Bhyllabus l'énigme

A Cahya Legawa's Les pèlerins au-dessus des nuages

[
[
[

]
]
]

Uang, Data, dan Kepercayaan: Risiko Finansial dan Siber yang Mengancam Keberlanjutan Rumah Sakit

,

Ada sebuah paradoks menarik dalam dunia perumahsakitan modern: institusi yang tugasnya menjaga data kesehatan paling sensitif milik jutaan orang justru menjadi sasaran paling empuk para penjahat siber. Sementara di sisi lain, sistem keuangan yang harusnya membiayai layanan kesehatan justru menjadi arena bermain bagi oknum-oknum yang mencari keuntungan dengan cara yang tidak sah.

Dimensi keempat dari manajemen risiko rumah sakit—risiko finansial dan siber—adalah yang paling cepat berubah wajahnya. Ancaman siber yang lima tahun lalu masih terdengar asing kini menjadi krisis nyata yang bisa melumpuhkan seluruh operasional rumah sakit dalam hitungan jam. Sementara penipuan tagihan yang dulu bersifat sporadis kini berevolusi menjadi kejahatan terorganisir yang merugikan miliaran rupiah.

Ransomware: Ketika Tebusan Dibayar dengan Nyawa Pasien

Tidak ada peristiwa yang lebih dramatis menggambarkan kerentanan siber industri kesehatan modern selain serangan ransomware terhadap Change Healthcare pada Februari 2024. Apa yang awalnya tampak sebagai kebocoran data yang tertarget, dengan cepat berkembang menjadi krisis nasional yang berdampak pada hampir setiap rumah sakit di Amerika Serikat. Pada akhir tahun, serangan tersebut telah mengekspos data kesehatan 259 juta warga Amerika—rekor baru yang jauh melampaui 138 juta orang yang terdampak sepanjang tahun sebelumnya.

Skala kerusakannya? Pada Oktober 2024, perusahaan induk Change Healthcare, UnitedHealth Group, mengonfirmasi bahwa kerugian akibat serangan ini telah mencapai 2,9 miliar dolar AS. Change Healthcare membayar tebusan sebesar 22 juta dolar, namun kelompok ransomware yang menerima pembayaran justru kemudian melakukan exit scam.

Ini bukan kasus tunggal. Secara keseluruhan pada 2024, sektor layanan kesehatan mencatat total 444 insiden siber yang dilaporkan, terdiri dari 238 ancaman ransomware dan 206 insiden data breach. Sektor kesehatan menjadi sektor infrastruktur kritis dengan jumlah gabungan serangan ransomware dan pencurian data tertinggi dibandingkan sektor lainnya di Amerika Serikat.

Biayanya pun tak main-main. Untuk tahun ke-14 berturut-turut, sektor layanan kesehatan mencatatkan biaya pemulihan data breach tertinggi, yakni rata-rata 9,77 juta dolar AS per insiden. Sementara itu, angka permintaan tebusan telah meningkat tajam—ransomware memainkan peran kunci dalam menciptakan diferensial biaya ini.

Yang membuat situasi ini semakin mengkhawatirkan adalah dampaknya yang melampaui kerugian finansial. Serangan ransomware dapat menyebabkan gangguan sistem yang kritis, mengakibatkan pembatalan prosedur, keterlambatan diagnosis, dan gangguan menyeluruh terhadap layanan pasien. Dalam kasus yang parah, hal ini dapat berujung pada hilangnya nyawa.

Mengapa Rumah Sakit Menjadi Sasaran Favorit?

Ada beberapa alasan struktural mengapa fasilitas kesehatan menjadi target utama kejahatan siber. Pertama, nilai data. Sektor kesehatan dan rekam medis pasien secara khusus menjadi target peretas karena detail tagihan yang terkandung di dalamnya dan nilai ransomware dari informasi kesehatan yang dilindungi.

Kedua, kerentanan teknis. Kekurangan staf TI mempermudah penyerang untuk membobol jaringan layanan kesehatan—hanya 14% organisasi kesehatan yang mengaku memiliki tim keamanan TI yang sepenuhnya memadai. Di sisi lain, 52% pelanggaran dikaitkan dengan pelaku jahat, sementara kesalahan manusia dan kegagalan TI masing-masing menyumbang 26% dan 22%.

Ketiga, ketergantungan operasional. Rumah sakit tidak bisa “offline” selama beberapa hari sambil memulihkan sistem. Tekanan untuk segera kembali beroperasi inilah yang membuat mereka lebih cenderung membayar tebusan—dan para penjahat siber tahu persis hal ini.

Deteksi menjadi titik kegagalan yang paling kritis, dengan rata-rata serangan tidak terdeteksi selama 89 hari—hampir tiga bulan—sebelum akhirnya ditemukan. Pemulihan penuh rata-rata membutuhkan 279 hari, dengan hanya 58% organisasi mencapai pemulihan operasional yang lengkap.

Respons Kebocoran Data: Kecepatan adalah Segalanya

Ketika kebocoran data sudah terjadi, kecepatan dan ketepatan respons menjadi penentu seberapa besar dampak yang bisa diminimalisasi. Kerangka respons yang baik mencakup empat fase: identifikasi dan penahanan (containment), investigasi forensik, notifikasi kepada pihak yang terdampak, dan pemulihan sistem.

Tuntutan tebusan terhadap organisasi kesehatan telah mencapai tingkat yang belum pernah terjadi sebelumnya, dengan 65% tuntutan melebihi 1 juta dolar AS dan 35% mencapai 5 juta dolar atau lebih pada tahun 2024. Rata-rata tuntutan tebusan untuk organisasi kesehatan adalah 4 juta dolar. Denda regulasi menambah lapisan biaya yang terlihat—di bawah HIPAA, denda bisa mencapai jutaan dolar, sementara regulasi tingkat negara bagian dan penyelesaian class action sering kali mendorong total biaya regulasi menjadi lebih tinggi.

Namun biaya yang terlihat hanya puncak gunung es. Gangguan operasional pada tahun 2024 rata-rata menyebabkan kerugian finansial sebesar 1,47 juta dolar—naik 13% dari tahun sebelumnya. Satu dari empat organisasi memerlukan lebih dari satu bulan untuk pulih dari serangan ransomware, dengan rata-rata pemulihan satu minggu.

Di Indonesia, ancaman siber terhadap sektor kesehatan belum mendapat perhatian regulasi yang setara. Meski UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi telah mewajibkan pelaporan insiden kebocoran data, implementasinya di fasilitas kesehatan masih dalam tahap penyesuaian. Platform SATUSEHAT yang dibangun Kementerian Kesehatan sebagai tulang punggung interoperabilitas data kesehatan nasional membawa manfaat besar—namun sekaligus menjadi titik konsentrasi data yang harus dilindungi dengan standar keamanan siber yang sangat tinggi.

Kecurangan Klaim JKN: Skandal yang Membobol Dana Publik

Di ranah finansial, risiko terbesar yang dihadapi rumah sakit Indonesia dalam beberapa tahun terakhir adalah kecurangan (fraud) dalam klaim Program Jaminan Kesehatan Nasional (JKN) yang dikelola BPJS Kesehatan.

Skala masalahnya mengejutkan. Data pengendalian potensi kecurangan BPJS Kesehatan menunjukkan bahwa pada tahap proses klaim dan pasca-verifikasi klaim melalui audit pada November 2023, terdapat biaya pengendalian inefisiensi pembiayaan program JKN sebesar Rp866,8 miliar pada tahap verifikasi dan Rp397,9 miliar pasca verifikasi, mengindikasikan penggelembungan sebesar Rp468,9 miliar.

Pada tahun 2024, investigasi gabungan yang lebih tajam mengungkap kasus yang lebih konkret. KPK bersama Kementerian Kesehatan, BPJS Kesehatan, dan BPKP memeriksa enam sampel rumah sakit, dan tiga di antaranya dinyatakan melakukan klaim fiktif: dua rumah sakit di Sumatera Utara dan satu di Jawa Tengah. Di tiga rumah sakit tersebut terdapat tagihan untuk 4.341 kasus, sementara buku catatan medis hanya mencatat 1.000 kasus yang sesungguhnya.

Modus operandinya pun bervariasi dan terus berevolusi. Pada 2023, fraud paling banyak ditemukan dalam bentuk phantom billing (tagihan fiktif), menyumbang 40% dari total kasus fraud. Pada 2024, pola yang paling dominan berubah menjadi manipulasi prosedur medis—terbanyak pada terapi hemofilia yang menyumbang 52% dari total kasus. Pada 2025, modus bergeser lagi ke manipulasi prosedur ventilator, di mana klaim ICU untuk penggunaan ventilator ternyata hanya melibatkan penggunaan kanula nasal atau masker oksigen biasa.

Yang memprihatinkan, kecurangan ini bukan dilakukan secara individual. KPK menegaskan bahwa fraud klaim ini melibatkan komplotan yang terdiri dari berbagai pihak—dari dokter, direktur utama, hingga pemilik rumah sakit. KPK bahkan menemukan ada direktur utama yang dianggap “berprestasi” dalam melakukan tagihan fiktif sehingga dipindahkan ke rumah sakit lain untuk mengulangi praktik yang sama.

Respons regulatoris Indonesia terhadap masalah ini tertuang dalam Peraturan Menteri Kesehatan Nomor 16 Tahun 2019 tentang Pencegahan dan Penanganan Kecurangan dalam Pelaksanaan Program Jaminan Kesehatan. Untuk menjaga pengelolaan klaim dari potensi kecurangan, telah dibentuk Tim Pencegahan dan Penanganan Kecurangan JKN (PK-JKN) di tingkat nasional, provinsi, dan kabupaten/kota, yang terdiri dari berbagai unsur: Kementerian Kesehatan, BPKP, KPK, dan BPJS Kesehatan.

Sanksi yang diberlakukan pun berlapis-lapis: mulai dari penundaan pengumpulan Satuan Kredit Profesi (SKP) selama enam bulan, pencabutan izin praktik dokter, pemutusan kerja sama antara rumah sakit dan BPJS, hingga pencabutan izin operasional rumah sakit sebagai sanksi paling berat.

Tanggung Jawab Malpraktik: Risiko Hukum yang Selalu Membayangi

Di antara berbagai risiko finansial, tanggung jawab atas malpraktik (malpractice liability) adalah yang paling langsung menyentuh hubungan antara tenaga medis, institusi, dan pasien. Berbeda dengan penipuan klaim yang bersifat pidana, gugatan malpraktik umumnya merupakan sengketa perdata—meski dampak reputasional dan finansialnya bisa sama besarnya.

Dalam konteks hukum Indonesia, penyelesaian sengketa medis kini diarahkan untuk lebih mengutamakan jalur alternatif di luar pengadilan (alternative dispute resolution). UU No. 17 Tahun 2023 tentang Kesehatan, melalui Pasal 310, memperlihatkan komitmen untuk mendahulukan penyelesaian di luar litigasi—sebuah pendekatan yang bisa menekan biaya hukum, mempercepat penyelesaian, dan menghindari dampak reputasional yang lebih luas bagi kedua belah pihak.

Beberapa kalangan mengidentifikasi bahwa upaya pencegahan fraud dan malpraktik harus dimulai sejak pendidikan kedokteran—menjadikan integritas program, jaminan kualitas, kedokteran berbasis bukti, dan praktik penagihan yang tepat sebagai bagian eksplisit dari kurikulum pelatihan dokter dan residensi. Ini bukan hanya soal kepatuhan hukum, melainkan pembentukan karakter dan etos profesional yang tahan terhadap godaan kecurangan.

Membangun Benteng: Dari Ancaman ke Ketahanan

Menghadapi semua ancaman finansial dan siber ini, tidak ada solusi tunggal yang memadai. Diperlukan pendekatan berlapis yang menggabungkan dimensi teknologi, sumber daya manusia, proses, dan tata kelola.

Di sisi keamanan siber, investasi dalam sistem deteksi ancaman berbasis kecerdasan buatan, enkripsi data menyeluruh, autentikasi multi-faktor (multi-factor authentication/MFA), segmentasi jaringan, serta program pelatihan kesadaran keamanan bagi seluruh staf adalah fondasi yang tidak bisa ditawar. Integrasi teknologi canggih dengan langkah-langkah operasional dan kebijakan yang memadai menawarkan solusi holistik untuk deteksi fraud kesehatan—dengan memanfaatkan kecerdasan buatan dan analitik data, pemangku kepentingan dapat meningkatkan kemampuan deteksi, mengurangi kerugian finansial, dan memulihkan kepercayaan terhadap sistem kesehatan.

Di sisi pencegahan fraud, pengendalian fraud yang efektif membutuhkan pemahaman yang memadai dari pimpinan puncak dan seluruh personil dalam organisasi. Strategi pencegahan mencakup: pembuatan cross-check data, pembentukan community of practice, supervisi, monitoring dan evaluasi termasuk pelaporan risiko dan insiden fraud, serta penelitian berbasis bukti tentang dampak tindakan anti-fraud.

Penutup: Ketika Kepercayaan Adalah Aset yang Paling Berharga

Pada akhirnya, semua risiko finansial dan siber yang dibahas dalam artikel ini bermuara pada satu ancaman yang paling dalam: erosi kepercayaan. Ketika data pasien bocor, ketika klaim fiktif menguras dana publik, ketika sistem rumah sakit lumpuh karena ransomware—yang paling terpengaruh bukan hanya operasional rumah sakit, tetapi keyakinan masyarakat bahwa institusi kesehatan adalah tempat yang aman dan jujur.

Statistik keamanan siber layanan kesehatan menggarisbawahi satu kebenaran mendasar: keamanan siber di sektor kesehatan bukan lagi sekadar isu teknologi informasi, melainkan sebuah imperatif keselamatan pasien. Dan di balik setiap langkah pencegahan fraud—dari audit klaim hingga investigasi pidana—tersimpan komitmen yang sama: bahwa sistem kesehatan yang dibiayai publik harus benar-benar digunakan untuk kepentingan publik, bukan untuk memperkaya oknum yang menyalahgunakan kepercayaan.

Daftar Referensi

Baba, A. I. M. Q., et al. (2025). Fraud dalam layanan BPJS Kesehatan: Kajian etis dan hukum berdasarkan Undang-Undang Nomor 17 Tahun 2023 tentang Kesehatan. Jurnal Sosial Humaniora dan Pendidikan. https://journalcenter.org/index.php/inovasi/article/view/4767

BlackFog. (2025). Healthcare under siege: Ransomware attacks soared in 2024. https://www.blackfog.com/healthcare-ransomware-2024/

HIPAA Journal. (2025). Healthcare data breach statistics. https://www.hipaajournal.com/healthcare-data-breach-statistics/

HIPAA Journal. (2025). 2024 was another bad year for healthcare ransomware attacks. https://www.hipaajournal.com/2024-was-another-bad-year-for-healthcare-ransomware-attacks/

HIMSS Global Health Conference. (2025). The hidden cost of healthcare cyber attacks: Beyond ransoms and regulatory fines. https://www.himssconference.com/the-hidden-cost-of-healthcare-cyber-attacks-beyond-ransoms-and-regulatory-fines/

IBM. (2024). Ransomware on the rise: Healthcare industry attack trends 2024. https://www.ibm.com/think/insights/healthcare-industry-attack-trends-2024

International Journal of Science and Research Archive. (2024). Fraud detection in healthcare billing and claims. IJSRA, 13(2), 3376–3395. https://doi.org/10.30574/ijsra.2024.13.2.2606

Kompas.id. (2025). BPJS Kesehatan ends partnerships with 32 health facilities to deter fraud. https://www.kompas.id/artikel/en-berikan-efek-jera-akibat-fraud-bpjs-kesehatan-putus-kerjasama-dengan-32-faskes

Kementerian Kesehatan Republik Indonesia. (2024). Cegah fraud, Kemenkes bentuk tim pencegahan. https://kemkes.go.id/id/cegah-fraud-kemenkes-bentuk-tim-pencegahan

Nurmala. (2023). Fraud dan dampaknya terhadap keberlanjutan BPJS Kesehatan. Jurnal Manajemen Kesehatan, 17(4), 89–97.

Peraturan Menteri Kesehatan Republik Indonesia Nomor 16 Tahun 2019 tentang Pencegahan dan Penanganan Kecurangan (Fraud) serta Pengenaan Sanksi Administrasi Terhadap Kecurangan dalam Pelaksanaan Program Jaminan Kesehatan.

Probowati, D. P., Arimbi, D., Prastopo, & Edwin. (2024). Penguatan regulasi dalam pencegahan kecurangan (fraud) pada program Jaminan Kesehatan Nasional: Perspektif Governance, Risk, and Compliance (GRC). Indonesian Research Journal on Education, 4, 3262–3268.

Riggi, J. (2025). Report: Health care had most reported cyberthreats in 2024. American Hospital Association (AHA). https://www.aha.org/news/headline/2025-05-12-report-health-care-had-most-reported-cyberthreats-2024

Tito, J. S., Tito, J. S., & Siregar, K. N. (2024). Faktor pemicu dan penghambat fraud dalam program Jaminan Kesehatan Nasional dan strategi pencegahannya: Sebuah scoping review. Jurnal Ekonomi Kesehatan Indonesia, 9(2). https://doi.org/10.7454/eki.v9i2.1124

Total Assure. (2025). Healthcare cybersecurity statistics 2025. https://www.totalassure.com/blog/healthcare-cybersecurity-statistics-2025

Undang-Undang Republik Indonesia Nomor 17 Tahun 2023 tentang Kesehatan.

Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi.

Commenting 101: “Be kind, and respect each other” // Bersikaplah baik, dan saling menghormati (Indonesian) // Soyez gentils et respectez-vous les uns les autres (French) // Sean amables y respétense mutuamente (Spanish) // 待人友善,互相尊重 (Chinese) // كونوا لطفاء واحترموا بعضكم البعض (Arabic) // Будьте добры и уважайте друг друга (Russian) // Seid freundlich und respektiert einander (German) // 親切にし、お互いを尊重し合いましょう (Japanese) // दयालु बनें, और एक दूसरे का सम्मान करें (Hindi) // Siate gentili e rispettatevi a vicenda (Italian)

Tinggalkan komentar