जबकि रैंसमवेयर समूहों ने किसी भी उद्योग को नहीं बख्शा है, हमलावरों ने स्वास्थ्य सेवा क्षेत्र को अपने पसंदीदा लक्ष्यों में सबसे ऊपर रखा है। उल्लंघनों के शिकार होने वाले अस्पतालों में वृद्धि ने नियामकों और सरकारी अधिकारियों के बीच चिंता बढ़ा दी है जो नई नीतियों और कानूनों को आगे बढ़ाने के लिए चले गए हैं।
अमेरिका में सबसे बड़ी गैर-लाभकारी स्वास्थ्य देखभाल प्रणालियों में से एक, कॉमनस्पिरिट ने एक पोस्ट किया गोपनीयता भंग सूचना 1 दिसंबर को, चेतावनी दी कि 623,774 सितंबर को उल्लंघन के बाद 16 रोगी रिकॉर्ड उजागर किए गए थे। 140 अस्पतालों के राष्ट्रव्यापी नेटवर्क और 1,000 राज्यों में 21 से अधिक देखभाल सुविधाओं ने पुष्टि की कि रैंसमवेयर हमलावरों ने रोगी रिकॉर्ड तक पहुंच बनाई, लेकिन कहा कि वर्तमान में कोई सबूत नहीं है कि व्यक्तिगत जानकारी का दुरुपयोग किया गया था। संभावित रूप से प्रभावित मरीज वे थे जिनका इलाज कॉमनस्पिरिट के फ्रांसिस्कन मेडिकल ग्रुप और वाशिंगटन में फ्रांसिस्कन हेल्थ में किया गया था। चार अस्पतालों को अब वर्जीनिया मेसन फ्रांसिस्कन हेल्थ के नाम से जाना जाता है, जो कॉमनस्पिरिट सहयोगी है।
वर्तमान स्पाइक पर बनाता है समग्र हमलों में पिछले वर्ष की 35% वृद्धि प्रबंधित पहचान और प्रतिक्रिया (एमडीआर) सेवा प्रदाता, क्रिटिकल इनसाइट के अनुसार, 2020 की तुलना में स्वास्थ्य सेवा प्रदाताओं पर। क्रिटिकल इनसाइट के अनुसार, स्वास्थ्य सेवा प्रदाताओं पर साइबर हमलों ने पिछले साल 45 करोड़ लोगों को प्रभावित किया, जबकि 34 में यह संख्या 2020 करोड़ और 14 में 2018 करोड़ थी।
अक्टूबर में, FBI इंटरनेट क्राइम कंप्लेंट सेंटर (ICA) ने बताया कि 16 महत्वपूर्ण बुनियादी ढाँचों में, स्वास्थ्य सेवा और सार्वजनिक स्वास्थ्य क्षेत्र के खाते रैंसमवेयर की 25% शिकायतें. अमेरिकी स्वास्थ्य और मानव सेवा विभाग (HHS) ने अप्रैल में एक जारी किया हाइव के बारे में चेतावनी, एक आक्रामक रैंसमवेयर समूह जिसने स्वास्थ्य सेवा संगठनों को लक्षित किया है।
HHS हेल्थ सेक्टर साइबर सिक्योरिटी कोऑर्डिनेशन सेंटर (HC3) ने कहा कि हाइव जून 2021 से काम कर रहा है, और "उस समय में अमेरिकी स्वास्थ्य क्षेत्र को लक्षित करने में बहुत आक्रामक रहा है।"
एक और हालिया हैकर समूह उभर कर आया है जो स्वास्थ्य सेवा प्रदाताओं को रैंसमवेयर के साथ लक्षित कर रहा है, वह है डाइक्सिन टीम। अक्टूबर में, HHS एक परामर्शी चेतावनी के साथ साइबर सुरक्षा और अवसंरचना एजेंसी (CISA) और FBI में शामिल हो गया डाइक्सिन टीम रैनसमवेयर के साथ स्वास्थ्य सेवा प्रदाताओं का सक्रिय रूप से पीछा कर रहा है जो बाबुक लॉकर, स्रोत कोड का उपयोग करता है जो VMware EXSi सर्वर में फ़ाइलों को एन्क्रिप्ट करता है।
एडवाइजरी के मुताबिक डाइक्सिन टीम का रैंसमवेयर स्वास्थ्य सेवा प्रदाताओं के इलेक्ट्रॉनिक स्वास्थ्य रिकॉर्ड, डायग्नोस्टिक्स, इमेजिंग और इंट्रानेट सेवाओं को एन्क्रिप्ट करता है। समूह ने व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) और रोगी स्वास्थ्य जानकारी (पीएचआई) का भी बहिष्कार किया है और उस डेटा को जारी करने की धमकी देकर फिरौती मांगी है।
हेल्थकेयर पर रैंसमवेयर का प्रभाव
दौरान विघटनकारी नवप्रवर्तक इस महीने की शुरुआत में न्यूयॉर्क में CIO फोरम, हेल्थकेयर उद्योग के लिए उभरती हुई तकनीक पर केंद्रित एक सम्मेलन, एक पैनल चर्चा ने रैंसमवेयर में उछाल को संबोधित किया। हेल्थकेयर संगठनों के लिए एक आईटी सलाहकार फर्म डिवर्जेंट में डिजिटल इनोवेशन के एसवीपी क्रिस्टोफर कुन्नी ने कहा, "रैनसमवेयर अब शायद आज अधिकांश स्वास्थ्य सेवा संगठनों के लिए नंबर 1 सुरक्षा मुद्दा है।"
कुन्नी, पैनलिस्टों में से एक, ने चेतावनी दी कि रैंसमवेयर स्वास्थ्य सेवा में एक बढ़ता हुआ खतरा बना रहेगा “क्योंकि हम अस्पताल की चारदीवारी के बाहर अपनी उपस्थिति का विस्तार करते हैं और हम आभासी देखभाल जैसी चीजों को देखते हैं, और अन्य प्रौद्योगिकियां जो अब हमारे नेटवर्क के शीर्ष पर बैठ सकती हैं आधारभूत संरचना।"
साकेत मोदी, जिन्होंने पैनल को मॉडरेट किया और सुरक्षित सुरक्षा के सह-संस्थापक और सीईओ हैं, ने नोट किया कि इनमें से एक पहली ज्ञात मौतें रैंसमवेयर के लिए जिम्मेदार, अलबामा में एक नवजात, पिछले साल हुआ था। “रैंसमवेयर हमला अब केवल वित्तीय और प्रतिष्ठित नहीं है; इसका लोगों के जीवन पर वास्तविक प्रभाव पड़ सकता है, ”मोदी ने कहा। डेटा की चोरी के जोखिम के अलावा, रैंसमवेयर के हमले रोगी देखभाल के वितरण के लिए एक जोखिम हैं, खासकर जब हमलावर रोगियों को जीवित रखने के लिए जिम्मेदार सिस्टम तक पहुंचते हैं।
“हमें यह महसूस करना होगा कि साइबर सुरक्षा केवल डेटा सुरक्षा के बारे में नहीं है; यह जीवन और मृत्यु का भी मामला है," त्रिनिदाद, कोलो में माउंट सैन राफेल अस्पताल और क्लिनिक के सीआईओ माइकल आर्चुलेटा ने कहा।
यह देखते हुए कि हाल के वर्षों में COVID ने स्वास्थ्य सेवा प्रदाताओं को अपने डिजिटल परिवर्तन प्रयासों में तेजी लाने के लिए मजबूर किया, कई संगठनों ने कार्यान्वयन प्रौद्योगिकी और प्रणालियों से जुड़े सुरक्षा जोखिमों को पर्याप्त रूप से संबोधित नहीं किया है जो अब सुलभ हैं।
"हम स्वास्थ्य सेवा के डिजिटल युग में रह रहे हैं, और हमें उन पहलों के प्रौद्योगिकी परिणामों को शामिल करना शुरू करना होगा जो हमारे समग्र अनुभव को बेहतर ढंग से बढ़ाते हैं और रोगी के परिणामों को बेहतर बनाते हैं, लेकिन आगे बढ़ने वाले पूरे संगठन को भी सुरक्षित रखते हैं," आर्चुलेटा ने कहा।
हेल्थकेयर साइबर सुरक्षा अधिनियम 2022
बढ़ते हमलों को रोकने के लिए, प्रतिनिधि जेसन क्रो (D-CO) ने हेल्थकेयर साइबर सुरक्षा अधिनियम को प्रायोजित किया। सितंबर में पेश किए गए बिल में स्वास्थ्य सेवा उद्योग में साइबर सुरक्षा में सुधार के लिए CISA को HHS के साथ सहयोग करने की आवश्यकता होगी।
के अनुसार बिल का सारांश, CISA और HHS "HHS कार्यक्रमों के माध्यम से जानकारी प्राप्त करने वाली संघीय और गैर-संघीय संस्थाओं के लिए उपलब्ध साइबर-खतरे के संकेतक और उचित रक्षा उपायों सहित" संसाधन प्रदान करेंगे।
बिल सीआईएसए को उन लोगों के लिए साइबर सुरक्षा प्रशिक्षण और सुधारात्मक रणनीति प्रदान करने के लिए भी कहता है जो स्वास्थ्य देखभाल सेवाएं प्रदान करते हैं या प्रदान करते हैं। माउंट सैन राफेल हॉस्पिटल एंड क्लिनिक्स के सीआईओ आर्चुलेटा ने कहा कि लक्षित रैंसमवेयर हमलों का 91% कर्मचारियों को निर्देशित फ़िशिंग ईमेल से आया है, जिनमें से कई ने पर्याप्त प्रशिक्षण प्राप्त नहीं किया है। "हम अपने संगठन के भीतर एक मानव फ़ायरवॉल विकसित करने पर ध्यान केंद्रित नहीं कर रहे हैं," उन्होंने कहा।
इस बीच, सीनेटर मार्क वार्नर (डी-वीए) ने एक प्रकाशित किया नीति विकल्प श्वेत पत्र जो मौजूदा साइबर सुरक्षा खतरों और संघीय सरकार से संभावित प्रतिक्रियाओं का विवरण देता है। पेपर वार्नर के कर्मचारियों और साइबर सुरक्षा विशेषज्ञों के शोध और संघीय सरकार के लिए स्वास्थ्य सेवा प्रदाताओं के साथ सहयोग करने के लिए अपनी साइबर सुरक्षा क्षमताओं में सुधार करने और हमलों से उबरने के लिए एक खाका तैयार करने के लिए विकल्पों का एक व्यापक सेट तैयार करता है।
वार्नर ने कहा, "स्वास्थ्य सेवा क्षेत्र साइबर हमले के लिए विशिष्ट रूप से कमजोर है, और बेहतर साइबर सुरक्षा के लिए संक्रमण काफी धीमा और अपर्याप्त रहा है।" एक बयान में कहा. "संघीय सरकार और स्वास्थ्य क्षेत्र को साझा जिम्मेदारियों वाले भागीदारों के रूप में गंभीर खतरों से निपटने के लिए एक संतुलित दृष्टिकोण खोजना चाहिए।"
