Buka Editor’s Digest secara gratis
Roula Khalaf, Editor dari FT, memilih cerita favoritnya dalam buletin mingguan ini.
Serangan cyber yang memengaruhi ribuan pasien NHS di Inggris telah membantu memicu tindakan dari pemerintahan Sir Keir Starmer untuk memaksa penyedia layanan publik penting untuk memperkuat perlindungan terhadap peretas.
Kontraktor akan harus memperkuat keamanan digital berdasarkan rencana yang diumumkan dalam Pidato Raja untuk mengatasi kerentanan yang semakin meningkat dari “rantai pasok” digital yang melayani lembaga negara.
Serangan ransomware pada 3 Juni oleh kelompok Rusia Qilin pada perusahaan patologi patungan publik-swasta Synnovis telah mengganggu layanan kesehatan untuk ribuan orang yang terdaftar di rumah sakit besar London.
Ini menggarisbawahi risiko keamanan digital tambahan dalam penggunaan penyedia layanan swasta oleh NHS yang semakin meningkat, sebuah kebijakan dari pemerintahan Konservatif dan Buruh.
“Ada kesenjangan besar dalam sistem, karena kami tidak memiliki regulator yang jelas untuk keamanan siber kesehatan yang akan menyelidiki dampak keamanan pasien dari insiden keamanan siber, memantau perilaku pemasok, dan memberlakukan hukuman atas pelanggaran,” kata Dr Saif Abed, mantan dokter NHS dan ahli keamanan siber dan kesehatan masyarakat.
Gangguan besar dalam layanan IT internasional pada Jumat yang membuat sebagian besar praktik dokter di Inggris tidak dapat mengakses sistem catatan pasien, beberapa rumah sakit harus bekerja secara manual dari kertas, dan beberapa apotek tidak dapat mengeluarkan obat penting telah menyoroti dampak yang mendalam dari gangguan terhadap layanan digital di NHS.
Menteri pekan ini mengusulkan RUU keamanan siber dan ketangguhan sebagai tanggapan atas serangan oleh “penjahat dan aktor negara” pada “rumah sakit, universitas, otoritas lokal, lembaga demokratis, dan departemen pemerintah”.
Undang-undang ini bertujuan untuk memperkuat aturan keamanan siber dan persyaratan pelaporan yang tersebar saat ini di antara 12 regulator yang mencakup sektor infrastruktur inti dan layanan digital seperti pasar online.
Inggris memerlukan “pembaruan mendesak” terhadap peraturannya agar infrastruktur dan ekonominya tidak “jauh lebih rentan” daripada negara-negara anggota UE, kata pemerintah. Blok tersebut telah meluncurkan peningkatan regulasi ketahanan sibernya sendiri sejak Inggris keluar pada tahun 2020.
Jika disahkan menjadi undang-undang, RUU Inggris akan memperketat perlindungan siber dan persyaratan pelaporan insiden untuk perusahaan swasta yang menyediakan layanan publik. Ini juga akan memberdayakan regulator melalui “mekanisme pemulihan biaya potensial” dan memperluas kekuatan mereka untuk menyelidiki kerentanan siber potensial.
Pelayanan kesehatan menjadi fokus utama dari langkah Inggris dan target besar peretas di seluruh dunia. Pemerintah telah menyoroti bagaimana serangan Synnovis pada Juni sejauh ini telah menyebabkan penundaan 3.396 janji temu rawat jalan dan 1.255 prosedur elektif di King’s dan Guy’s dan St Thomas’s.
Insiden tersebut membuat “jelas dengan menyakitkan betapa rentannya bagian-bagian dari layanan kesehatan terhadap serangan,” kata seorang pejabat pemerintah.
“Para penyerang ini melihat sisi lemah dalam rantai pasok NHS dan dengan kejam mengeksploitasi,” tambah pejabat tersebut. “Pemasok digital perlu memiliki perlindungan yang sama seperti layanan kesehatan itu sendiri.”
Synnovis, yang 51 persen dimiliki oleh bisnis diagnostik internasional Synlab, mengatakan bahwa mereka menyambut baik semua upaya untuk memperkuat pertahanan siber dan melindungi layanan dari aktivitas penjahat dan aktor yang bermusuhan.
Mereka menambahkan bahwa mereka telah mengalokasikan “setiap sumber daya yang tersedia” untuk mengatasi dampak dari serangan 3 Juni dan membangun kembali kapasitas layanan, serta menyelidiki insiden tersebut dengan NHS dan National Cyber Security Centre, cabang dari agen intelijen sinyal Inggris GCHQ.
RUU keamanan siber adalah “langkah pasti ke arah yang benar” menuju perlindungan kesehatan, kata Dr Saira Ghafur, pemimpin kesehatan digital di Institute of Global Health Innovation Imperial College London.
Rincian penting masih perlu ditetapkan, tambahnya, termasuk regulator mana yang akan mengawasi aturan baru, bagaimana mereka akan dilaksanakan, dan sanksi apa yang akan mereka berikan jika perusahaan gagal menggunakan keamanan yang memadai.
“Kita perlu lebih baik dalam menegakkan standar keamanan siber pada pemasok dan mengambil tindakan hukuman ketika standar ini tidak dipenuhi,” kata Ghafur. “Kita hanya sekuat mata rantai terlemah – dan kita telah melihat kerusakan yang diakibatkan terhadap perawatan pasien ketika hal ini gagal.”