Kebocoran Data Hasil Uji Darah pada Repositori Awan Amazon

Penggunaan Komputasi Awan dalam mendukung keberlangsungan bisnis suatu perusahaan telah banyak ditemui di seluruh dunia. Hasil yang diperoleh lebih baik dan membutuhkan waktu implementasi yang sedikit dibandingkan dengan investasi dan pembangunan data center sendiri. Namun semakin besarnya keuntungan yang ditawarkan, terdapat pula banyak kerentanan yang dapat membahayakan data yang dimiliki perusahaan.

sumber

Latar Belakang Komputasi Awan

  1. Komputasi Awan, yaitu suatu gabungan antara pemanfaatan teknologi komputer (‘komputasi’) dan pengembangan berbasis Internet (‘awan’). Komputasi awan dikembangkan dari penggunaannya konsep virtualisasi IT dalam mengefisiensikan penggunaan perangkat keras yang diinvestasikan dalam perusahaan.Komputasi awan merupakan konsep pemahaman yang digunakan pada pembuatan kerangka kerja komputasi secara online lokal (LAN) maupun global (internet) dimana terdapat beragam aplikasi maupun data dan media penyimpanan yang dapat diakses dan digunakan secara berbagi (shared service) dan bersamaan (simultaneous access) oleh para pengguna yang beragam – mulai dari perseorangan sampai kepada kelas pengguna korporasi atau perusahaan.[2]
  2. Amazon Simple Storage Service (S3)
    Perusahaan Amazon menyediakan berbagai macam layanan komputasi awan yang sudah banyak digunakan oleh perusahaan-perusahaan besar seperti Netflix, Samsung, Traveloka, dan banyak perusahaan lainnya. Salah satu fitur yang ditawarkan adalah Amazon Simple Storage Service (S3). S3 adalah penyimpanan berbasis cloud yang dapat diakses oleh internet, berfungsi sebagai tempat (bucket) untuk menampung data perusahaan seperti foto, dokumen, video, dsb. yang ditempatkan pada salah satu Region dari Amazon Web Services (AWS). Cara penggunaan juga sangat mudah karena sudah disediakan API untuk mengatur setiap data yang ada di dalamnya.
  3. Bucket System
    Dalam pembentukan tempat penyimpanan (bucket), setiap pengguna diharuskan untuk menempatkan datanya pada region secara spesifik. Dengan hal ini pengguna akan dapat menentukan region mana yang terdekat secara geografis untuk mengoptimalkan latensi, mengurangi biaya sewa, dan mendukung regulasi yang berlaku pada masing-masing negara. Bucket yang dapat dibuat untuk setiap akun AWS maksimal 100 bucket, namun dapat ditingkatkan dengan request peningkatan limit pelayanan. Dengan API yang telah disediakan, maka pengguna akan bebas mengkonfigurasi baik dengan console maupun AWS SDK. [3]
  4. Perusahaan Medis dalam Penggunaan Komputasi Awan
    Selain perusahaan yang berpusat pada bisnis IT, terdapat juga perusahaan di bidang medis yang menggunakan fitur Amazon S3 ini contohnya adalah Patient Home Monitoring dan Emory Healthcare. Kedua perusahaan ini menggunakan fitur S3 untuk menyimpan data pasien yang dimiliki serta memudahkan pasien dalam menyimpan dan melihat rekam medis yang pernah dilakukan.

Serangan terhadap Amazon S3 Bucket System

  • Amazon S3 Topology


sumber

Pada Gambar 2 di atas menggambarkan topologi infrastruktur yang disediakan oleh Amazon AWS. S3 Bucket berada setelah Load Balancer sehingga dapat ditangani apabila terjadi permintaan akses yang banyak serta meminimalisir terjadinya serangan Distributed Denial of Services (DDoS). Sistem Bucket S3 ini juga didukung olehSES eMail serta SNS Notification-nya.

  • S3 Access Management System

S3 Bucket memiliki sistem manajemen akses terhadap Bucket dan Objek di dalamnya. Kebijakan tersebut adalah Manajemen Akses User danAkses berbasis sumberdaya AWS Identity. Sedangkan dalam berkomunikasi antarpengguna AWS dapat menggunakan Access Control Lists (ACLs) yang mengatur komunikasi seperti apa yang akan dibentuk. [5]

  • Security Settings

Hal yang perlu diperhatikan dalam konfigurasi S3 adalah pengaturan default adalah pada setiap Bucket di-set akses datanya adalah privat. Dan pada setiap bucket, objek di dalamnya tidak akan pernah meninggalkan region dari Bucket yang sudah ditentukan pada saat pembuatannya. Sehingga Amazon menjamin data tersebut tidak dapat diakses oleh pengguna yang tidak memiliki izin.

 

sumber

 

Patient Home Monitoring

  1. Patient Home Monitoring Corp. adalah sebuah perusahaan layanan kesehatan. PHM menyediakan perlengkapan, persediaan, layanan pemantauan di rumah pada Negara Amerika Serikat. Alur operasi kerjanya dibagi tiga bagian, yiatu Viemed, PHM, dan Corporate. Segmen VieMed adalah bentuk pelayanan kesehatan sebagai pemasok peralatan medis tahan lama yang menyediakan perlengkapan dan layanan ventilasi non-invasif mencakup seluruh daerah negara AS. Segmen PHM menyediakan layanan pemantauan dan perawatan di rumah untuk pasien di Amerika Serikat. PHM menawarkan layanan, seperti manajemen penyakit pernafasan, termasuk penyakit paru obstruktif kronik; solusi peralatan; tes tidur di rumah, Mendengkur dan perawatan tekanan udara positif, terapi oksigen, persewaan peralatan pernafasan, dan uji coba normalisasi tingkat internasional (INR). Segmen Viemed telah beroperasi di seluruh Amerika Tengah dan Selatan. Kegiatan ini berfokus pada penyediaan tes ketika tidur di rumah bagi para penderita sleep apnea (mendengkur). [7]

Pasien dari PHM tersebar di seluruh negara Amerika Serikat. Hal ini menginisiasi PHM untuk menggunakan komputasi awan agar mendukung monitoring jarak jauh pada setiap pasiennya sehingga dapat langsung terdeteksi apabila terjadi sesuatu. S3 yang telah dikonfigurasi System Admin menjadi tempat penyimpanan semua data rekam medis pasien yang berisikan nama, alamat, nomor telepon, dan hasil uji darah. Selain itu juga terdapat situs yang digunakan untuk mengupload kondisi vital pasien sendiri sehingga memudahkan untuk diperiksa lebih cepat.

Namun terjadi kesalahan yang tidak diperiksa kembali oleh System Admin sehingga repositori dari data pasien terbuka publik sebesar 47.5GB dan 313.363 file pdf rekam medis tiap pasien. Kebocoran data ini pertama diketahui oleh perusahaan jasa keamanan Kromtech pada 29 September 2017 dan langsung diberitahu kepada PHM pada 5 Oktober. Tepat 6 Oktober 2017 semua rekam medis yang terbuka publik telah kembali tertutup dan tidak bisa diakses publik. [8]

Kesalahan terjadi dikarenakan System Admin tidak sadar mengubah konfigurasi default ‘private’ menjadi ‘public’ yang mengakibatkan kebocoran data secara masif. Karena tingkat kemungkinan kebocoran data pada semua server Amazon sangat kecil, memungkinkan apabila yang melakukan adalah karyawan Amazon sendiri yang masuk ke dalam data center.

Hal ini seharusnya terdapat penanganan konfigurasi yang baik oleh System Admin. Dikarenakan data yang ada pada bucket tidak akan bisa dibobol selama tidak dapat diakses oleh publik. Melihat hal ini, perlunya tahapan pengecekan pada setiap pengubahan konfigurasi, yaitu dengan:

  1. Security Checklist, mempunyai detil setiap konfigurasi dan data apa saja di dalamnya dan kemudian diberi tanda √ apabila telah benar diubah sesuai standar keamanan.
  2. Configuration Testing, dilanjutkan dengan pengujian konfigurasi apakah database yang dimiliki tidak terjadi kesalahan konfigurasi dan berjalan dengan baik.
  3. Public Running, setelah checklist telah benar dan Bucket serta aplikasi website berjalan dengan baik, maka diimplementasikan live pada server utama.

Kesimpulan

Keamanan Komputasi awan Amazonsudah dijamin dengan baik yaitu menggunakan Enkripsi baik pada data maupun jalur komunikasi serta menggunakan sistem manajemen akses dan ACL. Namun perlu adanya checklist yang sesuai dengan standar keamanan pada setiap konfigurasi keamanan database yang akan dilakukan dengan menggunakan tahap Security Checklist, Configuration Testing, dan Public Running.

Daftar Pustaka

  1. Logo Amazon Simple Storage Service. https://www.j2store.org/images/extensions/apps/apps_preview_image/amazon-s3_preview.png diakses tanggal 20 Oktober 2017.
  2. Kemdikbud Team. 2017. Komputasi Awan (Cloud Computing). http://solmet.kemdikbud.go.id/komputasi-awan-cloud-computing/ diakses tanggal 1 November 2017
  3. Amazon Document Conventions. 2017. Working with Amazon S3 Buckets. http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingBucket.html diakses tanggal 1 November 2017
  4. Topologi Amazon S3 dan Bucket. http://www.conceptdraw.com/How-To-Guide/picture/Computer-and-Networks-AWS-Architecture-Diagrams-3-Tier-Auto-Scalable-Web-Application-Architecture.png diakses tanggal 8 November 2017
  5. Amazon Document Conventions. 2017. Setting Bucket and Object Permissions. http://docs.aws.amazon.com/AmazonS3/latest/user-guide/set-permissions.html diakses tanggal 1 November 2017
  6. Patient Home Monitoring Logo. https://scp-cdn-hp2ihgdztoaaaxh.netdna-ssl.com/wp-content/uploads/cloud.modyocdn.com/uploads/a04c820052f211e5bbfe9ba156f1cce3/original/logo1sm.png
  7. Patient Home Monitoring Company Profile. https://www.reuters.com/finance/stocks/companyProfile/PHM.V diakses tanggal 1 November 2017
  8. McGee, Marianne Kobalsuk. 2017. Blood Test Results Exposed in Cloud Repository. https://www.databreachtoday.com/blood-test-results-exposed-in-cloud-repository-a-10382 diakses tanggal 20 Oktober 2017.

Penulis:
Muhammad Fathinuddin 23216068
Mata Kuliah EL6116

Leave a Reply

Your email address will not be published. Required fields are marked *