Teknostyle – Penelitian serangan siber mengungkap, aplikasi kesehatan pihak ketiga yang menarik data pasien dari sistem catatan kesehatan elektronik, rentan terhadap peretasan. Catatan kesehatan elektronik, yang disimpan di pusat kesehatan dan tunduk pada undang-undang privasi federal HIPAA (Amerika Serikat), sebenarnya dilindungi dengan baik.
Tetapi, segera setelah pasien memberikan izin agar data mereka meninggalkan catatan kesehatan dan menuju ke aplikasi pihak ketiga, seperti program yang melacak pengobatan orang, mudah bagi peretas untuk mengaksesnya.
Rumah sakit dan sistem perawatan kesehatan adalah target utama para peretas, dan serangan-serangan hanya meningkat selama beberapa tahun terakhir. Data kesehatan pasien adalah beberapa informasi paling berharga bagi peretas.
Setiap catatan dapat bernilai ratusan dollar di web gelap, sebagian karena tidak dapat diubah dengan mudah dan lebih sulit untuk dideteksi ketika data digunakan secara curang. Nomor kartu kredit, di sisi lain, dapat dengan mudah diubah dan hanya bernilai beberapa dollar.
Untuk laporan baru, yang disponsori oleh perusahaan keamanan aplikasi Approov ini, analis keamanan siber Alissa Knight memeriksa, kerentanan dalam aplikasi yang dibuat menggunakan standar Fast Healthcare Interoperability Resources (FHIR), yang dibuat untuk mendorong pertukaran informasi dalam perawatan kesehatan.
Dia mulai dengan memeriksa aplikasi yang dibangun di dalam catatan kesehatan elektronik itu sendiri, dan tidak menemukan kelemahan. Tetapi, ketika dia menguji program pihak ketiga yang terhubung dengan catatan kesehatan untuk mengeluarkan data, dia menemukan masalah besar.
Knight dapat mengakses lebih dari 4 juta catatan pasien dan dokter dari lebih dari 25.000 penyedia melalui lubang tersebut. “Dia tidak perlu menggunakan peretasan keamanan siber tingkat lanjut,” ucap John Moehrke, pakar interoperabilitas dan anggota grup manajemen FHIR kepada STAT News. “Dia hanya menggunakan hal-hal dasar yang akan ditekankan oleh keamanan siber tahun pertama Anda,” lanjut John.
Aplikasi pihak ketiga dan agregator data, penting untuk perawatan kesehatan. Aplikasi membantu dokter dan pasien dengan menarik catatan kesehatan ke dalam format yang lebih mudah diakses, atau menggabungkan informasi dari janji yang berbeda ke dalam satu tempat.
Departemen Kesehatan dan Layanan Kemanusiaan AS, memiliki aturan yang mendorong sistem kesehatan untuk memastikan mereka dapat berbicara satu sama lain secara elektronik. Penting untuk membantu memberi orang akses ke informasi kesehatan mereka sendiri dan untuk membantu dokter mengoordinasikan perawatan.
“Tetapi perlu ada lebih banyak perhatian dan keamanan di sekitar aplikasi itu,” tulis Knight dalam laporannya.
Setelah data meninggalkan catatan kesehatan dan memasuki aplikasi pihak ketiga, data tidak tercakup oleh HIPAA, sehingga tidak tunduk pada standar HIPAA seputar perlindungan data atau tentang bagaimana orang harus diberi tahu jika data mereka diakses.
Komisi Perdagangan Federal, baru-baru ini mengklarifikasi bahwa aplikasi pihak ketiga memang harus memberi tahu pengguna tentang pelanggaran data, tapi komisi tidak dapat menambahkan peraturan privasi atau keamanan tambahan untuk aplikasi tersebut.
“Perlu ada mekanisme pengawasan terpisah untuk melindungi pasien dan aplikasi yang mereka gunakan,” bunyi rekomendasi laporan baru tersebut. (Danish)