Hati-hati, Ada 33 Titik Rawan Siber Transfer Data Aplikasi Kesehatan

Perusahaan keamanan siber asal Rusia, Kaspersky menemukan setidaknya 33 kerentanan pada protokol transfer data dari perangkat yang digunakan (wearable device) platform kesehatan, khususnya pemantauan pasien jarak jauh tahun lalu.

Penelitian Kaspersky baru-baru ini juga menemukan, 91% penyedia layanan kesehatan global menerapkan pemanfaatan telehealth. Namun, percepatan digitalisasi ini juga menciptakan risiko keamanan baru, terutama terkait data pasien.

Bagian dari telehealth mencakup pemantauan pasien jarak jauh, yang dilakukan menggunakan perangkat atau wearable device dan monitor yang dapat dipakai. Ini termasuk gawai yang dapat terus menerus atau pada interval melacak indikator kesehatan pasien, seperti aktivitas jantung.

“Pandemi corona menyebabkan peningkatan tajam di pasar telehealth, dan ini tidak hanya melibatkan komunikasi dengan dokter Anda melalui perangkat lunak video,” kata Head of Russian Global Research and Analysis Team (GReAT) di Kaspersky Maria Namestnikova dalam keterangan pers, Senin (14/3).

“Kita berbicara tentang berbagai macam teknologi dan produk kompleks yang berkembang pesat, termasuk aplikasi khusus, wearable device, sensor yang dapat ditanamkan, dan basis data (database) berbasis cloud,” tambah dia.

Namun, ia mencatat ada banyak rumah sakit menggunakan layanan pihak ketiga yang belum teruji, untuk penyimpanan data pasien. “Kerentanan pada sensor dan wearable device di industri kesehatan tetap terbuka,” katanya.

Sedangkan transfer data merupakan protokol paling umum di suatu aplikasi atau situs web. Kaspersky menemukan, 18 dari 33 kerentanan bersifat kritis. Jumlahnya 10 kali lebih banyak dibandingkan 2020.

Perusahaan juga mencatat, banyak dari 18 kerentanan kritis yang ditemukan di platform kesehatan, belum ditambal. Padahal, celah ini memberikan kesempatan kepada penyerang untuk mencegat data yang dikirim secara online dari perangkat.

Protokol MQTT atau Message Queuing Telemetry Transport adalah protokol paling umum digunakan untuk mentransmisikan data dari perangkat dan sensor, karena mudah dan nyaman. Protokol ini ditemukan tidak hanya di wearable device, tetapi juga di hampir semua ponsel pintar (smartphone).

Namun, saat menggunakan MQTT, otentikasi sepenuhnya bersifar opsional dan jarang menyertakan enkripsi. Ini membuat MQTT sangat rentan terhadap serangan man in the middle atau ketika penyerang dapat menempatkan diri mereka di antara ‘dua pihak’ yang melakukan komunikasi.

Itu artinya, data apapun yang ditransfer melalui internet berpotensi dicuri. Dalam hal wearable device, informasi dapat mencakup data medis yang sangat sensitif, informasi pribadi, dan bahkan pergerakan seseorang.

Ada 90 kerentanan di MQTT ditemukan sejak 2014, termasuk yang kritikal. Banyak di antaranya belum ditambal hingga hari ini.

Terdapat 33 kerentanan baru ditemukan tahun lalu, termasuk 18 bersifat kritikal. Seluruh kerentanan ini dapat menyebabkan risiko pencurian data pasien.

Peneliti Kaspersky menemukan kerentanan tidak hanya terdapat dalam protokol MQTT, tetapi juga salah satu platform paling populer untuk wearable device yakni Qualcomm Snapdragon Wearable.

Setidaknya, ada lebih dari 400 kerentanan yang ditemukan sejak platform diluncurkan. Padahal, sebagian besar wearable device dapat melacak data kesehatan, serta lokasi dan pergerakan pengguna.

Hal itu tidak hanya membuka kemungkinan pencurian data, tetapi juga berpotensi aksi berbahaya lainnya seperti menguntit (stalking).

Kaspersky merekomendasikan penyedia layanan kesehatan untuk:

• Periksa keamanan aplikasi atau perangkat yang direkomendasikan oleh rumah sakit atau organisasi medis.
• Meminimalkan data yang ditransfer oleh aplikasi telehealth jika memungkinkan. Misalnya, jangan membiarkan perangkat mengirim data lokasi jika tidak diperlukan.
• Ubah kata sandi yang sudah ada (default) dan gunakan enkripsi jika perangkat menawarkan.

“Sebelum mengimplementasikan perangkat tersebut, kami mengimbau untuk pelajari sebanyak mungkin tentang tingkat keamanan, demi menjaga keamanan data perusahaan dan pasien,” ujar Maria.