1

1 BAB I

PEDAHULUAN

Gambaran Umum Objek Penelitian

Layanan kesehatan di Indonesia disediakan oleh berbagai jenis fasilitas

kesehatan (fasilitas kesehatan) seperti rumah sakit, pusat kesehatan, klinik, apotek,

dan praktik individu (dokter dan dokter gigi). Program Jaminan Kesehatan

Nasional (JKN) bertujuan untuk menyediakan layanan kesehatan masyarakat

melalui fasilitas kesehatan umum dan swasta. Lebih dari 20.000 fasilitas kesehatan

dapat memberikan layanan kesehatan kepada seluruh masyarakat di Indonesia.

Dalam melayani masyarakat, setiap fasilitas kesehatan menghasilkan,

menyimpan, mengelola dan menggunakan informasi kesehatan pasien

menggunakan sistem informasi yang disediakan oleh BPJS kesehatan. Pasien

yang dirawat oleh fasilitas kesehatan tersebut tidak hanya pasien yang

berpartisipasi dalam JKN tetapi juga pasien umum yang menggunakan asuransi

swasta atau pembiayaan sendiri.

1.1.1 Fasilitas Kesehatan

Fasilitas Kesehatan adalah fasilitas pelayanan kesehatan yang digunakan

untuk menyelenggarakan upaya pelayanan kesehatan perorangan, baik promotif,

preventif, kuratif maupun rehabilitatif yang dilakukan oleh Pemerintah,

Pemerintah Daerah, dan/atau Masyarakat. Dalam penelitian ini, subjek

penelitian terbatas pada fasilitas kesehatan yang terdaftar di BPJS Kesehatan

di Kota Bandung sampai bulan oktober 2018. Jenis dan jumlah fasilitas

kesehatan ditunjukkan pada Tabel 1.1

2

Tabel 1.1 Fasilitas Kesehatan Kota Bandung

(Sumber: (Bpjs-kesehatan, 2018), data diolah)

Fasilitas kesehatan di bagi menjadi dua jenis atau kategori seperti pada

gambar 1.1 berikut :

(Sumber: (Bpjs-kesehatan, 2018))

Di era jaminan kesehatan nasional (JKN) pelayanan kesehatan tidak lagi

berpusat pada fasilitas kesehatan (faskes) tingkat lanjutan (FKRTL), dalam

implementasi sistem kesehatan nasional prinsip managed care diberlakukan,

dimana terdapat 4 (empat) pilar yaitu Promotif, Preventif, Kuratif, dan

Rehabilitatif. Prinsip ini memberlakukan fasilitas kesehatan tingkat pertama

(FKTP) yang akan menjadi gerbang utama peserta BPJS Kesehatan dalam

mengakses pelayanan kesehatan. Seperti pada Gambar 1.1 yang merupakan

No Jenis Fasilitas Kesehatan Jumlah Unit

1 Rumah Sakit 29

2 Puskesmas 73

3 Klinik Pratama 100

4 Praktik Dokter 22

5 Praktik Dokter Gigi 3

6 Klinik Utama 14

7 Apotek 31

Jumlah 266

Gambar 1.1 Kategori Fasilitas Kesehatan

3

fasilitas kesehatan tingkat pertama (FKTP) adalah RS. D. Pratama, Klinik Polri,

Klinik TNI, Klinik Pratama, Dokter Gigi, Dokter Umum, Puskesmas Rinap,

Puskesmas.

Klinik pratama merupakan fasilitas kesehatan tingkat pertama (FKTP) dimana

semua data awal pasien berada pada faskes tingkat pertama. Klinik pratama

merupakan fasilitas kesehatan tingkat pertama yang memiliki jumlah populasi

terbanyak di bandingkan dengan fasilitas kesehatan lainnya. Maka dalam penelitian

ini objek yang ambil adalah fasilitas kesehatan di Klinik Pratama di Bandung.

1.1.2 Klinik Pratama

Klinik pratama merupakan klinik yang menyelenggarakan pelayanan medis

dasar baik umum maupun khusus.

1.1.3 Fasilitas Klinik Pratama

Klinik pratama memiliki berbagai fasilitas, perijinan, juga pimpinan

sebagai berikut :

1. Pelayanan medis pada klinik pratama hanya pelayanan medis dasar.

2. Pimpinan klinik pratama adalah dokter atau dokter gigi

3. Layanan di dalam klinik pratama mencangkup layanan rawat inap

4. Tenaga medis dalam klinik pratama adalah minimal dua orang dokter atau

dokter gigi.

Latar Belakang Penelitian

Menurut Ponemon Institute dan Verizon data Breach Investigation Report,

industri kesehatan mengalami lebih banyak pelanggaran data daripada sektor

lainnya (Center for Internet Secuirty, 2018) Pelanggaran sering terjadi di sektor

kesehatan dan dapat disebabkan oleh berbagai insiden, terkena serangan virus

malware, karyawan yang secara sengaja atau tidak sengaja mengungkapkan

informasi pasien, laptop atau perangkat lain yang hilang.

Informasi Kesehatan Pribadi (Personal Health Information/PHI) lebih berharga

di pasar gelap dibandingkan dengan informasi kartu kredit atau Informasi

Identifikasi Pribadi (Personal Identification Information) biasa. Informasi kartu

4

kredit dan data pribadi dijual seharga $ 1- $ 2 di pasar gelap, sedangkan informasi

kesehatan pribadi bisa mencapai harga $363. Menurut Infosec Institute, PHI

berharga karena pelaku kriminal dapat menggunakannya untuk mengancam korban

dengan melakukan penipuan yang memanfaatkan kondisi medis korban atau tempat

tinggal korban. Informasi ini dapat digunakan untuk membuat klaim asuransi palsu,

memungkinkan untuk pembelian dan penjualan kembali peralatan medis. Penjahat

lain menggunakan PHI secara ilegal untuk mendapatkan akses ke resep untuk

digunakan atau dijual kembali. Oleh karena itu, ada insentif yang lebih tinggi bagi

para penjahat cyber untuk menargetkan database medis, sehingga mereka dapat

menjual PHI atau menggunakannya untuk keuntungan pribadi mereka.

Menurut “2018 Thales Data Threat Report”, 70% organisasi layanan kesehatan

di seluruh dunia telah mengalami pelanggaran data (Shick, 2018). Menurut laporan

tersebut, sementara transformasi digital memungkinkan perawatan kesehatan yang

lebih baik melalui peningkatan efisiensi dengan biaya lebih rendah, pada saat yang

sama ia memperkenalkan lebih banyak risiko keamanan melalui penggunaan cloud,

big data, internet of things (IoT) dan kontainer untuk membuat, mengelola dan

menyimpan data. Laporan Thales mengatakan organisasi kesehatan telah muncul

sebagai target utama untuk peretas, menempatkan data medis yang berharga dalam

bahaya. Verizon “2018 Protected Health Information Data Breach Report

(PHIDBR)” mengungkapkan bahwa hampir 6 dari 10 pelanggaran keamanan dalam

layanan kesehatan berasal dari karyawan yang jahat atau lalai. Penelitian lain dari

firma konsultan Accenture menemukan bahwa hampir seperempat karyawan

layanan kesehatan AS mengetahui setidaknya satu rekan kerja yang secara ilegal

telah menjual nama pengguna, kata sandi atau informasi pribadi lainnya kepada

pihak luar yang tidak sah.

Dari www.hipaajournal.com, antara tahun 2009 dan 2017 ada 2.181

pelanggaran data kesehatan yang melibatkan lebih dari 500 rekaman (record).

Pelanggaran tersebut telah mengakibatkan pencurian / pemaparan dari 176,709,305

catatan kesehatan atau setara dengan lebih dari 50% populasi Amerika Serikat

(54,25%). Data dapat dilihat pada Gambar 1.2

5

Gambar 1.2 Tren Pelanggaran Keamanan Informasi di Amerika

(Sumber: (Hipaajournal(c), 2018) )

Antara 1 Januari hingga 31 Maret 2018, sebanyak 1.073.766 orang

mengalami pencurian atau pengungkapan data PHI mereka, jauh lebih banyak

dibandingkan dengan pelanggaran di Q4, 2017 sebanyak 520.141 orang

(Hipaajournal(b), 2018). Industri kesehatan adalah sesuatu yang anomali terkait

dengan pelanggaran data. Di industri lain, peretasan / insiden IT mendominasi

laporan pelanggaran; namun, industri kesehatan berbeda karena pelanggaran data

lebih banyak disebabkan oleh orang dalam (karyawan). Hal ini ditunjukkan oleh

Gambar 1.3 Di Indonesia sendiri, serangan cybercrime terhadap industri kesehatan

terjadi di pertengahan tahun 2017 dimana dua rumah sakit besar diserang oleh

Ransomware WannyCry (CNNIndonesia, 2017). Akibat dari serangan ini, petugas

kesehatan tidak dapat mengakses informasi terkait sehingga beberapa prosedur

operasi tidak dapat dilakukan dan membahayakan pasien.

6

(Sumber: (Hipaajournal(a), 2018)

Berdasarkan data BPJS Kesehatan per November 2018, jumlah peserta

program JKN adalah 200.286.623 jiwa. Jumlah ini hampir mencakup seluruh

populasi masyarakat Indonesia. Pasien yang ingin mendapatkan pelayanan

kesehatan menggunakan BPJS Kesehatan harus melalui Faskes Tingkat Pertama

(FKTP) terlebih dahulu. Jika membutuhkan rawatan lebih lanjut, maka pasien akan

dirujuk ke Faskes Rujukan Tingkat Lanjut (FKRTL). Besarnya data yang harus

dikelola oleh BPJS dan semua faskesnya semakin meningkatkan kerentanan

terhadap keamanan informasi kesehatan nasional. Gambar 1.4 merupakan sebaran

fasilitas kesehatan (faskes) yang menjadi mitra BPJS Kesehatan.

(Sumber: (Bpjs-kesehatan, 2018))

Gambar 1.3 Sumber Pelanggaran Data di Penyedia Layanan Kesehatan

Gambar 1.4 Sebaran Fasilitas Kesehatan

7

Tujuan dari keamanan informasi adalah untuk memastikan keberlangsungan

organisasi dan untuk meminimalisir kerugian organisasi dengan mencegah dan

meminimilisir dampak dari insiden keamanan (Kruger et al, 2010). Keamanan

informasi memiliki tiga komponen dasar yang harus dikelola, yaitu (Mitchell, 1999)

:

a. Kerahasiaan (confidentiality) informasi yang sensitif; melindunginya dari akses oleh

pihak yang tidak berhak

b. Integritas (integrity); memastikan akurasi dan kelengkapan dari informasi

c. Ketersediaan (availability); memastikan bahwa informasi dan layanan vital

tersedia bagi pengguna kapanpun dibutuhkan

Salah satu bagian terpenting dari manajemen keamanan informasi adalah

program kesadaran keamanan informasi. Menurut Kruger dan Kearney, sasaran

utama dari information security awareness adalah memastikan bahwa pengguna

komputer sadar akan risiko-risiko terkait penggunaan teknologi informasi dan juga

pemahaman terhadap kebijakan dan prosedur yang berlaku (Kruger & Kearney,

2006). Program kesadaran informasi ini perlu dilakukan oleh pemilik sistem

sebagai bagian dari manajemen teknologi informasi. Seperti yang dikatakan oleh

(Peltier, 2014) bahwa pemilik sistem bertangggung jawab untuk memberikan

pengetahuan yang mumpuni mengenai keberadaan dan tingkat umum pengendalian

yang berlaku sehingga semua pengguna yakin bahwa sistem tersebut aman.

Selain meningkatkan keamanan aplikasi dan jaringan melalui berbagai

mekanisme kendali teknis, pelatihan tentang penggunaan dan penanganan PHI yang

tepat dianjurkan untuk mengurangi pelanggaran data yang disebabkan oleh

kesalahan karyawan, seperti perangkat yang hilang atau pengungkapan yang tidak

disengaja. Laporan Verizon mencatat bahwa 70% dari pelanggaran keamanan

dalam layanan kesehatan yang melibatkan malware adalah serangan ransomware

(Shick, 2018). Kampanye Ransomware sering menargetkan pengguna yang tidak

sadar tentang keamanan informasi, yang menunjukkan kebutuhan akan peningkatan

kesadaran keamanan dan pendidikan karyawan. Untuk itu, penelitian ini bertujuan

untuk mengetahui faktor-faktor apa saja yang mempengaruhi budaya keamaan

8

informasi di fasilitas kesehatan tingkat pertama (FKTP) kota Bandung yang

mengelola informasi kesehatan pasien dengan jumlah populasi terbanyak.

Maka pada penelitian ini penulis akan berfokus pada budaya keamanan

informasi di fasilitas kesehatan Klinik pratama merupakan fasilitas kesehatan

tingkat pertama (FKTP) dimana semua data awal pasien berada pada faskes tingkat

pertama dan klinik pratama merupakan fasilitas kesehatan tingkat pertama yang

memiliki jumlah populasi terbanyak di bandingkan dengan fasilitas kesehatan

lainnya, maka dalam penelitian ini objek yang ambil adalah fasilitas kesehatan

di Klinik Pratama di Bandung.

Perumusan Masalah

Berdasarkan survey dan report dari berbagai organisasi yang fokus pada

keamanan informasi, diketahui bahwa industri kesehatan menjadi salah satu target

dari pelanggaran keamanan (security breach) saat ini. Bahkan, informasi kesehatan

personal (PHI) dinilai lebih tinggi dibandingkan informasi identitas personal (PII)

dan informasi terkait kartu kredit. Pemilik PHI maupun penyedia fasilitas layanan

kesehatan dapat menjadi target cybercrime seperti scamming, ransomware, dan

sebagainya. Pelanggaran keamanan informasi tersebut dapat disebabkan oleh

berbagai hal seperti hacking, pencurian dan kehilangan perangkat, hingga akses

yang tidak sah dan pengungkapan informasi yang dilakukan oleh pegawai yang

menjadi penyebab terbesar menurut berbagai laporan. Untuk itu, diperlukan suatu

mekanisme pengendalian keamanan untuk mengurangi pelanggaran yang

dilakukan oleh pegawai dengan cara meningkatkan budaya keamanan informasi.

Sebelum menetapkan mekanisme pengendalian keamanan, perlu dipelajari terlebih

dahulu factor-faktor yang dapat mempengaruhi budaya dan keamanan informasi di

fasilitas kesehatan agar program kesadaran lebih efektif dan efisien. Berdasarkan

beberapa penelitian terdahulu (Veiga & Martins, 2017), (Alnatheer, 2015), (Flores

et al., 2014), (AlHogail, 2015), (Parsons et al, 2014), (Tsohou et al, 2015), (Hassan

& Ismail, 2012), (Box & Pottas, 2013), (Ahlan, Lubis, & Lubis, 2015) terdapat

delapan faktor yang mempengaruhi budaya keamanan informasi yaitu

9

Management, Change management, organisational culture, Knowledge, Security

compliance, Soft issues workplace independent , Security behaviour, Attitude.

Pertanyaan Penelitian

Berdasarkan rumusan permasalahan tersebut maka dapat ditarik pertanyaan

penelitian sebagai berikut :

1. Apakah terdapat pengaruh yang signifikan dari Management terhadap

Information Security Culture

2. Apakah terdapat pengaruh yang signifikan dari Change management

terhadap Information Security Culture

3. Apakah terdapat pengaruh yang signifikan dari Organisational culture

terhadap Information Security Culture

4. Apakah terdapat pengaruh yang signifikan dari Knowledge terhadap

Information Security Culture

5. Apakah terdapat pengaruh yang signifikan dari Security compliance

terhadap Information Security Culture

6. Apakah terdapat pengaruh yang signifikan dari Soft issues workplace

independent terhadap Information Security Culture

7. Apakah terdapat pengaruh yang signifikan dari Security behaviour

terhadap Information Security Culture

8. Apakah terdapat pengaruh yang signifikan dari Attitude terhadap

Information Security Culture

Tujuan Penelitian

Berdasarkan perumusan masalah di atas, maka tujuan yang akan dicapai

dalam penelitian ini adalah mengetahui faktor-faktor apa saja yang mempengaruhi

budaya keamaan informasi di fasilitas kesehatan klinik pratama di kota Bandung

yang mengelola informasi kesehatan pasien.

10

Manfaat Penelitian

1. Memperkaya bahan kajian dan literatur bagi kalangan akademis khususnya

tentang budaya keamanan informasi.

2. Sebagai masukan bagi pihak manajemen fasilitas kesehatan untuk

mengoptimalkan keamanan informasi di organisasinya agar terhindar dari

pelanggaran keamanan.

1.6.1 Aspek Teoritis

Hasil penelitian ini diharapkan akan dapat membantu untuk penelitian

selanjutnya dalam bidang information security awareness. Khususnya dalam

bidang fasilitas kesehatan.

1.6.2 Aspek Praktis

Dilihat dari aspek praktis, hasil penelitian mengenai information security

awareness ini dapat dijadikan salah satu bahan masukkan bagi setiap fasilitas

kesehatan yang ada.

Ruang Lingkup Penelitian

Berikut runag lingkup dari penelitian yang dilakukan oleh penulis.

1.7.1 Lokasi dan Objek Penelitian

a. Lokasi penelitian adalah Kota Bandung

b. Objek penelitian adalah Fasilitas Kesehatan Klinik Pratama

1.7.2 Waktu dan Periode Penelitian

Penelitian ini dibatasi dari tahun 2018 hingga 2019

Sistematika Penulisan Tugas Akhir

BAB I PENDAHULUAN

Pada bagian ini dijelaskan mengenai gambaran umum objek penelitian, latar

belakang rumusan masalah, tujuan penelitian, kegunaan penelitian baik dari

aspek teoritis maupun aspek praktis dan juga sistematika penulisan.

11

BAB II TINJAUAN PUSTAKA DAN LINGKUP PENELITIAN

Pada bagian ini dibahas mengenai teori – teori yang relevan dan dapat

mendukung penelitian yang dilakukan ini. Selain itu dibahas pula mengenai

penelitian terdahulu yang berhubungan dengan topik atau masalah penelitian.

BAB III METODE PENELITIAN

Pada bagian ini dibahas mengenai metode yang digunakan untuk

mengumpulkan dan menganalisis data yang dapat menjawab atau

menjelaskan masalah penelitian.

BAB IV ANALISIS DAN PEMBAHASAN

Pada bagian ini hasil penelitian dan pembahasan diuraikan secara

kronologis dan sistematis sesuai dengan perumusan masalah serta tujuan

penelitian.

BAB V KESIMPULAN DAN SARAN

Pada bagian ini berisi mengenai kesimpulan dari hasil penelitian yang

akan menjawab perumusan masalah yang telah dirumuskan sebelumnya,

serta berisi saran yang diberikan penulis baik bagi aspek teoritis maupun

aspek praktis.

12

Halaman Sengaja Dikosongkan