keamanan informasi pada sektor kesehatan 2018/6... · as : 11 juta rekam medis auransi ......

TERBATAS

BADAN SIBER & SANDI NEGARA

KEAMANAN INFORMASI PADA SEKTOR KESEHATAN

YON HANDRI [email protected]

Badan Siber dan Sandi Negara 2018

TERBATAS BADAN SIBER & SANDI NEGARA

2015

AS : 80 juta rekam medis darii Asuransi kesehatan Anthem dicuri

AS : 11 juta rekam medis Auransi Kesehatan Premera Blue Cross dicuri

AS : 20 juta data pegawai Office of Personnel Management dicuri

2016-2017

150 negara terinfeksi ransomware


HOW WORTH YOUR PERSONAL DATA?

Source : https://www.hackread.com/your-entire-identity-is-for-sale-on-dark-web/


HOW WORTH YOUR PERSONAL DATA?

Source : https://www.symantec.com/content/dam/symantec/docs/infographics/symantec-healthcare-it-security-risk-management-study-en.pdf


10 BIGGEST PROBLEMS IN HEALTHCARE CYBERSECURITY

1. Healthcare’s attack surface is growing

2. Legacy medical hardware and software

3. Healthcare cybersecurity risks are ignored

4. Small health organizations are outmatched

5. Healthcare is inter-connected

6. Stolen healthcare data is more valuable

7. Patients are handling medical data

8. Limited resources for cybersecurity

9. Lack of cybersecurity education

10. No one is in charge of cybersecurity

Source : https://www.calyptix.com/hipaa/10-biggest-problems-in-healthcare-cybersecurity/


NETWORK IS COMPROMISED

How do we protect the most important data in a compromised environment?

How do we make it difficult for attackers to be successful?

How do we detect that an attack is underway?

How do we respond to today’s sophisticated attacks?


INFORMATION SECURITY LAYER

Layer Products Bentuk fisik yang melindungi informasi baik berupa hardware maupun software

Layer People Orang yang mengimplementasikan dan menggunakan dengan benar produk keamanan untuk melindungi informasi

Layer Procedures Rencana dan kebijakan yang dibuat oleh organisasi untuk menjamin bahwa orang organisasi menggunakan produk dengan benar

source: Security Awareness Applying Practical Security In Your World, Mark Ciampa, 2010


LAYER PRODUCT (1) KARAKTERISTIK SERANGAN SIBER

Jenis Serangan

Sertifikat digital

SSL Palsu

Tanpa tanda tangan digital dan enkripsi

Code Signing dengan

Sertifikat digital palsu

Cookies tidak diamankan , akses kontrol

lemah

Konfigurasi keamanan di

bawah standar (spear phising)

Mekanisme

Aspek Keamanan

Kerahasiaan, autentikasi, integritas data, nir-sangkal dan ketersediaan

KRITOGRAFI

SERTIFIKAT DIGITAL


LAYER PRODUCT (2) KERANGKA KEAMANAN INFORMASI

Confidentiality

Authentication

Integrity

Non-Repudiation

Availability

Not only increase efficiency for public administration but also to strengthen confidence in privacy measure by creating mutual transparency between public administrator and citizen

(UN, Department of Economic and Social Affairs, 2012)


Sistem Elektronik Instansi

e-budgeting

Perijinan Online

Persuratan Online

Web Service

Mobile Apps

LAYER PRODUCT (3) E-SIGN SYSTEM


LAYER PEOPLE (1) SECURITY AWARENESS


LAYER PEOPLE (2) SERTIFIKAT ELEKTRONIK

Proteksi email Time Stamping

Tanda tangan digital

Code Signing

SSL/TLS (HTTPS)

Encrypted File System (EFS)

Virtual Private Network


LAYER PROCEDURE (1) REGULASI DAN KEBIJAKAN

Inpres No. 3 Tahun 2003 tentang Kebijakan dan Strategi Nasional Pengembangan e-Government

Undang-Undang No.11/2008 tentang Informasi dan Transaksi Elektronik

Peraturan Pemerintah No.82/2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik

Permendagri nomor 138 tahun 2017 tentang Penyelenggaraan Pelayanan Terpadu Satu Pintu Daerah

Permenkeu nomor 177 tahun 2017 tentang Pelaksanaan Piloting Penerapan Tanda Tangan Elektronik dan Penyampaian Dokumen Elektronik Melalaui Aplikasi Surat Perintah Membayar Elektronik

Permenkes nomor 62 tahun 2017 tentang Izin Edar Alat Kesehatan, Alat Kesehatan Diagnostik In Vitrodan Perbekalan Kesehatan Rumah Tangga

Perka BP Batam nomor 27 tahun 2016 tentang Penyelenggaraan Sertifikat Elektronik di Lingkungan Badan Pengusahaan Kawasan Perdagangan Bebas dan Pelabuhan Bebas Batam

Perka Lemsaneg nomor 7 tahun 2016 tentang Otoritas Sertifikat Digital

Perka Lemsaneg nomor 10 tahun 2017 tentang Penyelenggaraan Sertifikat Elektronik


DASAR HUKUM (1) INPRES NOMOR 3 TAHUN 2003

Strategi 3 - Memanfaatkan teknologi informasi secara optimal

a. Standardisasi yang berkaitan dengan interoperabilitas pertukaran dan transaksi informasi antar portal pemerintah.

b. Standardisasi dan prosedur yang berkaitan dengan manajemen dokumen dan informasi elektronik (electronic document management system) serta standardisasi meta-data yang memungkinkan pemakai menelusuri informasi tanpa harus memahami struktur informasi pemerintah.

c. Perumusan kebijakan tentang pengamanan informasi serta pembakuan sistem otentikasi dan public key infrastucture untuk menjamin keamanan informasi dalam penyelenggaraan transaksi dengan pihak-pihak lain, terutama yang berkaitan dengan kerahasiaan informasi dan transaksi finansial.

d. Pengembangan aplikasi dasar seperti e-billing, e-procurement, ereporting yang dapat dimanfaatkan oleh setiap situs pemerintah untuk menjamin keandalan, kerahasiaan, keamanan dan interoperabilitas transaksi informasi dan pelayanan publik.

e. Pengembangan jaringan intra pemerintah untuk mendukung keandalan dan kerahasiaan transaksi informasi antar instansi pemerintah dan pemerintah daerah otonom.


DASAR HUKUM (2) UU NO.11 TAHUN 2008 ITE PASAL 16 (1)

Sepanjang tidak ditentukan lain oleh undang-undang tersendiri, setiap Penyelenggara Sistem Elektronik wajib mengoperasikan Sistem Elektronik yang memenuhi persyaratan minimum sebagai berikut :

a. dapat menampilkan kembali Informasi Elektronik dan/atau Dokumen Elektronik secara utuh sesuai dengan masa retensi yang ditetapkan dengan Peraturan Perundang-undangan;

b. dapat melindungi ketersediaan, keutuhan, keotentikan, kerahasiaan, dan keteraksesan Informasi Elektronik dalam Penyelenggaraan Sistem Elektronik tersebut;

c. dapat beroperasi sesuai dengan prosedur atau petunjuk dalam Penyelenggaraan Sistem Elektronik tersebut;

d. dilengkapi dengan prosedur atau petunjuk yang diumumkan dengan bahasa, informasi, atau simbol yang dapat dipahami oleh pihak yang bersangkutan dengan Penyelenggaraan Sistem Elektronik tersebut; dan

e. memiliki mekanisme yang berkelanjutan untuk menjaga kebaruan, kejelasan, dan kebertanggungjawaban prosedur atau petunjuk.


DASAR HUKUM (3) PP NO. 82 TAHUN 2012

PP PSTE Pasal 41 Penyelenggaraan Transaksi Elektronik dalam lingkup publik atau privat yang menggunakan Sistem Elektronik untuk kepentingan pelayanan publik wajib menggunakan Sertifikat Keandalan dan/atau Sertifikat Elektronik

PP PSTE Pasal 59 Ayat 1 Penyelenggara Sistem Elektronik untuk pelayanan publik wajib memiliki Sertifikat Elektronik.

Ayat 2 Penyelenggara Sistem Elektronik untuk non pelayanan publik harus memiliki Sertifikat Elektronik.


DASAR HUKUM (4) PERMENKES NOMOR 62TAHUN 2017

Pasal 22 ayat 1

Izin Edar sebagaimana dimaksud dalam Pasal 20 ayat (5) dan Pasal 21 ayat (4) diterbitkan dalam bentuk elektronik, tidak memerlukan cap dan tanda tangan basah.


IMPLEMENTASI SERTIFIKAT ELEKTRONIK

E-Procurement LPSE (LKPP)

E-FLPP dan Host-to-Host (PPDPP-Kemen PUPR)

E-SPM (DJPB-Kemenkeu)

Hasil CAT Selekci CPNS (BKN)

SIKTLN (Setneg)

E-Filling HKI (Ditjen KI – Kemenkumham)

E-Remisi (Ditjen Pas – Kemenkumham)

E-Cert SPS (Kementan, KemenKKP)

WhistleBlowing System Online (LPSK)

E-Reg Pangan (BPOM)

E-Office (Pemrov Riau, Pemrov Sumbar, Kab Madiun)

Sistem Perijinan (Pemrov Jateng, Pemrov Sumbar, Pemrov Riau, Kab Bogor, Kab Siak, Kab Langkat, Kab Cimahi)

dll


CONTOH IMPLEMENTASI


TANDA TANGAN ELEKTRONIK


ELEKTRONIK VS DIGITAL (3)

Tanda tangan elektronik dapat di-copy ke dokumen elektronik lainnya Pihak tidak bertanggung jawab dapat menggunakan tanda tangan elektronik untuk memalsukan dokumen

sehingga sulit dibuktikan keasliannya

Dokumen Asli

Dokumen Palsu


ELEKTRONIK VS DIGITAL (4)

Tanda tangan digital dihasilkan dari proses kriptografi yang menggunakan perhitungan matematik yang kompleks terhadap dokumen elektronik

Tanda tangan digital bersifat unik untuk setiap dokumen yang ditandatangani sehingga sulit untuk dipalsukan (di-copy) ke dokumen lainnya

Dokumen Asli

Dokumen Palsu


KARAKTERISTIK TANDA TANGAN DIGITAL

TIDAK DAPAT DIRUBAH

• Pihak yang tidak memiliki kunci privat, maka tidak dapat merubah dokumen elektronik

DAPAT DIIDENTIFIKASI

• Pihak yang memiliki kunci privat adalah orang yang dapat melakukan tanda tangan digital

TIDAK DAPAT DISANGKAL

• Mencegah dari penyangkalan proses penandatanganan yang dilakukan oleh pihak yang memiliki kunci privat

TIDAK DAPAT DIPALSUKAN

• Pihak yang tidak memiliki kunci privat, maka tidak dapat membuat tanda tangan digital

TIDAK DAPAT DIGUNAKAN LAGI

• Tanda tangan digital pada dokumen A tidak dapat digantikan dengan tanda tangan digital dari dokumen B


PRINSIP-PRINSIP IMPLEMENTASI

KERJASAMA SECARA

SUBSTANSI

PARA PIHAK YANG MEWAKILI

INSTITUSI

KETERLIBATAN & KOMITMEN PIMPINAN

SOSIALISASI (PEMBELAJARAN)

SHIFT THE CULTURE

PRA ASSESMENT &

ADJUSMENT

AUDIT

PRIORITAS SISTEM

ELEKTRONIK

TERBATAS

TERIMA KASIH

keamanan informasi pada sektor kesehatan 2018/6... · as : 11 juta rekam medis auransi ......

Documents