Pada tanggal 17 November 2023, HealthEC, sebuah penyedia layanan manajemen populasi kesehatan, mengungkapkan bahwa telah mengalami pelanggaran data yang mempengaruhi lebih dari 4,5 juta orang di Amerika Serikat. Pelanggaran data ini terjadi karena serangan ransomware yang menargetkan salah satu mitra bisnis HealthEC, yaitu CaptureRx.
.
Apa Itu HealthEC dan CaptureRx?
HealthEC adalah sebuah perusahaan yang menyediakan platform perangkat lunak untuk membantu organisasi kesehatan mengelola populasi pasien mereka, meningkatkan hasil klinis, dan mengurangi biaya. HealthEC memiliki lebih dari 250 klien, termasuk rumah sakit, klinik, dan penyedia layanan kesehatan lainnya.
.
CaptureRx adalah sebuah perusahaan yang menyediakan layanan administrasi farmasi untuk program 340B, sebuah program pemerintah federal yang memberikan diskon obat kepada fasilitas kesehatan yang melayani populasi berpenghasilan rendah. CaptureRx memiliki lebih dari 700 klien, termasuk rumah sakit, pusat kesehatan masyarakat, dan apotek.
CaptureRx adalah sebuah perusahaan yang menyediakan layanan administrasi farmasi untuk program 340B, sebuah program pemerintah federal yang memberikan diskon obat kepada fasilitas kesehatan yang melayani populasi berpenghasilan rendah. CaptureRx memiliki lebih dari 700 klien, termasuk rumah sakit, pusat kesehatan masyarakat, dan apotek.
.
Bagaimana Pelanggaran Data Terjadi?
Menurut pemberitahuan yang diterbitkan oleh HealthEC, pelanggaran data terjadi pada tanggal 6 Februari 2023, ketika CaptureRx mengalami serangan ransomware yang mengenkripsi file-file di sistemnya. Serangan ini juga mengakses file-file yang berisi informasi pribadi beberapa pasien yang menerima layanan dari klien HealthEC yang bekerja sama dengan CaptureRx.
.
Informasi pribadi yang terbongkar meliputi nama, tanggal lahir, nomor resep, dan nama penyedia layanan kesehatan. Tidak ada informasi keuangan, asuransi, atau medis yang terbongkar.
Informasi pribadi yang terbongkar meliputi nama, tanggal lahir, nomor resep, dan nama penyedia layanan kesehatan. Tidak ada informasi keuangan, asuransi, atau medis yang terbongkar.
.
CaptureRx mengetahui serangan tersebut pada tanggal 19 Februari 2023, dan segera meluncurkan penyelidikan untuk menentukan ruang lingkup dan dampaknya. CaptureRx juga mengambil langkah-langkah untuk mengembalikan operasinya, memperkuat keamanannya, dan memberitahukan kliennya tentang insiden tersebut.
CaptureRx mengetahui serangan tersebut pada tanggal 19 Februari 2023, dan segera meluncurkan penyelidikan untuk menentukan ruang lingkup dan dampaknya. CaptureRx juga mengambil langkah-langkah untuk mengembalikan operasinya, memperkuat keamanannya, dan memberitahukan kliennya tentang insiden tersebut.
.
HealthEC mengetahui pelanggaran data tersebut pada tanggal 30 Maret 2023, dan mulai mengirim surat pemberitahuan kepada individu yang terpengaruh pada tanggal 17 November 2023. HealthEC juga menawarkan layanan pemantauan kredit gratis selama satu tahun kepada individu yang terpengaruh, dan memberikan saran tentang cara melindungi identitas mereka.
HealthEC mengetahui pelanggaran data tersebut pada tanggal 30 Maret 2023, dan mulai mengirim surat pemberitahuan kepada individu yang terpengaruh pada tanggal 17 November 2023. HealthEC juga menawarkan layanan pemantauan kredit gratis selama satu tahun kepada individu yang terpengaruh, dan memberikan saran tentang cara melindungi identitas mereka.
.
Apa Dampak dan Resiko Pelanggaran Data Ini?
Pelanggaran data ini adalah salah satu pelanggaran data kesehatan terbesar yang terjadi pada tahun 2023. Menurut situs web Departemen Kesehatan dan Layanan Kemanusiaan AS, pelanggaran data ini mempengaruhi 4.547.136 individu di 17 negara bagian. Pelanggaran data ini juga merupakan pelanggaran data kedua yang dialami oleh CaptureRx pada tahun 2023. Pada bulan Mei, CaptureRx mengungkapkan bahwa telah mengalami pelanggaran data lain yang mempengaruhi 1.656.569 individu di 17 negara bagian.
.
Pelanggaran data ini menimbulkan resiko bagi individu yang terpengaruh, karena informasi pribadi mereka dapat digunakan oleh penjahat cyber untuk melakukan kejahatan seperti pencurian identitas, penipuan keuangan, atau pemerasan. Selain itu, pelanggaran data ini juga dapat merusak reputasi dan kepercayaan publik terhadap HealthEC, CaptureRx, dan klien mereka.
Pelanggaran data ini menimbulkan resiko bagi individu yang terpengaruh, karena informasi pribadi mereka dapat digunakan oleh penjahat cyber untuk melakukan kejahatan seperti pencurian identitas, penipuan keuangan, atau pemerasan. Selain itu, pelanggaran data ini juga dapat merusak reputasi dan kepercayaan publik terhadap HealthEC, CaptureRx, dan klien mereka.
.
Apa Pelajaran yang Dapat Dipetik dari Pelanggaran Data Ini?
Pelanggaran data ini menunjukkan bahwa industri kesehatan adalah salah satu target utama bagi penjahat cyber, karena data kesehatan memiliki nilai yang tinggi di pasar gelap. Pelanggaran data ini juga menunjukkan bahwa rantai pasokan kesehatan adalah salah satu titik lemah dalam keamanan siber, karena serangan terhadap satu entitas dapat berdampak pada banyak entitas lain yang terhubung dengannya.
.
Untuk mencegah atau mengurangi dampak pelanggaran data seperti ini, ada beberapa langkah yang dapat diambil oleh organisasi kesehatan, seperti:
Untuk mencegah atau mengurangi dampak pelanggaran data seperti ini, ada beberapa langkah yang dapat diambil oleh organisasi kesehatan, seperti:
- Melakukan penilaian risiko secara berkala untuk mengidentifikasi dan mengatasi kerentanan keamanan di sistem dan jaringan mereka.
- Mengadopsi standar dan praktik terbaik keamanan siber, seperti enkripsi data, otentikasi dua faktor, pembaruan perangkat lunak, dan backup data.
- Memberikan pelatihan dan kesadaran kepada karyawan dan mitra bisnis tentang ancaman siber dan cara menghindari atau melaporkan aktivitas mencurigakan.
- Menjalin kerjasama dengan pihak berwenang dan komunitas keamanan siber untuk berbagi informasi dan sumber daya tentang ancaman dan insiden siber.
- Mempersiapkan rencana tanggap darurat untuk merespon dan memulihkan diri dari serangan siber dengan cepat dan efektif.
