Computer >> कंप्यूटर >  >> नेटवर्किंग >> नेटवर्क सुरक्षा

हेल्थकेयर:स्कैमर्स और आईडी चोरों के लिए नया अटैक वेक्टर

हम सभी ऑनलाइन पहचान की चोरी के प्रति अधिक जागरूक होते जा रहे हैं।

डेटा उल्लंघन के किसी न किसी रूप से पीड़ित एक प्रमुख व्यवसाय की सुनवाई के बिना बहुत अधिक दिन नहीं जाते हैं; हम हमेशा गंभीरता के बारे में नहीं सुनते, जब तक कि इसमें पर्याप्त मात्रा में ग्राहक डेटा शामिल न हो। इसी तरह, हम अपने स्वास्थ्य संबंधी रिकॉर्ड को समान गोपनीयता के साथ व्यवहार करते हैं। उनमें संवेदनशील, व्यक्तिगत जानकारी होती है जिसका इस्तेमाल हमारे खिलाफ गलत हाथों में किया जा सकता है।

हम लंबे समय से मेडिकल रिकॉर्ड से संबंधित गोपनीयता की आवश्यकता को जानते और समझते हैं, और सौभाग्य से हमारे डॉक्टरों और नर्सों ने उस गोपनीयता को बनाए रखने की शपथ ली है। कागज़ की दुनिया में, मेडिकल रिकॉर्ड तक अनधिकृत पहुंच हाथ की सफाई, या अंदर की नौकरी के माध्यम से होगी।

लेकिन अब, वैश्विक चिकित्सा उद्योग अब डिजीटल हो गया है, और इसलिए हमारे रिकॉर्ड भी हैं। डिजीटल मेडिकल रिकॉर्ड रखने के बड़े पैमाने पर फायदे हैं, लेकिन क्या आपके व्यक्तिगत डेटा को फायरिंग लाइन में डाल देना इसके लायक है?

चिकित्सा पहचान की चोरी

इसमें कोई संदेह नहीं है कि चिकित्सा पहचान की चोरी बढ़ रही है। पारंपरिक रूप से बैंकिंग और ऑनलाइन खाते के विवरण की मांग करने वाले स्कैमर्स तेजी से मेडिकल रिकॉर्ड की ओर रुख कर रहे हैं। क्यों? ठीक है, एक के लिए, वे उस चीज़ से संबंधित सबसे व्यक्तिगत जानकारी से भरे हुए हैं जिसे हम सभी प्रिय मानते हैं:हमारा जीवन।

हेल्थकेयर:स्कैमर्स और आईडी चोरों के लिए नया अटैक वेक्टर

आपका मेडिकल रिकॉर्ड सभी रखता है आपकी व्यक्तिगत जानकारी:नाम, पता, जन्म तिथि, सामाजिक सुरक्षा संख्या (या समकक्ष), और कुछ मामलों में, इसमें बिलिंग जानकारी, और क्रेडिट या डेबिट कार्ड विवरण शामिल होंगे। यह स्पष्ट रूप से एक मेडिकल रिकॉर्ड को बहुत मूल्यवान बनाता है - आपके बैंक खाते के विवरण से अधिक मूल्यवान (ठीक है, आपके खाते में शून्य की संख्या के आधार पर!)।

हैकर्स जिस आसानी से मेडिकल रिकॉर्ड तक पहुंच बना रहे हैं, वह उन्हें और भी आकर्षक लक्ष्य बना देता है। वर्षों के पूर्व ज्ञान के बावजूद कि मेडिकल रिकॉर्ड किसी बिंदु पर डिजिटाइज़ किए जाएंगे, साइबर अपराध के सर्वज्ञ खतरे से निपटने के लिए कई चिकित्सा सुविधाएं किसी भी तरह से सुसज्जित नहीं हैं। इसलिए, यह कोई आश्चर्य की बात नहीं है कि संभावित हमलों की रिपोर्ट करने वाले अमेरिकी स्वास्थ्य संगठनों का प्रतिशत 2009 में 20% से बढ़कर 2013 में 40% हो गया। अकेले 2015 में हमने देखा कि पांच अलग-अलग स्वास्थ्य संगठनों में आधिकारिक तौर पर 108.8 मिलियन व्यक्तिगत रिकॉर्ड का उल्लंघन हुआ है; प्रत्येक संगठन ने रिपोर्ट किया कि उनके नेटवर्क सर्वर का उल्लंघन किया गया है:

हेल्थकेयर:स्कैमर्स और आईडी चोरों के लिए नया अटैक वेक्टर

N.B: ऊपर दी गई तालिका में लाखों में प्रभावित व्यक्तियों को दिखाया गया है।

हम क्या उम्मीद कर सकते हैं?

आपके चिकित्सा इतिहास के अज्ञात हाथों में पड़ने के स्पष्ट मुद्दे के अलावा, एक और भूत बड़ा है। मेडिकल हार्डवेयर में हालिया प्रगति चमत्कारी से कम नहीं है, लेकिन वे अपने पूर्ववर्ती के लिए एक महत्वपूर्ण अंतर के साथ आते हैं:उनकी नेटवर्क स्थिति। कई उपकरण अब अस्पताल नेटवर्क से जुड़े हुए हैं, जिससे हैकर्स को कुछ उपकरणों को सीधे एक्सेस करने का मौका मिलता है।

'भविष्यवाणियां 2016:साइबर सुरक्षा स्विंग्स टू प्रिवेंशन . शीर्षक से एक सही मायने में चौंकाने वाली रिपोर्ट में ' हम भविष्यवाणी देखते हैं कि 2016 में रैंसमवेयर से प्रभावित होने वाले चिकित्सा उपकरणों की शुरुआत होगी।

हेल्थकेयर:स्कैमर्स और आईडी चोरों के लिए नया अटैक वेक्टर

जोखिम नेटवर्क सुरक्षा के बारे में ज्ञान की बुनियादी कमी से आता है। 2012 में, एस्सेन्टिया हेल्थ (अब प्रोटोविटी में एसोसिएट डायरेक्टर) के लिए सूचना सुरक्षा के प्रमुख स्कॉट एरवेन को मिडवेस्ट स्वास्थ्य देखभाल सुविधाओं की एक बड़ी श्रृंखला के लिए सुरक्षा का आकलन करने का काम सौंपा गया था। उठाए गए मुद्दों की सूची में, यह स्पष्ट था कि चिकित्सा सुविधाएं अभी भी "व्यवस्थापक" या "1234" जैसे हार्डकोडेड नेटवर्क पासवर्ड का उपयोग कर रही थीं, जो पहले की रिपोर्टों और आईसीएस-एएलईआरटी-13-164-01 की पुष्टि करती हैं, जहां शोधकर्ता बिली रियोस और टेरी मैककॉर्कल ऑफ साइलेंस ने रिपोर्ट किया कि लगभग 300 चिकित्सा उपकरण अभी भी हार्डकोडेड पासवर्ड का उपयोग कर रहे हैं।

ये बुनियादी प्रमाणीकरण कदम बड़े पैमाने पर सुरक्षा मुद्दे पैदा कर रहे हैं जिन्हें आसानी से टाला जा सकता है, या कम से कम कार्य को हमलावरों के लिए कठिन बना सकते हैं। अधिक से अधिक, हम वित्तीय जबरन वसूली में वृद्धि देखेंगे।

सबसे बुरी स्थिति में लोग मरते हैं।

मेडजैक

धोखे पर आधारित साइबर सुरक्षा फर्म ट्रैपएक्स ने चिकित्सा सुविधाओं पर हमलों की एक व्यापक लहर की पहचान की, जो बड़े पैमाने पर अस्पताल के चिकित्सा उपकरणों को लक्षित करता है। तीन अलग-अलग अस्पतालों में, ट्रैपएक्स ने "विभिन्न प्रकार के चिकित्सा उपकरणों का व्यापक समझौता पाया जिसमें एक्स-रे उपकरण, चित्र संग्रह और संचार प्रणाली (पीएसीएस) और रक्त गैस विश्लेषक (बीजीए) शामिल थे।"

हालाँकि, यह MEDJACK अटैक वेक्टर की सीमा नहीं है। TrapX विश्वास (साइनअप आवश्यक):

<ब्लॉकक्वॉट>

"कई अन्य उपकरण हैं जो मेडजैक के लिए लक्ष्य प्रस्तुत करते हैं। इसमें डायग्नोस्टिक उपकरण (पीईटी स्कैनर, सीटी स्कैनर, एमआरआई मशीन, आदि), चिकित्सीय उपकरण (इन्फ्यूजन पंप, मेडिकल लेजर और लैसिक सर्जिकल मशीन), और जीवन समर्थन उपकरण (हृदय) शामिल हैं। - फेफड़े की मशीन, मेडिकल वेंटिलेटर, एक्स्ट्राकोर्पोरियल मेम्ब्रेन ऑक्सीजनेशन मशीन और डायलिसिस मशीन) और भी बहुत कुछ।"

हेल्थकेयर:स्कैमर्स और आईडी चोरों के लिए नया अटैक वेक्टर

रिपोर्ट आगे बताती है कि जिन चिकित्सा उपकरणों का शोषण किया जा रहा है उनमें से कई बंद सिस्टम डिवाइस हैं, जो पुराने ऑपरेटिंग सिस्टम जैसे कि विंडोज 2000, या विंडोज एक्सपी पर चल रहे हैं। ऑपरेटिंग सिस्टम को अक्सर संशोधित किया जाता है, और सुरक्षा छेद से भरा होता है, जो किसी भी अस्पताल के नेटवर्क में भारी भेद्यता पेश करता है। ज्यादातर मामलों में, इन उपकरणों का उपयोग करने और तैनात करने वाले चिकित्सा कर्मचारियों के पास आंतरिक कामकाज तक पहुंच नहीं होती है, जिसका अर्थ है कि वे अप-टू-डेट और स्थापित करने के लिए निर्माताओं पर पूरी तरह निर्भर हैं। लचीला सुरक्षा दीवारें - और वर्तमान में ऐसा नहीं हो रहा है।

यह कुछ अस्पतालों तक ही सीमित नहीं है। दुनिया भर में चिकित्सा सुविधाओं के लिए विभिन्न प्रकार के निर्माताओं द्वारा बड़े पैमाने पर उपकरणों की आपूर्ति के साथ, यह तय करना मुश्किल है कि अगली भेद्यता कहां उजागर होगी।

उदाहरण के लिए, जब FDA ने चिकित्सा उपकरणों पर सुरक्षा कड़ी करने के लिए निर्माताओं के लिए एक सिफारिश जारी की, तो होमलैंड सिक्योरिटी विभाग (DHS) ने संदिग्ध साइबर सुरक्षा खामियों के 24 मामलों में उनकी चल रही जांच का खुलासा किया, जिसमें "होस्पिरा इंक का एक इन्फ्यूजन पंप और इम्प्लांटेबल हार्ट शामिल है। मेडट्रॉनिक इंक. और सेंट जूड मेडिकल इंक."

. के डिवाइस

डीएचएस जांच जारी है।

मेडिकल रिकॉर्ड की बिक्री

जबकि अपहृत चिकित्सा उपकरण के रूप में जीवन के लिए खतरा नहीं है, निजी मेडिकल रिकॉर्ड तेजी से डेटा-खनन कंपनियों को बेचे जा रहे हैं, कभी-कभी डेटा को अधिक उपयोगी बनाने के लिए ज़िप कोड के साथ, और इसलिए अधिक मूल्यवान।

हालांकि, एक बार जब डेटा ने चिकित्सा सुविधा छोड़ दी, तो इससे आपकी जानकारी के नापाक हाथों में पड़ने की संभावना बढ़ जाती है। अगस्त 2013 की शुरुआत में, 11 स्वास्थ्य एजेंसियों ने शुरू कर दिया था या पहले से ही डेटा संग्रह नीति समीक्षा चल रही थी, जिसमें डेटा बिक्री प्रक्रिया कैसे होती है, और डेटा-खनन कंपनियों के लिए कौन सी जिम्मेदारियों को लागू किया जाना चाहिए।

इंटरमाउंटेन हेल्थकेयर, साल्ट लेक सिटी के मुख्य सूचना अधिकारी मार्क प्रोबस्ट कहते हैं, "उस डेटा को खरीदने का एकमात्र कारण यह है कि वे धोखाधड़ी से बिल कर सकते हैं" संबंधित मेडिकल रिकॉर्ड इस उम्मीद में कि कोई घबराएगा, और भुगतान करेगा। मेडिकल रिकॉर्ड का यह कपटपूर्ण उपयोग, (पहले स्थान पर मेडिकल रिकॉर्ड के साथ, अनगिनत सुविधाओं में ढीली सुरक्षा पाई गई, और संपूर्ण स्वास्थ्य सेवा उद्योग को बेहतर समग्र साइबर सुरक्षा प्रदान करने के लिए चल रहे प्रयास) कई लागतों में से एक है जिसे सीधे सौंपा जा रहा है। अमेरिकी नागरिक अपने स्वास्थ्य देखभाल प्रीमियम के माध्यम से।

क्या आप इसे रोक सकते हैं?

दुर्भाग्य से, एक स्वास्थ्य सेवा प्रदाता द्वारा सीधे रखे गए डिजीटल मेडिकल रिकॉर्ड के मामले में - हम इसके बारे में बहुत कुछ नहीं कर सकते।

आपका प्रदाता आपका डेटा रखता है, और यहां तक ​​कि अगर आप एक प्रति का अनुरोध करते हैं (जो अपेक्षाकृत महंगी हो सकती है), तो आपके प्रदाता द्वारा आपके रिकॉर्ड को एक बार में हटाने की अत्यधिक संभावना नहीं है। कौन जानता है कि आपको ईआर में कब ले जाया जा सकता है, केवल यह पता लगाने के लिए कि उनके पास आपकी पेनिसिलिन एलर्जी से संबंधित कोई चिकित्सा जानकारी नहीं है।

एक सक्रिय उपाय DataLossDB.org के साथ एक अलर्ट सिस्टम स्थापित करना है, एक कैचॉल वेबसाइट जितना संभव हो उतने डेटा उल्लंघनों का विवरण देना। एक अन्य शमन रणनीति में आपकी क्रेडिट रिपोर्ट की निगरानी शामिल हो सकती है - लेकिन इसमें आमतौर पर मासिक शुल्क लगता है। फिर भी, आप निश्चित रूप से नोटिस करेंगे कि क्या आपकी रेटिंग में गिरावट आई है, और इससे पहले कि यह अपरिवर्तनीय हो जाए, आप इसे पकड़ सकते हैं। यदि आप कुछ भी विशेष रूप से नापाक देखते हैं, और इसे समय पर पकड़ लेते हैं, तो आप धोखाधड़ी की चेतावनी जारी कर सकते हैं, किसी भी नए क्रेडिट अनुरोध या आपके नाम पर खोले जा रहे खातों को 90 दिनों के लिए अवरुद्ध कर सकते हैं।

मेडिकल रिकॉर्ड सुरक्षा के साथ उतना ही सक्रिय होना मुश्किल है जितना कि आप अपने बैंकिंग विवरण के साथ हैं, लेकिन इसका मतलब यह नहीं है कि आपको वापस बैठकर प्रतीक्षा करनी होगी।

स्वास्थ्य संबंधी धोखाधड़ी से चिंतित हैं? क्या आपका मेडिकल रिकॉर्ड चोरी हो गया है? या आपके पास कौन से सुरक्षा अभ्यास हैं? हमें नीचे बताएं!


  1. OS.js:वेब के लिए एक नए प्रकार का ऑपरेटिंग सिस्टम

    क्या आप कभी एक वेब-आधारित ऑपरेटिंग सिस्टम चाहते हैं - एक जिसे आप अपने वेब ब्राउज़र से किसी भी कंप्यूटर पर कहीं भी एक्सेस कर सकते हैं? यदि ऐसा है, तो OS.js सिर्फ एक चीज हो सकती है। यह एक जावास्क्रिप्ट-आधारित ऑपरेटिंग सिस्टम है जिसे क्लाउड के लिए डिज़ाइन किया गया है। OS.js को क्या खास बनाता है? अन्य

  1. 6 नए फिटबिट वर्सा की प्रतीक्षा करने के कारण

    फिटबिट वर्सा की उलटी गिनती लगभग समाप्त होने वाली है! 16वें . से शुरू अप्रैल 2018, आप फिटबिट फिटनेस स्मार्टवॉच के इस नवीनतम संस्करण को अमेज़न (199.99$) से खरीद पाएंगे। अग्रिम-आदेश शुरू हो चुके हैं और फिटबिट ने धीरे-धीरे भाग्यशाली लोगों को कुछ घड़ियां भेजना शुरू कर दिया है। इसलिए, यदि आप इस फिटनेस के

  1. SAS- डेटा एनालिटिक्स के लिए उभरती नई तकनीक

    डेटा सूचना और ज्ञान का मिश्रण है, जो किसी भी कीमती संसाधन के विपरीत है जिसे निकाला जाता है, परिष्कृत किया जाता है और उपयोगी बनाया जाता है। आज डेटा ही एक ऐसी चीज है जो पूरी दुनिया को जोड़ता है। जैसा कि हम जानते हैं, डेटा बहुत तेज गति से बढ़ रहा है जो दूर की कौड़ी है। इस बढ़ते डेटा को स्टोर करने और ह