Trace Id is missing

Layanan Kesehatan Amerika Serikat dalam risiko: Memperkuat ketahanan terhadap serangan ransomware

Bagikan
Sekelompok profesional medis sedang melihat tablet

Berbagai ancaman keamanan cyber ke sektor layanan kesehatan sedang meningkat pesat, dengan serangan ransomware menjadi salah satu yang paling signifikan. Kombinasi dari data pasien yang berharga, perangkat medis yang saling terhubung, dan staf operasi TI/keamanan cyber yang kecil dengan sumber daya yang terbatas, dapat membuat organisasi layanan kesehatan menjadi target utama bagi pelaku ancaman. Seiring operasi layanan kesehatan yang makin terdigitalisasi (mulai dari rekaman kesehatan elektronik (EHR) hingga platform telemedisin dan perangkat medis berjaringan), permukaan serangan rumah sakit menjadi lebih kompleks. Hal ini akan meningkatkan kerentanan terhadap serangan.

Bagian berikut memberikan gambaran umum tentang lanskap keamanan cyber saat ini pada layanan kesehatan, yang menyoroti status industri tersebut sebagai target utama, peningkatan frekuensi serangan ransomware, dan konsekuensi berat terhadap finansial serta perawatan pasien dari ancaman ini.

Diskusi video yang dimoderatori oleh Sherrod DeGrippo, Director of Threat Intelligence Strategy untuk Microsoft, mengeksplorasi lebih jauh masalah kritis ini dengan menawarkan wawasan dari para ahli tentang pelaku ancaman, strategi pemulihan, dan kerentanan layanan kesehatan.

Pengarahan Microsoft Threat Intelligence: Layanan kesehatan

Sherrod DeGrippo, Director of Threat Intelligence Strategy untuk Microsoft Threat Intelligence, memimpin diskusi yang menarik dengan para ahli inteligensi ancaman dan keamanan layanan kesehatan yang meneliti alasan sektor ini sangat rentan terhadap serangan ransomware, taktik apa yang digunakan kelompok pelaku ancaman, cara menjaga ketahanan, dan lainnya.
  • Menurut Microsoft Threat Intelligence, sektor layanan kesehatan/kesehatan masyarakat merupakan salah satu dari 10 industri yang paling terdampak pada kuartal kedua tahun 2024.1
  • Ransomware sebagai layanan (RaaS) telah mengurangi hambatan masuk bagi penyerang yang tidak memiliki keahlian teknis, sementara Rusia menyediakan tempat yang aman bagi kelompok ransomware. Oleh sebab itu, serangan ransomware meningkat sebesar 300% sejak tahun 2015.2
  • Pada tahun fiskal ini, 389 institusi layanan kesehatan Amerika Serikat terkena ransomware, yang menyebabkan penutupan jaringan, sistem menjadi offline, penundaan prosedur medis kritis, dan penjadwalan ulang janji temu3. Serangan ini sangat merugikan. Satu laporan industri bahkan menunjukkan organisasi layanan kesehatan mengalami kerugian hingga USD$900.000 per hari hanya karena waktu henti.4
  • Dari 99 organisasi layanan kesehatan yang mengaku telah membayar tebusan dan mengungkapkan jumlah tebusan yang dibayarkan, median pembayaran tebusan adalah USD$1,5 juta, dan rata-ratanya adalah USD$4,4 juta.5

Dampak serius pada perawatan pasien

Selain dapat berdampak serius pada kemampuan untuk merawat pasien secara efektif di rumah sakit yang diserang, disrupsi terhadap operasi layanan kesehatan oleh serangan ransomware juga akan berdampak pada rumah sakit di daerah sekitar karena harus menerima pasien gawat darurat pindahan.6

Perhatikan temuan dari studi terbaru yang menunjukkan bagaimana serangan ransomware terhadap empat rumah sakit (dua diserang dan dua tidak terpengaruh) yang mengakibatkan peningkatan volume pasien di unit gawat darurat, waktu tunggu yang lebih lama, dan beban tambahan pada sumber daya (khususnya dalam perawatan yang sensitif terhadap waktu seperti perawatan stroke) di dua rumah sakit terdekat yang tidak terpengaruh.7
Peningkatan kasus stroke: Serangan ransomware menghadirkan beban yang signifikan pada ekosistem layanan kesehatan secara keseluruhan karena rumah sakit yang tidak terdampak harus menerima pasien dari rumah sakit terdampak. Aktivasi code stroke di rumah sakit terdekat meningkat hampir dua kali lipat, dari 59 menjadi 103, sementara stroke yang terkonfirmasi meningkat sebesar 113,6%, yaitu dari 22 menjadi 47 kasus.
Peningkatan serangan jantung: Serangan memberikan tekanan pada sistem layanan kesehatan karena kasus serangan jantung di rumah sakit yang tak terdampak melonjak sebesar 81%, yaitu dari 21 menjadi 38 kasus. Hal ini mencerminkan dampak berjenjang dari ancaman satu fasilitas, yang memaksa rumah sakit terdekat untuk menangani lebih banyak kasus kritis.
Tingkat kelangsungan hidup menurun bagi pasien dengan hasil neurologis baik: Selama serangan cyber, tingkat kelangsungan hidup untuk serangan jantung di luar rumah sakit dengan hasil neurologis yang baik turun drastis di rumah sakit yang tidak terpengaruh, yaitu 40% sebelum serangan menjadi 4,5% selama fase serangan.
Peningkatan kedatangan ambulans: Terjadi peningkatan sebesar 35,2% dalam kedatangan layanan medis darurat (EMS) di rumah sakit yang “tidak terdampak” selama fase serangan, yang menunjukkan adanya pengalihan lalu lintas ambulans yang signifikan di rumah sakit yang terdampak oleh disrupsi dari ransomware.
Lonjakan volume pasien: Karena serangan tersebut melibatkan empat rumah sakit di daerah tersebut (dua diserang dan dua tidak terkena dampak), unit gawat darurat (UGD) di rumah sakit yang tidak terkena dampak mengalami lonjakan pasien yang besar. Sensus harian di rumah sakit yang tidak terkena dampak ini meningkat sebesar 15,1% selama fase serangan dibandingkan dengan fase pra-serangan.
Disrupsi tambahan dalam perawatan kesehatan: Selama terjadinya serangan, rumah sakit yang tak terdampak mengalami peningkatan yang signifikan dalam jumlah pasien yang keluar tanpa diperiksa, waktu tunggu di ruang tunggu, dan total durasi rawat inap bagi pasien yang dirawat. Misalnya, median waktu tunggu meningkat dari 21 menit sebelum serangan menjadi 31 menit selama serangan.

Studi kasus ransomware

Serangan ransomware ke layanan kesehatan dapat menghadirkan konsekuensi yang sangat merugikan tidak hanya bagi organisasi target serangan, tetapi juga bagi perawatan pasien dan stabilitas operasional. Studi kasus berikut menggambarkan dampak luas ransomware terhadap berbagai jenis organisasi layanan kesehatan, dari sistem rumah sakit besar hingga penyedia layanan kesehatan kecil di pedesaan, yang memperlihatkan berbagai cara penyerang menyusup ke jaringan dan disrupsi yang diakibatkannya pada layanan kesehatan penting.
  • Penyerang menggunakan kredensial yang disusupi untuk mengakses jaringan melalui gateway akses jarak jauh yang rentan tanpa autentikasi multifaktor. Mereka mengenkripsi infrastruktur penting dan mencuri data sensitif dalam skema pemerasan ganda. Mereka juga mengancam akan merilis data jika uang tebusan tidak dibayarkan.

    Dampak:     Serangan menyebabkan disrupsi, yang membuat 80% penyedia layanan kesehatan dan apotek tidak dapat memverifikasi asuransi atau memproses klaim. 
  • Penyerang mengeksploitasi kerentanan pada perangkat lunak lama rumah sakit yang belum di-patch, lalu bergerak secara lateral untuk menyusupi penjadwalan pasien dan rekaman medis. Dengan menggunakan taktik pemerasan ganda, mereka mencuri data sensitif dan mengancam akan merilisnya jika uang tebusan tidak dibayar.

    Dampak: Serangan mendisrupsi operasi, yang menyebabkan pembatalan janji temu, penundaan operasi, dan peralihan ke proses manual, yang membebani staf dan menunda perawatan. 
  • Penyerang menggunakan email pengelabuan guna mengakses jaringan rumah sakit dan mengeksploitasi kerentanan yang belum di-patch untuk menyebarkan ransomware, yang akan mengenkripsi EHR dan sistem perawatan pasien. Dalam taktik pemerasan ganda, mereka mencuri data pasien dan keuangan yang sensitif, serta mengancam akan membocorkannya jika tebusan tidak dibayar. 

    Dampak:     Serangan mendisrupsi empat rumah sakit dan 30+ klinik, menyebabkan penundaan perawatan dan pengalihan pasien gawat darurat, serta masalah kebocoran data. 
  • Pada bulan Februari 2021, serangan ransomware melumpuhkan sistem komputer rumah sakit di pedesaan dengan 44 tempat tidur, yang memaksa rumah sakit beroperasi secara manual selama tiga bulan dan menunda klaim asuransi secara signifikan.

    Dampak:     Ketidakmampuan rumah sakit untuk menagih pembayaran tepat waktu menyebabkan kesulitan keuangan, yang membuat masyarakat pedesaan setempat tidak memperoleh layanan perawatan kesehatan penting. 

Sektor layanan kesehatan Amerika Serikat merupakan target yang menarik bagi para penjahat cyber yang bermotif finansial karena permukaan serangan yang luas, sistem yang usang, dan protokol keamanan yang tidak konsisten. Kombinasi dari ketergantungan layanan kesehatan pada teknologi digital, data sensitif, dan keterbatasan sumber daya yang dihadapi banyak organisasi (sering kali karena margin keuntungan yang kecil) dapat membatasi kemampuan organisasi untuk berinvestasi sepenuhnya dalam keamanan cyber sehingga membuatnya sangat rentan. Selain itu, organisasi layanan kesehatan biasanya memprioritaskan perawatan pasien dengan segala cara. Oleh karena itu, organisasi akan bersedia membayar tebusan demi menghindari disrupsi.

Reputasi membayar tebusan

Salah satu alasan ransomware menjadi masalah nyata bagi layanan kesehatan adalah rekam jejak sektor tersebut dalam pembayaran tebusan. Perawatan pasien adalah hal terpenting bagi organisasi layanan kesehatan. Oleh karena itu, organisasi sering bersedia membayar jutaan dolar demi menghindari disrupsi.

Faktanya, menurut laporan terbaru berdasarkan survei terhadap 402 organisasi layanan kesehatan, 67% organisasi mengalami serangan ransomware dalam setahun terakhir. Di antara organisasi ini, 53% mengakui telah membayar tebusan pada tahun 2024. Angka ini naik dibandingkan tahun 2023, yaitu sebesar 42%. Laporan ini juga menyoroti dampak finansial, dengan rata-rata pembayaran tebusan yang diakui sebesar USD$4,4 juta.12

Investasi dan sumber daya keamanan yang terbatas

Tantangan besar lainnya adalah keterbatasan anggaran dan sumber daya untuk keamanan cyber pada sektor layanan kesehatan. Menurut laporan Healthcare Cybersecurity Needs a Check-Up terbaru13 oleh CSC 2.0 (sebuah kelompok yang melanjutkan pekerjaan Cyberspace Solarium Commission yang diamanatkan oleh kongres), "karena anggaran yang terbatas dan penyedia layanan harus memprioritaskan pengeluaran pada layanan inti pasien, keamanan cyber sering kali hanya mendapatkan sedikit dana. Hal ini membuat organisasi layanan kesehatan lebih rentan terhadap serangan."

Meskipun masalah ini serius, penyedia layanan kesehatan kurang berinvestasi dalam keamanan cyber. Karena berbagai faktor yang kompleks, termasuk model pembayaran tidak langsung yang sering kali memprioritaskan kebutuhan klinis mendesak dibandingkan investasi yang kurang terlihat seperti keamanan cyber, sektor layanan kesehatan menjadi sektor yang belum banyak berinvestasi pada keamanan cyber selama dua dekade terakhir.10

Selain itu, Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) membuat investasi kerahasiaan data diprioritaskan. Akibatnya, hal ini sering kali membuat integritas dan ketersediaan data sebagai persoalan sekunder. Pendekatan ini dapat mengakibatkan berkurangnya fokus pada ketahanan organisasi, khususnya dalam menurunkan Target Waktu Pemulihan (RTO) dan Target Titik Pemulihan (RPO).

Kerentanan sistem dan infrastruktur lama

Salah satu akibat dari kurangnya investasi dalam keamanan cyber adalah ketergantungan pada sistem lama yang sudah usang dan sulit diperbarui, yang telah menjadi target utama eksploitasi. Selain itu, penggunaan teknologi yang berbeda-beda menciptakan infrastruktur yang tidak merata dengan celah keamanan sehingga meningkatkan risiko serangan.

Infrastruktur yang rentan ini menjadi makin kompleks karena tren konsolidasi industri layanan kesehatan akhir-akhir ini. Merger rumah sakit kini sedang meningkat (naik 23% sepanjang tahun 2022 dan pada tingkat tertinggi sejak tahun 202014), yang menghadirkan organisasi dengan infrastruktur yang kompleks dan tersebar di berbagai lokasi. Tanpa investasi dalam keamanan cyber yang cukup, infrastruktur ini menjadi sangat rentan terhadap serangan.

Permukaan serangan yang terus meluas

Sementara jaringan perawatan yang terintegrasi secara klinis dari perangkat yang terhubung dan teknologi medis membantu meningkatkan hasil perawatan pasien dan menyelamatkan nyawa, jaringan tersebut juga telah memperluas permukaan serangan digital, yang kini makin dieksploitasi oleh pelaku ancaman.

Rumah sakit kini makin terhubung ke internet dibandingkan sebelumnya, dengan peralatan medis penting seperti pemindai CT, sistem pemantauan pasien, dan pompa infus yang terhubung ke jaringan. Sayangnya, rumah sakit tidak selalu memiliki tingkat visibilitas yang diperlukan untuk mengidentifikasi dan memitigasi kerentanan yang dapat berdampak serius pada perawatan pasien.

Dokter Christian Dameff dan Jeff Tully, Co-Directors dan Co-Founders University of California San Diego Center for Healthcare Cybersecurity, mengungkapkan bahwa rata-rata dari 70% titik akhir rumah sakit bukanlah komputer melainkan perangkat.   
Kamar rumah sakit dengan peralatan medis, laci putih, dan tirai biru.

Organisasi layanan kesehatan juga melakukan transmisi data dalam jumlah besar. Menurut data dari Office of the National Coordinator for Health IT, lebih dari 88% rumah sakit mengirim dan menerima informasi kesehatan pasien secara elektronik, dan lebih dari 60% rumah sakit mengintegrasikan informasi tersebut ke dalam rekaman kesehatan elektronik (EHR) mereka.15

Penyedia layanan berskala kecil di pedesaan menghadapi tantangan yang unik

Rumah sakit dengan akses kritis di pedesaan sangat rentan terhadap ransomware karena rumah sakit sering kali memiliki sarana yang terbatas untuk mencegah dan meremediasi risiko keamanan. Hal ini dapat menjadi bencana bagi masyarakat karena rumah sakit ini sering kali menjadi satu-satunya penyedia layanan kesehatan di wilayah yang luas.

Menurut Dameff dan Tully, rumah sakit di pedesaan biasanya tidak memiliki keahlian atau infrastruktur keamanan cyber yang sama seperti rumah sakit besar di perkotaan. Mereka juga mengungkapkan bahwa banyak dari rencana keberlangsungan bisnis rumah sakit ini mungkin sudah ketinggalan zaman atau tidak memadai untuk menghadapi ancaman cyber modern seperti ransomware.

Banyak rumah sakit kecil atau di pedesaan menghadapi kendala keuangan yang signifikan, yang terus beroperasi mengandalkan margin keuntungan yang kecil. Keadaan keuangan ini membuat rumah sakit kesulitan berinvestasi dalam langkah keamanan cyber yang tangguh. Fasilitas ini sering kali hanya bergantung pada satu staf TI umum, yaitu seseorang yang ahli dalam mengelola masalah teknis sehari-hari, tetapi tidak memiliki spesialisasi dalam keamanan cyber.

Laporan dari Department of Health and Human Services Health Care Industry Cybersecurity Task Force, yang dibentuk sebagai bagian dari Cybersecurity Act of 2015, menyoroti bahwa sebagian besar rumah sakit di pedesaan dengan akses kritis tidak memiliki staf tetap yang berfokus pada keamanan cyber. Fakta ini menggambarkan tantangan sumber daya yang lebih luas yang dihadapi oleh penyedia layanan kesehatan yang lebih kecil.

“Staf TI umum ini sering kali hanya seseorang yang ahli dalam manajemen jaringan dan komputer, terbiasa menghadapi hal-hal seperti, ‘Saya tidak bisa mencetak, saya tidak bisa masuk, apa kata sandi saya?’” jelas Dameff. “Mereka bukanlah ahli keamanan cyber. Mereka tidak punya staf, tidak punya anggaran, dan bahkan tidak tahu harus mulai dari mana.”

Proses serangan penjahat cyber biasanya menggunakan pendekatan dua langkah: mendapatkan akses awal ke jaringan, sering kali melalui pengelabuan atau mengeksploitasi kerentanan, diikuti dengan penyebaran ransomware untuk mengenkripsi sistem dan data penting. Evolusi taktik ini, termasuk penggunaan alat yang sah dan perkembangan pesat RaaS, telah membuat serangan lebih mudah dilakukan dan lebih sering terjadi.

Tahap awal serangan ransomware: Mendapatkan akses ke jaringan layanan kesehatan

Jack Mott, yang sebelumnya memimpin tim yang berfokus pada rekayasa deteksi dan inteligensi ancaman email perusahaan di Microsoft, mengatakan bahwa "Email tetap menjadi salah satu vektor terbesar untuk menghadirkan serangan program jahat dan pengelabuan untuk melakukan serangan ransomware.”16

Dalam analisis Microsoft Threat Intelligence terhadap 13 sistem rumah sakit yang merepresentasikan berbagai operasi, termasuk rumah sakit di daerah pedesaan, 93% aktivitas cyber berbahaya yang diamati terkait dengan kampanye pengelabuan dan ransomware, dengan sebagian besar aktivitas diwakili oleh ancaman berbasis email.17
"Email tetap menjadi salah satu vektor terbesar pengiriman serangan program jahat dan pengelabuan untuk serangan ransomware."
Jack Mott 
Microsoft Threat Intelligence

Kampanye yang ditujukan pada organisasi layanan kesehatan sering kali menggunakan umpan yang sangat spesifik. Sebagai contohnya, Mott menemukan bahwa pelaku ancaman telah berhasil membuat email yang menggunakan terminologi khusus industri medis (misalnya, referensi ke laporan autopsi) untuk meningkatkan kredibilitas dan menipu profesional layanan kesehatan. 

Taktik rekayasa sosial seperti ini, terutama di lingkungan industri layanan kesehatan yang penuh tekanan, mengeksploitasi urgensi yang sering dirasakan oleh petugas layanan kesehatan untuk menciptakan potensi kelemahan keamanan. 

Mott juga mengungkapkan bahwa penyerang menjadi semakin canggih terkait metode yang digunakan. Mereka sering kali menggunakan "nama asli, layanan yang sah, dan alat yang umum digunakan di departemen TI (misalnya alat manajemen jarak jauh)" untuk menghindari deteksi. Taktik ini mempersulit sistem keamanan untuk membedakan antara aktivitas berbahaya dan aktivitas yang sah. 

Data Microsoft Threat Intelligence juga menunjukkan bahwa penyerang sering kali mengeksploitasi kerentanan yang sudah diketahui pada perangkat lunak atau sistem organisasi yang telah diidentifikasi di masa lalu. Kerentanan dan Paparan Umum (CVE) ini terdokumentasi dengan baik, memiliki patch atau perbaikannya sudah tersedia. Penyerang sering menargetkan kerentanan lama ini karena mereka tahu bahwa banyak organisasi belum mengatasi kelemahan ini.18 

Setelah mendapatkan akses awal, penyerang biasanya melakukan pengintaian jaringan, yang dapat diidentifikasi berdasarkan indikator seperti aktivitas pemindaian yang tidak biasa. Tindakan ini membantu pelaku ancaman memetakan jaringan, mengidentifikasi sistem kritis, dan mempersiapkan fase serangan berikutnya, yaitu penyebaran ransomware.

Tahap akhir serangan ransomware: Menggunakan ransomware untuk mengenkripsi sistem penting

Setelah akses awal diperoleh (biasanya melalui pengelabuan atau program jahat yang dikirim melalui email), pelaku ancaman beralih ke fase kedua: penyebaran ransomware.

Jack Mott menjelaskan bahwa meningkatnya model RaaS telah berkontribusi secara signifikan terhadap peningkatan frekuensi serangan ransomware pada sektor layanan kesehatan. "Platform RaaS telah membuat alat ransomware canggih mudah diakses, yang memungkinkan orang yang memiliki keterampilan teknis minimal untuk meluncurkan serangan yang sangat efektif," ungkap Mott. Model ini menurunkan hambatan masuk bagi penyerang, yang membuat serangan ransomware kini lebih efisien dan mudah diakses.
"Platform RaaS telah membuat alat ransomware canggih mudah diakses, yang memungkinkan orang yang memiliki keterampilan teknis minimal untuk meluncurkan serangan yang sangat efektif.” 
Jack Mott 
Microsoft Threat Intelligence

Mott lebih lanjut menguraikan cara kerja RaaS. Ia mengatakan, "Platform ini sering kali menyertakan rangkaian alat yang komprehensif, termasuk perangkat lunak enkripsi, pemrosesan pembayaran, dan bahkan layanan pelanggan untuk menegosiasikan pembayaran tebusan. Pendekatan siap pakai ini memungkinkan lebih banyak pelaku ancaman untuk menjalankan operasi ransomware, yang mengakibatkan peningkatan jumlah dan keparahan serangan."

Selai itu, Mott menekankan sifat terkoordinasi dari serangan-serangan ini. "Setelah ransomware disebarkan, penyerang biasanya bertindak cepat untuk mengenkripsi sistem dan data penting dalam hitungan jam. Mereka menargetkan infrastruktur penting (seperti rekaman pasien, sistem diagnostik, dan bahkan operasi penagihan) untuk memaksimalkan dampak dan tekanan pada organisasi layanan kesehatan agar membayar tebusan."

Serangan ransomware pada layanan kesehatan: Profil kelompok pelaku ancaman utama

Serangan ransomware pada sektor layanan kesehatan kerap kali dilakukan oleh kelompok pelaku ancaman yang sangat terorganisasi dan terspesialisasi. Kelompok ini, yang mencakup penjahat cyber yang bermotif finansial dan aktor ancaman negara-bangsa yang canggih, menggunakan alat dan strategi canggih untuk menyusup ke jaringan, mengenkripsi data, dan meminta tebusan dari organisasi.

Di antara para pelaku ancaman ini, peretas yang disponsori pemerintah dari negara otoriter dilaporkan telah menggunakan ransomware dan bahkan berkolaborasi dengan kelompok ransomware untuk tujuan spionase. Misalnya, pelaku ancaman pemerintah Tiongkok diduga makin sering menggunakan ransomware sebagai kedok untuk melakukan aktivitas spionase.19

Pelaku ancaman Iran menjadi yang paling aktif dalam menargetkan organisasi layanan kesehatan pada tahun 2024.20 Faktanya, pada bulan Agustus 2024, Pemerintah AS mengeluarkan peringatan kepada sektor kesehatan tentang pelaku ancaman yang berbasis di Iran yang dikenal sebagai Lemon Sandstorm. Kelompok tersebut “memanfaatkan akses jaringan yang tidak sah ke organisasi-organisasi AS (termasuk organisasi layanan kesehatan) untuk memfasilitasi, melaksanakan, dan mendapatkan keuntungan dari serangan ransomware di masa mendatang menggunakan geng ransomware yang tampaknya berafiliasi dengan Rusia.”21

Profil berikut memberikan wawasan terkait beberapa kelompok ransomware paling terkenal yang bermotif finansial dan menargetkan layanan kesehatan, serta penjelasan metode, motivasi, dan dampak aktivitas mereka pada industri.
  • Lace Tempest adalah kelompok ransomware produktif yang menyasar sektor layanan kesehatan. Dengan menggunakan model RaaS, mereka memungkinkan afiliasi untuk menyebarkan ransomware dengan mudah. Kelompok ini terkait dengan serangan berdampak tinggi terhadap sistem rumah sakit, dengan mengenkripsi data pasien penting dan meminta tebusan. Dikenal dengan pemerasan ganda, mereka tidak hanya mengenkripsi data tetapi juga mengeksfiltrasinya, lalu mengancam akan membocorkan informasi sensitif jika tebusan tidak dibayar.
  • Sangria Tempest terkenal karena melakukan serangan ransomware canggih ke organisasi layanan kesehatan. Dengan menggunakan enkripsi yang canggih, mereka membuat pemulihan data hampir mustahil dilakukan tanpa membayar tebusan. Mereka juga menggunakan pemerasan ganda, yaitu mencuri data pasien dan mengancam akan membocorkannya. Serangan mereka menyebabkan disrupsi operasional yang luas, yang memaksa sistem layanan kesehatan mengalihkan sumber daya sehingga berdampak negatif pada perawatan pasien.
  • Cadenza Tempest, yang terkenal dengan serangan penolakan layanan terdistribusi (DDoS), kini terus mengalihkan operasi ransomware ke layanan kesehatan. Diidentifikasi sebagai kelompok peretas pro-Rusia, mereka menargetkan sistem layanan kesehatan di wilayah yang tidak sejalan dengan kepentingan Rusia. Serangan mereka membebani sistem rumah sakit, mengganggu operasi penting, dan menimbulkan kekacauan, terutama saat dikombinasikan dengan kampanye ransomware.
  • Aktif sejak Juli 2022, kelompok bermotif finansial bernama Vanilla Tempest baru-baru ini mulai menggunakan ransomware INC yang diperoleh melalui penyedia RaaS untuk menargetkan layanan kesehatan AS. Mereka mengeksploitasi kerentanan, menggunakan skrip kustom, dan memanfaatkan alat Windows standar untuk mencuri kredensial, bergerak secara lateral, dan menyebarkan ransomware. Kelompok ini juga menggunakan pemerasan ganda, yaitu dengan meminta tebusan untuk membuka kunci sistem dan mencegah publikasi data yang dicuri.

Dalam menghadapi serangan ransomware yang makin canggih, organisasi layanan kesehatan harus mengadopsi pendekatan yang beragam untuk keamanan cyber. Mereka harus siap untuk menahan, merespons, dan memulihkan dari insiden cyber sambil menjaga keberlangsungan perawatan pasien.

Panduan berikut menyediakan kerangka kerja komprehensif untuk meningkatkan ketahanan, memastikan pemulihan yang cepat, membina tenaga kerja yang mengutamakan keamanan, dan mendorong kolaborasi di seluruh sektor layanan kesehatan.

Tata kelola: Memastikan kesiapan dan ketahanan

Bangunan dengan banyak jendela di bawah langit biru dengan awan

Tata kelola yang efektif dalam keamanan cyber layanan kesehatan sangat penting untuk mempersiapkan dan merespons serangan ransomware. Dameff dan Tully, dari UC San Diego Center for Healthcare Cybersecurity, merekomendasikan pembentukan kerangka tata kelola yang kuat dengan peran yang jelas, pelatihan rutin, dan kolaborasi lintas disiplin. Hal ini membantu organisasi layanan kesehatan meningkatkan ketahanan terhadap serangan ransomware dan memastikan keberlangsungan perawatan pasien, bahkan pada saat menghadapi disrupsi besar.

Aspek utama kerangka kerja ini melibatkan penghilangan silo antara staf klinis, tim keamanan TI, dan profesional manajemen darurat untuk mengembangkan rencana respons insiden yang kohesif. Kolaborasi lintas departemen ini penting untuk menjaga keselamatan pasien dan kualitas perawatan saat sistem teknologi disusupi.

Dameff dan Tully juga menekankan perlunya memiliki badan tata kelola atau dewan khusus yang melakukan rapat secara teratur untuk meninjau dan memperbarui rencana respons insiden. Mereka merekomendasikan pemberdayaan badan-badan tata kelola ini untuk menguji rencana respons melalui simulasi dan latihan yang realistis, yang akan memastikan semua staf (termasuk dokter muda yang mungkin tidak terbiasa dengan catatan kertas) siap beroperasi secara efektif tanpa alat digital.

Selain itu, Dameff dan Tully menegaskan pentingnya kolaborasi eksternal. Mereka menganjurkan kerangka kerja regional dan nasional yang memungkinkan rumah sakit saling mendukung selama insiden berskala besar, yang akan menekankan perlunya "cadangan teknologi nasional" yang strategis dan dapat menggantikan sistem yang rusak untuk sementara.

Ketahanan dan respons strategis

Ketahanan dalam keamanan cyber layanan kesehatan bukan hanya perkara melindungi data, tetapi juga memastikan bahwa seluruh sistem dapat bertahan dan pulih dari serangan. Pendekatan komprehensif terhadap ketahanan sangat krusial dan harus fokus tidak hanya pada perlindungan data pasien, tetapi juga pada penguatan seluruh infrastruktur yang mendukung operasional layanan kesehatan. Ini mencakup keseluruhan sistem, seperti jaringan, rantai pasokan, perangkat medis, dan lainnya.

Mengadopsi strategi pertahanan yang mendalam adalah kunci untuk menciptakan postur keamanan berlapis yang dapat secara efektif menggagalkan serangan ransomware.

Mengadopsi strategi pertahanan yang mendalam adalah kunci untuk menciptakan postur keamanan berlapis yang dapat secara efektif menggagalkan serangan ransomware. Strategi ini mencakup pengamanan setiap lapisan infrastruktur layanan kesehatan, dari jaringan ke titik akhir hingga cloud. Dengan memastikan adanya beberapa lapisan pertahanan, organisasi layanan kesehatan dapat mengurangi risiko keberhasilan serangan ransomware.

Sebagai bagian dari pendekatan berlapis untuk pelanggan Microsoft ini, tim Microsoft Threat Intelligence secara aktif memantau perilaku musuh. Saat aktivitas seperti itu terdeteksi, pemberitahuan langsung akan diberikan.

Ini bukan layanan berbayar atau bertingkat. Bisnis dari semua ukuran akan menerima perhatian yang sama. Tujuannya adalah untuk segera memberikan peringatan saat ancaman potensial (termasuk ransomware) terdeteksi dan membantu mengambil langkah-langkah untuk melindungi organisasi.

Selain menerapkan lapisan pertahanan ini, memiliki rencana respons insiden dan deteksi yang efektif sangatlah penting. Memiliki rencana saja tidak cukup; organisasi layanan kesehatan harus siap untuk menjalankannya secara efisien selama serangan aktual guna meminimalkan kerusakan dan memastikan pemulihan yang cepat.

Terakhir, pemantauan berkelanjutan dan kemampuan deteksi real time merupakan komponen penting dari kerangka kerja respons insiden yang tangguh. Hal ini akan memastikan bahwa potensi ancaman dapat diidentifikasi dan ditangani dengan segera.

Untuk informasi selengkapnya tentang ketahanan cyber dalam layanan kesehatan, Department of Health and Human Services (HHS) menerbitkan Cybersecurity Performance Goals (Sasaran Performa Keamanan Cyber) khusus layanan kesehatan sukarela untuk membantu organisasi layanan kesehatan memprioritaskan penerapan praktik keamanan cyber berdampak tinggi.

Dibuat melalui proses kemitraan publik/swasta yang kolaboratif, menggunakan kerangka kerja, pedoman, praktik terbaik, dan strategi keamanan cyber industri umum, CPG mencakup sebagian praktik keamanan cyber yang dapat digunakan organisasi layanan kesehatan untuk memperkuat kesiapan cyber, meningkatkan ketahanan cyber, dan melindungi informasi dan keselamatan kesehatan pasien.

Langkah-langkah untuk segera memulihkan operasi dan memperkuat keamanan setelah terjadi serangan

Pemulihan dari serangan ransomware memerlukan pendekatan sistematis agar dapat kembali ke operasi normal dengan cepat sekaligus mencegah insiden di masa mendatang. Berikut adalah langkah-langkah yang dapat ditindaklanjuti untuk membantu menilai kerusakan, memulihkan sistem yang terdampak, dan memperkuat langkah-langkah keamanan. Dengan mengikuti panduan ini, organisasi layanan kesehatan dapat membantu memitigasi dampak serangan dan memperkuat pertahanannya terhadap ancaman di masa mendatang.
Menilai dampak dan membendung serangan

Lakukan segera isolasi sistem terdampak untuk mencegah penyebaran lebih lanjut.
Melakukan pemulihan dari cadangan yang terkonfirmasi dalam keadaan baik

Pastikan cadangan utuh tersedia dan terverifkasi sebelum memulihkan operasi. Terus buat cadangan offline untuk menghindari enkripsi ransomware.
Membangun ulang sistem

Pertimbangkan untuk membangun ulang sistem yang telah rusak (bukan patching) guna menghilangkan program jahat yang masih tersisa. Manfaatkan panduan tim Respons Insiden Microsoft untuk membangun kembali sistem dengan aman. 
Memperkuat kontrol keamanan pasca-serangan

Perkuat postur keamanan pasca-serangan dengan mengatasi kerentanan, melakukan patching sistem, dan meningkatkan alat deteksi titik akhir.
Melakukan peninjauan pasca-insiden

Bekerja samalah dengan vendor keamanan eksternal untuk menganalisis serangan guna mengidentifikasi titik lemah dan meningkatkan pertahanan untuk insiden di masa mendatang.

Membangun tenaga kerja yang mengutamakan keamanan

Seorang pria dan wanita menatap wajah seorang wanita.

Menciptakan tenaga kerja yang mengutamakan keamanan memerlukan kolaborasi berkelanjutan lintas disiplin ilmu.

Menciptakan tenaga kerja yang mengutamakan keamanan memerlukan kolaborasi berkelanjutan lintas disiplin ilmu. Penting untuk menghilangkan silo antara tim keamanan TI, manajer darurat, dan staf klinis untuk mengembangkan rencana respons insiden yang kohesif. Tanpa kolaborasi ini,  keseluruhan rumah sakit mungkin tidak siap secara efektif untuk merespons insiden cyber.

Edukasi dan kesadaran

Pelatihan yang efektif dan budaya pelaporan yang kuat merupakan komponen penting dalam pertahanan organisasi layanan kesehatan terhadap ransomware. Mengingat bahwa para profesional layanan kesehatan sering kali memprioritaskan perawatan pasien, mereka mungkin tidak selalu memperhatikan keamanan cyber. Hal ini dapat membuat mereka lebih rentan terhadap ancaman cyber.

Untuk mengatasi hal ini, pelatihan berkelanjutan harus mencakup dasar-dasar keamanan cyber, seperti cara mengenali email pengelabuan, menghindari mengeklik tautan yang mencurigakan, dan mengenali taktik rekayasa sosial umum.

Sumber daya Kesadaran Keamanan Cyber Microsoft dapat membantu dalam persoalan ini.

"Mendorong staf untuk melaporkan masalah keamanan tanpa takut disalahkan adalah kuncinya," jelas Mott dari Microsoft. "Semakin cepat Anda melaporkan sesuatu, semakin baik. Jika tidak berbahaya, itu adalah skenario yang diharapkan."

Latihan dan simulasi rutin juga harus merefleksikan serangan nyata seperti pengelabuan atau ransomware, yang akan membantu staf melatih respons mereka dalam lingkungan yang terkendali.

Berbagi informasi, kolaborasi, dan pertahanan kolektif

Karena serangan ransomware secara umum meningkat frekuensinya (Microsoft mengamati peningkatan sebesar 2,75 kali lipat dari tahun ke tahun di antara pelanggan kami16), strategi pertahanan kolektif menjadi sangat penting. Kolaborasi (antara tim internal, mitra regional, dan jaringan nasional/global yang lebih luas) sangat krusial untuk mengamankan operasi layanan kesehatan dan keselamatan pasien.

Menyatukan kelompok-kelompok ini untuk mendesain dan menerapkan rencana respons insiden yang komprehensif dapat mencegah kekacauan operasional selama terjadinya serangan.

Dameff dan Tully menggarisbawahi pentingnya menyatukan tim internal, seperti dokter, manajer darurat, dan staf keamanan TI, yang sering bekerja secara terpisah. Menyatukan kelompok-kelompok ini untuk mendesain dan menerapkan rencana respons insiden yang komprehensif dapat mencegah kekacauan operasional selama terjadinya serangan.

Di tingkat regional, organisasi layanan kesehatan harus menjalin kemitraan yang memungkinkan fasilitas layanan kesehatan berbagi kapasitas dan sumber daya. Hal tersebut akan memastikan bahwa perawatan pasien tetap berlanjut bahkan ketika beberapa rumah sakit terkena ransomware. Bentuk pertahanan kolektif ini juga dapat membantu mengelola kelebihan pasien dan mendistribusikan beban di antara penyedia layanan kesehatan.

Selain kolaborasi regional, jaringan berbagi informasi nasional dan global adalah hal pokok. ISAC (Pusat Analisis dan Pembagian Informasi), seperti Health-ISAC, berfungsi sebagai platform bagi organisasi layanan kesehatan untuk bertukar inteligensi ancaman vital. Errol Weiss, Chief Security Officer di Health-ISAC, membandingkan organisasi-organisasi ini dengan "program pengawasan lingkungan virtual," tempat organisasi anggota dapat dengan cepat berbagi detail tentang serangan dan teknik-teknik mitigasi yang telah terbukti. Tindakan berbagi inteligensi ini membantu pihak lain bersiap menghadapi atau menghilangkan ancaman serupa, yang akan memperkuat pertahanan kolektif dalam skala yang lebih besar.

  1. [1]
    Microsoft internal threat intelligence data, K2, 2024
  2. [2]
    (Executive Summary for CISOs: Current and Emerging Healthcare Cyber Threat Landscape; Health-ISAC and the American Hospital Association (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    TRANSCRIPT: House Committee Hearing to Assess Microsoft’s Cybersecurity Shortfalls,” Tech Policy Press, 15 Juni 2024
  4. [4]
    On average, healthcare organizations lose USD$900,000 per day to downtime from ransomware attacks,” Comparitech, 6 Maret 2024
  5. [5]
    Healthcare Ransomware Attacks Continue to Increase in Number and Severity,” The HIPAA Journal, September 2024
  6. [6]
    Hacked to Pieces? The Effects of Ransomware Attacks on Hospitals and Patients; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US; Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US | Emergency Medicine | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    Ascension Ransomware Attack Hurts Financial Recovery,” The HIPPA Journal, Sep 20, 2024
  10. [10]
    Patient Data Exposed in Phishing Attack on UC San Diego Health,” The HIPPA Journal, 13 Maret 2024
  11. [11]
    Ransomware Attack Key Factor in Decision to Close Rural Illinois Hospital,” The HIPPA Journal, 14 Juni 2023
  12. [12]
    Healthcare Ransomware Attacks Continue to Increase in Number and Severity,” The HIPAA Journal, September 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    There were more hospital mergers in 2023, and financial distress is driving more deals (chiefhealthcareexecutive.com)
  15. [15]
    Interoperability and Methods of Exchange among Hospitals in 2021 | HealthIT.gov
  16. [16]
    Laporan Pertahanan Digital Microsoft 2024, Microsoft, halaman 27
  17. [17]
    Telemetri Microsoft Threat Intelligence, 2024
  18. [18]
    Known Exploited Vulnerabilities Catalog,” CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Microsoft Threat Intelligence data on Healthcare Sector cyber threats, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Ransomware Kejahatan cyber

Lainnya dari Keamanan

Panduan Kebersihan Ketahanan Cyber

Kebersihan cyber dasar tetap menjadi cara terbaik untuk mempertahankan identitas, perangkat, data, aplikasi, infrastruktur, dan jaringan organisasi dari 98% ancaman cyber. Temukan tip praktis dalam panduan komprehensif.
Pelajari selengkapnya

Proses melawan peretas yang mendisrupsi rumah sakit dan membahayakan nyawa

Pelajari ancaman terbaru yang muncul di data ancaman dan riset Microsoft. Dapatkan analisis tentang tren dan panduan yang dapat ditindaklanjuti untuk memperkuat baris pertahanan pertama Anda.
Pelajari selengkapnya

Menarik keuntungan dari ekonomi kepercayaan: penipuan rekayasa sosial

Jelajahi lanskap digital yang terus berkembang, ketika kepercayaan menjadi mata uang sekaligus kerentanan. Temukan taktik penipuan rekayasa sosial yang paling sering digunakan oleh penyerang cyber, dan tinjau strategi yang dapat membantu Anda mengidentifikasi dan mengatasi ancaman rekayasa sosial yang dirancang untuk memanipulasi sifat manusia.
Pelajari selengkapnya

Ikuti Microsoft Security