Author : Sudhansu Nayak

Published on Jan 05, 2023 Updated 0 Hours ago

भारत को वैश्विक स्तर पर इलाज का एक केंद्र बनाने हेतु हमें हर हाल में वर्तमान और भविष्य की पीढ़ियों के लिए एक सतत और न्यायसंगत स्वास्थ्य सुविधा का निर्माण करना चाहिए. साथ ही सेहत से जुड़ी किसी भी आपात स्थिति के लिए तैयारी रखनी चाहिए.

भारतीय हेल्थकेयर सेक्टर में साइबर अटैक, व्यक्तिगत डिजिटल डेटा संरक्षण और लचीलापन

अखिल भारतीय आयुर्विज्ञान संस्थान यानी AIIMS में साइबर हमले के लिए हम भले ही ईमेलथीफ- कम क़ीमत वाले एंटी-वायरस, फायरवाल्स की कमी या ढीला-ढाला IT नियंत्रण- पर आरोप लगाएं लेकिन भारत के सबसे बड़े सरकारी अस्पताल के सिस्टम का बिगड़ जाना एक महत्वपूर्ण घटनाक्रम है. ये एक बहुत बड़ा अतिक्रमण है और भारतीय हेल्थकेयर सेक्टर में पहले भी ऐसी घटना हो चुकी है. 30 नवंबर 2022 को यानी अंतर्राष्ट्रीय कंप्यूटर सुरक्षा दिवस पर इसी तरह के एक साइबर हमले में हैकर्स ने ऑस्ट्रेलिया की स्वास्थ्य बीमा कंपनी मेडिबैंक को कंपनी के प्रभावित ग्राहकों (जिनमें प्रधानमंत्री एंथनी अल्बनीज़ भी शामिल हैं) की सेहत से जुड़े रिकॉर्ड को इंटरनेट से दूर रखने के लिए 9.7 मिलियन अमेरिकी डॉलर की मांग की. उन्होंने सब कुछ डार्क वेब पर छोड़ दिया और “केस बंद” घोषित कर दिया. ये व्यक्तिगत स्वास्थ्य जानकारी (पब्लिक हेल्थ इन्फॉर्मेशन यानी PHI) पर भविष्य के दिनों में साइबर हमले की सुनामी के सिर्फ़ दो ख़ौफ़नाक उदाहरण हैं. 

अखिल भारतीय आयुर्विज्ञान संस्थान यानी AIIMS में साइबर हमले के लिए हम भले ही ईमेलथीफ- कम क़ीमत वाले एंटी-वायरस, फायरवाल्स की कमी या ढीला-ढाला IT नियंत्रण- पर आरोप लगाएं लेकिन भारत के सबसे बड़े सरकारी अस्पताल के सिस्टम का बिगड़ जाना एक महत्वपूर्ण घटनाक्रम है.

क्रेडिट कार्ड के नंबर, जिन्हें बदला जा सकता है, और सरकार की तरफ़ से जारी विशिष्ट पहचान पत्र का नंबर, जिन्हें फिर से ठीक किया जा सकता है, से हटकर PHI कभी बदलने वाली चीज़ नहीं है और इसलिए ख़ास तौर पर क़ीमती है. यही वजह है कि एक व्यक्ति का चोरी किया गया हेल्थकेयर रिकॉर्ड 1,000 अमेरिकी डॉलर तक में बिकता है. इसके मुक़ाबले एक क्रेडिट कार्ड का नंबर डार्क वेब पर 5 अमेरिकी डॉलर में बिकता है जबकि सरकार की तरफ़ से जारी एक विशिष्ट पहचान पत्र का नंबर सिर्फ़ 1 अमेरिकी डॉलर में बिकता है. हेल्थकेयर रिकॉर्ड की बिक्री पर मिलने वाला ये लाभ हैकर्स को प्रेरित करता है. 

सार्वजनिक स्वास्थ्य से जुड़ी जानकारी के नुक़सान से अराजकता फैलती है

PHI के नुक़सान के साथ हेल्थकेयर के क्षेत्र में प्रदाता, भुगतानकर्ता और फार्मा के त्रिकोण के साथ-साथ मरीज़ों को तात्कालिक और दीर्घकालिक नुक़सान के साथ-साथ कभी-कभी स्थायी यातना झेलनी पड़ती है. भारत के डेटा सुरक्षा परिषद ने हेल्थकेयर के क्षेत्र में प्राइवेसी दिशा-निर्देश के तहत PHI को जनसांख्यिकीय (नाम, उम्र/जन्मतिथि), लैंगिक, नस्लीय एवं जातीय मूल, वैवाहिक स्थिति, घर का पता, परिवार के नज़दीकी सदस्यों के विवरण (आपात स्थिति में), प्रशासनिक (स्वास्थ्य बीमा कवरेज और निपटारा), चिकित्सक (विशेषज्ञता, संस्थान की प्रकृति), स्वास्थ्य जोख़िम (व्यवहार एवं जीवन शैली) और स्वास्थ्य की स्थिति (शारीरिक/मानसिक/भावनात्मक अवस्था, मानसिक काम-काज) की श्रेणी में रखा है. भारतीय चिकित्सा परिषद (व्यावसायिक आचरण, शिष्टाचार और नैतिकता) नियमन 2002, क्लीनिकल एस्टेब्लिशमेंट (पंजीकरण एवं नियमन) मसौदा नियम 2010 और अन्य ने ख़ास तौर पर PHI के अलग-अलग प्रकारों और उन्हें रखने के समय को परिभाषित किया है. अगर PHI को डिजिटाइज़ कर दिया जाए तो वो डिजिटल व्यक्तिगत पहचान योग्य जानकारी में बदल जाती है लेकिन उसके लिए स्पष्ट एकीकृत क़ानूनी सुरक्षा नहीं है. 

अगर इसमें सेंध लगा दी जाए तो हैकर्स लंबे समय तक रहने वाले इस डेटा के ख़ज़ाने को नशीले पदार्थों के तस्करों, मनी लॉन्ड्रिंग करने वालों, यौन अपराधियों, डकैतों, हत्यारों, पहचान की चोरी करने वालों, आतंकियों और शरारती देशों को सौंप सकते हैं. इसके ग़लत इस्तेमाल में चिकित्सकीय इलाज, दवाई और उपकरण को ग़लत ढंग से हासिल करना, स्वास्थ्य बीमा के मुआवज़े के लिए फ़र्ज़ी दावे दायर करना, मरीज़ के पहचान पत्र का इस्तेमाल करके फ़ोन एवं सिम कार्ड ख़रीदना या क्रेडिट कार्ड हासिल करना, ग़लत ढंग से कर्ज़ लेना, प्रतिष्ठा या रोज़गार का नुक़सान, भेदभाव, ब्लैकमेल या ज़बरन वसूली करना शामिल हैं. ऐसा करने से लोगों को काफ़ी ज़्यादा मानसिक और शारीरिक तकलीफ़ हो सकती है. 

व्यापक रूप से खुलेआम साइबर हमले के मूल कारण सामने आए

मरीज़, प्रदाता, भुगतानकर्ताओं और फार्मा कंपनियों के डिजिटल एकीकरण में लंबे समय तक प्रयोग के साथ अनुपस्थित या ग़लत नियम मूल कारण हैं. 

केंद्रीय स्वास्थ्य मंत्रालय की मुफ़्त ई-संजीवनी टेलीमेडिसिन सेवा ने 8 करोड़ टेली-सलाह के आंकड़े को पार कर लिया है. एक करोड़ सलाह तो सिर्फ़ पिछले पांच हफ़्तों में दी गई है. लेकिन इसकी तुलना में भारत में अभी तक कोई एकीकृत स्वास्थ्य जानकारी के आदान-प्रदान की सुविधा नहीं है. कमज़ोर भौतिक बुनियादी ढांचा एवं क्षमता, वर्तमान डेटा की गुणवत्ता में कमी और बिना किसी उत्साह के तक़नीक को अपनाने (जिसका कारण उदासीन, बिना आदान-प्रदान और बिना सहज ज्ञान की तकनीकें हैं) से जटिलता में बढ़ोत्तरी होती है. 

नागरिकों, चिकित्सकों (एलोपैथिक/आयुष), संबंधित स्वास्थ्य प्रोफेशनल्स, सहायकों, एंबुलेंस एवं ब्लड बैंक सेवाओं, लैबोरेटरी, संचालन करने वाले संस्थानों एवं नियामकों, स्वास्थ्य सूचना न्यासियों, भुगतानकर्ताओं, दवा कंपनियों और रिसर्च संस्थानों को आपस में जोड़ने के लिए एक समान संगठित क़ानूनी रूप-रेखा की आवश्यकता होती है ताकि PHI की रक्षा की जा सके. सूचना प्रौद्योगिकी (IT) (संशोधन) अधिनियम 2008 में जुर्माने और राष्ट्रीय रोग सूचना विज्ञान एवं अनुसंधान केंद्र की नीति में स्वास्थ्य डेटा पर नियंत्रण में सख़्ती सीमित, अपर्याप्त एवं अलग-थलग हैं. एक मज़बूत शिकायत निपटारा प्रणाली, प्रभावशाली अनुपालन और लागू होने वाले क़ानूनों की व्यवस्था भी लापता हैं.  

डिजिटल व्यक्तिगत डेटा सुरक्षा बिल 2022 के पहले राष्ट्रीय स्वास्थ्य प्राधिकरण (NHA) ने 2019 में राष्ट्रीय डिजिटल स्वास्थ्य ब्लूप्रिंट, 2021 में एकीकृत स्वास्थ्य इंटरफेस पर परामर्श पत्र और 2022 में संशोधित स्वास्थ्य डेटा प्रबंधन नीति का मसौदा जारी किया था. ये सभी आयुष्मान भारत डिजिटल मिशन के तहत 2017 की राष्ट्रीय स्वास्थ्य नीति से निकले हैं. सबसे आवश्यक है हेल्थकेयर से जुड़े प्रोफेशनल्स एवं स्वास्थ्य सुविधा केंद्रों के लिए डिजिटल हेल्थ रिकॉर्ड और रजिस्ट्री का निर्माण करके, उनको बनाए रखकर और उनकी रक्षा करके भारतीय हेल्थकेयर इकोसिस्टम को डिजिटाइज़ करना. साथ ही एक संरचना और तकनीकी-परिचालन का लचीलापन प्रदान करते हुए हेल्थकेयर को लोगों तक पहुंचाने के काम से जुड़े साझेदारों के लिए आदान-प्रदान की संरचना को सुनिश्चित करना. 

2022 की पोनमॉन रिसर्च में असुरक्षित जैव चिकित्सा एवं मोबाइल डिवाइस, कर्मचारियों की लापरवाही या ग़लती और क्लाउड एवं बिज़नेस ईमेल के जोख़िम में पड़ने को हेल्थकेयर के मामले में सबसे बड़ा साइबर सुरक्षा ख़तरा माना गया है.

हार्डवेयर एवं सॉफ्टवेयर के तकनीकी-परिचालन एवं काम-काजी मानकीकरण और डेटा भंडारण की अवधि की लागत एवं उसके बाद हर श्रेणी में उसकी बर्बादी छोटे क्लीनिक या सेंटर, ग़ैर-सरकारी संगठनों (NGO) और ग्रामीण/दूर-दराज़ के स्वास्थ्य केंद्रों को तकनीक के निर्माण, क्षमता एवं पैमाने के मामले में बहुत ज़्यादा चुनौती देगी. ये छोटे संस्थानों को साइबर सुरक्षा के मामले में खर्च घटाने के लिए प्रेरित करेंगी. ब्लॉकचेन की सिफ़ारिशों को दो प्राथमिक मौजूदा समस्याओं पर विचार करने की आवश्यकता होगी: सुरक्षित सूचना तकनीक एवं मोबाइल/कंप्यूटर/डिवाइस का अभाव और समय-समय पर डेटा को हटाने, मिटाने के अधिकार, फिर से पहचान एवं गुमनामी से जुड़ी जटिलताएं. 

2022 की पोनमॉन रिसर्च में असुरक्षित जैव चिकित्सा एवं मोबाइल डिवाइस, कर्मचारियों की लापरवाही या ग़लती और क्लाउड एवं बिज़नेस ईमेल के जोख़िम में पड़ने को हेल्थकेयर के मामले में सबसे बड़ा साइबर सुरक्षा ख़तरा माना गया है. पहले की प्रमुख एवं नवीनतम ऑपरेटिंग सिस्टम के साथ बनी जैव चिकित्सा डिवाइस अब पुरानी पड़ चुकी हैं और इन्हें बनाने वाली कंपनी अब इनको दुरुस्त नहीं करती हैं. ऐसे में जो ऑपरेटिंग डिवाइस काम कर रही हैं और जिनका अभी भी इस्तेमाल हो सकता है, उनके लिए असुरक्षा को दूर करने का कोई साधन उपलब्ध नहीं है. अमेरिकी FDA का मुश्किल 510k नियम और 2016 की संशोधित गाइडलाइन ने जैव चिकित्सा डिवाइस बनाने वाली कंपनियों के लिए अपनी सभी पुरानी डिवाइस की मरम्मत का काम महंगा कर दिया है. सिस्टम की नाकामी के स्वाभाविक डर से ये कंपनियां बिना प्रशिक्षित हेल्थकेयर IT टीम को सॉफ्टवेयर अपग्रेड करने या मरम्मत करने से रोकती हैं. जैव चिकित्सा डिवाइस के IT नेटवर्क से संपर्क के स्वभाव की वजह से हेल्थकेयर में लगी IT टीम को उनके दिखने, असुरक्षा की स्थिति या डिवाइस की हालत और इस्तेमाल के मामले में संघर्ष करना पड़ता है. हेल्थकेयर कंपनियों के CFO (चीफ फाइनेंशियल ऑफिसर) सुरक्षा की कमज़ोरी को नज़रअंदाज़ करते हैं और महंगी, इस्तेमाल में आने वाली एवं पैसे कमा कर देने वाली जैव चिकित्सा डिवाइस को बदलना नहीं चाहते हैं. इसके अलावा कैंसर विज्ञान, औषध विज्ञान और लैबोरेटरी विभाग की डिवाइस विंडोज़ ऑपरेटिंग सिस्टम के पुराने वर्ज़न का इस्तेमाल करती हैं. साथ ही लगभग तीन-चौथाई इन्फ्यूज़न पंप असुरक्षित हैं जो मरीज़ की सुरक्षा को ख़तरे में डाल सकते हैं. साथ ही असुरक्षित पासवर्ड की वजह से भी जोख़िम है. 

समाधान के लिए पांच-सूत्रीय सिफ़ारिशें 

  1. एकीकृत भारतीय डिजिटल व्यक्तिगत एवं स्वास्थ्य डेटा संरक्षण की रूप-रेखा के डिज़ाइन में अनिवार्य रूप से प्राइवेसी और एक-दूसरे के साथ आदान-प्रदान की संरचना को बनाए रखने के लिए महत्वपूर्ण नियम होने चाहिए. साथ ही क्षमता एवं लागत को संतुलित करते हुए, नागरिकों की सेवा के स्तर को नियंत्रण में रखने एवं उन पर ध्यान देने के लिए परिभाषा और संशोधित परिचालन की प्रक्रिया (जैसे कि RBI का नियामक सैंडबॉक्स) के माध्यम से बिना किसी दिक़्क़त के शामिल करने, हेल्थकेयर समावेशन एवं ई-गवर्नेंस को जोड़ने के लिए  चरणबद्ध तरीक़े से क्रियान्वयन एवं संचार (अंग्रेज़ी और आठवीं सूची की किसी भी एक भाषा में) की योजना भी आवश्यक है. 
  2. वैसे तो परिभाषा के अनुसार “महत्वपूर्ण सूचना के बुनियादी ढांचे” में वो अक्षमता शामिल हैं जो “राष्ट्रीय सुरक्षा” पर “कमज़ोर करने वाले असर” डाल सकते हैं लेकिन IT (संशोधन) अधिनियम, 2008 (धारा 70) में “सार्वजनिक स्वास्थ्य” की परिभाषा में हेल्थकेयर राष्ट्रीय महत्वपूर्ण सूचना बुनियादी ढांचा संरक्षण केंद्र के तहत प्रमुख रूप से नहीं आता है. इसलिए इन्फॉर्मेशन शेयरिंग एंड एनालिसिस सेंटर भारत की कंप्यूटर इमरजेंसी रेस्पॉन्स टीम के तहत नहीं आता है. “सार्वजनिक स्वास्थ्य” को राज्य की सूची से हटाकर संघीय सूची में डालने और हेल्थकेयर को राष्ट्रीय महत्वपूर्ण बुनियादी ढांचे में शामिल करने से मुख्य सूचना सुरक्षा अधिकारी का काम-काज तुरंत संगठन की संरचना में शामिल हो जाएगा जिससे कि उपयुक्त तकनीकों एवं साइबर सुरक्षा की दशा को अपनाया जा सकेगा, हेल्थकेयर त्रिकोण (प्रदाता, भुगतानकर्ता और फार्मा) में सर्वश्रेष्ठ साइबर सुरक्षा की कार्यप्रणाली को शामिल किया जा सकेगा और महत्वपूर्ण नियमों एवं डिजिटल व्यक्तिगत डेटा संरक्षण गाइडलाइन को मज़बूत बनाया जा सकेगा. 
  3. PHI रिकॉर्ड का एक संरक्षित राष्ट्रीय डेटा बेस बनाने के लिए इलेक्ट्रॉनिक हेल्थ रिकॉर्ड स्टैंडर्ड-2016 और टेलीमेडिसिन गाइडलाइन-2020 के साथ जुड़े एकीकृत स्वास्थ्य इंटरफेस के ज़रिए प्रयास जारी हैं. इसे पूरी तरह से तेज़ करने का कार्यक्रम इन अलग-अलग कोशिशों को एक करने की गति बढ़ा सकता है. पर्याप्त तकनीकी एवं नियामक सुरक्षा बड़ी मात्रा में मरीज़ों एवं संस्थानों के बर्ताव के डेटा की ग़ैर-क़ानूनी प्रक्रिया के ख़तरे को कम कर सकती है. ये महत्वपूर्ण अवसर पर PHI के रिकॉर्ड को खोजे जाने को नियंत्रित कर सकती है.  
  4. पूरे हेल्थकेयर इकोसिस्टम में बेहद ज़रूरी IT/इंटरनेट ऑफ थिंग्स (IoT)/ जैव चिकित्सा डिवाइस की असुरक्षा की समीक्षा किए जाने की आवश्यकता है. क़ानूनी प्रक्रिया के द्वारा एक तय समय के भीतर पुराने पड़ चुके ऑपरेटिंग सिस्टम और जैव चिकित्सा उपकरण बनाने वाली कंपनियों के द्वारा खुली IoT असुरक्षा को दुरुस्त करने की आवश्यकता है. रियल टाइम डेटा लेने के लिए स्मार्टफ़ोन या टैबलेट या डेटा प्रोसेसिंग और विश्लेषण के लिए डेस्क-साइड डिवाइस में हर हाल में सुरक्षा के समाधान जैसे कि एंटी-वायरस, एंडप्वाइंट डिटेक्शन एंड रेस्पॉन्स, मोबाइल थ्रेट डिफेंस और एंटरप्राइज़ मोबाइल डिवाइस मैनेजमेंट सॉल्यूशंस होने चाहिए. डेटा एनक्रिप्शन के साथ क्लाउड को अपनाने, अनुकूल एक्सेस कंट्रोल और क्लाउड आइडेंटिटी मैनेजमेंट को ज़ीरो ट्रस्ट की संरचना के साथ सहारा देने की ज़रूरत है. 
  5. साइबर सुरक्षा की तैयारी को बेहतर बनाने के लिए आंतरिक लापरवाह या द्वेषपूर्ण बर्ताव पर निगरानी करने और हितधारकों की जागरुकता को बढ़ाना होगा. इस मामले में NHA गृह मंत्रालय के साइबर एवं सूचना सुरक्षा विभाग और निजी क्षेत्र के साथ तालमेल कर सकता है. 

निष्कर्ष

‘भारत में इलाज, भारत के द्वारा इलाज’ के उद्देश्य के साथ भारत को वैश्विक इलाज का केंद्र बनाने के लिए हमें मौजूदा और भविष्य की पीढ़ियों के लिए सतत एवं न्यायसंगत स्वास्थ्य सुविधा का निर्माण करना होगा और सेहत से जुड़ी किसी भी आपात स्थिति के लिए तैयारी रखनी होगी. भारतीय हेल्थकेयर को तुरंत ‘भारत के लिए इलाज’ की आवश्यकता है. स्वास्थ्य की देखभाल से जुड़े सभी संस्थानों में समय पर जोख़िम एवं ख़तरे की समीक्षा और तकनीकों पर उनके असर को कम करने एवं एक-दूसरे के साथ आसानी से जुड़ने से अनियमितता कम होगी, फ़ैसले लेने में आसानी होगी और उपयोगकर्ताओं को बढ़ाया जा सकेगा. एक समावेशी और संपूर्ण समाज का दृष्टिकोण भारतीय हेल्थकेयर को साइबर हमलों से निपटने में मज़बूत बनाएगा. साइबर ख़तरे को लेकर जानकारी को साझा करने, क़ानून एवं नियमों के मूल्यांकन में संबंधित सार्वजनिक एवं निजी क्षेत्र के संगठनों और सिविल सोसायटी की भागीदारी को प्रोत्साहित करने से महत्वपूर्ण हेल्थकेयर सेवाओं की उपलब्धता में व्यावसायिक निरंतरता को सहारा मिलेगा. प्रायोजक संगठनों के नेटवर्क का निर्माण करने से जटिल परतों एवं साइबर स्वच्छता के साथ ज़मीनी स्तर पर एकीकरण की गति बढ़ सकती है. इस तरह हेल्थकेयर समावेशन और ई-गवर्नेंस को मज़बूती मिलेगी. भारतीय हेल्थकेयर सेक्टर तब किसी भी साइबर झटके का सामना करने में सक्षम होगा और साइबर रुकावट से तुरंत ठीक हो सकेगा. 

The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.