PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182


Ketika kita memikirkan alat pacu jantung, pompa insulin, dan perangkat medis implan (IMD) lainnya, tentu yang terlintas dalam pikiran adalah manfaatnya bagi pengguna yang mengandalkannya untuk mengatasi berbagai kondisi atau gangguan medis.

Seiring waktu, IMD telah berkembang menjadi lebih canggih dengan diperkenalkannya konektivitas nirkabel – menghubungkan diri mereka sendiri ke platform online, cloud, dan aplikasi seluler dengan koneksi yang dibuat melalui Bluetooth untuk pemeliharaan, pembaruan, serta pemantauan, dan semua itu ada untuk meningkatkan perawatan terhadap pasien.

Namun, saat alat-alat itu memiliki koneksi ke perangkat, baik eksternal atau internal, hal ini juga menciptakan peluang untuk dieksploitasi.

Baru-baru ini, peneliti CyberMDX memperkirakan bahwa 22% dari semua perangkat yang saat ini digunakan di rumah sakit rentan terhadap BlueKeep, kerentanan Windows dalam layanan Microsoft Remote Desktop Protocol (RDP). Yang mana saat dihadirkan dalam perangkat medis yang terhubung, angka tersebut naik menjadi 45%.

Menurut Christopher Neal, CISO dari Ramsay Health Care, banyak perangkat yang kita gunakan saat ini tidak dibuat dengan desain yang aman, dan ini adalah masalah yang mungkin membayangi peralatan medis selama beberapa dekade mendatang.

Di konferensi keamanan Black Hat USA, Dr. Alan Michaels, Direktur Lab Sistem Elektronik Hume Center for National Security and Technology di Virginia Polytechnic Institute and State University, menggemakan sentimen yang sama.

Michaels menguraikan makalah penelitian yang ditulis oleh profesor itu sendiri, bersama dengan Zoe Chen, Paul O’Donnell, Eric Ottman, dan Steven Trieu, yang meneliti bagaimana IMD dapat membahayakan keamanan ‘ruang aman’ – seperti yang digunakan oleh militer, keamanan, dan lembaga pemerintah.

Profesor tersebut memperkirakan bahwa lebih dari lima juta IMD telah dipasang – sekitar 100.000 di antaranya milik individu dengan izin keamanan pemerintah AS – dan nilainya bagi pengguna tidak dapat diabaikan. Ini tidak berarti, bagaimanapun, bahwa mereka mungkin tidak menimbulkan risiko keamanan, dan jika perangkat mereka disusupi, pengguna tanpa sadar dapat menjadi ancaman insider.

Mengingat bahwa perangkat pintar ini semakin terhubung dengan protokol komunikasi dua arah, telah tertanam memori, memiliki sejumlah transduser modalitas campuran, dan dilatih untuk beradaptasi dengan lingkungan mereka dan menjadi tuan rumah dengan algoritma kecerdasan buatan (AI), mereka mewakili kekhawatiran signifikan terhadap keamanan data yang dilindungi, sementara juga memberikan peningkatan, dan seringkali diperlukan secara medis, juga manfaat bagi penggunanya,” kata Michaels.

Alat pacu jantung, pompa insulin, implan pendengaran, dan IMD lainnya yang rentan untuk dieksploitasi dapat dipersenjatai untuk membocorkan GPS dan data lokasi, serta dataset potensial lainnya atau informasi lingkungan yang berkaitan dengan ‘ruang aman’, dikumpulkan dari sensor inbuilt, mikrofon, dan transduser yang mengubah informasi dari lingkungan menjadi sinyal dan data.

Misalnya, ada perangkat pintar untuk membantu pendengaran di pasaran yang ditautkan ke arsitektur cloud dan menggunakan machine learning (ML) yang berfungsi merekam dan menganalisis suara untuk mendapatkan umpan balik dan untuk meningkatkan kinerjanya – tetapi jika terganggu, fungsi ini dapat dibajak.

Perangkat pengumpulan data berbasis GPS dan pasif dianggap berisiko rendah, sedangkan gadget yang menggunakan kode sumber terbuka, dengan fungsionalitas cloud, AI/ML, atau aktivasi suara dianggap berisiko menengah hingga tinggi.


Masalahnya adalah IMD sulit, atau bahkan tidak mungkin, untuk dihapus atau dinonaktifkan saat berada di ‘ruang aman’. Juga tidak mungkin untuk melarang akses ke ‘ruang aman’ bagi pengguna IMD karena ini akan melanggar undang-undang diskriminasi.

Selain itu, mitigasi eksternal telah diusulkan, termasuk:

  • Membuat whitelist: Memberi persetujuan sebelumnya atas daftar IMD yang dianggap cukup aman. Namun, ini membutuhkan pemeriksaan dan konsistensi di berbagai lembaga.
  • Inspeksi acak: Perangkat yang sebelumnya disetujui perlu diperiksa setelannya – tetapi mengawasi ini, pada kenyataannya akan sulit, terutama karena mungkin memerlukan akses ke data vendor pemilik.
  • Deteksi feromagnetik: Menggunakan detektor untuk mengidentifikasi implan atau perangkat asing/IMD lainnya sebelum seseorang memasuki fasilitas, untuk memastikannya ada dalam daftar yang disetujui.
  • Zeroization: Memeriksa dan menghapus data dari perangkat sebelum meninggalkan ‘ruang aman’ dapat meningkatkan keamanan informasi, tetapi ini akan membutuhkan cara yang aman untuk menghapus informasi dari perangkat yang berhubungan dengan keselamatan nyawa seseorang – prospek yang menakutkan dan berpotensi berbahaya.
  • Pelemahan sinyal fisik: Menjadi Faraday berjalan untuk menghentikan sinyal saat berada di fasilitas keamanan – seperti dengan mengenakan rompi foil – juga telah diusulkan, tetapi seperti dicatat oleh Michaels, hal ini mungkin akan “merepotkan” dalam praktiknya.
  • Perangkat lunak administratif: Kode dapat dikembangkan untuk menempatkan IMD dalam mode “pesawat” – tetapi ini membutuhkan investasi, waktu, dan pengujian oleh pengembang.
  • Personal jamming: Pemakai dapat mengaktifkan jammer untuk membuat kebisingan yang cukup untuk menghentikan pengiriman informasi. Namun, ini dapat memengaruhi masa pakai baterai.

Baca Juga: “Lebih Dari 8.600 Kerentanan Ditemukan Dalam Alat Pacu Jantung

Tim mengatakan bahwa kemajuan yang dibuat dalam bidang IMD telah “jauh melampaui” arahan keamanan saat ini, menciptakan kebutuhan untuk pertimbangan kebijakan baru, dan telah menyerukan amandemen untuk Memorandum Kebijakan Komunitas Intelijen (ICPM) 2005-700-1, Lampiran D, Bagian I (.PDF) untuk memasukkan IMD canggih agar tetap mematuhi Panduan Kebijakan Komunitas Intelijen (ICPG) 110.1 (.PDF).

Michaels mengatakan bahwa cara paling sederhana untuk mencegah IMD menjadi ancaman di ‘ruang aman’ adalah dengan melindungi perangkat secara fisik – dan ini kemungkinan jauh lebih aman dibandingkan dengan memodifikasi firmware, karena “hal itu dapat membuat status operasional yang belum teruji (meskipun sangat tidak mungkin) dapat memengaruhi operasi atau kesehatan pengguna.”

Profesor itu menambahkan bahwa masalah keamanan seputar IMD cenderung meningkat dari waktu ke waktu, dan ketika mereka menjadi lebih canggih, keamanan akan menjadi tindakan penyeimbang antara undang-undang, apa yang oleh vendor dianggap sebagai “privasi,” dan konsumsi baterai – salah satu dari sedikit elemen yang membatasi seberapa jauh IMD dapat digunakan dalam hal teknologi alat pintar.

Selain itu, menurut saya seiring dengan peningkatan jumlah perangkat yang ditanamkan, mereka menjadi target yang lebih layak bagi pelaku ancaman – mengingat perkiraan masa pakai banyak perangkat adalah 10 tahun lebih, pertanyaannya hampir menjadi seberapa sulit meretas perangkat IoT berumur 10 tahun,” Michaels berkomentar. “Mungkin bukan ancaman langsung, tetapi meningkat dari waktu ke waktu, dan nantinya akan sangat sulit untuk melakukan penarikan/pembaruan firmware.”

Loader Loading...
EAD Logo Taking too long?

Reload Reload document
| Open Open in new tab

Muhammad Zaky Zulfiqor

Just a simple person who like photography, videography, code, and cyber security enthusiast.