keamanan informasi pada sektor kesehatan 2018/6... · as : 11 juta rekam medis auransi ......
TRANSCRIPT
TERBATAS
BADAN SIBER & SANDI NEGARA
KEAMANAN INFORMASI PADA SEKTOR KESEHATAN
YON HANDRI [email protected]
Badan Siber dan Sandi Negara 2018
TERBATAS BADAN SIBER & SANDI NEGARA
2015
AS : 80 juta rekam medis darii Asuransi kesehatan Anthem dicuri
AS : 11 juta rekam medis Auransi Kesehatan Premera Blue Cross dicuri
AS : 20 juta data pegawai Office of Personnel Management dicuri
2016-2017
150 negara terinfeksi ransomware
TERBATAS BADAN SIBER & SANDI NEGARA
HOW WORTH YOUR PERSONAL DATA?
Source : https://www.hackread.com/your-entire-identity-is-for-sale-on-dark-web/
TERBATAS BADAN SIBER & SANDI NEGARA
HOW WORTH YOUR PERSONAL DATA?
Source : https://www.symantec.com/content/dam/symantec/docs/infographics/symantec-healthcare-it-security-risk-management-study-en.pdf
TERBATAS BADAN SIBER & SANDI NEGARA
10 BIGGEST PROBLEMS IN HEALTHCARE CYBERSECURITY
1. Healthcare’s attack surface is growing
2. Legacy medical hardware and software
3. Healthcare cybersecurity risks are ignored
4. Small health organizations are outmatched
5. Healthcare is inter-connected
6. Stolen healthcare data is more valuable
7. Patients are handling medical data
8. Limited resources for cybersecurity
9. Lack of cybersecurity education
10. No one is in charge of cybersecurity
Source : https://www.calyptix.com/hipaa/10-biggest-problems-in-healthcare-cybersecurity/
TERBATAS BADAN SIBER & SANDI NEGARA
NETWORK IS COMPROMISED
How do we protect the most important data in a compromised environment?
How do we make it difficult for attackers to be successful?
How do we detect that an attack is underway?
How do we respond to today’s sophisticated attacks?
TERBATAS BADAN SIBER & SANDI NEGARA
INFORMATION SECURITY LAYER
Layer Products Bentuk fisik yang melindungi informasi baik berupa hardware maupun software
Layer People Orang yang mengimplementasikan dan menggunakan dengan benar produk keamanan untuk melindungi informasi
Layer Procedures Rencana dan kebijakan yang dibuat oleh organisasi untuk menjamin bahwa orang organisasi menggunakan produk dengan benar
source: Security Awareness Applying Practical Security In Your World, Mark Ciampa, 2010
TERBATAS BADAN SIBER & SANDI NEGARA
LAYER PRODUCT (1) KARAKTERISTIK SERANGAN SIBER
Jenis Serangan
Sertifikat digital
SSL Palsu
Tanpa tanda tangan digital dan enkripsi
Code Signing dengan
Sertifikat digital palsu
Cookies tidak diamankan , akses kontrol
lemah
Konfigurasi keamanan di
bawah standar (spear phising)
Mekanisme
Aspek Keamanan
Kerahasiaan, autentikasi, integritas data, nir-sangkal dan ketersediaan
KRITOGRAFI
SERTIFIKAT DIGITAL
TERBATAS BADAN SIBER & SANDI NEGARA
LAYER PRODUCT (2) KERANGKA KEAMANAN INFORMASI
Confidentiality
Authentication
Integrity
Non-Repudiation
Availability
Not only increase efficiency for public administration but also to strengthen confidence in privacy measure by creating mutual transparency between public administrator and citizen
(UN, Department of Economic and Social Affairs, 2012)
TERBATAS BADAN SIBER & SANDI NEGARA
Sistem Elektronik Instansi
e-budgeting
Perijinan Online
Persuratan Online
Web Service
Mobile Apps
LAYER PRODUCT (3) E-SIGN SYSTEM
TERBATAS BADAN SIBER & SANDI NEGARA
LAYER PEOPLE (2) SERTIFIKAT ELEKTRONIK
Proteksi email Time Stamping
Tanda tangan digital
Code Signing
SSL/TLS (HTTPS)
Encrypted File System (EFS)
Virtual Private Network
TERBATAS BADAN SIBER & SANDI NEGARA
LAYER PROCEDURE (1) REGULASI DAN KEBIJAKAN
Inpres No. 3 Tahun 2003 tentang Kebijakan dan Strategi Nasional Pengembangan e-Government
Undang-Undang No.11/2008 tentang Informasi dan Transaksi Elektronik
Peraturan Pemerintah No.82/2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
Permendagri nomor 138 tahun 2017 tentang Penyelenggaraan Pelayanan Terpadu Satu Pintu Daerah
Permenkeu nomor 177 tahun 2017 tentang Pelaksanaan Piloting Penerapan Tanda Tangan Elektronik dan Penyampaian Dokumen Elektronik Melalaui Aplikasi Surat Perintah Membayar Elektronik
Permenkes nomor 62 tahun 2017 tentang Izin Edar Alat Kesehatan, Alat Kesehatan Diagnostik In Vitrodan Perbekalan Kesehatan Rumah Tangga
Perka BP Batam nomor 27 tahun 2016 tentang Penyelenggaraan Sertifikat Elektronik di Lingkungan Badan Pengusahaan Kawasan Perdagangan Bebas dan Pelabuhan Bebas Batam
Perka Lemsaneg nomor 7 tahun 2016 tentang Otoritas Sertifikat Digital
Perka Lemsaneg nomor 10 tahun 2017 tentang Penyelenggaraan Sertifikat Elektronik
TERBATAS BADAN SIBER & SANDI NEGARA
DASAR HUKUM (1) INPRES NOMOR 3 TAHUN 2003
Strategi 3 - Memanfaatkan teknologi informasi secara optimal
a. Standardisasi yang berkaitan dengan interoperabilitas pertukaran dan transaksi informasi antar portal pemerintah.
b. Standardisasi dan prosedur yang berkaitan dengan manajemen dokumen dan informasi elektronik (electronic document management system) serta standardisasi meta-data yang memungkinkan pemakai menelusuri informasi tanpa harus memahami struktur informasi pemerintah.
c. Perumusan kebijakan tentang pengamanan informasi serta pembakuan sistem otentikasi dan public key infrastucture untuk menjamin keamanan informasi dalam penyelenggaraan transaksi dengan pihak-pihak lain, terutama yang berkaitan dengan kerahasiaan informasi dan transaksi finansial.
d. Pengembangan aplikasi dasar seperti e-billing, e-procurement, ereporting yang dapat dimanfaatkan oleh setiap situs pemerintah untuk menjamin keandalan, kerahasiaan, keamanan dan interoperabilitas transaksi informasi dan pelayanan publik.
e. Pengembangan jaringan intra pemerintah untuk mendukung keandalan dan kerahasiaan transaksi informasi antar instansi pemerintah dan pemerintah daerah otonom.
TERBATAS BADAN SIBER & SANDI NEGARA
DASAR HUKUM (2) UU NO.11 TAHUN 2008 ITE PASAL 16 (1)
Sepanjang tidak ditentukan lain oleh undang-undang tersendiri, setiap Penyelenggara Sistem Elektronik wajib mengoperasikan Sistem Elektronik yang memenuhi persyaratan minimum sebagai berikut :
a. dapat menampilkan kembali Informasi Elektronik dan/atau Dokumen Elektronik secara utuh sesuai dengan masa retensi yang ditetapkan dengan Peraturan Perundang-undangan;
b. dapat melindungi ketersediaan, keutuhan, keotentikan, kerahasiaan, dan keteraksesan Informasi Elektronik dalam Penyelenggaraan Sistem Elektronik tersebut;
c. dapat beroperasi sesuai dengan prosedur atau petunjuk dalam Penyelenggaraan Sistem Elektronik tersebut;
d. dilengkapi dengan prosedur atau petunjuk yang diumumkan dengan bahasa, informasi, atau simbol yang dapat dipahami oleh pihak yang bersangkutan dengan Penyelenggaraan Sistem Elektronik tersebut; dan
e. memiliki mekanisme yang berkelanjutan untuk menjaga kebaruan, kejelasan, dan kebertanggungjawaban prosedur atau petunjuk.
TERBATAS BADAN SIBER & SANDI NEGARA
DASAR HUKUM (3) PP NO. 82 TAHUN 2012
PP PSTE Pasal 41 Penyelenggaraan Transaksi Elektronik dalam lingkup publik atau privat yang menggunakan Sistem Elektronik untuk kepentingan pelayanan publik wajib menggunakan Sertifikat Keandalan dan/atau Sertifikat Elektronik
PP PSTE Pasal 59 Ayat 1 Penyelenggara Sistem Elektronik untuk pelayanan publik wajib memiliki Sertifikat Elektronik.
Ayat 2 Penyelenggara Sistem Elektronik untuk non pelayanan publik harus memiliki Sertifikat Elektronik.
TERBATAS BADAN SIBER & SANDI NEGARA
DASAR HUKUM (4) PERMENKES NOMOR 62TAHUN 2017
Pasal 22 ayat 1
Izin Edar sebagaimana dimaksud dalam Pasal 20 ayat (5) dan Pasal 21 ayat (4) diterbitkan dalam bentuk elektronik, tidak memerlukan cap dan tanda tangan basah.
TERBATAS BADAN SIBER & SANDI NEGARA
IMPLEMENTASI SERTIFIKAT ELEKTRONIK
E-Procurement LPSE (LKPP)
E-FLPP dan Host-to-Host (PPDPP-Kemen PUPR)
E-SPM (DJPB-Kemenkeu)
Hasil CAT Selekci CPNS (BKN)
SIKTLN (Setneg)
E-Filling HKI (Ditjen KI – Kemenkumham)
E-Remisi (Ditjen Pas – Kemenkumham)
E-Cert SPS (Kementan, KemenKKP)
WhistleBlowing System Online (LPSK)
E-Reg Pangan (BPOM)
E-Office (Pemrov Riau, Pemrov Sumbar, Kab Madiun)
Sistem Perijinan (Pemrov Jateng, Pemrov Sumbar, Pemrov Riau, Kab Bogor, Kab Siak, Kab Langkat, Kab Cimahi)
dll
TERBATAS BADAN SIBER & SANDI NEGARA
ELEKTRONIK VS DIGITAL (3)
Tanda tangan elektronik dapat di-copy ke dokumen elektronik lainnya Pihak tidak bertanggung jawab dapat menggunakan tanda tangan elektronik untuk memalsukan dokumen
sehingga sulit dibuktikan keasliannya
Dokumen Asli
Dokumen Palsu
TERBATAS BADAN SIBER & SANDI NEGARA
ELEKTRONIK VS DIGITAL (4)
Tanda tangan digital dihasilkan dari proses kriptografi yang menggunakan perhitungan matematik yang kompleks terhadap dokumen elektronik
Tanda tangan digital bersifat unik untuk setiap dokumen yang ditandatangani sehingga sulit untuk dipalsukan (di-copy) ke dokumen lainnya
Dokumen Asli
Dokumen Palsu
TERBATAS BADAN SIBER & SANDI NEGARA
KARAKTERISTIK TANDA TANGAN DIGITAL
TIDAK DAPAT DIRUBAH
• Pihak yang tidak memiliki kunci privat, maka tidak dapat merubah dokumen elektronik
DAPAT DIIDENTIFIKASI
• Pihak yang memiliki kunci privat adalah orang yang dapat melakukan tanda tangan digital
TIDAK DAPAT DISANGKAL
• Mencegah dari penyangkalan proses penandatanganan yang dilakukan oleh pihak yang memiliki kunci privat
TIDAK DAPAT DIPALSUKAN
• Pihak yang tidak memiliki kunci privat, maka tidak dapat membuat tanda tangan digital
TIDAK DAPAT DIGUNAKAN LAGI
• Tanda tangan digital pada dokumen A tidak dapat digantikan dengan tanda tangan digital dari dokumen B
TERBATAS BADAN SIBER & SANDI NEGARA
PRINSIP-PRINSIP IMPLEMENTASI
KERJASAMA SECARA
SUBSTANSI
PARA PIHAK YANG MEWAKILI
INSTITUSI
KETERLIBATAN & KOMITMEN PIMPINAN
SOSIALISASI (PEMBELAJARAN)
SHIFT THE CULTURE
PRA ASSESMENT &
ADJUSMENT
AUDIT
PRIORITAS SISTEM
ELEKTRONIK