No. 1 Tahun 2024, organisasi yang mengoperasikan infrastruktur informasi vital  termasuk sistem kesehatan publik  wajib melaporkan insiden siber kepada Tim Nasional Respons Insiden Siber dalam waktu 24 jam.

  • Lembaga PDP, lembaga perlindungan data khusus Indonesia, ditargetkan beroperasi penuh pada 2026, yang setelahnya frekuensi dan kedalaman penegakan hukum diperkirakan akan meningkat secara signifikan.

Pola yang terjadi pada kasus SingHealth menjadi pelajaran penting di sini. Investigasi COI menemukan bahwa uji penetrasi tidak pernah dilakukan, penilaian kerentanan tidak dilaksanakan dengan frekuensi yang memadai, dan postur keamanan organisasi tidak pernah divalidasi secara aktif terhadap skenario serangan nyata. Komisi Perlindungan Data Pribadi mendenda SingHealth dan vendor IT-nya total sebesar S$1 juta  denda terbesar dalam sejarah perlindungan data Singapura saat itu  bukan karena pelanggaran itu terjadi, melainkan karena organisasi tersebut tidak melakukan upaya yang cukup untuk mencegahnya. Logika tersebut  bahwa sebuah pelanggaran tanpa bukti prior due diligence merupakan kegagalan kepatuhan  adalah standar yang kini dikodifikasikan oleh UU PDP di Indonesia.

Source: Chambers and Partners Data Protection Indonesia 2026 · BSSN Regulation No. 1 of 2024 · Singapore Data Breach History and PDPC Fines

Continuous Security Validation: Standar yang Benar-Benar Dibutuhkan Sistem Layanan Kesehatan

COI SingHealth membuat satu rekomendasi yang berlaku bagi setiap organisasi layanan kesehatan di Asia Tenggara terlepas dari ukuran, anggaran, atau negara: adopsi mindset "assume breach". Jangan merancang program keamanan Anda berdasarkan harapan bahwa penyerang tidak akan menemukan jalan masuk. Rancanglah berdasarkan kepastian bahwa mereka sedang mencoba, saat ini juga, dan bangun infrastruktur validasi untuk mengetahui apakah pertahanan Anda sedang bertahan.

Itulah kasus operasional bagi continuous security validation di sektor kesehatan. Penetration test tahunan tidak pernah dirancang untuk lingkungan yang berubah secepat infrastruktur digital rumah sakit modern. Platform rekam medis elektronik menerima pembaruan. Perangkat medis ditambahkan ke jaringan. Integrasi telehealth terhubung ke API eksternal. Vendor penagihan baru mendapatkan akses ke data pasien. Setiap perubahan tersebut berpotensi memperkenalkan kerentanan yang tidak ada selama penilaian terakhir, dan tidak satu pun dari perubahan itu terlihat oleh organisasi yang hanya melakukan pengujian setahun sekali lalu menunggu. Secara global, rata-rata waktu untuk mengidentifikasi dan mengatasi pelanggaran di sektor kesehatan adalah 241 hari, artinya seorang penyerang bisa berada di dalam sistem selama delapan bulan sebelum ada yang mengetahuinya. Waktu diam yang panjang itu bukan sesuatu yang tak terhindarkan. Ia adalah produk langsung dari pengujian yang jarang dan visibilitas yang tidak memadai.

Bronyx, platform penetration testing otonom berbasis AI dari ITSEC Asia, dibangun secara khusus untuk menutup celah ini. Dengan menggabungkan otomasi cerdas dan pengawasan ahli melalui pendekatan Human and AI, Bronyx memungkinkan organisasi layanan kesehatan menjalankan penilaian keamanan berkelanjutan di seluruh permukaan serangan mereka, mulai dari sistem klinis, portal pasien, integrasi API, hingga perangkat yang terhubung, serta menghasilkan laporan siap audit dengan cap waktu yang menunjukkan uji tuntas keamanan aktif kepada regulator, dewan rumah sakit, dan badan akreditasi internasional. Setiap siklus penilaian menghasilkan dokumentasi tentang apa yang diuji, apa yang ditemukan, apa yang diperbaiki, dan kapan. Seiring waktu, catatan tersebut adalah perbedaan antara organisasi yang dapat membuktikan postur keamanannya dikelola secara aktif dan organisasi yang tidak dapat menjelaskan mengapa tidak ada catatan pengujian sistem sebelum pelanggaran terjadi.

ITSEC Asia telah lebih dari satu dekade bekerja bersama organisasi di sektor keuangan, kesehatan, telekomunikasi, dan sektor-sektor yang sangat diregulasi lainnya di seluruh Indonesia, Singapura, Australia, dan UEA, membantu tim keamanan dan kepatuhan membangun jejak bukti berkelanjutan yang semakin diharapkan oleh regulator dan yang dituntut oleh laju operasi layanan kesehatan modern.

Source: Cobalt: Healthcare Data Breach Statistics 2025 · ITSEC Asia: Why Annual Penetration Testing Is No Longer Enough · Bronyx.AI Continuous Penetration Testing Platform

Mulai Lindungi Data Pasien Sebelum Insiden Berikutnya Terjadi

Pertanyaan bagi organisasi layanan kesehatan di Asia Tenggara bukan apakah serangan siber akan datang. Hampir setengah dari organisasi layanan kesehatan secara global telah mengalami setidaknya satu insiden keamanan siber dalam setahun terakhir, dan transformasi kesehatan digital yang pesat di kawasan ini, dari penerapan rekam medis elektronik nasional hingga platform telemedicine dan perangkat diagnostik yang terhubung, memperluas permukaan serangan lebih cepat dari yang mampu diimbangi oleh sebagian besar program keamanan institusi. Pertanyaannya adalah apakah sebuah organisasi akan mampu membuktikan, setelah terjadi pelanggaran, bahwa ia telah mengambil langkah-langkah yang wajar dan terdokumentasi untuk melindungi data pasiennya sebelum insiden terjadi.

UU PDP memberi regulator kewenangan untuk menjawab pertanyaan tersebut dengan sanksi. BSSN memberi penyidik mandat untuk memeriksa kontrol teknis apa yang ada. Dan realitas operasional dari serangan ransomware yang melumpuhkan sistem klinis memberi setiap dewan rumah sakit alasan untuk mengambil jawaban tersebut secara serius sebelum berubah menjadi kewajiban hukum.

Tim ITSEC Asia memahami persimpangan antara operasi layanan kesehatan, kewajiban regulasi, dan persyaratan keamanan siber di pasar Indonesia dan Asia Tenggara yang lebih luas. Panduan dan produk yang diberikannya dibangun tidak hanya untuk tim keamanan, tetapi juga untuk kepemimpinan klinis, legal, dan pemangku kepentingan kepatuhan yang perlu menunjukkan akuntabilitas kepada regulator, badan akreditasi, dan pasien yang mempercayakan informasi paling sensitif mereka kepada institusi-institusi tersebut.

Kunjungi bronyx.ai atau hubungi tim ITSEC Asia di itsec.asia/contact untuk mengatur konsultasi dan melihat bagaimana continuous security validation dapat disesuaikan dengan lingkungan layanan kesehatan Anda.

Share this post

You may also like

Apa Itu Continuous Security Validation dan Mengapa Semakin Penting?
Cybersecurity

Apa Itu Continuous Security Validation dan Mengapa Semakin Penting?

Lingkungan teknologi saat ini bergerak lebih cepat dibandingkan sebelumnya. Infrastruktur cloud terus berkembang, aplikasi diperbarui secara berkala dan kerentanan baru ditemukan hampir setiap hari. Namun, banyak organisasi masih mengandalkan security assessment yang dilakukan setahun sekali atau beberapa kali dalam setahun. Masalahnya, risiko siber tidak berhenti setelah sebuah penetration test selesai dilakukan. Di sinilah konsep Continuous Security Validation mulai menjadi semakin relevan. Alih-alih hanya memberikan gambaran kondisi keamanan pada satu titik waktu, pendekatan ini membantu organisasi memperoleh visibilitas yang lebih berkelanjutan terhadap risiko yang terus berubah. APA ITU CONTINUOUS SECURITY VALIDATION? Continuous Security Validation (CSV) adalah pendekatan yang memungkinkan organisasi untuk secara berkelanjutan mengevaluasi dan memvalidasi efektivitas kontrol keamanan mereka seiring perubahan lingkungan dan munculnya ancaman baru. Tujuannya bukan hanya menemukan kerentanan, tetapi memastikan bahwa mekanisme pertahanan yang dimiliki organisasi masih mampu bekerja sebagaimana mestinya. Dengan kata lain, Continuous Security Validation membantu menjawab pertanyaan yang lebih penting: "Apakah kontrol keamanan yang kita miliki masih efektif saat ini?" Bukan hanya saat assessment terakhir dilakukan. MENGAPA PENDEKATAN TRADISIONAL SAJA TIDAK LAGI MEMADAI? Penetration testing tradisional tetap memiliki peran yang sangat

ITSEC AsiaITSEC Asia
|
Jun 15, 2026 5 minutes read
Celah Keamanan yang Tidak Bisa Diabaikan oleh Institusi Keuangan Indonesia
Cybersecurity

Celah Keamanan yang Tidak Bisa Diabaikan oleh Institusi Keuangan Indonesia

PENDAHULUAN Antara akhir 2024 hingga 2025, Otoritas Jasa Keuangan (OJK) dan Indonesia Anti-Scam Center (IASC) mencatat sekitar 274.000 kasus penipuan dengan total kerugian masyarakat melebihi IDR 6 triliun. Angka itu belum mencakup gangguan operasional dan dampak reputasi dari insiden besar seperti kebocoran BI-Fast 2024, yang mendorong OJK melakukan inspeksi darurat terhadap bank pembangunan daerah di seluruh Indonesia. Sektor keuangan Indonesia tidak sedang menghadapi ancaman yang datang berkala. Ancaman itu beroperasi sepanjang waktu, dan memperlakukan validasi keamanan sebagai formalitas setahun sekali adalah salah satu asumsi paling berbahaya yang bisa dibuat oleh bank atau perusahaan fintech saat ini. Penetration test tahunan sudah menjadi norma industri, dan selama bertahun-tahun dianggap cukup. Logikanya masuk akal: uji sistem sebelum produksi, dokumentasikan temuan, perbaiki yang kritis, dan ulangi dua belas bulan kemudian. Model itu masuk akal ketika lingkungan relatif statis, ketika API belum menjadi tulang punggung setiap integrasi produk, dan ketika penyerang belum menjalankan alat otomatis secara terus-menerus di seluruh internet. Tidak satu pun dari kondisi itu yang berlaku hari ini. ITSEC Asia, perusahaan keamanan siber terkemuka di Indonesia

ITSEC AsiaITSEC Asia
|
Jun 30, 2026 6 minutes read
Mengapa Threat Hunting Adalah Satu-Satunya Cara untuk Menghentikan Penyerang yang Sudah Ada di Dalam
Cybersecurity

Mengapa Threat Hunting Adalah Satu-Satunya Cara untuk Menghentikan Penyerang yang Sudah Ada di Dalam

PENDAHULUAN Ada satu pertanyaan yang harus direnungkan oleh setiap pemimpin keamanan: jika seorang penyerang masuk ke jaringan Anda enam bulan lalu, apakah Anda akan mengetahuinya? Menurut Laporan Biaya Pelanggaran Data IBM 2024, rata-rata waktu untuk mengidentifikasi sebuah pelanggaran kini mencapai 194 hari, hampir setengah tahun aktivitas penyerang yang tidak terdeteksi beroperasi bebas di dalam infrastruktur perusahaan. Alat-alat pencegahan, semaju apapun, telah terbukti tidak mampu menutup celah tersebut sendirian. Firewall, perangkat lunak antivirus, dan autentikasi multi-faktor memang diperlukan. Namun itu saja tidak cukup. Organisasi yang memahami perbedaan ini adalah mereka yang berinvestasi dalam threat hunting: praktik proaktif berbasis intelijen yang bertujuan mencari para penyerang yang telah melewati perimeter dan beroperasi dalam diam. ITSEC Asia, pemimpin keamanan siber di Indonesia dengan operasi di Singapura, Australia, dan UAE, bekerja sama dengan organisasi-organisasi di seluruh kawasan tersebut untuk membangun kemampuan ini sebelum pelanggaran berikutnya membuat hal itu menjadi mendesak. Sumber: IBM Cost of a Data Breach Report 2024 [https://www.ibm.com/reports/data-breach] CELAH YANG TIDAK BISA DITUTUP OLEH KEAMANAN REAKTIF Kelemahan mendasar dari keamanan siber yang bersifat reaktif terletak pada arsitekturnya. Security Operations

Ajeng HadeAjeng Hade
|
Mei 12, 2026 5 minutes read

Receive weekly
updates on new posts

Subscribe