Keamanan Siber di Sektor Kesehatan Asia Tenggara: Mengapa Sistem Data Pasien Adalah Pertahanan Baru
Sektor kesehatan kini menjadi industri yang paling banyak mengalami pelanggaran data secara global, dan Asia Tenggara berada tepat di pusaran ancaman tersebut. ITSEC Asia, perusahaan keamanan siber terkemuka di Indonesia, menjelaskan mengapa rumah sakit dan sistem layanan kesehatan perlu melangkah lebih jauh dari sekadar kepatuhan regulasi dan membangun continuous security validation sebelum serangan berikutnya terjadi.
.png)
Pendahuluan
Apa yang dibutuhkan seorang penyerang untuk mengompromikan data rekam medis pribadi 1,5 juta pasien, termasuk seorang perdana menteri yang sedang menjabat? Dalam kasus SingHealth pada 2018, jawabannya ternyata hanya satu celah kerentanan yang belum ditambal, sebuah email phishing, dan hampir satu tahun akses yang tidak terdeteksi sebelum ada yang menyadari sesuatu telah salah. Investigasi yang menyusul menemukan bahwa tidak ada penetration test yang pernah dilakukan, tidak ada autentikasi dua faktor yang diaktifkan pada sistem-sistem kritis, dan keamanan siber diperlakukan sebagai urusan manajemen IT semata bukan sebagai risiko organisasi. Komite Penyelidik mendeskripsikan kegagalan-kegagalan tersebut sebagai serangkaian peluang yang terlewat, yang bahkan seorang penyerang dengan kemampuan jauh lebih rendah pun bisa mengeksploitasi dengan cara yang sama.
Itu terjadi pada 2018. Sejak saat itu, ancaman terhadap sistem layanan kesehatan di Asia Tenggara tidak berkurang. Ancaman itu justru terindustrialisasi. Serangan siber di kawasan ini berlipat ganda pada 2024 dibandingkan tahun sebelumnya, dengan sektor kesehatan secara konsisten masuk dalam daftar target utama bersama keuangan dan pemerintahan. Secara global, sektor kesehatan menyumbang 23% dari seluruh pelanggaran data pada 2024, melampaui sektor keuangan untuk pertama kalinya, dengan rata-rata biaya per insiden mencapai $7,42 juta, tertinggi di antara semua industri. Di Indonesia saja, BSSN mencatat lebih dari 3 miliar serangan siber atau anomali trafik hanya dalam tujuh bulan pertama 2025, dan data kesehatan tetap menjadi salah satu kategori yang paling sering terekspos dalam lanskap pelanggaran data yang terus berulang di negara ini. ITSEC Asia, perusahaan keamanan siber terkemuka di Indonesia, bekerja langsung bersama organisasi-organisasi layanan kesehatan di seluruh kawasan dalam menghadapi lingkungan ini, dan menyaksikan sendiri betapa banyak institusi yang masih belum siap menghadapi skala dan kecanggihan ancaman yang kini mengincar mereka.
Source: SingHealth COI Report: A Catalogue of Cybersecurity Failures · Cyberattacks in Southeast Asia Doubled in 2024 · Healthcare Tops Data Breach Incidents 2024 · BSSN Cyber Attacks H1 2025
Mengapa Sektor Kesehatan Adalah Target Bernilai Tertinggi di Kawasan Ini
Data pasien bukan sekadar sensitif, data tersebut bersifat sensitif secara permanen. Kartu kredit yang disusupi bisa dibatalkan dan kata sandi yang dicuri bisa direset, tetapi rekam medis yang memuat diagnosis, resep, informasi asuransi, dan pengenal biometrik tidak dapat diubah, dan nilainya tetap bertahan selama bertahun-tahun. Sifat permanen inilah yang mendorong kelompok ransomware dan aktor yang disponsori negara untuk semakin mengalihkan fokus mereka ke sistem layanan kesehatan, di mana kombinasi antara data yang kaya dan ketergantungan operasional yang kritis menciptakan daya tekan maksimal.
Beberapa angka kunci yang menggambarkan skala ancaman ini antara lain:
-
Sektor kesehatan kini menyumbang 17% dari seluruh serangan ransomware lintas industri secara global, dengan 458 kejadian ransomware tercatat di sektor ini sepanjang 2024.
-
Rata-rata permintaan tebusan terhadap penyedia layanan kesehatan telah mencapai $7 juta, dengan permintaan tertinggi yang pernah terdokumentasi terhadap satu institusi mencapai $100 juta.
-
Di Vietnam, peretas mengiklankan penjualan 112.000 rekam medis pasien dan staf dari satu pelanggaran rumah sakit pada Juni 2024.
-
Di Indonesia, pelanggaran data basis data asuransi kesehatan nasional pada 2021 mengkompromikan data 279 juta individu, termasuk warga yang telah meninggal, menjadikannya salah satu eksposur data kesehatan pemerintah terbesar yang pernah tercatat.
Permukaan serangan di sektor kesehatan juga lebih luas dan kompleks dibandingkan industri lainnya. Sebuah rumah sakit modern menghubungkan sistem rekam medis elektronik, platform pencitraan medis, sistem informasi laboratorium, jaringan farmasi, infrastruktur penagihan, dan semakin banyak perangkat medis yang terhubung ke internet, semuanya dalam satu lingkungan yang sama. Bagi sistem layanan kesehatan di Asia Tenggara, yang sebagian besar merupakan institusi publik berukuran menengah dengan anggaran keamanan siber terbatas dan infrastruktur yang sudah menua, angka-angka ini merepresentasikan risiko operasional yang bersifat eksistensial, melampaui sekadar paparan regulasi hingga mengancam keselamatan pasien secara langsung.
Source: Cobalt: Healthcare Data Breach Statistics 2025 · Cyberattacks in Southeast Asia Doubled in 2024 · Indonesia BPJS 279M Records Breach
Lanskap Regulasi Semakin Ketat, dan Sektor Kesehatan Tidak Dikecualikan
Bagi organisasi layanan kesehatan yang beroperasi di Indonesia, lanskap regulasi yang mengatur perlindungan data pasien telah berubah secara fundamental dalam dua tahun terakhir, dan kewajiban yang dituntutnya jauh melampaui sekadar mencantumkan kebijakan privasi di sebuah situs web. Kewajiban utama yang kini dihadapi organisasi layanan kesehatan mencakup:
-
UU PDP (Undang-Undang Perlindungan Data Pribadi Indonesia), yang telah berlaku penuh sejak Oktober 2024, mengklasifikasikan data kesehatan sebagai kategori data pribadi khusus dengan persyaratan perlindungan yang lebih ketat.
-
Dalam hal terjadi pelanggaran, pengendali data wajib memberitahu individu yang terdampak maupun otoritas regulasi dalam waktu 72 jam identik dengan standar GDPR Uni Eropa.
-
Sanksi administratif berdasarkan Pasal 57 dapat mencapai 2% dari pendapatan tahunan, dengan sanksi pidana hingga IDR 5 miliar dan penjara lima tahun untuk pelanggaran yang lebih serius.
-
Berdasarkan Peraturan BSSN No. 1 Tahun 2024, organisasi yang mengoperasikan infrastruktur informasi vital termasuk sistem kesehatan publik wajib melaporkan insiden siber kepada Tim Nasional Respons Insiden Siber dalam waktu 24 jam.
-
Lembaga PDP, lembaga perlindungan data khusus Indonesia, ditargetkan beroperasi penuh pada 2026, yang setelahnya frekuensi dan kedalaman penegakan hukum diperkirakan akan meningkat secara signifikan.
Pola yang terjadi pada kasus SingHealth menjadi pelajaran penting di sini. Investigasi COI menemukan bahwa uji penetrasi tidak pernah dilakukan, penilaian kerentanan tidak dilaksanakan dengan frekuensi yang memadai, dan postur keamanan organisasi tidak pernah divalidasi secara aktif terhadap skenario serangan nyata. Komisi Perlindungan Data Pribadi mendenda SingHealth dan vendor IT-nya total sebesar S$1 juta denda terbesar dalam sejarah perlindungan data Singapura saat itu bukan karena pelanggaran itu terjadi, melainkan karena organisasi tersebut tidak melakukan upaya yang cukup untuk mencegahnya. Logika tersebut bahwa sebuah pelanggaran tanpa bukti prior due diligence merupakan kegagalan kepatuhan adalah standar yang kini dikodifikasikan oleh UU PDP di Indonesia.
Source: Chambers and Partners Data Protection Indonesia 2026 · BSSN Regulation No. 1 of 2024 · Singapore Data Breach History and PDPC Fines
Continuous Security Validation: Standar yang Benar-Benar Dibutuhkan Sistem Layanan Kesehatan
COI SingHealth membuat satu rekomendasi yang berlaku bagi setiap organisasi layanan kesehatan di Asia Tenggara terlepas dari ukuran, anggaran, atau negara: adopsi mindset "assume breach". Jangan merancang program keamanan Anda berdasarkan harapan bahwa penyerang tidak akan menemukan jalan masuk. Rancanglah berdasarkan kepastian bahwa mereka sedang mencoba, saat ini juga, dan bangun infrastruktur validasi untuk mengetahui apakah pertahanan Anda sedang bertahan.
Itulah kasus operasional bagi continuous security validation di sektor kesehatan. Penetration test tahunan tidak pernah dirancang untuk lingkungan yang berubah secepat infrastruktur digital rumah sakit modern. Platform rekam medis elektronik menerima pembaruan. Perangkat medis ditambahkan ke jaringan. Integrasi telehealth terhubung ke API eksternal. Vendor penagihan baru mendapatkan akses ke data pasien. Setiap perubahan tersebut berpotensi memperkenalkan kerentanan yang tidak ada selama penilaian terakhir, dan tidak satu pun dari perubahan itu terlihat oleh organisasi yang hanya melakukan pengujian setahun sekali lalu menunggu. Secara global, rata-rata waktu untuk mengidentifikasi dan mengatasi pelanggaran di sektor kesehatan adalah 241 hari, artinya seorang penyerang bisa berada di dalam sistem selama delapan bulan sebelum ada yang mengetahuinya. Waktu diam yang panjang itu bukan sesuatu yang tak terhindarkan. Ia adalah produk langsung dari pengujian yang jarang dan visibilitas yang tidak memadai.
Bronyx, platform penetration testing otonom berbasis AI dari ITSEC Asia, dibangun secara khusus untuk menutup celah ini. Dengan menggabungkan otomasi cerdas dan pengawasan ahli melalui pendekatan Human and AI, Bronyx memungkinkan organisasi layanan kesehatan menjalankan penilaian keamanan berkelanjutan di seluruh permukaan serangan mereka, mulai dari sistem klinis, portal pasien, integrasi API, hingga perangkat yang terhubung, serta menghasilkan laporan siap audit dengan cap waktu yang menunjukkan uji tuntas keamanan aktif kepada regulator, dewan rumah sakit, dan badan akreditasi internasional. Setiap siklus penilaian menghasilkan dokumentasi tentang apa yang diuji, apa yang ditemukan, apa yang diperbaiki, dan kapan. Seiring waktu, catatan tersebut adalah perbedaan antara organisasi yang dapat membuktikan postur keamanannya dikelola secara aktif dan organisasi yang tidak dapat menjelaskan mengapa tidak ada catatan pengujian sistem sebelum pelanggaran terjadi.
ITSEC Asia telah lebih dari satu dekade bekerja bersama organisasi di sektor keuangan, kesehatan, telekomunikasi, dan sektor-sektor yang sangat diregulasi lainnya di seluruh Indonesia, Singapura, Australia, dan UEA, membantu tim keamanan dan kepatuhan membangun jejak bukti berkelanjutan yang semakin diharapkan oleh regulator dan yang dituntut oleh laju operasi layanan kesehatan modern.
Source: Cobalt: Healthcare Data Breach Statistics 2025 · ITSEC Asia: Why Annual Penetration Testing Is No Longer Enough · Bronyx.AI Continuous Penetration Testing Platform
Mulai Lindungi Data Pasien Sebelum Insiden Berikutnya Terjadi
Pertanyaan bagi organisasi layanan kesehatan di Asia Tenggara bukan apakah serangan siber akan datang. Hampir setengah dari organisasi layanan kesehatan secara global telah mengalami setidaknya satu insiden keamanan siber dalam setahun terakhir, dan transformasi kesehatan digital yang pesat di kawasan ini, dari penerapan rekam medis elektronik nasional hingga platform telemedicine dan perangkat diagnostik yang terhubung, memperluas permukaan serangan lebih cepat dari yang mampu diimbangi oleh sebagian besar program keamanan institusi. Pertanyaannya adalah apakah sebuah organisasi akan mampu membuktikan, setelah terjadi pelanggaran, bahwa ia telah mengambil langkah-langkah yang wajar dan terdokumentasi untuk melindungi data pasiennya sebelum insiden terjadi.
UU PDP memberi regulator kewenangan untuk menjawab pertanyaan tersebut dengan sanksi. BSSN memberi penyidik mandat untuk memeriksa kontrol teknis apa yang ada. Dan realitas operasional dari serangan ransomware yang melumpuhkan sistem klinis memberi setiap dewan rumah sakit alasan untuk mengambil jawaban tersebut secara serius sebelum berubah menjadi kewajiban hukum.
Tim ITSEC Asia memahami persimpangan antara operasi layanan kesehatan, kewajiban regulasi, dan persyaratan keamanan siber di pasar Indonesia dan Asia Tenggara yang lebih luas. Panduan dan produk yang diberikannya dibangun tidak hanya untuk tim keamanan, tetapi juga untuk kepemimpinan klinis, legal, dan pemangku kepentingan kepatuhan yang perlu menunjukkan akuntabilitas kepada regulator, badan akreditasi, dan pasien yang mempercayakan informasi paling sensitif mereka kepada institusi-institusi tersebut.
Kunjungi bronyx.ai atau hubungi tim ITSEC Asia di itsec.asia/contact untuk mengatur konsultasi dan melihat bagaimana continuous security validation dapat disesuaikan dengan lingkungan layanan kesehatan Anda.
.png)

.png)
