
Serangan siber terhadap Partnered Health, penyedia layanan kesehatan yang didukung oleh Quadrant, telah mengungkap informasi pasien sensitif di seluruh klinik di Australia. Insiden ini memperkuat kekhawatiran mengenai keamanan siber di sektor kesehatan yang terus menjadi target utama pelaku kejahatan siber global.
APA YANG TERJADI?
Partnered Health mengonfirmasi bahwa pelaku jahat berhasil mengakses sistem mereka pada tanggal 23 Juni 2026, mengkompromikan data dari 21 klinik di beberapa kota termasuk Sydney, Melbourne, dan Canberra. Perusahaan ini mengoperasikan lebih dari 60 pusat medis, termasuk klinik kanker kulit, kesehatan terkait, dan kesehatan mental, yang melayani lebih dari 5 juta orang di seluruh Australia.
Informasi yang berhasil dicuri mencakup nama, tanggal lahir, alamat, detail kontak, informasi Medicare, detail asuransi kesehatan swasta, informasi kartu konsesi, catatan konsultasi, surat rujukan, laporan patologi, hasil diagnostik, dan catatan perawatan lainnya yang dikelola oleh dokter umum. Klinik yang terdampak berada di New South Wales, Victoria, Queensland, Australia Barat, dan ACT.
DETAIL TEKNIS
Partnered Health melaporkan insiden ini ke Australian Cyber Security Centre (ACSC), Office of the Australian Information Commissioner (OAIC), dan pihak berwenang penegak hukum. Perusahaan juga telah memperoleh perintah sementara dari Pengadilan Tinggi NSW yang melarang penggunaan atau publikasi informasi yang dicuri.
Sementara investigasi masih berlangsung, ruang lingkup pelanggaran di lima klinik masih ditentukan, termasuk tiga klinik di Australia Barat dan dua klinik di Victoria. Partnered Health menyatakan bahwa belum ada bukti langsung bahwa catatan pasien telah dilihat, namun sebagai langkah pencegahan, mereka telah menulis surat kepada pasien dari klinik-klinik tersebut untuk memberitahukan situasi dan memberikan langkah-langkah perlindungan informasi.
DAMPAK TERHADAP INDONESIA
Insiden ini menjadi peringatan penting bagi Indonesia, di mana sektor kesehatan juga menjadi target utama serangan siber. Dengan berlakunya UU Pelindungan Data Pribadi (PDP Law) dan semakin banyaknya layanan kesehatan digital di Indonesia, termasuk sistem rujukan elektronik dan telemedisin, potensi dampak serangan serupa sangat signifikan. BSSN telah mencatat peningkatan serangan terhadap infrastruktur kesehatan Indonesia, termasuk kasus kebocoran data BPJS Kesehatan yang melibatkan jutaan data pasien. Organisasi kesehatan Indonesia perlu memperkuat postur keamanan siber mereka, terutama terkait kepatuhan terhadap SKKNI Siber dan standar perlindungan data kesehatan yang semakin ketat. Selain itu, ketergantungan pada vendor teknologi asing dalam sistem kesehatan digital Indonesia menambah kompleksitas risiko keamanan siber yang perlu diwaspadai.
REKOMENDASI MITIGASI
Organisasi kesehatan harus menerapkan enkripsi data end-to-end untuk semua catatan medis elektronik, melakukan audit keamanan siber secara berkala, dan memastikan kepatuhan terhadap standar keamanan seperti HIPAA atau ISO 27001. Implementasi SIEM dan EDR yang komprehensif sangat diperlukan untuk mendeteksi aktivitas mencurigakan secara real-time. Selain itu, pelatihan kesadaran siber bagi staf kesehatan harus ditingkatkan, mengingat human error masih menjadi salah satu vektor serangan utama di sektor ini. Organisasi juga harus memastikan proses incident response yang teruji dan backup data yang terenkripsi di luar lokasi.
Analisa Retasan
Serangan terhadap Partnered Health mengikuti pola yang semakin umum dalam beberapa tahun terakhir, di mana pelaku kejahatan siber secara spesifik menargetkan penyedia layanan kesehatan karena nilai data medis yang tinggi di pasar gelap. Data medis mengandung kombinasi unik antara identitas pribadi dan informasi kesehatan yang dapat digunakan untuk berbagai tujuan jahat, mulai dari pencurian identitas hingga penipuan asuransi, menjadikannya lebih berharga dibandingkan data kartu kredit biasa. Kasus ini mirip dengan serangan terhadap Medibank pada tahun 2022 yang mengungkap data 9,7 juta pelanggan Australia, menunjukkan bahwa meskipun ada peningkatan regulasi, sektor kesehatan masih sangat rentan.
Dari perspektif teknis, fakta bahwa Partnered Health membutuhkan waktu lebih dari tiga minggu sejak akses awal pelaku (23 Juni) hingga pengungkapan publik menunjukkan potensi gap dalam kemampuan deteksi dan respons insiden. Dalam konteks Australian Notifiable Data Breaches (NDB) scheme, organisasi diharuskan memberitahu OAIC dan individu yang terdampak “sesegera mungkin” setelah mengetahui pelanggaran yang memenuhi ambang notifikasi. Keterlambatan ini dapat menunjukkan kompleksitas forensik digital yang diperlukan untuk menentukan ruang lingkup pelanggaran, namun juga menimbulkan pertanyaan tentang efektivitas monitoring dan logging yang diterapkan.
Untuk Indonesia, insiden ini menekankan urgensi penerapan PDP Law secara efektif di sektor kesehatan. Dengan pertumbuhan pesat layanan kesehatan digital seperti Halodoc, Alodokter, dan integrasi sistem rujukan elektronik oleh Kemenkes, Indonesia memiliki attack surface yang luas. BSSN dan Kementerian Kesehatan perlu mempercepat implementasi SKKNI Siber khusus sektor kesehatan, termasuk standar enkripsi data medis, prosedur incident response yang spesifik untuk organisasi kesehatan, dan audit keamanan siber wajib bagi penyedia layanan kesehatan digital. Tanpa langkah konkret seperti ini, Indonesia berisiko mengalami insiden serupa dengan skala yang lebih besar mengingat populasi dan adopsi digital yang terus meningkat.
