DXS International adalah sebuah perusahaan teknologi asal Inggris yang menyediakan perangkat lunak krusial bagi National Health Service (NHS). Pengertian dari insiden siber yang baru saja menimpa mereka adalah sebuah peristiwa pelanggaran keamanan di mana server internal kantor DXS diakses tanpa izin oleh pihak yang tidak berwenang, yang memicu kekhawatiran mengenai keamanan data dalam rantai pasokan layanan kesehatan publik.
Secara lebih mendetail, insiden ini pertama kali terdeteksi pada tanggal 14 Desember lalu. Dalam laporannya ke Bursa Efek London, pihak DXS menyatakan bahwa mereka mendeteksi adanya akses ilegal ke server kantor mereka. Namun, untungnya mereka bergerak cepat untuk mengisolasi pelanggaran tersebut. Jadi, layanan klinis yang mereka sediakan diklaim tetap beroperasi dan nggak terganggu selama proses penanganan insiden ini berlangsung.
Hal yang menjadi perhatian utama tentu saja adalah data pasien. Sampai saat ini, belum ada konfirmasi pasti apakah data pasien NHS ikut bocor atau nggak. Pihak perusahaan sih sudah melapor ke regulator perlindungan data Inggris, yakni Information Commissioner’s Office (ICO). Sepertinya mereka sangat berhati-hati dalam memberikan pernyataan, mengingat sensitivitas data kesehatan. Juru bicara NHS England pun belum memberikan respons cepat terkait dampak spesifik pada data pasien. Saat ini, investigasi masih berjalan dengan melibatkan tim keamanan siber NHS dan spesialis eksternal untuk mengetahui “sebegitunya” dampak dan sifat dari insiden ini.
Kalian perlu tahu, meskipun DXS ini bukan penyedia rekam medis elektronik inti dan tidak menyimpan rekam medis pusat, posisi mereka tetap vital. Produk mereka terintegrasi dengan sistem inti NHS. Menurut klaim mereka sendiri, software DXS mendukung sekitar 10% dari semua rujukan NHS di Inggris. Ini artinya, alur kerja untuk jutaan pasien terdaftar bersinggungan dengan sistem mereka. Jadi, walau bukan pemegang data pusat, data pasien tetap diproses oleh beberapa sistem mereka untuk memberikan panduan klinis. Rasanya ngeri juga kalau membayangkan data transito seperti itu bisa diintip pihak luar.
Masalahnya, ini bukan kejadian tunggal yang berdiri sendiri. Kejadian ini menambah daftar panjang kekhawatiran atas serangan terhadap pemasok teknologi kesehatan di Inggris. Kayaknya pola serangan rantai pasokan (supply chain attack) makin marak. Masih segar di ingatan kasus serangan ransomware pada penyedia patologi Synnovis tahun lalu, yang dampaknya parah banget sampai ribuan operasi dibatalkan dan diduga menyebabkan setidaknya satu pasien meninggal. Ada juga kasus software supplier Advanced di tahun 2022 yang bikin layanan darurat 111 lumpuh sementara, memaksa staf medis balik pakai kertas dan pena. Kacau balau begitunya dampaknya.
Situasi ini menyoroti celah dalam regulasi keamanan siber Inggris saat ini. Peraturan yang ada sepertinya belum secara otomatis mewajibkan pemasok IT kesehatan pihak ketiga seperti DXS untuk memenuhi standar keamanan tertentu yang ketat. Untungnya, pemerintah sana mulai sadar dan bulan lalu memperkenalkan RUU Keamanan dan Ketahanan Siber (Cyber Security and Resilience Bill). Aturan ini nantinya bakal mengancam denda besar buat perusahaan yang gagal melindungi diri dari serangan siber, termasuk vendor IT yang melayani sektor kritis seperti kesehatan. Kira-kiranya, langkah ini diharapkan bisa memaksa vendor untuk lebih serius menjaga “pagar” digital mereka.
Nah, rekan-rekanita, dari kasus DXS International ini kita bisa melihat betapa rapuhnya ekosistem digital kesehatan jika salah satu vendor pendukungnya bobol. Meskipun belum ada bukti kerugian finansial material bagi perusahaan, kepercayaan publik dan keamanan data pasien adalah taruhan yang jauh lebih mahal. Kuranglebihnya, kejadian ini menjadi pengingat keras bahwa keamanan siber bukan cuma soal menjaga server utama, tapi juga mengawasi setiap pintu kecil yang dipegang oleh pihak ketiga. Terima kasih sudah menyimak ulasan ini, semoga kita semua makin sadar akan pentingnya proteksi data di era digital yang serba terkoneksi ini.