भारत को वैश्विक स्तर पर इलाज का एक केंद्र बनाने हेतु हमें हर हाल में वर्तमान और भविष्य की पीढ़ियों के लिए एक सतत और न्यायसंगत स्वास्थ्य सुविधा का निर्माण करना चाहिए. साथ ही सेहत से जुड़ी किसी भी आपात स्थिति के लिए तैयारी रखनी चाहिए.
अखिल भारतीय आयुर्विज्ञान संस्थान यानी AIIMS में साइबर हमले के लिए हम भले ही ईमेलथीफ- कम क़ीमत वाले एंटी-वायरस, फायरवाल्स की कमी या ढीला-ढाला IT नियंत्रण- पर आरोप लगाएं लेकिन भारत के सबसे बड़े सरकारी अस्पताल के सिस्टम का बिगड़ जाना एक महत्वपूर्ण घटनाक्रम है. ये एक बहुत बड़ा अतिक्रमण है और भारतीय हेल्थकेयर सेक्टर में पहले भी ऐसी घटना हो चुकी है. 30 नवंबर 2022 को यानी अंतर्राष्ट्रीय कंप्यूटर सुरक्षा दिवस पर इसी तरह के एक साइबर हमले में हैकर्स ने ऑस्ट्रेलिया की स्वास्थ्य बीमा कंपनी मेडिबैंक को कंपनी के प्रभावित ग्राहकों (जिनमें प्रधानमंत्री एंथनी अल्बनीज़ भी शामिल हैं) की सेहत से जुड़े रिकॉर्ड को इंटरनेट से दूर रखने के लिए 9.7 मिलियन अमेरिकी डॉलर की मांग की. उन्होंने सब कुछ डार्क वेब पर छोड़ दिया और “केस बंद” घोषित कर दिया. ये व्यक्तिगत स्वास्थ्य जानकारी (पब्लिक हेल्थ इन्फॉर्मेशन यानी PHI) पर भविष्य के दिनों में साइबर हमले की सुनामी के सिर्फ़ दो ख़ौफ़नाक उदाहरण हैं.
अखिल भारतीय आयुर्विज्ञान संस्थान यानी AIIMS में साइबर हमले के लिए हम भले ही ईमेलथीफ- कम क़ीमत वाले एंटी-वायरस, फायरवाल्स की कमी या ढीला-ढाला IT नियंत्रण- पर आरोप लगाएं लेकिन भारत के सबसे बड़े सरकारी अस्पताल के सिस्टम का बिगड़ जाना एक महत्वपूर्ण घटनाक्रम है.
क्रेडिट कार्ड के नंबर, जिन्हें बदला जा सकता है, और सरकार की तरफ़ से जारी विशिष्ट पहचान पत्र का नंबर, जिन्हें फिर से ठीक किया जा सकता है, से हटकर PHI कभी बदलने वाली चीज़ नहीं है और इसलिए ख़ास तौर पर क़ीमती है. यही वजह है कि एक व्यक्ति का चोरी किया गया हेल्थकेयर रिकॉर्ड 1,000 अमेरिकी डॉलर तक में बिकता है. इसके मुक़ाबले एक क्रेडिट कार्ड का नंबर डार्क वेब पर 5 अमेरिकी डॉलर में बिकता है जबकि सरकार की तरफ़ से जारी एक विशिष्ट पहचान पत्र का नंबर सिर्फ़ 1 अमेरिकी डॉलर में बिकता है. हेल्थकेयर रिकॉर्ड की बिक्री पर मिलने वाला ये लाभ हैकर्स को प्रेरित करता है.
PHI के नुक़सान के साथ हेल्थकेयर के क्षेत्र में प्रदाता, भुगतानकर्ता और फार्मा के त्रिकोण के साथ-साथ मरीज़ों को तात्कालिक और दीर्घकालिक नुक़सान के साथ-साथ कभी-कभी स्थायी यातना झेलनी पड़ती है. भारत के डेटा सुरक्षा परिषद ने हेल्थकेयर के क्षेत्र में प्राइवेसी दिशा-निर्देश के तहत PHI को जनसांख्यिकीय (नाम, उम्र/जन्मतिथि), लैंगिक, नस्लीय एवं जातीय मूल, वैवाहिक स्थिति, घर का पता, परिवार के नज़दीकी सदस्यों के विवरण (आपात स्थिति में), प्रशासनिक (स्वास्थ्य बीमा कवरेज और निपटारा), चिकित्सक (विशेषज्ञता, संस्थान की प्रकृति), स्वास्थ्य जोख़िम (व्यवहार एवं जीवन शैली) और स्वास्थ्य की स्थिति (शारीरिक/मानसिक/भावनात्मक अवस्था, मानसिक काम-काज) की श्रेणी में रखा है. भारतीय चिकित्सा परिषद (व्यावसायिक आचरण, शिष्टाचार और नैतिकता) नियमन 2002, क्लीनिकल एस्टेब्लिशमेंट (पंजीकरण एवं नियमन) मसौदा नियम 2010 और अन्य ने ख़ास तौर पर PHI के अलग-अलग प्रकारों और उन्हें रखने के समय को परिभाषित किया है. अगर PHI को डिजिटाइज़ कर दिया जाए तो वो डिजिटल व्यक्तिगत पहचान योग्य जानकारी में बदल जाती है लेकिन उसके लिए स्पष्ट एकीकृत क़ानूनी सुरक्षा नहीं है.
अगर इसमें सेंध लगा दी जाए तो हैकर्स लंबे समय तक रहने वाले इस डेटा के ख़ज़ाने को नशीले पदार्थों के तस्करों, मनी लॉन्ड्रिंग करने वालों, यौन अपराधियों, डकैतों, हत्यारों, पहचान की चोरी करने वालों, आतंकियों और शरारती देशों को सौंप सकते हैं. इसके ग़लत इस्तेमाल में चिकित्सकीय इलाज, दवाई और उपकरण को ग़लत ढंग से हासिल करना, स्वास्थ्य बीमा के मुआवज़े के लिए फ़र्ज़ी दावे दायर करना, मरीज़ के पहचान पत्र का इस्तेमाल करके फ़ोन एवं सिम कार्ड ख़रीदना या क्रेडिट कार्ड हासिल करना, ग़लत ढंग से कर्ज़ लेना, प्रतिष्ठा या रोज़गार का नुक़सान, भेदभाव, ब्लैकमेल या ज़बरन वसूली करना शामिल हैं. ऐसा करने से लोगों को काफ़ी ज़्यादा मानसिक और शारीरिक तकलीफ़ हो सकती है.
मरीज़, प्रदाता, भुगतानकर्ताओं और फार्मा कंपनियों के डिजिटल एकीकरण में लंबे समय तक प्रयोग के साथ अनुपस्थित या ग़लत नियम मूल कारण हैं.
केंद्रीय स्वास्थ्य मंत्रालय की मुफ़्त ई-संजीवनी टेलीमेडिसिन सेवा ने 8 करोड़ टेली-सलाह के आंकड़े को पार कर लिया है. एक करोड़ सलाह तो सिर्फ़ पिछले पांच हफ़्तों में दी गई है. लेकिन इसकी तुलना में भारत में अभी तक कोई एकीकृत स्वास्थ्य जानकारी के आदान-प्रदान की सुविधा नहीं है. कमज़ोर भौतिक बुनियादी ढांचा एवं क्षमता, वर्तमान डेटा की गुणवत्ता में कमी और बिना किसी उत्साह के तक़नीक को अपनाने (जिसका कारण उदासीन, बिना आदान-प्रदान और बिना सहज ज्ञान की तकनीकें हैं) से जटिलता में बढ़ोत्तरी होती है.
नागरिकों, चिकित्सकों (एलोपैथिक/आयुष), संबंधित स्वास्थ्य प्रोफेशनल्स, सहायकों, एंबुलेंस एवं ब्लड बैंक सेवाओं, लैबोरेटरी, संचालन करने वाले संस्थानों एवं नियामकों, स्वास्थ्य सूचना न्यासियों, भुगतानकर्ताओं, दवा कंपनियों और रिसर्च संस्थानों को आपस में जोड़ने के लिए एक समान संगठित क़ानूनी रूप-रेखा की आवश्यकता होती है ताकि PHI की रक्षा की जा सके. सूचना प्रौद्योगिकी (IT) (संशोधन) अधिनियम 2008 में जुर्माने और राष्ट्रीय रोग सूचना विज्ञान एवं अनुसंधान केंद्र की नीति में स्वास्थ्य डेटा पर नियंत्रण में सख़्ती सीमित, अपर्याप्त एवं अलग-थलग हैं. एक मज़बूत शिकायत निपटारा प्रणाली, प्रभावशाली अनुपालन और लागू होने वाले क़ानूनों की व्यवस्था भी लापता हैं.
डिजिटल व्यक्तिगत डेटा सुरक्षा बिल 2022 के पहले राष्ट्रीय स्वास्थ्य प्राधिकरण (NHA) ने 2019 में राष्ट्रीय डिजिटल स्वास्थ्य ब्लूप्रिंट, 2021 में एकीकृत स्वास्थ्य इंटरफेस पर परामर्श पत्र और 2022 में संशोधित स्वास्थ्य डेटा प्रबंधन नीति का मसौदा जारी किया था. ये सभी आयुष्मान भारत डिजिटल मिशन के तहत 2017 की राष्ट्रीय स्वास्थ्य नीति से निकले हैं. सबसे आवश्यक है हेल्थकेयर से जुड़े प्रोफेशनल्स एवं स्वास्थ्य सुविधा केंद्रों के लिए डिजिटल हेल्थ रिकॉर्ड और रजिस्ट्री का निर्माण करके, उनको बनाए रखकर और उनकी रक्षा करके भारतीय हेल्थकेयर इकोसिस्टम को डिजिटाइज़ करना. साथ ही एक संरचना और तकनीकी-परिचालन का लचीलापन प्रदान करते हुए हेल्थकेयर को लोगों तक पहुंचाने के काम से जुड़े साझेदारों के लिए आदान-प्रदान की संरचना को सुनिश्चित करना.
2022 की पोनमॉन रिसर्च में असुरक्षित जैव चिकित्सा एवं मोबाइल डिवाइस, कर्मचारियों की लापरवाही या ग़लती और क्लाउड एवं बिज़नेस ईमेल के जोख़िम में पड़ने को हेल्थकेयर के मामले में सबसे बड़ा साइबर सुरक्षा ख़तरा माना गया है.
हार्डवेयर एवं सॉफ्टवेयर के तकनीकी-परिचालन एवं काम-काजी मानकीकरण और डेटा भंडारण की अवधि की लागत एवं उसके बाद हर श्रेणी में उसकी बर्बादी छोटे क्लीनिक या सेंटर, ग़ैर-सरकारी संगठनों (NGO) और ग्रामीण/दूर-दराज़ के स्वास्थ्य केंद्रों को तकनीक के निर्माण, क्षमता एवं पैमाने के मामले में बहुत ज़्यादा चुनौती देगी. ये छोटे संस्थानों को साइबर सुरक्षा के मामले में खर्च घटाने के लिए प्रेरित करेंगी. ब्लॉकचेन की सिफ़ारिशों को दो प्राथमिक मौजूदा समस्याओं पर विचार करने की आवश्यकता होगी: सुरक्षित सूचना तकनीक एवं मोबाइल/कंप्यूटर/डिवाइस का अभाव और समय-समय पर डेटा को हटाने, मिटाने के अधिकार, फिर से पहचान एवं गुमनामी से जुड़ी जटिलताएं.
2022 की पोनमॉन रिसर्च में असुरक्षित जैव चिकित्सा एवं मोबाइल डिवाइस, कर्मचारियों की लापरवाही या ग़लती और क्लाउड एवं बिज़नेस ईमेल के जोख़िम में पड़ने को हेल्थकेयर के मामले में सबसे बड़ा साइबर सुरक्षा ख़तरा माना गया है. पहले की प्रमुख एवं नवीनतम ऑपरेटिंग सिस्टम के साथ बनी जैव चिकित्सा डिवाइस अब पुरानी पड़ चुकी हैं और इन्हें बनाने वाली कंपनी अब इनको दुरुस्त नहीं करती हैं. ऐसे में जो ऑपरेटिंग डिवाइस काम कर रही हैं और जिनका अभी भी इस्तेमाल हो सकता है, उनके लिए असुरक्षा को दूर करने का कोई साधन उपलब्ध नहीं है. अमेरिकी FDA का मुश्किल 510k नियम और 2016 की संशोधित गाइडलाइन ने जैव चिकित्सा डिवाइस बनाने वाली कंपनियों के लिए अपनी सभी पुरानी डिवाइस की मरम्मत का काम महंगा कर दिया है. सिस्टम की नाकामी के स्वाभाविक डर से ये कंपनियां बिना प्रशिक्षित हेल्थकेयर IT टीम को सॉफ्टवेयर अपग्रेड करने या मरम्मत करने से रोकती हैं. जैव चिकित्सा डिवाइस के IT नेटवर्क से संपर्क के स्वभाव की वजह से हेल्थकेयर में लगी IT टीम को उनके दिखने, असुरक्षा की स्थिति या डिवाइस की हालत और इस्तेमाल के मामले में संघर्ष करना पड़ता है. हेल्थकेयर कंपनियों के CFO (चीफ फाइनेंशियल ऑफिसर) सुरक्षा की कमज़ोरी को नज़रअंदाज़ करते हैं और महंगी, इस्तेमाल में आने वाली एवं पैसे कमा कर देने वाली जैव चिकित्सा डिवाइस को बदलना नहीं चाहते हैं. इसके अलावा कैंसर विज्ञान, औषध विज्ञान और लैबोरेटरी विभाग की डिवाइस विंडोज़ ऑपरेटिंग सिस्टम के पुराने वर्ज़न का इस्तेमाल करती हैं. साथ ही लगभग तीन-चौथाई इन्फ्यूज़न पंप असुरक्षित हैं जो मरीज़ की सुरक्षा को ख़तरे में डाल सकते हैं. साथ ही असुरक्षित पासवर्ड की वजह से भी जोख़िम है.
‘भारत में इलाज, भारत के द्वारा इलाज’ के उद्देश्य के साथ भारत को वैश्विक इलाज का केंद्र बनाने के लिए हमें मौजूदा और भविष्य की पीढ़ियों के लिए सतत एवं न्यायसंगत स्वास्थ्य सुविधा का निर्माण करना होगा और सेहत से जुड़ी किसी भी आपात स्थिति के लिए तैयारी रखनी होगी. भारतीय हेल्थकेयर को तुरंत ‘भारत के लिए इलाज’ की आवश्यकता है. स्वास्थ्य की देखभाल से जुड़े सभी संस्थानों में समय पर जोख़िम एवं ख़तरे की समीक्षा और तकनीकों पर उनके असर को कम करने एवं एक-दूसरे के साथ आसानी से जुड़ने से अनियमितता कम होगी, फ़ैसले लेने में आसानी होगी और उपयोगकर्ताओं को बढ़ाया जा सकेगा. एक समावेशी और संपूर्ण समाज का दृष्टिकोण भारतीय हेल्थकेयर को साइबर हमलों से निपटने में मज़बूत बनाएगा. साइबर ख़तरे को लेकर जानकारी को साझा करने, क़ानून एवं नियमों के मूल्यांकन में संबंधित सार्वजनिक एवं निजी क्षेत्र के संगठनों और सिविल सोसायटी की भागीदारी को प्रोत्साहित करने से महत्वपूर्ण हेल्थकेयर सेवाओं की उपलब्धता में व्यावसायिक निरंतरता को सहारा मिलेगा. प्रायोजक संगठनों के नेटवर्क का निर्माण करने से जटिल परतों एवं साइबर स्वच्छता के साथ ज़मीनी स्तर पर एकीकरण की गति बढ़ सकती है. इस तरह हेल्थकेयर समावेशन और ई-गवर्नेंस को मज़बूती मिलेगी. भारतीय हेल्थकेयर सेक्टर तब किसी भी साइबर झटके का सामना करने में सक्षम होगा और साइबर रुकावट से तुरंत ठीक हो सकेगा.
The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.
As a CISO and Head Cybersecurity Sudhansu M Nayak specialises and spearheads enterprise cybersecurity (IT/ OT) cloud and data transformation solutions. He advises CxOs and ...
Read More +
PREV
