IoT सुरक्षा: अस्पताल में पीड़ादायक बिंदु

हमलावर अस्पतालों में IoT उपकरणों में रुचि रखते हैं। उद्योग के बावजूद, विशेषज्ञ वर्षों से इसी IoT भेद्यता की चेतावनी देते रहे हैं। वॉचगार्ड के तकनीकी सुरक्षा संचालन प्रबंधक मार्क लालिबेरटे द्वारा विश्लेषण।

जनवरी 2021 से, जर्मन संघीय सरकार हॉस्पिटल फ्यूचर एक्ट के हिस्से के रूप में अस्पतालों के डिजिटलीकरण के लिए तीन बिलियन यूरो प्रदान कर रही है। अन्य 1,3 बिलियन संघीय राज्यों से आता है। लक्ष्य: आधुनिक आपात क्षमताओं के लिए एक व्यापक निवेश कार्यक्रम, डिजिटलीकरण और अंत में आईटी सुरक्षा बढ़ाने के उपाय। विशेष रूप से अंतिम बिंदु में, कार्य करने की अत्यावश्यकता स्पष्ट है, क्योंकि हैकर्स द्वारा क्लीनिकों को तेजी से लक्षित किया जा रहा है - चाहे कोई भी देश हो।

अस्पतालों में IoT लक्ष्य हैं

इस संदर्भ में, हमलावरों की आईओटी उपकरणों में रुचि बढ़ रही है। कारण: इंटरनेट ऑफ थिंग्स में एक सुरक्षा समस्या है जो व्यावहारिक रूप से विरासत में मिली थी। उद्योग के बावजूद, विशेषज्ञ वर्षों से इसी तरह की कमजोरियों की चेतावनी देते रहे हैं। अब इस तरह के हमले के परिदृश्यों के बहुत सारे उदाहरण हैं: मिराई बॉटनेट से, जिसके कारण नेटफ्लिक्स, ट्विटर और रेडिट जैसे इंटरनेट दिग्गज 2016 में लड़खड़ा गए, वेरकाडा सुरक्षा कैमरों से समझौता करने के लिए, जो अस्पतालों और अन्य स्थानों में उपयोग किए जाते हैं, खुला वसंत 2021 में।

तेजी से खतरे में: स्वास्थ्य सेवा में IoT डिवाइस

यह दृढ़ता से माना जा सकता है कि भविष्य में स्वास्थ्य सेवा में IoT अनुप्रयोगों पर इसी तरह के हमले बढ़ते रहेंगे। आखिरकार, डायग्नोस्टिक डेटा एक्सचेंज के लिए नेटवर्क सेंसर का भारी लाभ निर्विवाद है। बाजार पर्यवेक्षकों का अनुमान है कि स्वास्थ्य सेवा में IoT अपनाने से 2028 तक 25,9 प्रतिशत की चक्रवृद्धि वार्षिक वृद्धि दर (CAGR) तक पहुंच जाएगी। हालाँकि, यह स्वचालित रूप से हमले की सतह को बढ़ाता है।

चिकित्सा उपकरणों की उच्च भेद्यता

क्योंकि चिकित्सा प्रौद्योगिकी में तकनीकी समस्याएं जीवन-धमकाने वाली स्थितियों को जन्म दे सकती हैं, स्वास्थ्य सेवा प्रदाता जैसे अस्पताल और क्लीनिक अक्सर महंगे, अत्यधिक अनुकूलित अनुप्रयोगों और उपकरणों पर भरोसा करते हैं। हालांकि, ये अक्सर अपडेट और पैच प्रदान करने के लिए अनिच्छुक होते हैं - इस डर से कि यह उपयोग किए गए घटकों की कार्यक्षमता को सीमित कर सकता है। यहां पारंपरिक इंटरनेट ऑफ थिंग्स के साथ समानताएं हैं। जबकि कस्टम सॉफ़्टवेयर आमतौर पर एक Linux संस्करण पर चलता है जो कई साल पुराना है, मेडिकल IoT डिवाइस अक्सर Microsoft Windows और Windows सर्वर के पुराने संस्करणों का उपयोग करते हैं। उदाहरण के लिए, पिछले साल शोधकर्ताओं ने पाया कि 45 प्रतिशत चिकित्सा उपकरण महत्वपूर्ण ब्लूकीप विंडोज भेद्यता के प्रति संवेदनशील थे। Microsoft ने इसे इतना गंभीर माना कि इसने अपने ऑपरेटिंग सिस्टम के संस्करणों के लिए लीगेसी पैच भी जारी किए जो वास्तव में वर्षों से असमर्थित थे।

मूल रूप से, सभी IoT सुरक्षा समस्याओं का पता तीन चूकों से लगाया जा सकता है:

• विकास के दौरान सुरक्षा विचारों की कमी
• IoT को अपनाने वालों के बीच ज्ञान अंतराल और पारदर्शिता की कमी, साथ ही साथ
• तैनाती के बाद डिवाइस अपडेट के प्रबंधन की कमी

 

IoT: एक ही समय में सस्ता और सुरक्षित?

पहली समस्या, विकास के दौरान आईटी सुरक्षा का द्वितीयक विचार, मोटे तौर पर इस तथ्य से समझाया जा सकता है कि अधिकांश IoT उपयोगकर्ता मूल्य द्वारा निर्देशित होते हैं। हालांकि, अगर केवल इस बात पर ध्यान दिया जाता है कि कोई समाधान बुनियादी तकनीकी आवश्यकताओं को पूरा करता है या नहीं, जबकि खरीद के लिए सस्ता है, तो निर्माताओं को अपने उत्पादों की सुरक्षा में सुधार के लिए अतिरिक्त संसाधनों का निवेश करने के लिए प्रोत्साहन की कमी है। नतीजतन, उपकरणों को कमजोर और हार्ड-कोडेड पासवर्ड के साथ भेज दिया जाता है, पुराने सॉफ़्टवेयर और ऑपरेटिंग सिस्टम चल रहे हैं जिनमें बुनियादी सुरक्षा भी नहीं है। यह वस्तुतः साइबर अपराधियों को खलिहान के आकार के सुरक्षा अंतराल का फायदा उठाने के लिए आमंत्रित करता है। उदाहरण के लिए, 2016 का मिराई बॉटनेट IoT कैमरों में एक परिष्कृत शून्य-दिन भेद्यता का फायदा उठाकर नहीं पनपा। बल्कि, प्रशासन इंटरफ़ेस पर 61 सामान्य उपयोगकर्ता नामों और पासवर्डों की एक सूची को आज़माना पर्याप्त था जो डिवाइस निर्माता द्वारा सुरक्षित नहीं था - यहाँ प्रयास का कोई सवाल ही नहीं हो सकता।

आईओटी के लिए जीरो ट्रस्ट दृष्टिकोण का विस्तार करें

IoT का उपयोग करने से पहले, कंपनियों को ध्यान से सोचना चाहिए कि वे इस तकनीक का उपयोग कैसे और किस हद तक करना चाहती हैं। यहां जीरो ट्रस्ट एप्रोच का पालन करना मददगार हो सकता है: अनिवार्य रूप से, यह सुरक्षा अवधारणा नेटवर्क में किसी भी डिवाइस पर भरोसा नहीं करने और हर एक को नए सिरे से जांचने के बारे में है। कोई भी जो स्वचालित रूप से आंतरिक नेटवर्क को "सुरक्षित आश्रय" मानने से परहेज करता है, वह पहले से ही सही रास्ते पर है। इसे ध्यान में रखते हुए, विचार करें कि किसी दुर्भावनापूर्ण उपयोगकर्ता या नेटवर्क पर पहले से मौजूद समापन बिंदु द्वारा उत्पन्न जोखिम को प्रबंधित करने के लिए किन सुरक्षा सावधानियों की आवश्यकता है।

विशेष रूप से IoT के लिए नेटवर्क सेगमेंट का उपयोग करें

इंटरनेट ऑफ थिंग्स के लिए, इसका मतलब है कि संबंधित उपकरणों का उपयोग नेटवर्क सेगमेंट में किया जाता है जो बड़े पैमाने पर अन्य प्रणालियों से और विशेष रूप से सबसे महत्वपूर्ण संसाधनों से एनकैप्सुलेटेड होते हैं। यदि संभावित रूप से असुरक्षित, बिना पैच वाली प्रणाली रखने के तकनीकी कारण हैं, तो विशिष्ट बंदरगाहों और प्रोटोकॉल तक पहुंच को प्रतिबंधित करके नेटवर्क स्तर पर इसकी रक्षा करना महत्वपूर्ण है जो इसके कार्य के लिए बिल्कुल आवश्यक हैं। प्रारंभिक अवस्था में नेटवर्क हमलों और मैलवेयर का पता लगाने में सक्षम होने के लिए संभावित विसंगतियों के लिए ऐसे कनेक्शनों की भी लगातार जाँच की जानी चाहिए। साथ ही, नेटवर्क में सभी आईओटी उपकरणों के लिए नियमित भेद्यता स्कैन और सुरक्षा आकलन स्थापित करना महत्वपूर्ण है। तभी कंपनियों को पता चलता है कि उन्हें किस चीज से खुद को बचाने की जरूरत है और किसी ऐसी चीज से हैरान नहीं होना चाहिए जो अब तक किसी का ध्यान नहीं गया है।

WatchGuard.com पर अधिक

 

---

वॉचगार्ड के बारे में

वॉचगार्ड टेक्नोलॉजीज आईटी सुरक्षा के क्षेत्र में अग्रणी प्रदाताओं में से एक है। व्यापक उत्पाद पोर्टफोलियो अत्यधिक विकसित UTM (यूनिफाइड थ्रेट मैनेजमेंट) और अगली पीढ़ी के फ़ायरवॉल प्लेटफॉर्म से लेकर मल्टी-फैक्टर ऑथेंटिकेशन और व्यापक WLAN सुरक्षा और एंडपॉइंट सुरक्षा के साथ-साथ अन्य विशिष्ट उत्पादों और आईटी सुरक्षा से संबंधित बुद्धिमान सेवाओं के लिए है। दुनिया भर में 250.000 से अधिक ग्राहक उद्यम स्तर पर परिष्कृत सुरक्षा तंत्र में भरोसा करते हैं,

---

 

विषय से संबंधित लेख