theNet dari CLOUDFLARE

Menjamin akses jarak jauh bagi tenaga kesehatan

Tiga pertimbangan untuk melindungi praktik medis hibrida

Banyak organisasi pelayanan kesehatan telah mempekerjakan lebih banyak pekerja jarak jauh dalam beberapa tahun terakhir, tetapi juga mengalami kesulitan dalam mempertahankan kemutakhiran pertahanan keamanan siber mereka. Di tengah tekanan keuangan dan kekurangan staf, organisasi terpaksa mengandalkan “perbaikan” jangka pendek dalam melindungi tenaga kerja hibrida dari serangan yang makin intensif.

Misalnya, selama pandemi global, ketika lebih banyak karyawan mulai bekerja secara jarak jauh, sebanyak 51% dari praktik medis menghabiskan biaya kurang dari $5.000 untuk menyiapkan praktik kerja hibrida atau jarak jauh. Contoh umum keamanan siber di sektor pelayanan kesehatan termasuk menerapkan lebih banyak jaringan privat virtual (VPN) dan memindahkan sebagian aplikasi (tetapi tidak semua fungsi keamanannya) ke cloud.

Namun, perbaikan jangka pendek tersebut membuat organisasi pelayanan kesehatan makin rentan terhadap serangan siber. Bagi organisasi yang terus menerapkan model kerja hibrida beserta manfaatnya (yang mencakup peningkatan moral staf, berkurangnya kelelahan, serta peningkatan produktivitas), sangat diperlukan strategi keamanan jangka panjang.

Tiga risiko terbesar “bekerja dari mana saja” bagi tenaga kesehatan jarak jauh mencakup ketergantungan pada VPN, phishing multisaluran, dan IT bayangan. Berikut ini adalah cara pendekatan Zero Trust yang modern dalam mengatasi berbagai risiko tersebut dengan cara yang lebih berkelanjutan.

Kelemahan VPN

Secara tradisional, organisasi pelayanan kesehatan mengandalkan model keamanan “kastel-dan-parit”, yang berfokus pada perlindungan perimeter jaringan. Dalam konteks kerja hibrida, hal tersebut berarti menggunakan VPN dan perangkat lunak desktop jarak jauh untuk memeriksa kredensial pengguna jarak jauh serta mengenkripsi lalu lintas antara pengguna dan berbagai aplikasi atau perangkat di lingkungan perusahaan pusat.

Namun, risiko VPN — seperti kerentanan zero-day pada produk tertentu dari Ivanti dan Palo Alto Networks, serta serangan brute-force terhadap solusi VPN Cisco — menunjukkan kerentanan yang melekat pada pendekatan berbasis perimeter. Akses VPN:

  • Terlalu berisiko: Sebagaimana yang ditunjukkan oleh temuan kerentanan zero-day pada berbagai layanan VPN (lihat contoh lainnya di sini dan di sini), keamanan VPN ternyata tidak andal. Akses tingkat jaringan dan kepercayaan default yang diberikan oleh VPN juga mengundang potensi perpindahan lateral.

  • Terlalu lambat: Dengan akses yang bergantung pada lokasi pengguna, perangkat, peran, dan penyedia identitas, pengguna VPN dapat mengalami latensi.

  • Sangat tidak efisien: VPN dapat memperlambat proses orientasi pengguna baru, menunda peluncuran aplikasi baru, serta menyia-nyiakan waktu berharga dari tim TI ketika terjadi gangguan.

Dapat dipahami bahwa organisasi pelayanan kesehatan — yang menghadapi tantangan keuangan yang belum pernah terjadi sebelumnya serta masalah kekurangan staf TI — pada awalnya beralih ke VPN selama pandemi. Namun, makin jelas bahwa VPN (yang awalnya dirancang untuk koneksi jangka pendek oleh sejumlah kecil sistem) tidak memiliki kemampuan berkelanjutan untuk mendukung perluasan cakupan pekerjaan pelayanan kesehatan jarak jauh.

Pendekatan yang lebih efektif dan berkelanjutan adalah keamanan Zero Trust. Tidak seperti VPN yang berisiko, layanan Zero Trust memerlukan verifikasi identitas yang ketat untuk setiap individu dan perangkat yang mencoba mengakses sumber daya pada jaringan privat, tanpa memandang lokasinya.

Misalnya, teknologi Zero Trust memungkinkan organisasi pelayanan kesehatan untuk:

  • Verifikasi setiap permintaan akses aplikasi didasarkan pada lebih dari sekadar identitas: Geolokasi, postur keamanan perangkat, standar keamanan perusahaan, evaluasi berkelanjutan terhadap risiko/kepercayaan, serta berbagai faktor lain harus dipertimbangkan sebelum seseorang diberikan akses ke suatu sumber daya.

  • Periksa dan filter semua lalu lintas Internet karyawan: Terlepas dari lokasi kerjanya, kegiatan penjelajahan Internet karyawan rentan terhadap phishing, perangkat lunak berbahaya, perangkat pemeras, dan serangan lainnya. Tidak seperti VPN, Zero Trust menyediakan kemampuan memblokir serangan berbasis browser. Sistem ini juga dapat mencegah pekerja membuka atau berinteraksi dengan situs web yang mencurigakan.

Serangan phishing

Menurut sebuah studi tentang pelanggaran data terkait sektor pelayanan kesehatan, dari tahun 2015 hingga 2020, lebih banyak rekam medis pasien yang berhasil diserang dan dikuasai melalui penipuan phishing daripada penyebab lainnya.

Misalnya, phishing menjadi penyebab utama serangan perangkat pemeras terhadap sistem Universitas Vermont (UVM) Health Network. Kejadian tersebut bermula ketika seorang karyawan yang sedang bepergian menggunakan laptop kerjanya untuk memeriksa email pribadi. Satu email, yang terlihat berasal dari asosiasi warga perumahan karyawan tersebut, meluncurkan perangkat lunak berbahaya yang memungkinkan penyerang bergerak secara lateral untuk mengakses sistem UVM Health Network. Serangan tersebut mengganggu operasional selama berminggu-minggu: ratusan karyawan tidak dapat bekerja; prosedur pasien menjadi tertunda; dan organisasi menderita kerugian lebih dari $63 juta.

Serangan phishing dengan menyerang email bisnis (BEC, business email compromise) yang sangat terarah dan tanpa menggunakan perangkat lunak berbahaya juga makin meningkat. Pada bulan Juni 2024, FBI dan Departemen Kesehatan dan Layanan Masyarakat AS mengeluarkan peringatan tentang penyerang yang berhasil memperoleh akses ke akun email karyawan di sektor pelayanan kesehatan, yang kemudian menggunakan informasi login tersebut untuk mengalihkan pembayaran klaim asuransi.

Bagi tenaga kerja modern, pekerjaan dan data tidak hanya tersimpan dalam email. Misalnya, SMS (pesan teks) serta aplikasi pesan publik dan privat dapat menjadi vektor serangan yang memanfaatkan kemampuan mengirim tautan melalui berbagai saluran tersebut, serta cara orang menggunakan informasi dan bekerja. Terdapat kolaborasi cloud, tempat penyerang mengandalkan tautan, file, dan phishing BEC pada alat perangkat lunak seperti Google Workspace, Atlassian, dan Microsoft Office 365. Juga terdapat phishing web dan sosial yang menargetkan orang di LinkedIn dan platform lainnya.

Untuk mencegah serangan “multisaluran” tersebut, penyedia pelayanan kesehatan dapat menggunakan pendekatan multilapisan yang pertama-tama melindungi email, kemudian memperluas pendekatan Zero Trust ke lalu lintas berbasis web lainnya.

Dengan pendekatan Zero Trust untuk melawan phishing, organisasi dapat melakukan hal-hal berikut:

  • Mengisolasi secara otomatis tautan email yang mencurigakan dan mencegah perangkat pekerja terpapar konten web yang berbahaya

  • Membatasi interaksi pengguna dengan situs web yang mencurigakan serta mencegah berjalannya skrip berbahaya yang tertanam dalam halaman web secara lokal di perangkat pekerja.

  • Memblokir sepenuhnya akses ke situs berisiko tinggi (seperti situs yang telah diketahui terlibat dalam phishing)

  • Membatasi informasi yang dapat diunggah, diketik, atau disalin dan ditempel ke aplikasi pihak ketiga; juga mencegah pekerja mengunggah data eksklusif milik organisasi ke alat perangkat lunak AI generatif pihak ketiga

Risiko IT bayangan

Lingkungan kerja hibrida meningkatkan risiko “IT bayangan” — penggunaan perangkat lunak, perangkat keras, atau sistem lain yang tidak diizinkan. Menurut survei tahun 2024, mayoritas (81%) pemimpin TI di sistem kesehatan AS melaporkan pembelian perangkat lunak untuk IT bayangan. Selain itu, hampir separuh (48%) dari pemimpin TI tersebut belum melakukan audit perangkat lunak di organisasi mereka dalam setahun terakhir.

IT bayangan adalah ancaman yang sangat serius terhadap organisasi pelayanan kesehatan. IT bayangan melemahkan kemampuan tim TI dalam mengamankan dan memantau sistem yang krusial sehingga menempatkan data pasien dalam risiko. Aplikasi SaaS yang tidak diizinkan, misalnya, menyebabkan verifikasi kepatuhan HIPAA atas informasi kesehatan yang dilindungi (PHI) menjadi hampir mustahil dilakukan, serta meningkatkan risiko eksploitasi zero-day dan pelanggaran data.

Haruskah organisasi memeriksa satu per satu setiap pengguna, setiap file, dan setiap aplikasi SaaS, lalu meninjau segala sesuatu demi menemukan hal-hal yang berpotensi menimbulkan masalah? Bagi sebagian besar organisasi, cara tersebut tidak realistis.

Untuk membantu mengurangi penggunaan aplikasi yang tidak diizinkan, laksanakan pelatihan manajemen risiko berkelanjutan bagi karyawan, dan kembangkan budaya “tidak saling menyalahkan” (bagi karyawan yang mungkin telah menggunakan IT bayangan).

Pendekatan tersebut juga harus diperkuat dengan kontrol teknis Zero Trust yang melakukan hal-hal berikut:

  • Memberikan visibilitas terhadap asal aplikasi SaaS dan jaringan yang dikunjungi oleh para pekerja. Selanjutnya, organisasi dapat membuat kebijakan untuk mengizinkan, membatasi, atau memblokir penggunaan IT bayangan sesuai kebutuhan

  • Melindungi aplikasi SaaS dan layanan lain yang di-host di cloud dengan memindai keamanannya secara terus-menerusnya untuk menemukan file yang terekspos, aktivitas mencurigakan, dan kesalahan konfigurasi ( penyebab umum terjadinya pelanggaran data)

  • Mengurangi paparan data dengan mendeteksi dan memblokir upaya berbagi data sensitif yang tidak semestinya melalui cloud, aplikasi, email, dan perangkat

Menyederhanakan keamanan kerja hybrid dengan cloud konektivitas

Layanan Zero Trust Cloudflare mengonsolidasikan berbagai layanan teknologi yang sebelumnya terpisah untuk memudahkan pengamanan setiap koneksi, serta menjaga agar para pekerja tetap aman dan produktif saat bekerja pada perangkat apa pun dan di lokasi mana pun dengan menggunakan Internet, aplikasi, dan infrastruktur. Semua layanan disediakan melalui cloud konektivitas, sebuah platform cerdas terpadu yang terdiri dari berbagai layanan cloud asli untuk menyederhanakan konektivitas “any-to-any” (dari setiap titik ke setiap titik) yang aman di seluruh lingkungan TI.

Dengan cloud konektivitas Cloudflare, penyedia pelayanan kesehatan dapat mengamankan data pasien, mendukung pengalaman teknologi yang tanpa hambatan bagi dokter, serta memberikan perawatan virtual kelas atas — semuanya dilakukan dengan tingkat kelincahan dan kontrol yang lebih tinggi.

Artikel ini adalah bagian dari seri tentang tren dan topik terbaru yang berdampak terhadap para pengambil keputusan teknologi masa kini.

Poin-poin penting

Setelah membaca artikel ini, Anda akan dapat memahami:

  • Tiga risiko utama keamanan siber bagi tenaga kesehatan jarak jauh

  • Kelemahan VPN bagi tenaga kerja yang terdistribusi

  • Manfaat penggunaan Zero Trust di sektor pelayanan kesehatan untuk akses jarak jauh yang aman

Sumber daya terkait

Pelajari topik ini lebih mendalam.

Pelajari selengkapnya tentang cara menutup celah keamanan yang menghalangi inovasi pelayanan kesehatan melalui ebook Modernisasi keamanan siber penyedia pelayanan kesehatan.

Dapatkan ringkasan bulanan tentang wawasan Internet yang paling populer!

Berlangganan theNET

Memulai

Sumber Daya

Solusi

Komunitas

Dukungan

Perusahaan

© 2025 Cloudflare, Inc.Kebijakan PrivasiKetentuan PenggunaanLapor Masalah KeamananMerek Dagang