Temukan 33 Kerentanan pada Transfer Data Telehealth, Kaspersky: Banyak Diantaranya Belum Ditambal

Pakar Kaspersky menemukan setidaknya sebanyak 33 kerentanan-termasuk 18 nya adalah kerentanan kritis pada protokol yang paling umum digunakan untuk mentransfer data dari wearable device (perangkat yang dapat dikenakan) yang digunakan untuk pemantauan pasien jarak jauh (telehealth) di tahun 2021 saja.

Melansir dari siaran persnya, Senin (14/03) pada kerentanan kritis, ini berjumlah sepuluh kali lebih banyak daripada di tahun 2020, dan banyak di antaranya masih belum ditambal. Beberapa kerentanan ini memberi kesempatan kepada penyerang untuk mencegat data yang dikirim secara online dari perangkat.

Baca Juga: Laporan Kaspersky: 43% Bisnis Tidak Memiliki Perlindungan Siber Pada Infrastruktur IoT Mereka

Menurut Head of Russian Global Research and Analysis Team (GReAT) di Kaspersky, Maria Namestnikova, pandemi yang sedang berlangsung telah menyebabkan digitalisasi yang cepat dari sektor kesehatan. Dengan banyaknya rumah sakit dan staf layanan Kesehatan kewalahan atas situasi pandemi, dan banyak orang dikarantina di rumah, organisasi terpaksa memikirkan kembali bagaimana perawatan pasien diberikan.

"Faktanya, penelitian Kaspersky baru-baru ini menemukan bahwa 91% penyedia layanan kesehatan global telah menerapkan pemanfaatan telehealth. Namun, digitalisasi yang cepat ini juga turut menciptakan risiko keamanan baru, terutama terkait data pasien,"terangnya.

Untuk diketahui, bagian dari telehealth mencakup pemantauan pasien jarak jauh, yang dilakukan menggunakan perangkat dan monitor yang dapat dipakai. Ini termasuk gawai yang dapat terus menerus atau pada interval melacak indikator kesehatan pasien, seperti aktivitas jantung.

Maria juga mengatakan protokol MQTT adalah protokol paling umum digunakan untuk mentransmisikan data dari perangkat dan sensor karena mudah dan nyaman. Itulah sebabnya protocol ini dapat ditemukan tidak hanya di wearable device, tetapi juga di hampir semua gawai pintar.

Sayangnya, saat menggunakan MQTT, otentikasi sepenuhnya bersifar opsional dan jarang menyertakan enkripsi. Hal ini membuat MQTT sangat rentan terhadap serangan man in the middle (ketika penyerang dapat menempatkan diri mereka di antara dua pihak yang melakukan komunikasi), yang berarti data apa pun yang ditransfer melalui internet berpotensi dicuri.

"Dalam hal wearable device, informasi tersebut dapat mencakup data medis yang sangat sensitif, informasi pribadi, dan bahkan pergerakan seseorang," ujarnya.

Baca Juga: Eksploitasi Log4Shell, Kaspersky Temukan dan Blokir Lebih dari 30.000 Serangan

Peneliti Kaspersky menemukan kerentanan tidak hanya terdapat dalam protokol MQTT tetapi juga salah satu platform paling populer untuk wearable device: platform Qualcomm Snapdragon Wearable. Setidaknya terdapat lebih dari 400 kerentanan yang ditemukan sejak platform diluncurkan tidak semua telah ditambal, termasuk beberapa dari tahun 2020.

Perlu dicatat bahwa sebagian besar wearable device dapat melacak data kesehatan, serta lokasi dan pergerakan pengguna. Ini tidak hanya membuka kemungkinan untuk pencurian data tetapi juga berpotensi untuk aksi berbahaya lainnya seperti menguntit (stalking).

Maria menjelaskan pandemi telah menyebabkan peningkatan tajam di pasar telehealth, dan ini tidak hanya melibatkan komunikasi dengan dokter melalui perangkat lunak video. Tapi berbicara tentang berbagai macam teknologi dan produk kompleks yang berkembang pesat, termasuk aplikasi khusus, wearable device, sensor yang dapat ditanamkan, dan database berbasis cloud.

"Namun, banyak rumah sakit masih menggunakan layanan pihak ketiga yang belum teruji untuk penyimpanan data pasien, dan kerentanan pada sensor dan wearable device di industri kesehatan tetap terbuka. Sebelum mengimplementasikan perangkat tersebut, kami menghimbau untuk pelajari sebanyak mungkin tentang tingkat keamanannya demi menjaga keamanan data perusahaan dan pasien Anda,” tutupnya.