ব্ল্যাক হ্যাট ইউরোপ 2023: অতীত আপনাকে বিরক্ত করতে পারে

সমালোচনামূলক অবকাঠামো

স্বাস্থ্যসেবা শিল্পে লিগ্যাসি প্রোটোকলগুলি এমন বিপদগুলি উপস্থাপন করে যা হাসপাতালগুলিকে সাইবার আক্রমণের জন্য অত্যন্ত ঝুঁকিপূর্ণ করে তুলতে পারে।

টনি আনসকম্ব

08 ডিসেম্বর 2023  •  , ২ মিনিট. পড়া

স্বাস্থ্যসেবা শিল্প, আমি নিশ্চিত, থাকবে উল্লেখযোগ্য লক্ষ্য সাইবার অপরাধীদের জন্য বিপুল সম্ভাবনার কারণে এটি তাদের র্যানসমওয়্যারের চাহিদার মাধ্যমে বা রোগীদের অপব্যবহার করা ডেটা অপব্যবহার করে তাদের প্রচেষ্টাকে নগদীকরণ করতে দেয়। অপারেশনাল ব্যাঘাত এবং সংবেদনশীল ডেটা, যেমন মেডিকেল রেকর্ড, আর্থিক এবং বীমা ডেটার সাথে মিলিত একটি সম্ভাব্য বেতন-দিন অফার করে যা অন্য অনেক পরিবেশে বিদ্যমান নেই।

ব্ল্যাক হ্যাট ইউরোপ 2023-এ, অনেক স্বাস্থ্যসেবা সংস্থার দ্বারা ব্যবহৃত লিগ্যাসি প্রোটোকলের বিষয়টি একটি দল দ্বারা উপস্থাপিত হয়েছিল অ্যাপলাইট জিএমবিএইচ. উত্তরাধিকার প্রোটোকলের বিষয়টি নতুন কিছু নয়; এমন অনেক দৃষ্টান্ত রয়েছে যেখানে আজকের সংযুক্ত পরিবেশের জন্য উপযুক্ত নয় এমন প্রোটোকল ব্যবহার করা সত্ত্বেও প্রতিস্থাপনের সাথে জড়িত উল্লেখযোগ্য খরচের কারণে সরঞ্জাম বা সিস্টেমগুলি ব্যবহারে রয়ে গেছে। উদাহরণস্বরূপ, একটি MRI স্ক্যানার প্রতিস্থাপনের জন্য 500,000 USD-এর মতো খরচ হতে পারে এবং যদি ডিভাইসটি প্রতিস্থাপন করার প্রয়োজন হয় ডিভাইসটি পরিচালনাকারী সফ্টওয়্যারটিতে একটি শেষ-জীবনের নোটিশের কারণে, তাহলে বাজেটের প্রয়োজনীয়তা অনুযায়ী ঝুঁকি গ্রহণযোগ্য বলে মনে হতে পারে।

DICOM সঙ্গে সমস্যা

অ্যাপলাইট টিম এর সাথে সমস্যাগুলি তুলে ধরে ডিকম (ডিজিটাল ইমেজিং এবং মেডিসিনে যোগাযোগ) প্রোটোকল, যা চিকিৎসা চিত্র এবং সম্পর্কিত ডেটা পরিচালনা এবং সংক্রমণের জন্য ব্যবহৃত হয়।

প্রোটোকলটি 30 বছরেরও বেশি সময় ধরে মেডিকেল ইমেজ সেক্টরে ব্যাপকভাবে ব্যবহৃত হয়েছে এবং অনেকগুলি সংশোধন এবং আপডেটের বিষয় হয়েছে। যখন একটি মেডিকেল ইমেজ স্ক্যান করা হয়, তখন এতে সাধারণত বেশ কিছু ছবি থাকে; ছবিগুলিকে একটি সিরিজ হিসাবে গোষ্ঠীভুক্ত করা হয়, এবং সংশ্লিষ্ট রোগীর ডেটা চিত্রের সাথে সংরক্ষিত হয়, রোগীর মেডিকেল টিমের যেকোনো নোট সহ, রোগ নির্ণয় সহ। তথ্যটি তখন DICOM প্রোটোকল ব্যবহার করে সফ্টওয়্যার সমাধানের মাধ্যমে অ্যাক্সেসযোগ্য যা অ্যাক্সেস, সংযোজন এবং পরিবর্তনের অনুমতি দেয়।

DICOM এর লিগ্যাসি সংস্করণগুলি ডেটা অ্যাক্সেস করার জন্য অনুমোদনের ব্যবহারকে বাধ্য করেনি, যে কেউ DICOM সার্ভারের সাথে সংযোগ স্থাপন করতে পারে এমন যে কেউ ডেটা অ্যাক্সেস বা পরিবর্তন করতে পারে৷ অ্যাপলাইট প্রেজেন্টেশনে বিস্তারিত বলা হয়েছে যে DICOM চালিত 3,806 সার্ভার সর্বজনীনভাবে ইন্টারনেটের মাধ্যমে অ্যাক্সেসযোগ্য এবং 59 মিলিয়ন রোগীর সাথে সম্পর্কিত ডেটা রয়েছে, যার মধ্যে মাত্র 16 মিলিয়নেরও বেশি শনাক্তযোগ্য তথ্য যেমন নাম, জন্ম তারিখ, ঠিকানা, বা সামাজিক নিরাপত্তা নম্বর সহ।

সমীক্ষায় দেখা গেছে যে ইন্টারনেটের মাধ্যমে অ্যাক্সেসযোগ্য সার্ভারগুলির মাত্র 1% প্রোটোকলের বর্তমান সংস্করণগুলিতে উপলব্ধ অনুমোদন এবং প্রমাণীকরণ প্রক্রিয়া প্রয়োগ করেছে। এটা মনে রাখা গুরুত্বপূর্ণ যে যে সংস্থাগুলি সংশ্লিষ্ট ঝুঁকি বুঝতে পেরেছে এবং আগে থেকে পদক্ষেপ নিয়েছে তারা এমন নেটওয়ার্কগুলিতে বিভাজন করে সার্ভারগুলিকে সর্বজনীন অ্যাক্সেস থেকে সরিয়ে দিয়েছে যেখানে রোগী এবং চিকিৎসা ডেটা সুরক্ষার জন্য উপযুক্ত প্রমাণীকরণ এবং সুরক্ষা ব্যবস্থা রয়েছে৷

স্বাস্থ্যসেবা হল এমন একটি খাত যেখানে কঠোর আইন ও প্রবিধান রয়েছে, যেমন HIPPA (US), GDPR (EU), PIPEDA (কানাডা), ইত্যাদি মার্কিন যুক্তরাষ্ট্রে.

সম্পর্কিত পড়া: 5টি কারণ কেন জিডিপিআর ডেটা সুরক্ষার জন্য একটি মাইলফলক ছিল৷

সমালোচনামূলক সিস্টেম রক্ষা

সার্জারির তথ্যের অপব্যবহার এই অ্যাক্সেসযোগ্য সার্ভারগুলি থেকে অ্যাক্সেসযোগ্য সাইবার অপরাধীদের বিশাল সুযোগ প্রদান করে। রোগীর রোগ নির্ণয় প্রকাশ্যে প্রকাশ করার হুমকির কারণে, মিথ্যা রোগ নির্ণয় করার জন্য ডেটা পরিবর্তন করা, কোন ডেটা পরিবর্তন করা হয়েছে তার জন্য দায়ী হাসপাতাল বা অন্যান্য স্বাস্থ্যসেবা প্রদানকারীদের মুক্তিপণ আদায়ের জন্য আটকে রাখা, রোগীদের সামাজিক নিরাপত্তা নম্বর এবং ব্যক্তিগত তথ্যের অপব্যবহার করা, বা ব্যবহার করা। স্পিয়ারফিশিং প্রচারাভিযানের তথ্য হল কয়েকটি সম্ভাব্য উপায় যা সাইবার ক্রাইমকে নগদীকরণ করতে ব্যবহার করা যেতে পারে।  

এর ইস্যু উত্তরাধিকার সিস্টেম সুরক্ষিত, যারা DICOM-এর মতো সম্ভাব্য নিরাপত্তা সংক্রান্ত সমস্যাগুলি জানেন, নিয়ন্ত্রক এবং বিধায়কদের রাডারে থাকা উচিত৷ আর্থিক বা অন্যান্য জরিমানা আরোপ করার ক্ষমতা রাখে এমন নিয়ন্ত্রক সংস্থাগুলি যদি বিশেষভাবে সংস্থাগুলির কাছ থেকে নিশ্চিতকরণের অনুরোধ করে যে এই দুর্বল সিস্টেমগুলিতে চিকিত্সা এবং ব্যক্তিগত ডেটা সুরক্ষিত করার জন্য উপযুক্ত সুরক্ষা ব্যবস্থা রয়েছে, তবে এটি এই ধরনের সিস্টেমগুলির মিছিলকারীদের সুরক্ষিত করার প্রেরণা হবে। তাদের

অনেক শিল্পই উত্তরাধিকার ব্যবস্থার ব্যয়বহুল প্রতিস্থাপনের বোঝা থেকে ভুগছে, যার মধ্যে রয়েছে ইউটিলিটি, চিকিৎসা, এবং মেরিটাইম নামের মতো কিছু কিন্তু। এটি গুরুত্বপূর্ণ যে এই সিস্টেমগুলি হয় প্রতিস্থাপন করা হয়, অথবা এমন পরিস্থিতিতে যেখানে সিস্টেমগুলি প্রতিস্থাপন করা খুব জটিল বা আর্থিকভাবে কঠিন হতে পারে, তারপর উপযুক্ত পদক্ষেপ অবশ্যই এই অতীত প্রোটোকলগুলিকে আপনাকে বিরক্ত করা থেকে এড়াতে নেওয়া হবে।

তুমি যাবার আগে: RSA - ডিজিটাল স্বাস্থ্যসেবা নিরাপত্তা পূরণ করে, কিন্তু এটা কি সত্যিই চায়?