BADAN SIBER & SANDI NEGARA
KEAMANAN INFORMASI PADA
SEKTOR KESEHATAN
YON HANDRI
yon.handri@bssn.go.id
Badan Siber dan Sandi Negara
2018
2015
AS : 80 juta rekam medis darii Asuransi kesehatan Anthem dicuri
AS : 11 juta rekam medis Auransi Kesehatan Premera Blue Cross dicuri AS : 20 juta data pegawai Office of
Personnel Management dicuri
2016-2017
HOW WORTH YOUR PERSONAL DATA?
10 BIGGEST PROBLEMS IN
HEALTHCARE CYBERSECURITY
1. Healthcare’s attack surface is growing
2. Legacy medical hardware and
software
3. Healthcare cybersecurity risks are
ignored
4. Small health organizations are
outmatched
5. Healthcare is inter-connected
6. Stolen healthcare data is more
valuable
7. Patients are handling medical data
8. Limited resources for cybersecurity
9. Lack of cybersecurity education
10. No one is in charge of cybersecurity
Source : https://www.calyptix.com/hipaa/10-biggest-problems-in-healthcare-cybersecurity/
NETWORK IS COMPROMISED
How do we protect the most important
data in a compromised environment?
How do we make it difficult for
attackers to be successful?
How do we detect that an attack is
underway?
How do we respond to today’s
sophisticated attacks?
INFORMATION SECURITY LAYER
Layer Products
Bentuk fisik yang melindungi informasi baik berupa hardware maupun software
Layer People
Orang yang mengimplementasikan dan menggunakan dengan benar produk keamanan untuk melindungi informasi
Layer Procedures
Rencana dan kebijakan yang dibuat oleh organisasi untuk
menjamin bahwa orang organisasi menggunakan produk dengan benar
LAYER PRODUCT (1)
KARAKTERISTIK SERANGAN SIBER
Jenis Serangan Sertifikat digital SSL Palsu Tanpa tanda tangan digital dan enkripsi Code Signing dengan Sertifikat digital palsu Cookies tidak diamankan , akses kontrol lemah Konfigurasi keamanan di bawah standar (spear phising) Mekanisme Aspek Keamanan
Kerahasiaan, autentikasi, integritas data, nir-sangkal dan
ketersediaan
KRITOGRAF I
SERTIFIKAT DIGITAL
LAYER PRODUCT (2)
KERANGKA KEAMANAN INFORMASI
Confidentiality Authentication Integrity Non-Repudiation Availability
Not only increase efficiency for public administration but also to strengthen confidence in privacy measure by creating mutual transparency between public administrator and citizen
Sistem Elektronik Instansi e-budgeting Perijinan Online Persuratan Online Web Service Mobile Apps
LAYER PRODUCT (3)
E-SIGN SYSTEM
LAYER PEOPLE (1)
LAYER PEOPLE (2)
SERTIFIKAT ELEKTRONIK
Proteksi email Time Stamping
Tanda tangan digital
Code Signing
SSL/TLS (HTTPS)
Encrypted File System (EFS)
LAYER PROCEDURE (1)
REGULASI DAN KEBIJAKAN
Inpres No. 3 Tahun 2003 tentang Kebijakan dan Strategi Nasional Pengembangan e-Government
Undang-Undang No.11/2008 tentang Informasi dan Transaksi Elektronik
Peraturan Pemerintah No.82/2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
Permendagri nomor 138 tahun 2017 tentang Penyelenggaraan Pelayanan Terpadu Satu Pintu
Daerah
Permenkeu nomor 177 tahun 2017 tentang Pelaksanaan Piloting Penerapan Tanda Tangan
Elektronik dan Penyampaian Dokumen Elektronik Melalaui Aplikasi Surat Perintah Membayar
Elektronik
Permenkes nomor 62 tahun 2017 tentang Izin Edar Alat Kesehatan, Alat Kesehatan Diagnostik In
Vitrodan Perbekalan Kesehatan Rumah Tangga
Perka BP Batam nomor 27 tahun 2016 tentang Penyelenggaraan Sertifikat Elektronik di
Lingkungan Badan Pengusahaan Kawasan Perdagangan Bebas dan Pelabuhan Bebas Batam
Perka Lemsaneg nomor 7 tahun 2016 tentang Otoritas Sertifikat Digital
DASAR HUKUM (1)
INPRES NOMOR 3 TAHUN 2003
Strategi 3 - Memanfaatkan teknologi informasi secara optimal
a.
Standardisasi yang berkaitan dengan interoperabilitas pertukaran dan transaksi informasi antar
portal pemerintah.
b.
Standardisasi dan prosedur yang berkaitan dengan manajemen dokumen dan informasi elektronik
(electronic document management system) serta standardisasi meta-data yang memungkinkan
pemakai menelusuri informasi tanpa harus memahami struktur informasi pemerintah.
c.
Perumusan kebijakan tentang pengamanan informasi serta pembakuan sistem otentikasi dan
public key infrastucture
untuk menjamin keamanan informasi dalam penyelenggaraan
transaksi dengan pihak-pihak lain, terutama yang berkaitan dengan kerahasiaan informasi
dan transaksi finansial.
d.
Pengembangan aplikasi dasar seperti e-billing, e-procurement, ereporting yang dapat
dimanfaatkan oleh setiap situs pemerintah untuk menjamin keandalan, kerahasiaan, keamanan
dan interoperabilitas transaksi informasi dan pelayanan publik.
e. Pengembangan jaringan intra pemerintah untuk mendukung
keandalan dan kerahasiaan
DASAR HUKUM (2)
UU NO.11 TAHUN 2008 ITE PASAL 16 (1)
Sepanjang tidak ditentukan lain oleh undang-undang tersendiri, setiap Penyelenggara
Sistem Elektronik wajib mengoperasikan Sistem Elektronik yang memenuhi
persyaratan minimum sebagai berikut :
a. dapat menampilkan kembali Informasi Elektronik dan/atau Dokumen Elektronik
secara utuh sesuai dengan masa retensi yang ditetapkan dengan Peraturan
Perundang-undangan;
b. dapat melindungi ketersediaan, keutuhan, keotentikan, kerahasiaan, dan
keteraksesan Informasi Elektronik dalam Penyelenggaraan Sistem Elektronik
tersebut;
c. dapat beroperasi sesuai dengan prosedur atau petunjuk dalam Penyelenggaraan
Sistem Elektronik tersebut;
d. dilengkapi dengan prosedur atau petunjuk yang diumumkan dengan bahasa,
informasi, atau simbol yang dapat dipahami oleh pihak yang bersangkutan dengan
Penyelenggaraan Sistem Elektronik tersebut; dan
e. memiliki mekanisme yang berkelanjutan untuk menjaga kebaruan, kejelasan, dan
kebertanggungjawaban prosedur atau petunjuk.
DASAR HUKUM (3)
PP NO. 82 TAHUN 2012
PP PSTE Pasal 41
Penyelenggaraan Transaksi Elektronik dalam lingkup
publik atau privat yang menggunakan Sistem Elektronik
untuk kepentingan pelayanan publik
wajib
menggunakan
Sertifikat Keandalan dan/atau Sertifikat Elektronik
PP PSTE Pasal 59
Ayat 1
Penyelenggara Sistem Elektronik untuk pelayanan publik
wajib
memiliki Sertifikat Elektronik.
Ayat 2
Penyelenggara Sistem Elektronik untuk non pelayanan
DASAR HUKUM (4)
PERMENKES NOMOR 62TAHUN 2017
Pasal 22 ayat 1
Izin Edar sebagaimana dimaksud dalam Pasal 20 ayat (5) dan Pasal 21 ayat (4)
diterbitkan dalam
bentuk elektronik, tidak memerlukan cap dan tanda tangan
basah.
IMPLEMENTASI SERTIFIKAT ELEKTRONIK
E-Procurement LPSE (LKPP)
E-FLPP dan Host-to-Host (PPDPP-Kemen PUPR) E-SPM (DJPB-Kemenkeu)
Hasil CAT Selekci CPNS (BKN) SIKTLN (Setneg)
E-Filling HKI (Ditjen KI – Kemenkumham) E-Remisi (Ditjen Pas – Kemenkumham) E-Cert SPS (Kementan, KemenKKP) WhistleBlowing System Online (LPSK) E-Reg Pangan (BPOM)
E-Office (Pemrov Riau, Pemrov Sumbar, Kab Madiun)
Sistem Perijinan (Pemrov Jateng, Pemrov Sumbar, Pemrov Riau, Kab Bogor, Kab Siak, Kab Langkat, Kab Cimahi) dll
ELEKTRONIK VS DIGITAL (3)
Tanda tangan elektronik dapat di-copy ke dokumen elektronik lainnya
Pihak tidak bertanggung jawab dapat menggunakan tanda tangan elektronik untuk memalsukan dokumen Dokumen Asli
ELEKTRONIK VS DIGITAL (4)
Tanda tangan digital dihasilkan dari proses kriptografi yang menggunakan perhitungan matematik yang kompleks Tanda tangan digital bersifat unik untuk setiap dokumen yang ditandatangani sehingga sulit untuk dipalsukan
(di-Dokumen Asli
KARAKTERISTIK TANDA TANGAN DIGITAL
TIDAK DAPAT DIRUBAH
• Pihak yang tidak memiliki kunci privat, maka tidak dapat merubah dokumen elektronik
DAPAT DIIDENTIFIKASI
• Pihak yang memiliki kunci privat adalah orang yang dapat melakukan tanda tangan digital
TIDAK DAPAT DISANGKAL
• Mencegah dari penyangkalan proses penandatanganan yang dilakukan oleh pihak yang memiliki kunci privat
TIDAK DAPAT DIPALSUKAN
• Pihak yang tidak memiliki kunci privat, maka tidak dapat membuat tanda tangan digital
TIDAK DAPAT DIGUNAKAN LAGI
• Tanda tangan digital pada dokumen A tidak dapat