বেহাতের আশঙ্কায় স্বাস্থ্য তথ্য
দেশের একটি হেলথকেয়ার প্রতিষ্ঠানে সাইবার হানা! আক্রান্তের ঝুঁকিতে আরও
আর্ন্তজাতিক গণমাধ্যমে বাংলাদেশি একটি হেলথ কেয়ার প্রতিষ্ঠানের তথ্য বেহাত হয়েছে মর্মে সংবাদ প্রকাশ করা হয়। যেখানে বলা হয়েছে, টেলিরেড বাংলাদেশ নামে প্রতিষ্ঠানটির নেটওয়ার্কে প্রবেশাধিকার নিয়েছে “সিজড সেক” নামের একটি হ্যাকার গ্রুপ। যার ফলে প্রতিষ্ঠানটির গুরুত্বপূর্ণ তথ্য, ডেটাবেজ হুমকির মুখে রয়েছে।
সংবাদের সুত্র ধরে, বিভিন্ন মাধ্যম ঘেঁটে প্রতিষ্ঠানটির বিশ গিগাবাইটের বেশি তথ্য পাওয়া যায়। এসব ডকুমেন্টের মধ্যে প্রাতিষ্ঠানিক কিছু কাগজপত্র, অ্যাকাউন্টস, বিল, রোগীর রিপোর্ট, লাইসেন্স কিসহ নানান তথ্য রয়েছে।
তথ্যের যথার্থতা যাচাইয়ে টেলিরেড বাংলাদেশ নামক প্রতিষ্ঠানের চেয়ারম্যান জহিরুল ইসলাম ভূইয়া, ব্যবস্থাপনা পরিচালক মির্জা সানোয়ার হোসেনের সাথে কথা হয় বাংলাভিশনের। ব্যবস্থাপনা পরিচালক মির্জা সানোয়ার হোসেন প্রথমে বিষয়টি এড়িয়ে যান। পরে বাংলাভিশনের হাতে থাকা বিভিন্ন তথ্য-উপাত্ত বিশ্লেষণ এবং ক্রস ম্যাচিংয়ের পর তথ্য বেহাতের বিষয়টি স্বীকার করেন।
তিনি বলেন, আমরা তিনটি সার্ভারে আমাদের তথ্যাদি জমা রাখি। এদের মধ্যে প্রাতিষ্ঠানিক এবং আনুষাঙ্গিক কিছু কাগজপত্র যে সার্ভারে থাকে সেই সার্ভারের তথ্য বেহাত হয়েছে।
তিনি বলেন, এসব ডকুমেন্ট হ্যাকাররা হাতিয়ে নিলেও মূলত যে সার্ভারে রোগীর তথ্য আছে সে সার্ভার আক্রান্ত হয়নি। তাই বিষয়টি তেমন গুরুত্বপূর্ণ নয়। বাংলাভিশনের হাতে থাকা ডকুমেন্ট দেখে তিনি আরো বলেন, রোগীর তথ্য নির্দিষ্ট একটি এক্সটেনশন ব্যবহার করে সংরক্ষণ করা হয়। তাই রোগীর তথ্য বেহাতের কোন সুযোগ নেই।
পরে রোগীর গুরুত্বপূর্ণ তথ্য বেহাত হয়েছে কি না তা নিশ্চিত করতে ব্যবস্থাপনা পরিচালক যে সার্ভারে রোগীর তথ্য রাখার কথা জানিয়েছিলেন এবং যে ফরমেটে ফাইল সংরক্ষণ করেছিলেন তার ছবি এবং একটি রিপোর্ট হোয়াটসঅ্যাপে পাঠানো হয়। পরে তিনি স্বীকার করেন এটিই সেই সার্ভারে সংরক্ষিত ফাইলের সঠিক ছবি।
ব্যবস্থাপনা পরিচালকের এই স্বীকারোক্তির মানে হ্যাকাররা রোগীর ডেটাবেজ সংরক্ষিত সার্ভারেও প্রবেশ করেছিলো। ফলে, এই প্রতিষ্ঠানে যে সব রোগীর তথ্য রয়েছে তা হুমকির মুখে বলাই যায়। টেলিরেড বাংলাদেশ কর্তৃপক্ষ বলছে, দেশব্যাপী এক হাজারেরও বেশি হাসপাতাল/ ডায়াগনস্টিক সেন্টার/হেলথ কেয়ার প্রতিষ্ঠানের সাথে কাজ করে টেলিরেড বাংলাদেশ লি.।
প্রতিদিন প্রায় তিন হাজার রোগীর তথ্য ইনপুট, প্রসেসিংয়ের মাধ্যমে প্রতিবেদন তৈরি করে প্রতিষ্ঠানটি। আউটসোর্সিং পদ্ধতিতে প্রতিদিন গড়ে ৬০ জন ডাক্তার কাজ করেন। এছাড়া বিভিন্ন প্রকার মেডিকেল সরঞ্জামাদি সরবরাহ করে থাকে প্রতিষ্ঠানটি। সাইবার নিরাপত্তায় প্রতিষ্ঠানটিতে তেমন কোনো তৎপরতা লক্ষ্য করা যায় নি। নিরাপত্তা বলতে, শুধুমাত্র অ্যান্টিভাইরাস ব্যবহার করতে দেখা গেছে।
এই বিষয়ে সরকারের সাইবার ইস্যূ দেখভালকারী প্রতিষ্ঠান বিজিডি ই-গভ সার্টের সাইবার থ্রেট ইন্টেলিজেন্স ইউনিটের টিম লিড মো. মাকসুদুল আলম বাংলাভিশনকে জানান, সাম্প্রতিক সময়ে দেশের হাসপাতাল, ডায়গনস্টিক সেন্টার, হেলথ-কেয়ার প্রতিষ্ঠান এবং ইকুইপমেন্ট সাপ্লায়ার প্রতিষ্ঠানকে টার্গেট করে সাইবার হামলা বেড়েছে।
সংগত কারণেই সার্ট দেশের স্বাস্থ্য খাতকে গুরুত্বের সাথে বিবেচনায় নিয়ে মনিটরিং কার্যক্রম জোড়দার করেছে। টেলিরেড বাংলাদেশ নামের একটি হেলথ কেয়ার প্রতিষ্ঠানের ডেটা বিভিন্ন ডার্ক ফোরামে পাওয়া গেছে, যা বিশ্লেষনপূর্বক সঠিকতা যাচাই করা হবে।
এ বিষয়ে সাইবার বিশেষজ্ঞ সুমন আহমেদ সাবির বাংলাভিশনকে জানান, বলতে গেলে, আমাদের নিরাপত্তার জন্য ডেটা সংরক্ষণের যে বোধ থাকা দরকার তা তৈরিই হয়নি। নিজেদের ডেটা সংরক্ষনে প্রতিষ্ঠানগুলোর তৎপরতা নেই বললেই চলে। আমাদের সচেতনতার জায়গাতে প্রচুর কাজ করতে হবে।
যেহেতু আমাদের এখনো ডেটা প্রটেকশন অ্যাক্ট নেই, তাই আমাদের একটা ডেটা প্রাইভেসি গাইডলাইন থাকতে পারে। সেখানে কোন ডেটাগুলো কিভাবে প্রটেক্ট করতে হবে বা কিভাবে নিয়ন্ত্রণ করতে হবে তা বলা থাকবে। পাশাপাশি তথ্য বেহাত হলে যারা তথ্য সংরক্ষণ করে তারা কোন শাস্তির আওতায় পড়বে তাও বলা থাকবে।
তথ্য ও যোগাযোগ বিভাগের সচিব সামসুল আরেফিন বাংলাভিশনকে বলেন, ডিজিটাল বাংলাদেশ থেকে স্মার্ট বাংলাদেশ বিনির্মাণের দিকে এগিয়ে যাচ্ছে দেশ। তাই তথ্য এবং তথ্যের নিরাপত্তা বিধানে বদ্ধপরিকর সরকার।
তিনি বলেন, তথ্যের নিরাপত্তায় সরকার ইতোমধ্যে ডেটা প্রটেকশন অ্যাক্ট নিয়ে কাজ করছে। এটি চূড়ান্ত হলে ডেটা নিরাপত্তা নিশ্চিতকরণ অনেকাংশে সহজ হবে।
সচিব বলেন, দেশের সকল জনগণের একটি কমন হেলথ ডেটা তৈরির উদ্দেশ্যে কাজ করছে সরকার। যেখানে একটি সেন্ট্রাল ডেটাবেজের আওতায় প্রতিটি হাসপাতাল/ডায়াগনস্টি সেন্টার/ হেলথ কেয়ার প্রতিষ্ঠান সবাই রোগীর তথ্য ইনপুট দিবে। সে অনুযায়ী একজন ব্যক্তির সকল মেডিকেল হিস্ট্রি এক সার্ভারে সংরক্ষিত থাকবে।
ফলে যে কোন জায়গা থেকেই এক্সেস নিয়ে রোগীর বিস্তারিত জেনে খুব কম সময়ের মধ্যে রোগ নির্ণয়সহ সেবা দেওয়া সম্ভব হবে। এক্ষেত্রে প্রতিটি ব্যক্তির জন্য আলাদা আলাদা হেলথ আইডি কার্ড তৈরি করা হবে, যা দিয়ে যে কোন জায়গা থেকে লগইন করে তার বিস্তারিত তথ্য জানা যাবে।
“বিশাল এই তথ্য ভান্ডারের নিরাপত্তায় ফোরটিয়ার ডেটা সেন্টারকে ব্যবহার করা হতে পারে, পাশাপাশি সর্বোচ্চ সিকিউরিটি নিশ্চিত করা হবে যাতে কোন ভাবেই তথ্য বেহাত না হয়” যোগ করেন সচিব। এছাড়া হেলথ ইন্সুরেন্সের ক্ষেত্রেও এই ডেটাবেজ কাজে আসবে। রোগের ধরণ অনুযায়ী কি পরিমাণ হেলথ কাভারেজের আওতায় একজন ব্যক্তির আসা উচিত সে বিষয়টিও নির্ণয় করা সহজ হবে।
সামসুল আরেফিন বলেন, এই ব্যবস্থা চালু হলে তথ্য বেহাতের বিষয়টি অনেকাংশে কমে যাবে। এছাড়া প্রতিটি প্রতিষ্ঠানেরই তাদের নিজেদের ডেটা সুরক্ষিত রাখতে যথার্থ ব্যবস্থা থাকতে হবে।
বিশেষজ্ঞরা বলছেন, কোনো প্রতিষ্ঠান সাইবার হামলার শিকার হলে নেটওয়ার্ক স্ক্যান করে দেখতে হবে সন্দেহজনক কোন আর্টিফ্যাক্ট বা সফটওয়্যার আছে কি না? এছাড়া সার্ভার, সিস্টেমকে পূণরায় সেটআপ করা, আইটি অডিট, ভালনারিবিলিটি অ্যাসেসম্যান্ট অ্যান্ড পেনেট্রেশন টেস্টিং (ভিএপিটি) করা, ফাইল সিস্টেম চেক করা জরুরী।
গত বছর দেশের স্বাস্থ্য খাতে সাইবার হামলার ঘটনা ঘটেছে। অ্যারিস্টোফার্মা লকবিট৩ র্যানসমওয়্যার দ্বারা আক্রান্ত হয়। সুরক্ষা প্লাটফর্মে ডিডস হামলা চালানো হয়। এছাড়া ‘র্যানসমওয়্যার ল্যান্ডসক্যাপ বাংলাদেশ-২০২২’ রিপোর্টে বেক্সিমকো সাইবার হামলার শিকার হয়েছে বলে জানানো হয়। সম্প্রতি স্বাস্থ্য খাতে সাইবার হামলা শুধু বাংলাদেশেই নয়। পার্শ্ববর্তী দেশ ভারতের কেডি হাসপাতাল, সান ফার্মাসিউটিক্যাল, অল ইন্ডিয়া ইনস্টিটিউশনস অব মেডিকেল সায়েন্স (এআইআইএমএস)-এ ঘটেছে সাইবার হামলার ঘটনা।
থিংক ট্যাংক খ্যাত সাইবার পিস ফাউন্ডেশন এবং অটোবট ইনফোসেক প্রাইভেট লি. এর প্রকাশিত তথ্যে দেখা যায়, ২০২২ সালে ভারতের স্বাস্থ্য খাতে ১৯ লাখ সাইবার হামলা হয়েছিল। এমসিসফট ম্যালওয়্যার ল্যাব কর্তৃক প্রকাশিত যুক্তরাষ্ট্রের “স্টেট অব র্যানসমওয়্যার ইন দ্য ইউএস রিপোর্ট” এ বলা হয়েছে, ২০২২ সালে যুক্তরাষ্ট্রের স্বাস্থ্য খাতে উল্লেখযোগ্য ২৫টি সাইবার অ্যাটাক হয়েছে যা ২৯০টি হাসপাতালের রোগীকে বিপদের মুখে ফেলে দিয়েছে।
অসমর্থিত কিছু সূত্রের বরাতে জানা গেছে, স্বাস্থ্য খাতের আরো অনেক প্রতিষ্ঠান প্রত্যক্ষ বা পরোক্ষভাবে আক্রান্ত। নিজেদের ব্যবসায়িক সুনাম অক্ষুন্ন রাখাসহ বিভিন্ন কারণে তারা বিষয়টি যথাযথ কর্তৃপক্ষকে জানায় না। আবার কিছু প্রতিষ্ঠান আক্রান্ত তারা নিজেরাই জানেনা। ফলে বিশেষজ্ঞরা এই খাতে বড় ধরনের আক্রমণের শঙ্কা উড়িয়ে দিচ্ছেন না।
অনেক প্রতিষ্ঠানে আলাদাভাবে সাইবার সিকিউরিটি দেখভালকারী আলাদা কোন বিভাগ নেই, আইটি টিম দিয়েই চলছে সাইবার এবং আইটি’র কাজ। তাই ব্যবসায়িক সুনাম অক্ষুন্ন রাখা, তথ্য বেহাতের হাত থেকে রক্ষা পাওয়া সর্বোপরি দেশকে সমুন্নত রাখতে প্রতিটি প্রতিষ্ঠানে সাইবার সিকিউরিটির জন্য আলাদা টিম নিয়োগের পরামর্শ খাত সংশ্লিষ্টদের।
বিভি/ এসআই
মন্তব্য করুন: