एक सर्वेक्षण में, स्वास्थ्य सेवा उद्योग ने औसत से अधिक ईमेल सुरक्षा उल्लंघनों का अनुभव किया। ऐसे हमलों के बाद पुनर्प्राप्ति लागत स्वास्थ्य देखभाल प्रणाली के लिए विशेष रूप से समस्याग्रस्त है।
नवीनतम बाराकुडा रैनसमवेयर वार्षिक रिपोर्ट के अनुसार, स्वास्थ्य सेवा संगठनों पर रैनसमवेयर हमले 2022 के बाद से दोगुने से अधिक हो गए हैं। हालाँकि, जब आप अन्य उद्योगों की तुलना में स्वास्थ्य सेवा को देखते हैं, तो एक अधिक जटिल तस्वीर सामने आती है, डॉ. कहते हैं। क्लॉस घेरी, बाराकुडा नेटवर्क्स के उपाध्यक्ष और महाप्रबंधक नेटवर्क सुरक्षा। कई मामलों में, इस क्षेत्र में अन्य उद्योगों की तुलना में कम बड़ी साइबर घटनाएं होती हैं - लेकिन मरीजों के लिए जोखिम और व्यक्तिगत डेटा की संवेदनशीलता के कारण हमले सुर्खियां बनते हैं। और कुछ मामलों में, प्रभाव सीमित होते हुए भी गंभीर होता है।
स्वास्थ्य सेवा लगातार साइबर हमलों का निशाना बनी हुई है
मार्च में, बार्सिलोना के मुख्य अस्पतालों में से एक पर रैंसमवेयर हमले ने केंद्र की कंप्यूटर प्रणाली को पंगु बना दिया और गैर-जरूरी सर्जरी और रोगी परीक्षाओं को रद्द करने के लिए मजबूर किया। अस्पताल द्वारा फिरौती देने से इनकार करने के बाद हमलावरों ने कथित तौर पर चुराए गए डेटा को ऑनलाइन पोस्ट करने में अगले कुछ महीने बिताए।
कुछ महीने बाद, अगस्त में, अमेरिका में प्रॉस्पेक्ट मेडिकल होल्डिंग्स पर एक साइबर हमले ने देश भर के अस्पतालों के कंप्यूटर सिस्टम को पंगु बना दिया, जिससे कई राज्यों में आपातकालीन कक्ष बंद हो गए और एम्बुलेंस का रास्ता बदलना पड़ा।
स्वास्थ्य देखभाल संगठनों के सामने आने वाले साइबर जोखिमों को समझना और उनका समाधान करना महत्वपूर्ण है। शुरुआत करने के लिए एक अच्छी जगह ईमेल-आधारित जोखिम है। साइबर अपराधियों के लिए उच्च सफलता दर और कई अन्य हमलों के लिए एक सामान्य प्रवेश बिंदु के साथ ईमेल एक प्राथमिक हमला वेक्टर बना हुआ है। इसके अलावा, महामारी ने स्वास्थ्य देखभाल में डिजिटलीकरण को तेज कर दिया है, जिससे हमले की सतह और बढ़ जाती है।
ईमेल सुरक्षा उल्लंघन से 77 प्रतिशत प्रभावित
बाराकुडा द्वारा नियुक्त मध्यम आकार की कंपनियों के एक हालिया अंतरराष्ट्रीय अध्ययन में पाया गया कि 77 प्रतिशत स्वास्थ्य सेवा उत्तरदाताओं ने 2022 में ईमेल सुरक्षा उल्लंघन का अनुभव किया। इसकी तुलना में सभी क्षेत्रों में यह संख्या 75 फीसदी थी.
इसके बावजूद, स्वास्थ्य सेवा उत्तरदाताओं को साइबर सुरक्षा घटना से निपटने की अपनी क्षमता पर भरोसा था। 45 प्रतिशत ने कहा कि वे पिछले वर्ष की तुलना में "बहुत" अधिक सुरक्षित महसूस करते हैं, जबकि अन्य सभी उद्योगों में यह प्रतिशत 34 प्रतिशत है। इसका संबंध साइबर सुरक्षा में निवेश की तुलना में प्रथाओं, नीतियों और जागरूकता से अधिक हो सकता है, क्योंकि केवल 10 प्रतिशत ने कहा कि उन्होंने अधिक निवेश करने की योजना बनाई है, जो कुल मिलाकर दूसरा सबसे कम है।
फिर भी, स्वास्थ्य सेवा उद्योग को कई अन्य उद्योगों की तुलना में ईमेल-आधारित खतरों से निपटने की अपनी क्षमता पर अधिक भरोसा है। बाराकुडा ने 13 प्रकार के ईमेल खतरों की पहचान की है, जिनमें साधारण फ़िशिंग और दुर्भावनापूर्ण लिंक या अटैचमेंट से लेकर व्यावसायिक ईमेल समझौता (बीईसी), वार्तालाप अपहरण और खाता अधिग्रहण जैसी परिष्कृत सोशल इंजीनियरिंग तकनीकें शामिल हैं। कई अन्य उद्योगों की तुलना में हेल्थकेयर कंपनियों के यह कहने की संभावना कम है कि वे इस प्रकार के ईमेल खतरों के लिए कम तैयार महसूस करती हैं।
स्वास्थ्य सेवा पुनर्प्राप्ति लागत के साथ सबसे अधिक संघर्ष करती है
एक सफल ईमेल सुरक्षा हमले के प्रभाव के बारे में पूछे जाने पर सर्वेक्षण में शामिल आधे से कम (44 प्रतिशत) स्वास्थ्य सेवा संगठनों ने पुनर्प्राप्ति लागत का हवाला दिया - जबकि कुल मिलाकर 31 प्रतिशत ने - सबसे महंगे हमले की औसत लागत $975.000 की आपूर्ति की थी।
स्वास्थ्य देखभाल बजट अक्सर बढ़ा दिया जाता है, और सीमित संसाधनों, जटिल और अक्सर महत्वपूर्ण प्रौद्योगिकी प्रणालियों का संयोजन, और जितनी जल्दी हो सके सब कुछ वापस लाने और चलाने का दबाव संभवतः पुनर्प्राप्ति लागत में योगदान दे रहा है जो सबसे आम तौर पर उद्धृत प्रभाव है।
हालाँकि, संवेदनशील, गोपनीय या व्यावसायिक-महत्वपूर्ण डेटा का नुकसान औसत से कम था: कुल मिलाकर 29 प्रतिशत की तुलना में 43 प्रतिशत। ऐसा इसलिए हो सकता है, क्योंकि इतने वर्षों तक साइबर हमलों का निशाना बनने के बाद, स्वास्थ्य सेवा संगठनों के पास अब चिकित्सा डेटा और अन्य संरक्षित स्वास्थ्य जानकारी को साझा करने, संग्रहीत करने और सुरक्षित करने के लिए विशेष रूप से सख्त नीतियां हैं।
रैनसमवेयर: स्वास्थ्य सेवा उद्योग सबसे कम प्रभावित
सर्वेक्षण में पाया गया कि सर्वेक्षण में शामिल 60 प्रतिशत स्वास्थ्य सेवा संगठन रैंसमवेयर हमले से प्रभावित हुए थे - उपभोक्ता सेवाओं (50 प्रतिशत) के बाद दूसरी सबसे कम हिस्सेदारी और उद्योग के औसत 73 प्रतिशत से कम। यह संख्या अन्य अध्ययनों में भी परिलक्षित होती है, हालाँकि सार्वजनिक धारणा काफी बेहतर परिणाम सुझाती है।
कुल 29 प्रतिशत की तुलना में 38 प्रतिशत स्वास्थ्य सेवा संगठनों ने दो या अधिक सफल रैंसमवेयर घटनाओं की सूचना दी। इससे पता चलता है कि हमलों को हमेशा पूरी तरह से निष्प्रभावी नहीं किया जाता है या प्रारंभिक घटना के बाद कमजोरियों की हमेशा पहचान नहीं की जाती है और उनका समाधान नहीं किया जाता है।
अच्छी खबर यह है कि आधे से अधिक (59 प्रतिशत) बैकअप (कुल 52 प्रतिशत) का उपयोग करके एन्क्रिप्टेड डेटा को पुनर्प्राप्त करने में सक्षम थे और केवल 22 प्रतिशत ने अपने डेटा को पुनर्स्थापित करने के लिए फिरौती का भुगतान किया (कुल 34 प्रतिशत)।
स्पीयर फ़िशिंग हमलों का महत्वपूर्ण प्रभाव पड़ता है
सर्वेक्षण में शामिल केवल 8 प्रतिशत स्वास्थ्य सेवा कंपनियों ने महसूस किया कि वे स्पीयर फ़िशिंग हमले के लिए अपर्याप्त रूप से तैयार हैं। कुछ हद तक, यह विश्वास उचित है, क्योंकि सर्वेक्षण में शामिल केवल 32 प्रतिशत स्वास्थ्य सेवा कंपनियाँ 2022 में इस तरह के हमले से प्रभावित हुईं, जबकि कुल मिलाकर 50 प्रतिशत थीं। हालाँकि, प्रभावित लोगों के लिए, हमले के अक्सर गंभीर परिणाम होते थे।
प्रभावित लोगों में से 60 प्रतिशत ने कहा कि कंप्यूटर या अन्य उपकरण मैलवेयर या वायरस से संक्रमित थे, जबकि कुल मिलाकर 55 प्रतिशत ने कहा, जबकि 60 प्रतिशत ने कहा कि गोपनीय या संवेदनशील डेटा चोरी हो गया था, जबकि कुल मिलाकर यह 49 प्रतिशत था। कुल मिलाकर 70 प्रतिशत की तुलना में 48 प्रतिशत ने चोरी हुए क्रेडेंशियल्स या खाता अधिग्रहण की सूचना दी, और 40 प्रतिशत ने प्रत्यक्ष वित्तीय नुकसान की सूचना दी।
किसी ईमेल सुरक्षा घटना का पता लगाने और उसका समाधान करने के लिए लगभग 3,5 दिन
शोध में पाया गया कि स्वास्थ्य देखभाल कंपनियों को ईमेल सुरक्षा घटना का पता लगाने में कई अन्य उद्योगों की तुलना में कम समय लगता है - कुल मिलाकर 29 घंटों की तुलना में औसतन 43 घंटे - लेकिन जब किसी घटना का जवाब देने और उसके समाधान की बात आती है तो वे पैक के बीच में होते हैं। (कुल मिलाकर 51 घंटों की तुलना में औसतन 56 घंटे)। 40 प्रतिशत उत्तरदाताओं ने स्वचालन की कमी (कुल मिलाकर 38 प्रतिशत की तुलना में) का हवाला दिया और 34 प्रतिशत ने बजट की कमी (कुल 28 प्रतिशत की तुलना में) को त्वरित प्रतिक्रिया और शमन के लिए सबसे बड़ी बाधा बताया।
ईमेल-आधारित हमलों के विरुद्ध सुरक्षा उपाय
ईमेल-आधारित साइबर हमले व्यापक हैं और लगातार विकसित हो रहे हैं। इसलिए हेल्थकेयर कंपनियों को मजबूत ईमेल सुरक्षा की आवश्यकता है। इसमें मजबूत प्रमाणीकरण नियंत्रण शामिल होना चाहिए - कम से कम बहु-कारक प्रमाणीकरण, लेकिन आदर्श रूप से शून्य विश्वास उपायों की ओर बढ़ना - साथ ही सीमित पहुंच अधिकार, स्वचालित घटना प्रतिक्रिया और एआई-आधारित खतरे का पता लगाना और निगरानी। यह सब कर्मचारियों के लिए निरंतर प्रशिक्षण और जागरूकता बढ़ाने के साथ होना चाहिए ताकि वे जान सकें कि संदिग्ध संदेशों को कैसे पहचानें और रिपोर्ट करें।
आदर्श रूप से, ये ईमेल सुरक्षा एक एकीकृत सुरक्षा प्लेटफ़ॉर्म का हिस्सा होनी चाहिए जो आईटी टीम को संपूर्ण आईटी वातावरण का संपूर्ण दृश्य और घटनाओं या असामान्य व्यवहार पैटर्न का पता लगाने की क्षमता प्रदान करती है जो अवांछित घुसपैठियों की जांच और प्रतिक्रिया का संकेत दे सकती है।
सर्वेक्षण बाराकुडा की ओर से स्वतंत्र बाजार अनुसंधान फर्म वैनसन बॉर्न द्वारा आयोजित किया गया था। संयुक्त राज्य अमेरिका के साथ-साथ ईएमईए और एपीएसी देशों के विभिन्न उद्योगों के 100 से 2.500 कर्मचारियों वाली कंपनियों में पहले से उच्चतम प्रबंधन स्तर तक के आईटी पेशेवरों का सर्वेक्षण किया गया। नमूने में 62 स्वास्थ्य सेवा संगठन शामिल थे।
बाराकुडा डॉट कॉम पर अधिक
बाराकुडा नेटवर्क के बारे में बाराकुडा दुनिया को एक सुरक्षित स्थान बनाने के लिए प्रयासरत है और उसका मानना है कि प्रत्येक व्यवसाय की क्लाउड-सक्षम, उद्यम-व्यापी सुरक्षा समाधानों तक पहुंच होनी चाहिए जो खरीदना, तैनात करना और उपयोग करना आसान हो। बाराकुडा ईमेल, नेटवर्क, डेटा और एप्लिकेशन को अभिनव समाधानों के साथ सुरक्षित करता है जो ग्राहक यात्रा के साथ बढ़ते और अनुकूल होते हैं। दुनिया भर में 150.000 से अधिक कंपनियां बाराकुडा पर भरोसा करती हैं ताकि वे अपने व्यवसाय को बढ़ाने पर ध्यान केंद्रित कर सकें। अधिक जानकारी के लिए, www.barracuda.com पर जाएं।