Bagaimana pentingnya menambahkan ketahanan digital bagi perusahaan? Bagaimana cara mendorong para pemimpin beralih dari "keamanan siber semata" ke "ketahanan digital"?
Bagaimana caranya menjadi yang paling tangguh dengan sumber daya yang ada? Bagaimana caranya menjadi yang paling tangguh dengan uang yang paling sedikit?
Bagaimana cara membuat diri Anda menjadi target yang lebih kecil?
Langkah-langkah target yang lebih kecil masuk ke dalam apa yang disebut sebagian orang sebagai "dasar". Namun, kebersihan "Dasar" sebenarnya sangat sulit bagi banyak orang. Apa 3 tips kebersihan terbaik Anda untuk mewujudkannya yang benar-benar berhasil?
Kita berbicara tentang organisasi yang kekurangan sumber daya, tetapi beberapa di antaranya jauh lebih kekurangan sumber daya. Apa saran Anda bagi mereka yang benar-benar kekurangan sumber daya keamanan?
Menilai keamanan vendor – apa yang paling penting untuk dipertimbangkan saat ini di tahun 2025? Bagaimana cara menghindari peretasan melalui vendor Anda?
Akses Podcast Keamanan Google Cloud dan sumber daya yang disebutkan di sini. Klik disini
Pada tahun 2024, keamanan siber menjadi tantangan besar bagi sektor kesehatan, dengan beberapa serangan yang mendapat perhatian besar. Salah satu serangan, yang mengungkap data dari 100 juta warga Amerika yang memecahkan rekor, merupakan “peristiwa penting” yang menyoroti betapa saling terhubungnya industri kesehatan, menurut Errol Weiss, kepala petugas keamanan di Pusat Analisis dan Pembagian Informasi Kesehatan.
Baca tiga tren lainnya dalam artikel Dewan Penasihat ini. Klik disini
Bentuk regulasi AI tidak akan pasti di bawah pemerintahan Trump tahun ini, sementara perusahaan perawatan kesehatan akan terus memperkuat pertahanan siber untuk menahan serangan yang meningkat, kata para ahli.
Penjahat dunia maya terus menargetkan layanan kesehatan
Keamanan siber terbukti menjadi tantangan besar bagi sektor perawatan kesehatan pada tahun 2024, dan para ahli mengatakan bahwa organisasi mulai memperhatikannya. Namun, meningkatkan perlindungan siber di industri ini akan membutuhkan waktu — dan peretas tidak mungkin berhenti menargetkan perusahaan perawatan kesehatan.
Industri ini baru saja melewati tahun yang diwarnai sejumlah serangan besar. Pada awal tahun 2024, seluruh ekosistem layanan kesehatan berjuang keras untuk mengelola dampak dari serangan siber terhadap Change Healthcare, sebuah perusahaan teknologi dan pemroses klaim yang dimiliki oleh raksasa industri UnitedHealth.
Serangan tersebut — yang mengekspos data dari memecahkan rekor 100 juta orang Amerika — merupakan sebuah “peristiwa penting” yang menyoroti sifat saling terhubung dari sektor ini, kata Errol Weiss, kepala petugas keamanan di Pusat Analisis dan Pembagian Informasi Kesehatan, atau Health-ISAC.
"Saya pikir momen yang menyadarkan adalah bagaimana para pemasok dapat memiliki dampak satu titik kegagalan pada penyediaan layanan kesehatan," kata Weiss.
Baca artikel selengkapnya di Healthcare Dive. Klik disini
Pusat Darah New York (NYBC) mengatakan pihaknya mengalami serangan ransomware yang mengganggu operasi dan memaksanya menjadwal ulang beberapa operasi.
Serangan siber terhadap pusat donor darah telah mendorong Pusat Analisis dan Pembagian Informasi Kesehatan (Health-ISAC)) dan Asosiasi Rumah Sakit Amerika (AHA) untuk mengeluarkan buletin ancaman bersama peringatan potensi gangguan rantai pasokan.
“Serangan ransomware baru-baru ini terhadap New York Blood Center (NYBC) berfungsi sebagai peringatan bagi organisasi di seluruh sektor, khususnya mereka yang bergerak di bidang layanan penting seperti layanan kesehatan,” kata Roei Sherman, Field CTO di Mitiga“Sebagai salah satu organisasi pengumpulan dan pendistribusian darah independen terbesar di dunia, insiden ini tidak hanya melemahkan kapasitas operasional mereka tetapi juga berpotensi membahayakan kesehatan masyarakat.”
Baca artikel selengkapnya di Majalah CPO. Klik disini
Inisiatif Bertujuan untuk Meningkatkan Keamanan Rumah Sakit dan Penyedia Layanan Kesehatan Anggota UE
Errol Weiss, kepala petugas keamanan Kesehatan-ISAC di AS, kata rencana aksi komisi Uni Eropa itu muncul pada saat organisasi perawatan kesehatan masih berjuang untuk memperoleh dana yang cukup guna mempertahankan jaringan mereka dengan baik.
“Masalah ini terlihat di Uni Eropa, AS, dan di seluruh dunia. Organisasi perawatan kesehatan membutuhkan sumber daya – tidak hanya teknologi yang dibutuhkan untuk melindungi jaringan tersebut, tetapi juga profesional infosec yang berpengalaman untuk menjalankan sistem tersebut,” katanya. “Saya senang komisi mengakui nilai yang dibawa ISAC untuk melindungi organisasi dan meningkatkan keamanan melalui berbagi informasi dan kolaborasi,” katanya.
Mereka yang bertanggung jawab melindungi infrastruktur digital mereka memahami bahwa dengan berbagi informasi, mereka tidak hanya melindungi diri mereka sendiri tetapi juga memperkuat keamanan seluruh ekosistem digital, kata Weiss.
Pada tahun 2023, Health-ISAC bermitra dengan European Health ISAC untuk memanfaatkan “kekuatan global” keanggotaan Health-ISAC melalui visibilitas ancaman di lebih dari 140 negara dengan kekuatan komunitas dan perspektif lokal European Health ISAC, katanya.
“Kita perlu bersatu dan tetap waspada terhadap ancaman siber,” katanya. “Dengan Health-ISAC dan European Health ISAC yang beroperasi bersama di UE, kita dapat menciptakan komunitas yang lebih aman di mana organisasi layanan kesehatan mendapatkan manfaat dari peningkatan visibilitas ancaman dan kerentanan, ditambah lagi mereka mendapatkan manfaat dari berbagi praktik terbaik dan wawasan penting lainnya yang pada akhirnya meningkatkan keselamatan pasien.”
Baca artikel selengkapnya di Data Breach Today. Klik disini
Para Ahli Menawarkan Saran untuk Mengelola Persediaan yang Meningkat, Sumber Daya untuk Penyedia
Panduan “Keamanan Siber Industri Kesehatan – Mengelola Keamanan Teknologi Lama” – atau HIC-MaLTS – dari HSCC menawarkan praktik terbaik bagi organisasi yang dapat digunakan untuk mengelola risiko siber dari teknologi medis lama, kata Phil Englert, wakil presiden keamanan perangkat medis di Pusat Analisis dan Pembagian Informasi Kesehatan.
HIC-MaLTS menangani tantangan keamanan siber perawatan kesehatan yang umum. Misalnya, "berbagai jenis perangkat medis dan lokasi yang berbeda-beda tempat perangkat tersebut digunakan memiliki profil risiko yang unik dan mencakup fitur diagnostik, terapi, perangkat yang dapat dikenakan, perangkat yang dapat ditanamkan, dan perangkat lunak sebagai perangkat medis, antara lain, yang dapat digunakan di rumah sakit, klinik, dan tempat perawatan kesehatan non-klinis dan di rumah lainnya," katanya.
Juga dalam artikel ini:
empat fase siklus hidup perangkat medis
inventaris “tampilan sistem” dikombinasikan dengan segmentasi dan kontrol akses jaringan
Bahasa Kontrak Model HSCC untuk Keamanan Siber Medtech
Baca artikel di Infosecurity Kesehatan di sini. Klik disini
Baca artikel selengkapnya di Information Security Buzz. Klik disini
Sejak tahun 1996, Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) telah menjadi landasan privasi pasien. Undang-undang tersebut menetapkan standar tentang cara organisasi perawatan kesehatan menangani dan berbagi data pasien, yang menciptakan kerangka kerja untuk memastikan kerahasiaan.
Namun, lanskap perawatan kesehatan telah berubah secara dramatis, dan seiring dengan itu, risikonya pun berlipat ganda. Ancaman siber yang muncul dan kerentanan yang kompleks telah mengungkap celah kritis dalam perlindungan HIPAA. Sebagai tanggapan, para pembuat undang-undang tengah mengajukan undang-undang baru yang bertujuan untuk memperkuat organisasi perawatan kesehatan terhadap gelombang serangan siber yang meningkat.
Tahun lalu, anggota parlemen memperkenalkan dua RUU – Undang-Undang Keamanan Siber Layanan Kesehatan tahun 2024 dan Undang-Undang Keamanan dan Akuntabilitas Infrastruktur Kesehatan tahun 2024 (HISAA) – yang bertujuan memodernisasi perlindungan untuk data kesehatan yang sensitif. Meskipun langkah-langkah ini merupakan langkah maju yang penting, langkah-langkah tersebut masih tertahan dalam proses legislasi dan belum menjadi undang-undang.
Dan, bahkan jika diberlakukan, cakupan terbatas dan mekanisme penegakan yang diuraikan dalam RUU ini mungkin tidak akan mampu mengatasi meningkatnya ancaman siber yang mengganggu sistem perawatan kesehatan digital kita yang semakin meningkat. Tanpa pendekatan yang lebih komprehensif dan agresif, inisiatif ini berisiko dianggap sebagai gerakan simbolis dalam perjuangan yang menuntut tindakan yang mendesak dan tegas.
Baca lebih lanjut untuk mendapatkan pemahaman lengkap tentang kedua RUU tersebut, termasuk
Phil Englert dan tuan rumah kami Chris Blask telah menjadi ketua bersama kelompok kerja CISA mengenai pembagian daftar bahan baku perangkat lunak (SBOM). Kelompok kerja tersebut telah mengembangkan suatu proses untuk membantu ISAC dan organisasi sejenis menentukan arsitektur kontrol yang diperlukan untuk mengelola distribusi SBOM di antara para anggotanya.
Dengarkan podcast Inevitability Curve EP14 di sini. Klik disini
Organisasi perawatan kesehatan dari segala bentuk dan ukuran akan menerapkan standar keamanan siber yang lebih ketat mulai tahun 2025 dengan aturan baru yang diusulkan, tetapi tidak semuanya memiliki anggaran untuk itu.
Sejak awal, HIPAA selalu menjadi regulasi terbaik, namun tidak memadai, yang mengatur keamanan siber bagi industri perawatan kesehatan.
“[Ada] sejarah di mana fokus berada di tempat yang salah karena cara HIPAA disusun pada pertengahan tahun 1990-an,” kata Errol Weiss, kepala petugas keamanan informasi (CISO) dari Pusat Analisis dan Pembagian Informasi Layanan Kesehatan (Health-ISAC). “Pada saat itu, ada dorongan besar untuk mentransfer catatan medis dan kesehatan ke media elektronik. Dan dengan munculnya peraturan HIPAA, semuanya tentang melindungi privasi pasien tetapi tidak selalu mengamankan catatan tersebut.”
Fokus HIPAA pada privasi membatasi kemampuannya untuk mengatasi berbagai ancaman keamanan siber pada tahun 2010-an, khususnya ransomware. Sementara itu, alih-alih menggunakannya sebagai dasar untuk mengembangkan postur keamanan yang kuat, organisasi cenderung memperlakukan HIPAA lebih sebagai serangkaian kotak untuk dicentang. “Akhirnya mengarahkan anggaran ke arah kepatuhan dan tidak selalu keamanan. Dan dalam lima atau enam tahun terakhir, kita telah melihat apa yang terjadi di lingkungan yang tidak diamankan dengan baik, tidak terikat dengan baik, tidak dicadangkan dengan baik, ketika mereka diserang oleh ransomware,” kata Weiss.
"Bahkan jika mereka sudah mengikuti semua kontrol NIST," Pingree dari Dispersive memperkirakan, penerapan aturan keamanan HIPAA yang baru "bisa menghabiskan biaya hingga $100,000 untuk kantor dokter kecil, atau bisa mencapai jutaan jika Anda adalah kelompok medis besar."
Salah satu cara yang memungkinkan organisasi perawatan kesehatan yang terbebani dapat menavigasi semua aturan baru ini dan biaya terkaitnya adalah dengan menggunakan kepala petugas keamanan informasi virtual (vCISO) yang dialihdayakan, menurut Weiss. Karena "ini bukan hanya tentang membeli teknologi. Ini juga tentang merekrut dan mempertahankan keahlian keamanan siber yang Anda butuhkan untuk menjalankannya," katanya.
“Organisasi-organisasi ini tidak tahu harus mulai dari mana,” lanjutnya. “Pasar keamanan siber sangat membingungkan. Ada banyak pemain. Ada banyak solusi. Jadi, jika Anda memiliki $100 untuk dibelanjakan pada keamanan siber, di mana Anda akan membelanjakannya? Mereka butuh bantuan untuk dapat memahami semua itu. Dan saya pikir sesuatu seperti CISO virtual dapat membantu menerapkan strategi, dan kemudian hadir secara virtual — untuk memeriksa, menjadi sumber daya bagi organisasi tersebut ketika mereka memiliki pertanyaan dan membutuhkan bantuan. Tampaknya ini merupakan model yang layak untuk rumah sakit pedesaan kecil yang belum tentu dapat membenarkan atau mempekerjakan CISO penuh waktu.”
Baca artikel selengkapnya di Dark Reading. Klik disini
Para Ahli: Mandat Baru Bisa Sulit dan Merugikan Banyak Entitas
Menurut para ahli, usulan perombakan regulasi keamanan siber federal untuk industri perawatan kesehatan dapat berarti pekerjaan berat yang sulit dan mahal bagi banyak organisasi.
“Biaya untuk memenuhi ketentuan ini akan sangat besar,” kata Errol Weiss, kepala petugas keamanan Pusat Analisis dan Pembagian Informasi Kesehatan. “Dari mana datangnya uang untuk membayar semua ini? Tidak mungkin dari penghematan di masa mendatang dari denda pelanggaran yang dapat dihindari. Penyedia layanan kesehatan yang terkendala keuangan, terutama rumah sakit pedesaan kecil, tidak memiliki sumber daya untuk mendukung usulan baru ini,” katanya.
Persyaratan regulasi seperti ini perlu disertai dengan bantuan pendanaan sehingga penyedia layanan kesehatan dapat memperoleh teknologi yang tepat dan, yang lebih penting, merekrut dan mempertahankan profesional keamanan siber yang berpengalaman untuk melindungi jaringan mereka secara memadai, kata Weiss.
Baca artikel selengkapnya di Bank InfoSecurity. Klik disini
Google bermitra dengan Health-ISAC untuk memberikan program pelatihan inovatif, program intelijen keamanan siber, dan sumber daya lainnya untuk sistem kesehatan pedesaan.
Serangan siber terhadap organisasi layanan kesehatan mengganggu kemampuan mereka untuk beroperasi dan membahayakan perawatan pasien. Sistem layanan kesehatan pedesaan di AS melayani 60 juta orang dan menjadi pusat kehidupan banyak komunitas. Keselamatan setiap orang di suatu komunitas terancam ketika sistem informasi layanan kesehatan penting tidak tersedia karena insiden siber.
Google berkomitmen untuk membantu sistem kesehatan yang rentan memperkuat ketahanan mereka terhadap serangan siber. Kami bermitra dengan pemerintah dan industri untuk menawarkan layanan, dukungan, dan teknologi kami, yang memungkinkan sistem untuk fokus pada perawatan pasien.
Inisiatif yang dirancang khusus untuk meningkatkan keamanan
Dirancang untuk rumah sakit pedesaan
Sistem kesehatan dan rumah sakit pedesaan mencerminkan keunikan masyarakat yang mereka layani, dan begitu pula penawaran kami. Kami menyediakan serangkaian teknologi Google yang aman untuk akses dan kolaborasi, layanan konsultasi dan dukungan, serta sumber daya pelatihan keamanan dengan harga diskon atau tanpa biaya. Solusinya disesuaikan dengan kebutuhan setiap entitas kesehatan pedesaan. Fasilitas kesehatan harus berlokasi di daerah atau wilayah yang ditetapkan sebagai pedesaan oleh Administrasi Sumber Daya dan Layanan Kesehatan (HRSA).
Kolaborasi yang efektif untuk mempertahankan diri dan menanggapi serangan siber sangat penting untuk mengamankan layanan kesehatan. Google adalah mitra duta besar ke Pusat Analisis dan Pembagian Informasi Kesehatan (Health-ISAC). Misi Health-ISAC adalah memberdayakan hubungan tepercaya dalam industri perawatan kesehatan global untuk membantu mencegah, mendeteksi, dan menanggapi peristiwa keamanan siber dan keamanan fisik sehingga para anggota dapat berfokus pada peningkatan kesehatan dan penyelamatan nyawa. Google bermitra dengan Health-ISAC untuk memberikan program pelatihan inovatif, program intelijen keamanan siber, dan sumber daya lainnya untuk sistem kesehatan pedesaan.
Penawaran program
Sebagian besar akan ditawarkan tanpa biaya atau dengan potongan harga yang signifikan, mengingat keterbatasan finansial yang dihadapi oleh banyak sistem layanan kesehatan di pedesaan. Selain itu, kami akan menyediakan layanan implementasi dan dukungan kepada organisasi yang memenuhi syarat. Penawaran ini hanya tersedia di AS saat ini.
Dari Perbankan hingga Keamanan Siber di Sektor Kesehatan
Kami berbincang dengan Kepala Keamanan Health-ISAC, Errol Weiss, untuk membahas kariernya selama 25 tahun di bidang perbankan, pemerintahan, dan perawatan kesehatan, serta mengidentifikasi ancaman dan tren keamanan siber terbesar yang memengaruhi industri perawatan kesehatan pada tahun 2025 dan seterusnya.
Tantangan Unik dalam Keamanan Siber Layanan Kesehatan
Weiss menjelaskan tantangan unik yang dihadapi oleh organisasi perawatan kesehatan dibandingkan dengan layanan keuangan. Sistem perawatan kesehatan sering kali mengelola infrastruktur yang kompleks, termasuk sistem berbasis cloud modern, perangkat lama (seperti mesin MRI dengan sistem operasi yang ketinggalan zaman), dan ekosistem perangkat medis yang beragam. Kompleksitas ini diperparah oleh kurangnya investasi dalam keamanan siber yang sudah berlangsung lama, dengan sumber daya yang secara historis dialokasikan untuk privasi dan kepatuhan (misalnya, peraturan HIPAA) daripada langkah-langkah keamanan yang kuat.
Ia menekankan bahwa kurangnya dana dan kurangnya Chief Information Security Officer (CISO) yang berdedikasi dalam bidang kesehatan membuat perlindungan lingkungan ini secara efektif menjadi sulit. Namun, insiden seperti serangan ransomware telah mendorong peningkatan kesadaran dan investasi dalam keamanan siber bidang kesehatan selama dekade terakhir.
