স্বাস্থ্যসেবা:স্ক্যামার এবং আইডি চোরদের জন্য নতুন আক্রমণ ভেক্টর

আমরা সবাই অনলাইন পরিচয় চুরির প্রতি ক্রমবর্ধমান সচেতন।

কোনো বড় ব্যবসার কোনো ধরনের তথ্য লঙ্ঘনের শিকার হওয়ার কথা শোনা ছাড়া খুব বেশি দিন যায় না; আমরা সবসময় তীব্রতা সম্পর্কে শুনি না, যদি না এতে যথেষ্ট পরিমাণে গ্রাহক ডেটা জড়িত থাকে। একইভাবে, আমরা আমাদের স্বাস্থ্যসেবা রেকর্ডগুলিকে সমান গোপনীয়তার সাথে বিবেচনা করি। এগুলিতে সংবেদনশীল, ব্যক্তিগত তথ্য রয়েছে যা ভুল হাতে আমাদের বিরুদ্ধে ব্যবহার করা যেতে পারে৷

আমরা দীর্ঘদিন ধরে মেডিকেল রেকর্ড সম্পর্কিত গোপনীয়তার প্রয়োজনীয়তা জেনেছি এবং বুঝেছি এবং সৌভাগ্যবশত আমাদের ডাক্তার এবং নার্সরা সেই গোপনীয়তা বজায় রাখার শপথ নিয়েছেন। অতীতের কাগজ-চালিত বিশ্বে, মেডিকেল রেকর্ডে অননুমোদিত অ্যাক্সেস হাতের কৌশল বা অভ্যন্তরীণ কাজের মাধ্যমে হবে।

কিন্তু এখন, বিশ্বব্যাপী চিকিৎসা শিল্প এখন ডিজিটালাইজড, এবং আমাদের রেকর্ডও। একটি ডিজিটাইজড মেডিকেল রেকর্ড থাকার বিশাল সুবিধা রয়েছে, কিন্তু আপনার ব্যক্তিগত ডেটা ফায়ারিং লাইনে রাখা কি মূল্যবান?

মেডিকেল আইডেন্টিটি চুরি

কোন সন্দেহ নেই চিকিৎসা পরিচয় চুরি বাড়ছে। স্ক্যামাররা যারা ঐতিহ্যগতভাবে ব্যাঙ্কিং এবং অনলাইন অ্যাকাউন্টের বিবরণ চেয়েছে তারা ক্রমশ মেডিকেল রেকর্ডের দিকে ঝুঁকছে। কেন? ঠিক আছে, একের জন্য, এগুলি এমন কিছুর সাথে সম্পর্কিত সর্বাধিক ব্যক্তিগত তথ্যে পূর্ণ যা আমরা সকলেই প্রিয়:আমাদের জীবন৷

আপনার মেডিকেল রেকর্ড সমস্ত ধারণ করে আপনার ব্যক্তিগত তথ্যের:নাম, ঠিকানা, জন্ম তারিখ, সামাজিক নিরাপত্তা নম্বর (বা সমতুল্য), এবং কিছু ক্ষেত্রে, এতে বিলিং তথ্য এবং ক্রেডিট বা ডেবিট কার্ডের বিবরণ থাকবে। এটি স্পষ্টতই একটি মেডিকেল রেকর্ডকে খুব মূল্যবান করে তোলে – আপনার ব্যাঙ্ক অ্যাকাউন্টের বিবরণের চেয়ে বেশি মূল্যবান (ভাল, আপনার অ্যাকাউন্টে শূন্যের সংখ্যার উপর নির্ভর করে!)।

হ্যাকাররা যে সহজে মেডিকেল রেকর্ড অ্যাক্সেস করছে তা তাদের আরও আকর্ষণীয় লক্ষ্য করে তোলে। বছরের পর বছর আগে থেকে জানা থাকা সত্ত্বেও যে মেডিকেল রেকর্ডগুলি এক পর্যায়ে ডিজিটালাইজ করা হবে, সাইবার অপরাধের সর্বজ্ঞ হুমকি মোকাবেলা করার জন্য অনেক চিকিৎসা সুবিধা কোনোভাবেই সজ্জিত নয়। অতএব, এটা কোন আশ্চর্যের কিছু নয় যে মার্কিন স্বাস্থ্যসেবা সংস্থাগুলির শতাংশ 2009 সালে 20% থেকে বেড়ে 2013 সালে 40% হয়েছে। শুধুমাত্র 2015 সালে আমরা একটি অফিশিয়ালি রিপোর্ট করেছি 108.8 মিলিয়ন ব্যক্তিগত রেকর্ড পাঁচটি পৃথক স্বাস্থ্যসেবা সংস্থায় লঙ্ঘন করা হয়েছে; প্রতিটি সংস্থা জানিয়েছে তাদের নেটওয়ার্ক সার্ভার লঙ্ঘন হয়েছে:

N.B: উপরের সারণীতে লক্ষাধিক ক্ষতিগ্রস্ত ব্যক্তি।

আমরা কি আশা করতে পারি?

আপনার চিকিৎসার ইতিহাস অজানা হাতে পড়ার সুস্পষ্ট সমস্যাটি ছাড়াও, আরেকটি স্পেকটার বড় হয়ে উঠেছে। মেডিকেল হার্ডওয়্যারের সাম্প্রতিক অগ্রগতিগুলি অলৌকিক থেকে কম কিছু নয়, তবে তারা তাদের পূর্বসূরীদের সাথে একটি উল্লেখযোগ্য পার্থক্য নিয়ে আসে:তাদের নেটওয়ার্ক অবস্থা। অনেক ডিভাইস এখন হাসপাতালের নেটওয়ার্কের সাথে সংযুক্ত, হ্যাকারদের সরাসরি কিছু ডিভাইস অ্যাক্সেস করার সুযোগ দেয়।

'ভবিষ্যদ্বাণী 2016:সাইবারসিকিউরিটি প্রতিরোধের দিকে ঝুঁকছে শিরোনামের একটি সত্যই চমকপ্রদ প্রতিবেদনে ' আমরা ভবিষ্যদ্বাণী দেখতে পাচ্ছি যে 2016 সালে চিকিৎসা সরঞ্জামের র্যানসমওয়্যার দ্বারা প্রভাবিত হতে শুরু করবে৷

ঝুঁকিটি আসে নেটওয়ার্ক নিরাপত্তা সম্পর্কিত জ্ঞানের মৌলিক অভাব থেকে। 2012 সালে, স্কট আরভেন, তখনকার এসেনশিয়া হেলথের তথ্য নিরাপত্তার প্রধান (বর্তমানে প্রোটোভিটির সহযোগী পরিচালক) মিডওয়েস্ট স্বাস্থ্যসেবা সুবিধাগুলির একটি বৃহৎ শৃঙ্খলের নিরাপত্তা মূল্যায়নের দায়িত্ব পান। উত্থাপিত সমস্যাগুলির তালিকার মধ্যে, এটি স্পষ্ট ছিল যে চিকিৎসা সুবিধাগুলি এখনও "অ্যাডমিন" বা "1234" এর মতো হার্ডকোডযুক্ত নেটওয়ার্ক পাসওয়ার্ডগুলি ব্যবহার করছে, যা আগের রিপোর্টগুলি এবং ICS-ALERT-13-164-01কে সমর্থন করে, যেখানে গবেষক বিলি রিওস এবং টেরি ম্যাককর্কেল সাইলেন্সের রিপোর্টে মোটামুটি 300টি মেডিকেল ডিভাইস এখনও হার্ডকোড করা পাসওয়ার্ড ব্যবহার করছে।

এই মৌলিক প্রমাণীকরণ পদক্ষেপগুলি বিশাল নিরাপত্তা সমস্যা তৈরি করছে যা সহজেই এড়ানো যেতে পারে, বা অন্তত আক্রমণকারীদের জন্য কাজটিকে আরও কঠিন করে তুলবে৷ সর্বোপরি, আমরা আর্থিক চাঁদাবাজি বৃদ্ধি দেখতে পাব।

সবচেয়ে খারাপ, মানুষ মারা যায়।

MEDJACK

TrapX, একটি প্রতারণা-ভিত্তিক সাইবারসিকিউরিটি ফার্ম, চিকিত্সা সুবিধাগুলিতে আক্রমণের একটি বিস্তৃত তরঙ্গ চিহ্নিত করেছে, যা মূলত হাসপাতালের চিকিৎসা ডিভাইসগুলিকে লক্ষ্য করে। তিনটি পৃথক হাসপাতালে, TrapX "এক্স-রে সরঞ্জাম, ছবি সংরক্ষণাগার এবং যোগাযোগ ব্যবস্থা (PACS) এবং রক্তের গ্যাস বিশ্লেষক (BGA) সহ বিভিন্ন ধরনের চিকিৎসা যন্ত্রের ব্যাপক সমঝোতা খুঁজে পেয়েছে।"

যাইহোক, এটি MEDJACK আক্রমণ ভেক্টরের সীমা নয়। TrapX বিশ্বাস (সাইন আপ প্রয়োজন):

"এমন আরও অনেক ডিভাইস রয়েছে যা MEDJACK-এর লক্ষ্য উপস্থাপন করে। এর মধ্যে রয়েছে ডায়াগনস্টিক সরঞ্জাম (PET স্ক্যানার, সিটি স্ক্যানার, MRI মেশিন, ইত্যাদি), থেরাপিউটিক সরঞ্জাম (ইনফিউশন পাম্প, মেডিকেল লেজার এবং LASIK সার্জিক্যাল মেশিন), এবং লাইফ সাপোর্ট ইকুইপমেন্ট (হার্ট) - ফুসফুসের মেশিন, মেডিকেল ভেন্টিলেটর, এক্সট্রাকর্পোরিয়াল মেমব্রেন অক্সিজেনেশন মেশিন এবং ডায়ালাইসিস মেশিন) এবং আরও অনেক কিছু।"

প্রতিবেদনে ব্যাখ্যা করা হয়েছে যে অনেক মেডিকেল ডিভাইস ব্যবহার করা হচ্ছে ক্লোজ সিস্টেম ডিভাইস, উইন্ডোজ 2000 বা উইন্ডোজ এক্সপির মতো পুরানো অপারেটিং সিস্টেম চলমান। অপারেটিং সিস্টেমগুলি প্রায়শই পরিবর্তিত হয়, এবং নিরাপত্তা ছিদ্রে পূর্ণ, যে কোনও হাসপাতালের নেটওয়ার্কে একটি বিশাল দুর্বলতা উপস্থাপন করে। বেশিরভাগ ক্ষেত্রে, এই ডিভাইসগুলি ব্যবহার করে এবং স্থাপন করা মেডিকেল কর্মীদের অভ্যন্তরীণ কাজের কোনও অ্যাক্সেস নেই, যার মানে তারা আপ-টু-ডেট এবং ইনস্টল করার জন্য নির্মাতাদের উপর সম্পূর্ণ নির্ভরশীল। স্থিতিস্থাপক নিরাপত্তা দেয়াল - এবং এটি বর্তমানে ঘটছে না।

এটি কয়েকটি হাসপাতালে সীমাবদ্ধ নয়। বিভিন্ন নির্মাতারা সারা বিশ্ব জুড়ে চিকিৎসা সুবিধাগুলিতে বিশাল পরিসরের সরঞ্জাম সরবরাহ করে, পরবর্তী দুর্বলতাটি ঠিক কোথায় প্রকাশ করা হবে তা চিহ্নিত করা কঠিন৷

উদাহরণস্বরূপ, যখন FDA প্রস্তুতকারকদের জন্য চিকিৎসা সরঞ্জামের নিরাপত্তা কঠোর করার জন্য একটি সুপারিশ প্রকাশ করে, তখন হোমল্যান্ড সিকিউরিটি বিভাগ (DHS) সন্দেহভাজন সাইবার নিরাপত্তা ত্রুটির 24টি ক্ষেত্রে তাদের চলমান তদন্ত প্রকাশ করে, যার মধ্যে "Hospira Inc. থেকে একটি ইনফিউশন পাম্প এবং ইমপ্লান্টেবল হার্ট Medtronic Inc. এবং St Jude Medical Inc"

ডিএইচএস তদন্ত অব্যাহত রয়েছে৷

মেডিকেল রেকর্ড বিক্রয়

হাইজ্যাক করা চিকিৎসা যন্ত্রপাতির মতো প্রাণঘাতী না হলেও, ব্যক্তিগত মেডিকেল রেকর্ড ক্রমবর্ধমানভাবে ডেটা-মাইনিং কোম্পানির কাছে বিক্রি হচ্ছে, কখনও কখনও জিপ কোড সহ ডেটাকে আরও উপযোগী করে তোলার জন্য এবং সেইজন্য আরও মূল্যবান৷

যাইহোক, একবার ডেটা চিকিৎসা সুবিধা ছেড়ে চলে গেলে, এটি আপনার তথ্য খারাপ হাতে পড়ার সম্ভাবনা বাড়িয়ে দেয়। আগস্ট 2013 এর প্রথম দিকে, 11টির মতো স্বাস্থ্য সংস্থাগুলি ডেটা সংগ্রহের নীতি পর্যালোচনা শুরু করেছে বা ইতিমধ্যেই চলছে, যার মধ্যে ডেটা বিক্রয় প্রক্রিয়া কীভাবে ঘটে এবং ডেটা-মাইনিং সংস্থাগুলির জন্য কী দায়িত্বগুলি কার্যকর করা উচিত।

মার্ক প্রবস্ট, ইন্টারমাউন্টেন হেলথকেয়ার, সল্টলেক সিটির প্রধান তথ্য কর্মকর্তা বলেছেন, "সেই ডেটা কেনার একমাত্র কারণ হল তারা জালিয়াতি করে বিল দিতে পারে" এই আশায় যে কেউ আতঙ্কিত হবে এবং পরিশোধ করবে। মেডিকেল রেকর্ডের এই প্রতারণামূলক ব্যবহার, (চিকিৎসা সংক্রান্ত রেকর্ডগুলি প্রথমে চুরি করার সাথে সাথে, অগণিত সুযোগ-সুবিধা জুড়ে শৈথিল্য নিরাপত্তা পাওয়া গেছে, এবং সমগ্র স্বাস্থ্যসেবা শিল্পকে আরও ভাল সামগ্রিক সাইবার নিরাপত্তা প্রদানের জন্য চলমান প্রচেষ্টা) সরাসরি হস্তান্তর করা অনেক খরচের মধ্যে একটি। আমেরিকান নাগরিক তাদের স্বাস্থ্যসেবা প্রিমিয়ামের মাধ্যমে।

আপনি কি এটা থামাতে পারবেন?

দুর্ভাগ্যবশত, একটি স্বাস্থ্যসেবা প্রদানকারীর সরাসরি ডিজিটাইজড মেডিকেল রেকর্ডের ক্ষেত্রে - আমরা এই বিষয়ে বেশি কিছু করতে পারি না।

আপনার প্রদানকারী আপনার ডেটা ধারণ করে, এবং এমনকি যদি আপনি একটি অনুলিপির অনুরোধ করেন (যা তুলনামূলকভাবে ব্যয়বহুল হতে পারে), আপনার প্রদানকারীর খুব কমই আপনার রেকর্ড মুছে ফেলার সম্ভাবনা নেই। কে জানে কখন আপনাকে ER-তে নিয়ে যাওয়া হতে পারে, শুধুমাত্র তাদের কাছে আপনার পেনিসিলিন অ্যালার্জি সম্পর্কিত কোনো চিকিৎসা তথ্য নেই।

একটি সক্রিয় ব্যবস্থা হল DataLossDB.org এর সাথে একটি সতর্কতা সিস্টেম সেটআপ করা, একটি ক্যাচল ওয়েবসাইট যতটা সম্ভব ডেটা লঙ্ঘনের বিবরণ দেয়। আরেকটি প্রশমন কৌশল আপনার ক্রেডিট রিপোর্ট নিরীক্ষণ অন্তর্ভুক্ত হতে পারে - কিন্তু এটি সাধারণত একটি মাসিক ফি বহন করে। যাইহোক, আপনি অবশ্যই লক্ষ্য করবেন যে আপনার রেটিং খারাপ হয়ে গেছে, এবং এটি অপসারণযোগ্য হওয়ার আগেই এটি ধরতে পারে। আপনি যদি বিশেষভাবে খারাপ কিছু লক্ষ্য করেন, এবং সময়মতো তা ধরতে পারেন, তাহলে আপনি একটি জালিয়াতি সতর্কতা জারি করতে পারেন, যে কোনো নতুন ক্রেডিট অনুরোধ বা আপনার নামে খোলা অ্যাকাউন্ট 90 দিনের জন্য ব্লক করতে পারেন৷

আপনার ব্যাঙ্কিং বিশদগুলির সাথে আপনার মেডিকেল রেকর্ড সুরক্ষার সাথে সক্রিয় হওয়া কঠিন, তবে এর অর্থ এই নয় যে আপনাকে বসে থাকতে হবে এবং অপেক্ষা করতে হবে৷

স্বাস্থ্যসেবা জালিয়াতি সম্পর্কে চিন্তিত? আপনার মেডিকেল রেকর্ড চুরি হয়েছে? বা আপনার জায়গায় কি নিরাপত্তা অনুশীলন আছে? নিচে আমাদের জানান!