Home / Keamanan Data

Dikirimin Excel, Terus Di-klik: Ketika Rekam Medis Kena Phishing dari Email Gimmick ( SDM Belum Paham Keamanan Siber )

Oleh Hajriah Fajar Post a Comment

🔀 Read in English 🇬🇧

Selamat Datang di Hajriah Fajar: Hidup Sehat & Cerdas di Era Digital

Dikirimin Excel, Terus Di-klik: Ketika Rekam Medis Kena Phishing dari Email Gimmick

Hari itu hujan. Bukan hujan deras, tapi hujan rintik-rintik yang bikin males pulang tenggo. Di ruang admin rekam medis salah satu rumah sakit daerah, Bu Wati—yang sudah 17 tahun kerja di sana—baru saja menyalakan komputer tuanya. Layarnya masih CRT, dan butuh dua kali pencet tombol power sebelum mau nyala.

"Masih ada sisa laporan kemarin yang harus dikirim ke pusat," katanya sambil membuka email. Ada satu surel baru masuk, judulnya: "Revisi Laporan Data Pasien Terlampir - Segera!". Dari Pak Dedi, katanya. Tapi Bu Wati nggak ingat pernah kerja bareng orang bernama Dedi. Tapi ya sudahlah, namanya juga banyak proyek.

Tanpa pikir panjang, file Revisi_Data_Pasien_FINAL.xlsx itu dibuka. Dan... komputer mulai nge-hang. Kursor muter-muter, Excel crash. Sepuluh menit kemudian, seluruh sistem rekam medis lumpuh. IT rumah sakit mulai panik. Mereka tahu itu bukan Excel biasa.

Cerita ini bukan karangan. Beneran terjadi. Mungkin bukan di rumah sakitmu, tapi kemungkinan besar, pernah hampir terjadi. Dan lucunya, semua orang tahu risiko buka file dari email aneh, tapi tetap saja… ya dibuka.

Ngaku Aja, Kita Sering Gak Tahu Ini Phishing

Kalau kamu berpikir phishing itu selalu soal bank atau link ke website aneh yang minta OTP, berarti kamu belum pernah lihat betapa meyakinkannya email internal rumah sakit. Bahkan kadang lebih rapi dari email resmi Kemenkes.

Bedanya tipis. Cuma satu huruf di alamat email. Atau tanda titik yang seharusnya nggak ada. Tapi ya gimana, siapa yang ngecek alamat email sampai titik koma? Kita ngelihat "lampiran Excel" langsung refleks: klik, buka, kirim.

Dan itu jadi masalah besar. Karena yang kebobol bukan cuma file laporan, tapi seluruh histori pasien. Kadang termasuk hasil HIV, status BPJS, bahkan catatan kunjungan ke psikiater.

Masalahnya Bukan di Teknologi, Tapi di Meja Admin

Suka heran nggak sih, sistem nasional kita udah pakai standar HL7 FHIR, autentikasi pakai token, server-nya cloud, tapi ujung-ujungnya tetep jebol karena satu klik di email?

Lucunya lagi, ada SOP yang bilang, “Semua email harus dibuka dalam waktu 1x24 jam.” Tapi nggak ada pelatihan tentang cara mengenali phishing. Jadi, ya jelas admin akan buka semua email. Takut dianggap lambat kerja. Takut dimarahi atasan.

Ini bukan soal siapa salah. Ini soal sistem kerja yang tidak sadar risiko. Dan ya, kadang kita semua lebih takut dimarahi atasan daripada diretas hacker Rusia.

Kutipan dari Lapangan

Seorang staf IT dari RS daerah di Kalimantan pernah bilang :

“Kami ini cuma punya dua orang IT. Kadang jadi teknisi printer, kadang ngatur jaringan, kadang bantu admin rekam medis. Nggak ada waktu buat urus pelatihan keamanan.”

Ya gimana nggak rawan. Bukan karena niat jahat. Tapi karena semua orang kerja di mode bertahan hidup.

Nanti Saya Lanjut Lagi...

Artikel ini masih panjang. Kita belum bahas gimana cara mengurangi risiko, gimana bikin pelatihan yang nggak ngebosenin, dan kenapa Excel selalu jadi “pintu gerbang kiamat”.

Kalau kamu penasaran, kita lanjut ke bagian selanjutnya. Tapi ingat ya: kalau ada email masuk hari ini dengan lampiran Excel... cek dulu. Jangan langsung klik.

Ngobrol Serius Tanpa Kening Berkerut

Banyak yang bilang: “Ah, tinggal dikasih pelatihan aja. Kelar.” Iya sih, kelihatannya gampang. Tapi kenyataannya, pelatihan keamanan siber itu seringkali... ngebosenin. Slide-nya padat teks. Suaranya datar. Isinya kayak modul SKB CPNS tahun 2008.

Pernah ada pelatihan yang ngajarin “jangan klik link mencurigakan” — tapi link undangan pelatihannya... dari domain nggak dikenal dan tanpa SSL. Ironi yang terlalu nyata untuk diketawain.

Masalahnya bukan cuma di materinya. Tapi di cara kita nganggep SDM di lapangan. Mereka sering dianggap “pengguna akhir”, padahal justru mereka benteng pertama keamanan. Tapi dikasih software kayak ngasih remote TV, tanpa penjelasan channel-nya.

Tips Praktis yang (Mungkin) Lebih Masuk Akal

Berikut ini bukan daftar “best practice” textbook. Ini daftar yang ditulis dari ruang tunggu rumah sakit sambil nunggu printer restart sendiri:

  • 1. Pelatihan yang lucu tapi ngena
    Pakai simulasi phishing internal. Kirim email palsu ke staf — terus kasih reward buat yang nggak klik. Edukasi lewat pengalaman, bukan ceramah.
  • 2. Ganti SOP yang bikin panik
    Kalau SOP bilang semua email harus dibalas cepat, ganti jadi: “email dari alamat tak dikenal harus dicek dulu ke IT.” Jangan bikin orang kejebak karena buru-buru.
  • 3. Pasang banner peringatan di email
    Email dari luar RS otomatis dikasih label: “Email ini bukan dari internal, jangan klik sembarangan.” Simpel, tapi efektif.
  • 4. Jadikan admin bagian dari tim keamanan
    Bukan hanya sebagai korban potensial, tapi sebagai penjaga sistem. Mereka tahu pola kerja harian — kadang lebih dari staf IT.
  • 5. Simpan cerita insiden sebelumnya
    Dokumentasi insiden lokal jadi materi pelatihan internal. Kadang kisah nyata lebih ngena dari PowerPoint 60 slide.

Refleksi Ringan Tapi Dalem

Di luar sana, banyak sistem keamanan canggih. Ada SIEM, ada AI anti-malware, ada sistem monitoring real-time 24 jam. Tapi semua itu bisa kalah... sama satu klik refleks ke file Excel.

Dan itu bukan karena kita bodoh. Tapi karena kerja kita sering multitasking, target banyak, sistem gak sinkron, dan kadang—karena kita gak dikasih cukup ruang buat mikir panjang.

Ini bukan soal siapa salah, tapi soal siapa yang belum diajak bicara waktu sistem keamanan didesain. Kadang jawaban ada di luar tim IT. Di ruang admin. Di meja kasir. Di tangan yang pegang mouse dan jari yang klik… tanpa mikir dua kali.

Penutup: Email-nya Masih Ada?

Kalau kamu sampai baca sampai sini, coba cek email kamu barusan. Ada lampiran Excel yang kamu belum buka? Lihat dulu pengirimnya. Siapa tahu… bukan dari Pak Dedi.

Dan kalau kamu punya cerita nyaris kena phishing, atau justru pernah nyaris ngirim data pasien ke grup WA keluarga… tenang. Kamu gak sendirian.

Mungkin memang saatnya kita anggap keselamatan digital itu bukan urusan IT doang. Tapi soal budaya. Soal refleks. Soal empati. Soal klik.

Welcome to Hajriah Fajar: Living Smart & Healthy in the Digital Age

They Got an Excel File, They Clicked: When Patient Records Fell for a Gimmick Email

It was raining that day. Not the dramatic kind, just the drizzle that makes you too lazy to go home on time. In a dimly lit medical records room at a provincial hospital, Mrs. Wati—who’s been working there for 17 years—just booted up her old desktop. CRT monitor. You had to press the power button twice before it agreed to wake up.

“There’s still that report from yesterday I need to send to the ministry,” she mumbled, opening her inbox. One unread email. Subject line: “Urgent: Patient Data Revision Attached!”. From a certain Mr. Dedi. Though she couldn’t quite remember ever working with a Dedi. But hey, names come and go, right?

Without much thought, she opened the file: Revisi_Data_Pasien_FINAL.xlsx. And... the computer froze. Cursor spinning. Excel crashed. Ten minutes later, the entire hospital’s medical record system stopped working. The IT staff panicked. They knew. That Excel file wasn’t your regular spreadsheet.

This isn’t fiction. It actually happened. Maybe not at your hospital, but likely at one just like it. And the funny thing is—everyone knows not to click weird email attachments. But somehow... we click anyway.

Be Honest—You’ve Clicked One Too

If you think phishing is always about fake bank emails or shady OTP requests, you clearly haven’t seen how convincing some internal hospital emails can be. Sometimes they look more legit than the official ones.

The difference? One tiny dot in the sender’s email address. Or a misspelled department name. But who checks emails down to every pixel? We see “Excel attached” and our muscle memory goes: click, open, forward.

And that’s the real danger. Because what’s compromised isn’t just a report—it’s patient history. HIV results, BPJS eligibility, mental health notes, all out there.

It’s Not the Tech—It’s the Desk

Honestly, it's a bit sad. Our national system uses HL7 FHIR standards, cloud hosting, token-based logins... but it all crumbles with one click on the wrong Excel file.

Worse, the SOP says, “All emails must be opened within 24 hours.” But there’s zero training on spotting phishing attempts. Of course admins will open every email. They’re afraid of being labeled slow. Afraid of getting called out.

This isn’t a blame game. It’s a systemic culture problem. And yeah—sometimes, we fear our supervisor more than we fear a hacker from Russia.

A Quote From the Field

An IT staff member from a regional hospital in Kalimantan once said :

“We only have two IT guys here. Sometimes we fix printers, sometimes we do the network, sometimes we help out in the admin room. No time left for cybersecurity training.”

And that’s the reality. Not out of ignorance. But out of survival mode.

Real-World Tips (Not Textbook Stuff)

These aren’t “industry best practices.” These are notes scribbled on a Post-it during lunch break at the nurse’s station:

  • 1. Make training funny and painful (in a good way)
    Run phishing simulations. Send fake emails to staff and reward those who report instead of clicking. Learn through awkward fun.
  • 2. Change the SOP that pressures people
    Instead of “open all emails quickly,” say: “unknown senders must be verified with IT first.” Give people room to breathe.
  • 3. Add warning labels to external emails
    Automatically label external emails with a banner like: “This email is not from hospital staff. Think twice before clicking.”
  • 4. Treat admin staff as part of the security team
    Not as end users, but as frontline defenders. They see workflow patterns more clearly than most IT personnel.
  • 5. Document past screw-ups (with empathy)
    Use past incidents as training material. Real stories are way more effective than 60-slide PowerPoints.

Some Reflections Before We Log Off

The tech is strong. We’ve got anti-malware AI, real-time monitoring dashboards, fancy cloud systems. But all of it falls short... to one click on a spreadsheet.

Not because we’re dumb. But because we’re swamped. With multiple tasks, disconnected systems, unrealistic expectations, and—let’s be honest—not enough time to think things through.

This is not just about IT. It’s about culture. About reflexes. About making people feel safe enough to pause, verify, and question suspicious stuff—even if it slows down the workflow by two minutes.

One Last Thing... Got Any Excel Attachments Today?

If you made it this far, check your inbox right now. Got a file called final_revisi_DATA_FIX.xlsx? Check the sender. Are you sure it’s not Mr. Dedi from... somewhere?

And if you’ve ever almost clicked on something shady—or actually did and lived to tell the tale—you’re not alone.

Maybe it’s time we stop thinking cybersecurity is only for the IT department. Maybe it’s about trust. About curiosity. About asking: “Wait, who sent this?”

Post a Comment for "Dikirimin Excel, Terus Di-klik: Ketika Rekam Medis Kena Phishing dari Email Gimmick ( SDM Belum Paham Keamanan Siber )"

Post a Comment

You are welcome to share your ideas with us in comments!