Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
1
1 BAB I
PEDAHULUAN
Gambaran Umum Objek Penelitian
Layanan kesehatan di Indonesia disediakan oleh berbagai jenis fasilitas
kesehatan (fasilitas kesehatan) seperti rumah sakit, pusat kesehatan, klinik, apotek,
dan praktik individu (dokter dan dokter gigi). Program Jaminan Kesehatan
Nasional (JKN) bertujuan untuk menyediakan layanan kesehatan masyarakat
melalui fasilitas kesehatan umum dan swasta. Lebih dari 20.000 fasilitas kesehatan
dapat memberikan layanan kesehatan kepada seluruh masyarakat di Indonesia.
Dalam melayani masyarakat, setiap fasilitas kesehatan menghasilkan,
menyimpan, mengelola dan menggunakan informasi kesehatan pasien
menggunakan sistem informasi yang disediakan oleh BPJS kesehatan. Pasien
yang dirawat oleh fasilitas kesehatan tersebut tidak hanya pasien yang
berpartisipasi dalam JKN tetapi juga pasien umum yang menggunakan asuransi
swasta atau pembiayaan sendiri.
1.1.1 Fasilitas Kesehatan
Fasilitas Kesehatan adalah fasilitas pelayanan kesehatan yang digunakan
untuk menyelenggarakan upaya pelayanan kesehatan perorangan, baik promotif,
preventif, kuratif maupun rehabilitatif yang dilakukan oleh Pemerintah,
Pemerintah Daerah, dan/atau Masyarakat. Dalam penelitian ini, subjek
penelitian terbatas pada fasilitas kesehatan yang terdaftar di BPJS Kesehatan
di Kota Bandung sampai bulan oktober 2018. Jenis dan jumlah fasilitas
kesehatan ditunjukkan pada Tabel 1.1
2
Tabel 1.1 Fasilitas Kesehatan Kota Bandung
(Sumber: (Bpjs-kesehatan, 2018), data diolah)
Fasilitas kesehatan di bagi menjadi dua jenis atau kategori seperti pada
gambar 1.1 berikut :
(Sumber: (Bpjs-kesehatan, 2018))
Di era jaminan kesehatan nasional (JKN) pelayanan kesehatan tidak lagi
berpusat pada fasilitas kesehatan (faskes) tingkat lanjutan (FKRTL), dalam
implementasi sistem kesehatan nasional prinsip managed care diberlakukan,
dimana terdapat 4 (empat) pilar yaitu Promotif, Preventif, Kuratif, dan
Rehabilitatif. Prinsip ini memberlakukan fasilitas kesehatan tingkat pertama
(FKTP) yang akan menjadi gerbang utama peserta BPJS Kesehatan dalam
mengakses pelayanan kesehatan. Seperti pada Gambar 1.1 yang merupakan
No Jenis Fasilitas Kesehatan Jumlah Unit
1 Rumah Sakit 29
2 Puskesmas 73
3 Klinik Pratama 100
4 Praktik Dokter 22
5 Praktik Dokter Gigi 3
6 Klinik Utama 14
7 Apotek 31
Jumlah 266
Gambar 1.1 Kategori Fasilitas Kesehatan
3
fasilitas kesehatan tingkat pertama (FKTP) adalah RS. D. Pratama, Klinik Polri,
Klinik TNI, Klinik Pratama, Dokter Gigi, Dokter Umum, Puskesmas Rinap,
Puskesmas.
Klinik pratama merupakan fasilitas kesehatan tingkat pertama (FKTP) dimana
semua data awal pasien berada pada faskes tingkat pertama. Klinik pratama
merupakan fasilitas kesehatan tingkat pertama yang memiliki jumlah populasi
terbanyak di bandingkan dengan fasilitas kesehatan lainnya. Maka dalam penelitian
ini objek yang ambil adalah fasilitas kesehatan di Klinik Pratama di Bandung.
1.1.2 Klinik Pratama
Klinik pratama merupakan klinik yang menyelenggarakan pelayanan medis
dasar baik umum maupun khusus.
1.1.3 Fasilitas Klinik Pratama
Klinik pratama memiliki berbagai fasilitas, perijinan, juga pimpinan
sebagai berikut :
1. Pelayanan medis pada klinik pratama hanya pelayanan medis dasar.
2. Pimpinan klinik pratama adalah dokter atau dokter gigi
3. Layanan di dalam klinik pratama mencangkup layanan rawat inap
4. Tenaga medis dalam klinik pratama adalah minimal dua orang dokter atau
dokter gigi.
Latar Belakang Penelitian
Menurut Ponemon Institute dan Verizon data Breach Investigation Report,
industri kesehatan mengalami lebih banyak pelanggaran data daripada sektor
lainnya (Center for Internet Secuirty, 2018) Pelanggaran sering terjadi di sektor
kesehatan dan dapat disebabkan oleh berbagai insiden, terkena serangan virus
malware, karyawan yang secara sengaja atau tidak sengaja mengungkapkan
informasi pasien, laptop atau perangkat lain yang hilang.
Informasi Kesehatan Pribadi (Personal Health Information/PHI) lebih berharga
di pasar gelap dibandingkan dengan informasi kartu kredit atau Informasi
Identifikasi Pribadi (Personal Identification Information) biasa. Informasi kartu
4
kredit dan data pribadi dijual seharga $ 1- $ 2 di pasar gelap, sedangkan informasi
kesehatan pribadi bisa mencapai harga $363. Menurut Infosec Institute, PHI
berharga karena pelaku kriminal dapat menggunakannya untuk mengancam korban
dengan melakukan penipuan yang memanfaatkan kondisi medis korban atau tempat
tinggal korban. Informasi ini dapat digunakan untuk membuat klaim asuransi palsu,
memungkinkan untuk pembelian dan penjualan kembali peralatan medis. Penjahat
lain menggunakan PHI secara ilegal untuk mendapatkan akses ke resep untuk
digunakan atau dijual kembali. Oleh karena itu, ada insentif yang lebih tinggi bagi
para penjahat cyber untuk menargetkan database medis, sehingga mereka dapat
menjual PHI atau menggunakannya untuk keuntungan pribadi mereka.
Menurut “2018 Thales Data Threat Report”, 70% organisasi layanan kesehatan
di seluruh dunia telah mengalami pelanggaran data (Shick, 2018). Menurut laporan
tersebut, sementara transformasi digital memungkinkan perawatan kesehatan yang
lebih baik melalui peningkatan efisiensi dengan biaya lebih rendah, pada saat yang
sama ia memperkenalkan lebih banyak risiko keamanan melalui penggunaan cloud,
big data, internet of things (IoT) dan kontainer untuk membuat, mengelola dan
menyimpan data. Laporan Thales mengatakan organisasi kesehatan telah muncul
sebagai target utama untuk peretas, menempatkan data medis yang berharga dalam
bahaya. Verizon “2018 Protected Health Information Data Breach Report
(PHIDBR)” mengungkapkan bahwa hampir 6 dari 10 pelanggaran keamanan dalam
layanan kesehatan berasal dari karyawan yang jahat atau lalai. Penelitian lain dari
firma konsultan Accenture menemukan bahwa hampir seperempat karyawan
layanan kesehatan AS mengetahui setidaknya satu rekan kerja yang secara ilegal
telah menjual nama pengguna, kata sandi atau informasi pribadi lainnya kepada
pihak luar yang tidak sah.
Dari www.hipaajournal.com, antara tahun 2009 dan 2017 ada 2.181
pelanggaran data kesehatan yang melibatkan lebih dari 500 rekaman (record).
Pelanggaran tersebut telah mengakibatkan pencurian / pemaparan dari 176,709,305
catatan kesehatan atau setara dengan lebih dari 50% populasi Amerika Serikat
(54,25%). Data dapat dilihat pada Gambar 1.2
5
Gambar 1.2 Tren Pelanggaran Keamanan Informasi di Amerika
(Sumber: (Hipaajournal(c), 2018) )
Antara 1 Januari hingga 31 Maret 2018, sebanyak 1.073.766 orang
mengalami pencurian atau pengungkapan data PHI mereka, jauh lebih banyak
dibandingkan dengan pelanggaran di Q4, 2017 sebanyak 520.141 orang
(Hipaajournal(b), 2018). Industri kesehatan adalah sesuatu yang anomali terkait
dengan pelanggaran data. Di industri lain, peretasan / insiden IT mendominasi
laporan pelanggaran; namun, industri kesehatan berbeda karena pelanggaran data
lebih banyak disebabkan oleh orang dalam (karyawan). Hal ini ditunjukkan oleh
Gambar 1.3 Di Indonesia sendiri, serangan cybercrime terhadap industri kesehatan
terjadi di pertengahan tahun 2017 dimana dua rumah sakit besar diserang oleh
Ransomware WannyCry (CNNIndonesia, 2017). Akibat dari serangan ini, petugas
kesehatan tidak dapat mengakses informasi terkait sehingga beberapa prosedur
operasi tidak dapat dilakukan dan membahayakan pasien.
6
(Sumber: (Hipaajournal(a), 2018)
Berdasarkan data BPJS Kesehatan per November 2018, jumlah peserta
program JKN adalah 200.286.623 jiwa. Jumlah ini hampir mencakup seluruh
populasi masyarakat Indonesia. Pasien yang ingin mendapatkan pelayanan
kesehatan menggunakan BPJS Kesehatan harus melalui Faskes Tingkat Pertama
(FKTP) terlebih dahulu. Jika membutuhkan rawatan lebih lanjut, maka pasien akan
dirujuk ke Faskes Rujukan Tingkat Lanjut (FKRTL). Besarnya data yang harus
dikelola oleh BPJS dan semua faskesnya semakin meningkatkan kerentanan
terhadap keamanan informasi kesehatan nasional. Gambar 1.4 merupakan sebaran
fasilitas kesehatan (faskes) yang menjadi mitra BPJS Kesehatan.
(Sumber: (Bpjs-kesehatan, 2018))
Gambar 1.3 Sumber Pelanggaran Data di Penyedia Layanan Kesehatan
Gambar 1.4 Sebaran Fasilitas Kesehatan
7
Tujuan dari keamanan informasi adalah untuk memastikan keberlangsungan
organisasi dan untuk meminimalisir kerugian organisasi dengan mencegah dan
meminimilisir dampak dari insiden keamanan (Kruger et al, 2010). Keamanan
informasi memiliki tiga komponen dasar yang harus dikelola, yaitu (Mitchell, 1999)
:
a. Kerahasiaan (confidentiality) informasi yang sensitif; melindunginya dari akses oleh
pihak yang tidak berhak
b. Integritas (integrity); memastikan akurasi dan kelengkapan dari informasi
c. Ketersediaan (availability); memastikan bahwa informasi dan layanan vital
tersedia bagi pengguna kapanpun dibutuhkan
Salah satu bagian terpenting dari manajemen keamanan informasi adalah
program kesadaran keamanan informasi. Menurut Kruger dan Kearney, sasaran
utama dari information security awareness adalah memastikan bahwa pengguna
komputer sadar akan risiko-risiko terkait penggunaan teknologi informasi dan juga
pemahaman terhadap kebijakan dan prosedur yang berlaku (Kruger & Kearney,
2006). Program kesadaran informasi ini perlu dilakukan oleh pemilik sistem
sebagai bagian dari manajemen teknologi informasi. Seperti yang dikatakan oleh
(Peltier, 2014) bahwa pemilik sistem bertangggung jawab untuk memberikan
pengetahuan yang mumpuni mengenai keberadaan dan tingkat umum pengendalian
yang berlaku sehingga semua pengguna yakin bahwa sistem tersebut aman.
Selain meningkatkan keamanan aplikasi dan jaringan melalui berbagai
mekanisme kendali teknis, pelatihan tentang penggunaan dan penanganan PHI yang
tepat dianjurkan untuk mengurangi pelanggaran data yang disebabkan oleh
kesalahan karyawan, seperti perangkat yang hilang atau pengungkapan yang tidak
disengaja. Laporan Verizon mencatat bahwa 70% dari pelanggaran keamanan
dalam layanan kesehatan yang melibatkan malware adalah serangan ransomware
(Shick, 2018). Kampanye Ransomware sering menargetkan pengguna yang tidak
sadar tentang keamanan informasi, yang menunjukkan kebutuhan akan peningkatan
kesadaran keamanan dan pendidikan karyawan. Untuk itu, penelitian ini bertujuan
untuk mengetahui faktor-faktor apa saja yang mempengaruhi budaya keamaan
8
informasi di fasilitas kesehatan tingkat pertama (FKTP) kota Bandung yang
mengelola informasi kesehatan pasien dengan jumlah populasi terbanyak.
Maka pada penelitian ini penulis akan berfokus pada budaya keamanan
informasi di fasilitas kesehatan Klinik pratama merupakan fasilitas kesehatan
tingkat pertama (FKTP) dimana semua data awal pasien berada pada faskes tingkat
pertama dan klinik pratama merupakan fasilitas kesehatan tingkat pertama yang
memiliki jumlah populasi terbanyak di bandingkan dengan fasilitas kesehatan
lainnya, maka dalam penelitian ini objek yang ambil adalah fasilitas kesehatan
di Klinik Pratama di Bandung.
Perumusan Masalah
Berdasarkan survey dan report dari berbagai organisasi yang fokus pada
keamanan informasi, diketahui bahwa industri kesehatan menjadi salah satu target
dari pelanggaran keamanan (security breach) saat ini. Bahkan, informasi kesehatan
personal (PHI) dinilai lebih tinggi dibandingkan informasi identitas personal (PII)
dan informasi terkait kartu kredit. Pemilik PHI maupun penyedia fasilitas layanan
kesehatan dapat menjadi target cybercrime seperti scamming, ransomware, dan
sebagainya. Pelanggaran keamanan informasi tersebut dapat disebabkan oleh
berbagai hal seperti hacking, pencurian dan kehilangan perangkat, hingga akses
yang tidak sah dan pengungkapan informasi yang dilakukan oleh pegawai yang
menjadi penyebab terbesar menurut berbagai laporan. Untuk itu, diperlukan suatu
mekanisme pengendalian keamanan untuk mengurangi pelanggaran yang
dilakukan oleh pegawai dengan cara meningkatkan budaya keamanan informasi.
Sebelum menetapkan mekanisme pengendalian keamanan, perlu dipelajari terlebih
dahulu factor-faktor yang dapat mempengaruhi budaya dan keamanan informasi di
fasilitas kesehatan agar program kesadaran lebih efektif dan efisien. Berdasarkan
beberapa penelitian terdahulu (Veiga & Martins, 2017), (Alnatheer, 2015), (Flores
et al., 2014), (AlHogail, 2015), (Parsons et al, 2014), (Tsohou et al, 2015), (Hassan
& Ismail, 2012), (Box & Pottas, 2013), (Ahlan, Lubis, & Lubis, 2015) terdapat
delapan faktor yang mempengaruhi budaya keamanan informasi yaitu
9
Management, Change management, organisational culture, Knowledge, Security
compliance, Soft issues workplace independent , Security behaviour, Attitude.
Pertanyaan Penelitian
Berdasarkan rumusan permasalahan tersebut maka dapat ditarik pertanyaan
penelitian sebagai berikut :
1. Apakah terdapat pengaruh yang signifikan dari Management terhadap
Information Security Culture
2. Apakah terdapat pengaruh yang signifikan dari Change management
terhadap Information Security Culture
3. Apakah terdapat pengaruh yang signifikan dari Organisational culture
terhadap Information Security Culture
4. Apakah terdapat pengaruh yang signifikan dari Knowledge terhadap
Information Security Culture
5. Apakah terdapat pengaruh yang signifikan dari Security compliance
terhadap Information Security Culture
6. Apakah terdapat pengaruh yang signifikan dari Soft issues workplace
independent terhadap Information Security Culture
7. Apakah terdapat pengaruh yang signifikan dari Security behaviour
terhadap Information Security Culture
8. Apakah terdapat pengaruh yang signifikan dari Attitude terhadap
Information Security Culture
Tujuan Penelitian
Berdasarkan perumusan masalah di atas, maka tujuan yang akan dicapai
dalam penelitian ini adalah mengetahui faktor-faktor apa saja yang mempengaruhi
budaya keamaan informasi di fasilitas kesehatan klinik pratama di kota Bandung
yang mengelola informasi kesehatan pasien.
10
Manfaat Penelitian
1. Memperkaya bahan kajian dan literatur bagi kalangan akademis khususnya
tentang budaya keamanan informasi.
2. Sebagai masukan bagi pihak manajemen fasilitas kesehatan untuk
mengoptimalkan keamanan informasi di organisasinya agar terhindar dari
pelanggaran keamanan.
1.6.1 Aspek Teoritis
Hasil penelitian ini diharapkan akan dapat membantu untuk penelitian
selanjutnya dalam bidang information security awareness. Khususnya dalam
bidang fasilitas kesehatan.
1.6.2 Aspek Praktis
Dilihat dari aspek praktis, hasil penelitian mengenai information security
awareness ini dapat dijadikan salah satu bahan masukkan bagi setiap fasilitas
kesehatan yang ada.
Ruang Lingkup Penelitian
Berikut runag lingkup dari penelitian yang dilakukan oleh penulis.
1.7.1 Lokasi dan Objek Penelitian
a. Lokasi penelitian adalah Kota Bandung
b. Objek penelitian adalah Fasilitas Kesehatan Klinik Pratama
1.7.2 Waktu dan Periode Penelitian
Penelitian ini dibatasi dari tahun 2018 hingga 2019
Sistematika Penulisan Tugas Akhir
BAB I PENDAHULUAN
Pada bagian ini dijelaskan mengenai gambaran umum objek penelitian, latar
belakang rumusan masalah, tujuan penelitian, kegunaan penelitian baik dari
aspek teoritis maupun aspek praktis dan juga sistematika penulisan.
11
BAB II TINJAUAN PUSTAKA DAN LINGKUP PENELITIAN
Pada bagian ini dibahas mengenai teori – teori yang relevan dan dapat
mendukung penelitian yang dilakukan ini. Selain itu dibahas pula mengenai
penelitian terdahulu yang berhubungan dengan topik atau masalah penelitian.
BAB III METODE PENELITIAN
Pada bagian ini dibahas mengenai metode yang digunakan untuk
mengumpulkan dan menganalisis data yang dapat menjawab atau
menjelaskan masalah penelitian.
BAB IV ANALISIS DAN PEMBAHASAN
Pada bagian ini hasil penelitian dan pembahasan diuraikan secara
kronologis dan sistematis sesuai dengan perumusan masalah serta tujuan
penelitian.
BAB V KESIMPULAN DAN SARAN
Pada bagian ini berisi mengenai kesimpulan dari hasil penelitian yang
akan menjawab perumusan masalah yang telah dirumuskan sebelumnya,
serta berisi saran yang diberikan penulis baik bagi aspek teoritis maupun
aspek praktis.
12
Halaman Sengaja Dikosongkan