SISTEM
KEAMANAN INFORMASI KESEHATAN
A. Definisi
Menurut John D. Howard dalam bukunya “An Analysis of security
incidents on the internet” menyatakan bahwa : “Keamanan komputer adalah
tindakan pencegahan dari serangan pengguna komputer atau pengakses jaringan
yang tidak bertanggung jawab”.
Menurut Gollmann pada tahun 1999 dalam bukunya “Computer
Security” menyatakan bahwa : “Keamanan komputer adalah berhubungan dengan
pencegahan diri dan deteksi terhadap tindakan pengganggu yang tidak dikenali
dalam system komputer”.
Sistem keamanan komputer merupakan
sebuah upaya yang dilakukan untuk mengamankan kinerja dan proses komputer.
Penerapan computer security dalam kehidupan sehari-hari berguna sebagai penjaga
sumber daya sistem agar tidak digunakan, modifikasi, interupsi, dan
diganggu oleh orang yang tidak berwenang. Keamanan bisa diindentifikasikan
dalam masalah teknis, manajerial, legalitas, dan politis.
computer security akan membahas 2 hal penting
yaitu Ancaman/Threats dan Kelemahan sistem/vulnerabillity.
Keamanan komputer
memberikan persyaratan terhadap komputer yang berbeda dari
kebanyakan persyaratan sistem karena sering kali berbentuk pembatasan
terhadap apa yang tidak boleh dilakukan komputer. Ini membuat keamanan komputer
menjadi lebih menantang karena sudah cukup sulit untuk membuat program
komputer melakukan segala apa yang sudah dirancang untuk dilakukan dengan
benar. Persyaratan negatif juga sukar untuk dipenuhi dan membutuhkan pengujian
mendalam untuk verifikasinya, yang tidak praktis bagi kebanyakan program
komputer. Keamanan komputer memberikan strategi teknis untuk mengubah
persyaratan negatif menjadi aturan positif yang dapat ditegakkan.
Keamanan sistem
informasi adalah segala betuk mekanisme yang harus dijalankan dalam sebuah
sistem yang ditujukan agar sistem tersebut terhindar dari segala ancaman yang
membahayakan. Dalam hal ini, keamanannya melingkupi keamanan data/informasi dan
keamanan pelaku sistem (user). Menurut G. J. Simons, keamanan informasi adalah
bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak,
mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana
informasinya sendiri tidak memiliki arti fisik.
Keamanan informasi
menggambarkan usaha untuk melindungi komputer dan non peralatan komputer,
fasilitas, data, dan informasi dari penyalahgunaan oleh orang yang tidak
bertanggungjawab. Keamanan informasi dimaksudkan untuk mencapai kerahasiaan,
ketersediaan, dan integritas di dalam sumber daya informasi dalam suatu
perusahaan atau rumah sakit
B. Sistem
keamanan informasi kesehatan yaitu :
1. Sistem keamanan informasi berbasis
hardware
Keamanan
hardware menjadi penting karena kerusakan pada
hardware dapat menyebabkan kerusakan pada data dan sofware tetapi
mungkin juga tidak mempengaruhi apapun, misalnya : kerusakan mouse tidak
mempengaruhi data atau software, sedangkan kerusakan hard disk akan merusak
data dan software.
Hal-hal
yang dapat menyebabkan kerusakan hardware adalah antara lain:
a. Kelistrikan
Hardware komputer sangat tergantung pada
listrik. Oleh karena itu ketidakstabilan listrik akan mempengaruhi kinerja dan
ketahanan hardware. Komputer yang sering mati dengan tiba-tiba akibat
kehilangan pasokan listrik dapat memicu kerusakan baik pada hard disk,
motherboard bahkan power supply dan perangkat lainnya.
b. Kesalahan
prosedur
Penggunaan atau penempatan yang tidak
sesuai aturan akan menyebabkan memperpendek masa pakai hardware. Menyalakan komputer
diruang yang panas atau memaksakan komputer menyala terusmenerus dapat
menimbulkan kerusakan.
c. Bencana
alam/kerusuhan.
Faktor ini adalah yang paling sulit
dihindarkan karena diluar kemampuan kita. Banjir, gempa atau kerusuhan bila
mencapai computer maka kerusakan parah sangat mungkin terjadi.
Pencegahan
yang dapat dilakukan adalah antara lain:
a. Memasang
Stavolt atau UPS (Universal Power Saving)
Dengan adanya stavolt yang berfungsi
menstabilkan arus listrik atau UPS yang berfungsi untuk menyediakan daya
listrik selama beberapa waktu sehingga kita dapat melakukan proses shutdown
secara baik, maka kerusakan akibat listrik dapat diminimalkan. UPS ada yang
dilengkapi dengan aplikasi untuk mengendalikan UPS, baik untuk melihat
kapasitas bateray atau memantau kondisi UPS lewat internet.
b. Menggunakan
sesuai prosedur
c. Penempatan
komputer yang benar, menyalakan dan mematikan,
d. serta
pemakaian sesuai fungsinya akan membuat hardware lebih awet. Selain itu
penggunaan sesuai dengan prosedur khususnya yang berhubungan dengan kelistrikan
akan mengurangi resiko kebakaran, misalnya mematikan komputer hingga
stavolt/UPS.
Ancaman-ancaman
keamanan hardware pada computer standalone : ancaman :
a. Hubung
singkat jalur rangkaian MB
b. Kenaikan
Suhu Komputer Komputer
c. Tegangan
Yang Tidak stabil stabil
d. Kerusakan
Akibat Listrik Statis S
2. Sistem keamanan informasi berbasis
software
Software
yang kita miliki dapat mengalami kerusakan yang membuat kita terpaksa harus memperbaiki atau memasang
ulang. Oleh karena itu software yang
kita miliki perlu dijaga apalagi bila kita beli dengan harga mahal atau perlu keahlian
khusus dalam proses pemasangannya (apalagi bila kita tidak tahu proses melakukannya
!) atau vital dalam pekerjaan kita.
Kerusakan
software dapat disebabkan oleh beberapa hal, antara lain :
a. Penggunaan
software bajakan
Software yang bajakan karena tidak
berasal dari pembuatnya langsung maka kualitas software tersebut tidak dapat
dijamin sehingga resiko kerusakan akan besar dan kita tidak dapat melakukan
komplain.
b. Kesalahan
prosedur
Pemasangan/install software yang tidak
benar dapat menyebakan
crash/bertabrakan dengan software lain
atau tidak lengkap sehingga menyebabkan
software rusak.
c. Virus
Virus selain dapat merusak data, dapat
juga merusak software dan biasanya menyerang sistem operasi dan aplikasi yang
berjalan di system operasi Windows.
Hal-hal
yang dapat dilakukan untuk meminimalkan kerusakan komputer adalah antara lain :
a. Menggunakan
software yang terpercaya baik itu yang berbayar atau open source.
b. Memasang
Antivirus.
Antivirus dapat menangkal dan
memperbaiki virus yang merusak
software.
c. Backup
sistem.
Sistem komputer dapat dibackup secara
keseluruhan dengan
menggunakan aplikasi tertentu sehingg
bila terjadi kerusakan yang paling parah
sekalipun dapat dikembalikan ke kondisi semula.
d.
Lakukan sesuai prosedur.
Bila tidak ada sistem backup dan
software serta data dalam komputer bersifat vital, ada baiknya tidak melakukan
proses pemasangan software sendiri bila tidak yakin dengan langkah-langkahnya.
Pada dasarnya tidak ada software yang sempurna yang dapat mengatasi semua kesalahan
pemakaian sehingga penggunaan sesuai prosedur sangat dianjurkan
C.
Beberapa bentuk serangan terhadap
keamanan sistem informasi, diantaranya:
1. Interruption
Perangkat
sistem menjadi rusak atau tidak tersedia. Serangan ditujukan kepada
ketersediaan (availability) dari sistem. Contoh serangan adalah “denial of service attack”. Pihak yang tidak berwenang berhasil
mengakses aset atau informasi. Contoh dari serangan ini adalah penyadapan (wiretapping).
2. Modification
Pihak
yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga
mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah
mengubah isi dari website dengan pesan-pesan yang merugikan pemilik web site.
3. Fabrication
Pihak
yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari
serangan jenis ini adalah memasukkan pesan-pesan palsu seperti e-mail palsu ke
dalam jaringan computer.
Upaya
keamanan sistem informasi tidak hanya dengan mencegah sistem dari kemungkinan
adanya serangan-serangan seperti tersebut di atas, tetapi juga pada kemungkinan
adanya resiko yang muncul atas sistem tersebut. Sehingga, keamanan sistem
informasi terdiri dari dua masalah utama, yaitu ancaman atas sistem dan kelemahan
atas sistem. Masalah tersebut dapat berdampak pada 6 hal utama dalam sistem
informasi, yaitu: efisiensi, kerahasiaan, integritas, keberadaan, kepatuhan dan
keandalan.
D. Ancaman
Sistem
Ancaman adalah aksi
yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat
mengganggu keseimbangan siatem informasi. Ancaman yang mungkin timbul dari
kegiatan pengolahan informasi berasal dari tiga hal utama, yaitu: ancaman alam,
manusia dan lingkungan.
1.
Ancaman alam
Ancaman
dari alam dikategorikan menjadi:
a. Ancaman
air, seperti: banjir, tsunami, kelembaban tinggi, badai, pencairan salju
b. Ancaman
tanah, seperti: longsor, gempa bumi, gunung meletus
c. Ancaman
alam lain, seperti: kebakaran hutan, petir, tornado, angin ribut, dll.
2.
Ancaman manusia
Ancaman
dari manusia dikategorikan menjadi:
a. Malicious
code
Malicious code adalah kode jahat/perusak
atau disingkat malcodes, didefinisikan sebagai semua macam program, makro atau
script (sekumpulan perintah-perintah) yang dapat diesekusi dan dibuat dengan
tujuan untuk merusak sistem computer. Contoh: Trojan horses, virus, worm, dll.
b. Social
engineering
Social engineering adalah
pemerolehan informasi atau maklumat rahasia/sensitif dengan cara
menipu pemilik informasi tersebut. Social engineering umumnya
dilakukan melalui telepon atau Internet. Social engineering merupakan
salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang
targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak
lain yang mempunyai informasi itu. Social engineering mengkonsentrasikan diri
pada rantai terlemah sistem jaringan computer yaitu manusia, dimana setiap
sistem memerlukan adanya interaksi manusia.
c. Hacking
dan Cracking
Hacking dan cracking adalah
bentuk aktifitas terhadap jaringan komputer maupun jaringan
internet. Hacking adalah usaha untuk memasuki sebuah jaringan dengan maksud
mengeksplorasi ataupun mencari kelemahan sistem jaringan secara ilegal. Pelaku
hacking disebut hacker. Hacker dapat melakukan aktivitas penyusupan ke sebuah
sistem komputer atau jaringan dengan tujuan merusak sistem tersebut, menerobos
program komputer milik orang, mengubah program, memecahkan masalah software
maupun hardware, mengakses server kemudian mengacak-acak website yang ada di server
itu, dan lain sebagianya. Sedangkan cracking adalah usaha memasuki sebuah
jaringan secara illegal dengan maksud mencuri, mengubah, atau menghancurkan
file atau data yang disimpan di komputer-komputer yang ada di jaringan
tersebut. Pelaku cracking disebut cracker. Cracker merupakan hacker yang
melakukan aktivitas hacking untuk tujuan kejahatan. Cracker mengintip simpanan
para nasabah di berbagai bank atau pusat data sensitif lainnya untuk keuntungan
diri sendiri. Meski sama-sama menerobos keamanan komputer orang lain, hacker
lebih fokus pada prosesnya. Sedangkan cracker lebih fokus untuk menikmati
hasilnya.
d. Penyuapan,
pengkopian tanpa ijin, perusakan
e. Peledakan,
surat kaleng, perang informasi
f. Ancaman
lingkungan
Ancaman lingkungan dapat dikategorikan
sebagai berikut:
1) Penurunan
tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam
jangka waktu yang cukup lama
2) Polusi
3) Efek
bahan kimia, seperti: obat pembunuh serangga, semprotan anti api, dll
4) Kebocoran
(misal kebocoran AC, atap bocor karena hujan)
Setiap
ancaman tersebut memiliki probabilitas serangan yang beragam, baik dapat
terprediksi maupun tidak dapat terprediksi, seperti gempa bumi yang dapat
mengakibatkan sistem informasi mengalami mall-function. Besar kecilnya suatu
ancaman dari sumber ancaman yang teridentifikasi atau belum teridentifikasi
dengan jelas tersebut, dapat diminimalisir dengan baik apabila kita dapat
melakukan analisis situasi dengan tepat.
E. Kelemahan
Sistem
Kelemahan adalah cacat
atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain,
menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol
yang ada, sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba
menyusup terhadap sistem tersebut. Cacat sistem bisa terjadi pada prosedur,
peralatan, maupun perangkat lunak yang dimiliki. Contoh yang mungkin terjadi:
setting VPN yang tidak diikuti oleh penerapan NAT. VPN merupakan singkatan
dari Virtual Private Network, yaitu sebuah koneksi private melalui
jaringan publik (dalam hal ini internet). NAT (Network Address Translation)
adalah sebuah router yang menggantikan fasilitas sumber atau alamat IP tujuan
dari paket IP karena melewati jalur router. Hal ini paling sering digunakan
untuk mengaktifkan beberapa host di jaringan pribadi untuk mengakses internet
dengan menggunakan satu alamat IP publik. Alamat IP (Internal Protocol) adalah
deretan angka biner yang dipakai sebagai alamat identifikasi untuk tiap
komputer host dalam jaringan internet, yang berfungsi menyampaikan paket
data ke alamat yang tepat.
Berkaitan dengan keamanan sistem
informasi, diperlukan tindakan berupa pengendalian terhadap sistem informasi.
Kontrol-kontrol untuk pengamanan sistem informasi antara lain:
1.
Kontrol administrative
Kontrol
administratif dimaksudkan untuk menjamin bahwa seluruh kerangka kontrol
dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang
jelas.
2.
Kontrol pengembangan dan pemeliharaan system
Untuk
melindungi kontrol ini, peran auditor pada sistem informasi sangatlah penting. Auditor
sistem informasi harus dilibatkan dari masa pengembangan hingga pemeliharaan
sistem untuk memastikan bahwa sistem benar-benar terkendali, termasuk dalam hal
otorisasi pemakai sistem. Aplikasi dilengkapi dengan audit trail sehingga
kronologi transaksi mudah untuk ditelusuri.
3.
Kontrol operasi
Kontrol
operasi dimaksudkan agar sistem beroperasi sesuai dengan yang diharapkan. Yang
termasuk dalam kontrol ini adalah pembatasan
hak akses data, Kontrol
pengguna system, Kontrol
peralatan, Kontrol
penyimpanan arsip, Pengendalian
virus.
4.
Proteksi fisik terhadap pusat data
Untuk
menjaga hal-hal yang tidak diinginkan terhadap pusat data, faktor lingkungan
yang menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir, dan keamanan
fisik ruangan perlu diperhatikan dengan benar. Peralatan-peralatan yang
berhubungan dengan faktor-faktor tersebut perlu dipantau dengan baik.
Untuk
mengantisipasi segala kegagalan sumber daya listrik, biasa digunakan UPS.
Dengan adanya peralatan ini, masih ada kesempatan beberapa menit sampai satu
jam bagi personil yang bertanggung jawab untuk melakukan tindakan-tindakan
seperti memberikan peringatan pada pemakai untuk segera menghentikan aktivitas
yang berhubungan dengan sistem komputer. Sekiranya sistem memerlukan operasi
yang tidak boleh diputus, misalnya pelayanan dalam rumah sakit maupun
Puskesmas, sistem harus dilengkapi generator listrik tersendiri.
5.
Kontrol perangkat keras
Untuk
mengatisipasi kegagalan sistem komputer, terkadang organisasi menerapkan sistem
komputer yang berbasis fault-tolerant (toleran terhadap kegagalan).
Sistem ini dapat berjalan sekalipun terdapat gangguan pada
komponen-komponennya. Pada sistem ini, jika komponen dalam sistem mengalami
kegagalan, maka komponen cadangan atau kembarannya segera mengambil alih peran
komponen yang rusak dan sistem dapat melanjutkan operasinya tanpa atau dengan
sedikit interupsi.
Sistem fault-tolerant dapat
diterapkan pada lima level, yaitu pada komunikasi jaringan, prosesor, penyimpan
eksternal, catu daya, dan transaksi. Toleransi kegagalan terhadap jaringan
dilakukan dengan menduplikasi jalur komunikasi dan prosesor komunikasi.
Redundasi prosesor dilakukan antara lain dengan teknik watchdog processor,
yang akan mengambil alih prosesor yang bermasalah.
Toleransi
terhadap kegagalan pada penyimpan eksternal antara lain dilakukan melaluidisk
memoring atau disk shadowing, yang menggunakan teknik dengan menulis
seluruh data ke dua disk secara pararel. Jika salah satu disk
mengalami kegagalan, program aplikasi tetap bisa berjalan dengan menggunakan disk yang
masih baik. Toleransi kegagalan pada catu daya diatasi melalui UPS. Toleransi
kegagalan pada level transaksi ditangani melalui mekanisme basis data yang
disebut rollback, yang akan mengembalikan pada keadaan semula yaitu
keadaan seperti sebelum transaksi dimulai sekiranya di pertengahan pemrosesan
transaksi terjadi kegagalan.
6.
Kontrol akses terhadap sistem computer
Untuk
melakukan pembatasan akses terhadap sistem, setiap pemakai sistem diberi
otorisasi yang berbeda-beda. Setiap pemakai dilengkapi dengan nama pemakai
danpassword. Password bersifat rahasia sehingga diharapkan hanya
pemiliknyalah yang tahu password-nya. Setelah pemakai berhasil masuk ke
dalam sistem (login), pemakai akan mendapatkan hak akses sesuai dengan otoritas
yang telah ditentukan. Terkadang, pemakai juga dibatasi oleh waktu. Kontrol
akses juga bisa berbentuk kontrol akses berkas. Sebagai contoh, administrator
basis data mengatur agar pemakai X bisa mengubah data A, tetapi pemakai Y hanya
bisa membaca isi berkas tersebut.
Jika
pendekatan tradisional hanya mengandalkan
pada password, sistem-sistem yang lebih maju mengombinasikan dengan
teknologi lain. Misalnya, mesin ATM (Anjungan Tunai Mandiri) menggunakan kartu
magnetik atau bahkan kartu cerdas sebagai langkah awal untuk mengakses sistem
dan kemudian baru diikuti dengan pemasukan PIN (Personal Identification
Number). Teknologi yang lebih canggih menggunakan sifat-sifat biologis manusia
yang bersifat unik, seperti sidik jari dan retina mata, sebagai kunci untuk
mengakses sistem.
Pada
sistem yang terhubung ke Internet, akses Intranet dari pemakai luar (via
Internet) dapat dicegah dengan menggunakan firewall. Firewall dapat
berupa program ataupun perangkat keras yang memblokir akses dari luar intranet.
7.
Kontrol terhadap akses informasi
Ada
kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi berhasil
membaca informasi tersebut melalui jaringan. Untuk mengantisipasi keadaan
seperti ini, alangkah lebih baik sekiranya informasi tersebut dikodekan dalam
bentuk yang hanya bisa dibaca oleh yang berhak. Studi tentang cara mengubah
suatu informasi ke dalam bentuk yang tak dapat dibaca oleh orang lain dikenal
dengan istilah kriptografi. Adapun sistemnya disebut sistem kripto.
Secara lebih khusus, proses untuk mengubah teks asli (cleartext atau
plaintext) menjadi teks yang telah dilacak (cliphertext)
dinamakan enskripsi, sedangkan proses kebalikannya,
dari chiphertext menjadi cleratext, disebut dekrpisi.
8.
Kontrol terhadap bencana
Zwass
(1998) membagi rencana pemulihan terhadap bencana ke dalam 4 komponen:
a.
Rencana darurat (emergency plan),
menentukan tidakan-tindakan yang harus dilakukan oleh para pegawai manakala
bencana terjadi.
b.
Rencana cadangan (backup plan),
menentukan bagaimana pemrosesan informasi akan dilaksanakan selama masa darurat.
c.
Rencana pemulihan, (recovery plan)
menentukan bagaimana pemrosesan akan dikembalikan ke keadaan seperti aslinya
secara lengkap, termasuk mencakup tanggung jawab masing-masing personil.
d.
Rencana pengujian (test plan),
menentukan bagaimana komponen-komponen dalam rencana pemulihan akan diuji atau
disimulasikan.
9. Kontrol
terhadap perlidungan terakhir
Kontrol
terhadap perlindungan terakhir dapat berupa:
a.
Rencana pemulihan terhadap bencana.
b.
Asuransi
Asuransi merupakan upaya untuk
mengurangi kerugian sekiranya terjadi bencana. Itulah sebabnya, biasanya
organisasi mengansurasikan gedung atau aset-aset tertentu dengan tujuan apabila
bencana terjadi, klaim asuransi dapat digunakan untuk meringankan beban
organisasi.
10. Kontrol
aplikasi
Kontrol
aplikasi adalah kontrol yang diwujudkan secara sesifik dalam suatu aplikasi
sistem informasi.
Referensi
:
Kusumadewi, Sri. 2009.
Informasi Kesehatan. Graha Ilmu, Yogyakarta.
Robert G Murdick,
dkk, Sistem Informasi Untuk Manajemen Modern, Jakarta : Erlangga,
1991.
Sabarguna, Boy S;
Safrizal, Heri. 2007. Master Plan System Informasi Kesehatan. KONSORSIUM Rumah
Sakit Islam Jateng-DIY, Yogyakarta.
http://springsensor.blogspot.co.id/2015/12/makalah-ksi-pentingnya-keamanan-sistem.html
di akses pada tanggal 12 pukul 20:12 wita
http://www.academia.edu/9760290/keamanan_sistem_informasi
di akses pada tanggal 12 pukul 20:17 wita
http://springsensor.blogspot.co.id/2015/12/makalah-ksi-pentingnya-keamanan-sistem.html
di akses pada tanggal 12 pukul 20:19 wita
https://imadearjanablog.wordpress.com/2012/10/15/pengamanan-hardwaresoftware-dan-data/.
di akses pada tanggal 12 pukul 20:22 wita
No comments:
Post a Comment