National Health Service (NHS) Barts telah mengakui adanya pelanggaran data setelah mengalami peretasan zero-day yang menargetkan Oracle. Kerentanan ini dieksploitasi untuk mendapatkan akses tidak sah ke sistem mereka. Pengakuan ini muncul setelah penyelidikan yang sedang berlangsung dan merupakan salah satu pelanggaran data terbesar yang pernah terjadi di Inggris Raya.
Menurut pernyataan resmi, pelanggaran tersebut pertama kali terdeteksi pada 14 Januari 2024. Penyelidikan awal menunjukkan bahwa peretas berhasil mengakses sistem Oracle yang digunakan oleh Barts untuk mengelola data pasien. Penyebab pasti dari peretasan ini masih dalam penyelidikan, tetapi diduga melibatkan eksploitasi zero-day – kerentanan perangkat lunak yang belum diketahui oleh Oracle dan belum memiliki patch keamanan yang tersedia saat itu. Ini menjadi perhatian utama karena zero-day vulnerabilities sering kali dieksploitasi oleh aktor-aktor berbahaya sebelum sistem dapat diperbaiki.
Barts bekerja sama dengan polisi dan badan keamanan siber Nasional, National Cyber Security Centre (NCSC), untuk menyelidiki insiden tersebut. NCSC telah memberikan dukungan dan panduan kepada Barts dalam merespons pelanggaran data dan memulihkan sistem mereka.
Jumlah data pasien yang terpengaruh belum ditentukan secara pasti, tetapi diperkirakan mencakup nama, alamat, nomor telepon, dan informasi medis tertentu. Barts menegaskan bahwa data sensitif seperti nomor kartu NHS dan detail keuangan tidak terpengaruh oleh peretasan ini. Namun, badan ini berupaya untuk menentukan secara tepat jenis data apa yang telah disusupi dan dampaknya terhadap pasien.
Pelanggaran data ini menimbulkan kekhawatiran besar, terutama mengingat sensitivitas data kesehatan. Pelanggaran data besar-besaran seperti ini menyoroti pentingnya langkah-langkah keamanan siber yang kuat di seluruh NHS. NHS secara rutin menjadi target serangan siber, dan pelanggaran ini mengingatkan akan risiko yang dihadapi oleh sistem perawatan kesehatan.
Barts telah mengumumkan bahwa mereka sedang mengambil langkah-langkah untuk memulihkan sistem mereka dan memperkuat pertahanan siber mereka. Ini termasuk melakukan audit keamanan yang komprehensif, memperbarui perangkat lunak dan sistem, serta meningkatkan pelatihan keamanan untuk staf. Mereka juga bekerja sama dengan Oracle untuk mengatasi kerentanan zero-day dan mencegah serangan serupa di masa depan.
Sebagai bagian dari upaya respons, Barts juga telah memberi tahu pasien yang terpengaruh dan menawarkan dukungan dan saran. Mereka juga memberikan informasi tentang bagaimana pasien dapat memantau akun mereka untuk aktivitas yang mencurigakan. Pihak berwenang juga memperingatkan pasien untuk waspada terhadap potensi upaya penipuan atau pencurian identitas.
Insiden ini merupakan pengingat penting bagi organisasi kesehatan dan semua organisasi yang menangani data sensitif untuk memprioritaskan keamanan siber dan berinvestasi dalam langkah-langkah perlindungan yang tepat. Pelanggaran data ini juga menyoroti kebutuhan untuk peningkatan kolaborasi antara NHS, badan keamanan siber, dan vendor perangkat lunak untuk mengatasi ancaman siber yang terus berkembang.