Medical Security: স্বাস্থ্যসেবা খাতের মেডিকেল ডিভাইসের সাইবার নিরাপত্তা ঝুঁকি!

Internet of Medical Things বা IoMT বিভিন্ন Category-র Connected Device সমন্বিত। Diagnostic Imaging - MRI, CT Scanner, Ultrasound, X-Ray Machine। Patient Monitoring - Bedside Monitor, Telemetry, Pulse Oximeter। Therapeutic Device - Infusion Pump, Insulin Pump, Pacemaker। Laboratory - Analyzer, Centrifuge, PCR Machine। প্রতিটি Category-র নিজস্ব Security Challenge রয়েছে।

বেশিরভাগ Medical Device একটি দীর্ঘ Product Lifecycle-এর জন্য Designed - 10 থেকে 20 বছর। এই কারণে অনেক Device এখনও Windows XP, Windows 7, বা Outdated Linux Kernel-এ চলে। Manufacturer Update Frequency সীমিত, এবং FDA Approval Process পরিবর্তন কঠিন করে।

Medical Device-এর Network Architecture প্রায়ই Legacy। SMBv1, FTP, Telnet, এবং Hard-coded Credential অনেক Device-এ এখনও বিদ্যমান। DICOM Protocol (Imaging Data-র জন্য) এবং HL7 (Health Information Exchange-এর জন্য) Default-এ কোনো Authentication বা Encryption সরবরাহ করে না।

Clinical Engineer এবং IT Department-এর মধ্যে প্রায়ই Communication Gap থাকে। Clinical Engineer Device-এর Operational Aspect Manage করেন, কিন্তু Cybersecurity Knowledge সীমিত। IT Department Device-গুলোর Clinical Function বোঝেন না। এই Gap আক্রমণকারীদের সুযোগ দেয়।

Ransomware Healthcare-এর বিরুদ্ধে সবচেয়ে বড় হুমকি। 2016 সালে Hollywood Presbyterian Medical Center-এর Ransomware Incident থেকে শুরু করে 2017-এর WannaCry-তে NHS-এর 80টি Hospital ব্যাহত হওয়া, এবং 2020-2024-এর শত শত Hospital আক্রমণ - এই Pattern ক্রমাগত বেড়েছে।

2024 সালের Change Healthcare Ransomware Incident সবচেয়ে ব্যাপক প্রভাব ফেলেছিল। UnitedHealth Group-এর এই Subsidiary US-এর প্রায় 33% Healthcare Transaction Process করত। ALPHV/BlackCat Ransomware Group-এর আক্রমণে Prescription Processing, Insurance Claim, এবং Payment সপ্তাহখানেক বন্ধ ছিল। 22 মিলিয়ন ডলার Ransom পরিশোধ করা হয়েছিল।

দ্বিতীয় বড় হুমকি হলো Data Breach। Healthcare Data Black Market-এ সবচেয়ে মূল্যবান - একটি Medical Record Stolen Credit Card-এর চেয়ে 10-50 গুণ বেশি দামে বিক্রি হয়। SSN, Insurance Number, Medical History, এবং Family Information-এর সমন্বয় Identity Theft এবং Insurance Fraud-এর সুযোগ দেয়।

তৃতীয় হুমকি হলো Direct Patient Harm। যদিও বাস্তবে Confirmed Fatal Attack এখনও দুর্লভ, কিন্তু সম্ভাবনা প্রতিষ্ঠিত। Pacemaker, Insulin Pump, এবং Drug Infusion Pump-এর Wireless Compromise সম্ভব বলে গবেষকরা প্রদর্শন করেছেন। 2017 সালে FDA Abbott (পূর্বে St. Jude Medical)-এর 465,000 Pacemaker-এর জন্য Firmware Update Recall করেছিল।

চতুর্থ হুমকি হলো Supply Chain Attack। Medical Device-এর Component বিশ্বের বিভিন্ন দেশ থেকে আসে। 2024 সালে Contec Medical Systems-এর Patient Monitor-এ Backdoor পাওয়া যাওয়ার রিপোর্ট এই হুমকির বাস্তবতা দেখিয়েছে।

US FDA Medical Device-এর জন্য একটি Comprehensive Cybersecurity Framework তৈরি করেছে। 2023 সালের Premarket Submission Guidance-এ Manufacturer-কে SBOM (Software Bill of Materials), Threat Modeling, Cybersecurity Risk Management, এবং Security Update Plan জমা দিতে হয়।

PATCH Act (Protecting and Transforming Cyber Health Care Act) 2022 সালে পাশ হয়েছিল, যা FDA-কে Medical Device-এর Cybersecurity Requirement প্রয়োগের ক্ষমতা দিয়েছে। Cyber Device Definition-এর মধ্যে যেকোনো Software-Containing Device অন্তর্ভুক্ত যা Internet-এ Connect হতে পারে।

Postmarket Cybersecurity Guidance Manufacturer-কে Vulnerability Disclosure, Coordinated Vulnerability Disclosure Policy, এবং Field Update Capability বাধ্যতামূলক করেছে। CVE Assignment এবং MITRE ASSIGNED-এ Reporting Standard Practice হয়ে উঠেছে।

EU-এর Medical Device Regulation বা MDR এবং In Vitro Diagnostic Regulation বা IVDR-এ Cybersecurity Requirement অন্তর্ভুক্ত। MDCG 2019-16 Document Cybersecurity-এর জন্য Specific Guidance সরবরাহ করে। CE Marking-এর জন্য এই Compliance বাধ্যতামূলক।

Health Insurance Portability and Accountability Act বা HIPAA-এর Security Rule Electronic Protected Health Information বা ePHI-এর সুরক্ষা নির্ধারণ করে। তিনটি Safeguard Category - Administrative, Physical, এবং Technical।

Administrative Safeguard-এ Security Officer, Workforce Training, Information Access Management, এবং Contingency Plan অন্তর্ভুক্ত। Risk Analysis HIPAA-এর Foundation - প্রতিটি Covered Entity-কে বার্ষিক Comprehensive Risk Assessment করতে হয়।

Technical Safeguard-এ Access Control (Unique User ID, Automatic Logoff, Encryption), Audit Control, Integrity Control, এবং Transmission Security অন্তর্ভুক্ত। Encryption Addressable Requirement, কিন্তু বাস্তবে এটি Almost Mandatory - OCR-এর Settlement-এর অধিকাংশ Encryption Failure-জনিত।

Breach Notification Rule অনুযায়ী 500 বা তার বেশি ব্যক্তির ePHI প্রভাবিত হলে HHS, ব্যক্তি, এবং Media-কে 60 দিনের মধ্যে Notify করতে হয়। 2024 সালে US-এ 700-এর বেশি Major Healthcare Breach রিপোর্ট হয়েছে।

HIPAA-এর সাথে পাশাপাশি 42 CFR Part 2 (Substance Use Disorder Records), GINA (Genetic Information Nondiscrimination Act), এবং State-Level Law যেমন California-র CMIA রয়েছে। Healthcare Cybersecurity পেশাজীবীদের এই বহুস্তরীয় Regulation Landscape Navigate করতে হয়।

WannaCry-এর NHS Impact (2017) Healthcare Cybersecurity-এর একটি Watershed Moment। 80টি Hospital ব্যাহত হয়েছিল, 19,000-এর বেশি Appointment বাতিল হয়েছিল, এবং আনুমানিক 92 মিলিয়ন পাউন্ড ক্ষতি হয়েছিল। অনেক Medical Device Windows XP-তে চলত এবং Patching সম্ভব ছিল না।

UVM Medical Center (2020) Ransomware-এ আক্রান্ত হওয়ার পর 28 দিন Network-এর বাইরে ছিল। Cancer Treatment স্থগিত হয়েছিল, Surgery বাতিল হয়েছিল, এবং Estimated 63 মিলিয়ন ডলার ক্ষতি হয়েছিল। এই ঘটনার পরে Hospital তাদের Cybersecurity Budget দ্বিগুণেরও বেশি বাড়িয়েছে।

Düsseldorf University Hospital (2020)-এ Ransomware Attack-এর কারণে একজন রোগীকে অন্য হাসপাতালে রেফার করতে হয়েছিল এবং তিনি যাত্রাকালে মারা যান। জার্মান কর্তৃপক্ষ এই মৃত্যুকে আক্রমণের সাথে সরাসরি যুক্ত করেছিল, যদিও পরে এই Causal Link নিয়ে বিতর্ক হয়েছে। এটি Healthcare Ransomware-এর প্রথম সম্ভাব্য Cyber-Related Fatality।

Medtronic-এর Insulin Pump (2019) এবং Pacemaker Recall (2017) দেখিয়েছিল যে Implantable Medical Device-ও Vulnerable। Researcher Billy Rios এবং Jonathan Butts-এর কাজ এই Disclosure-গুলোর পেছনে গুরুত্বপূর্ণ ভূমিকা পালন করেছে।

URGENT/11 (2019) এবং Ripple20 (2020) IPnet এবং Treck TCP/IP Stack-এর Vulnerability প্রকাশ করেছে, যা শত শত মিলিয়ন IoT এবং Medical Device-কে প্রভাবিত করেছিল। এই Vulnerability-গুলো Supply Chain-এর Common Component-এর ঝুঁকি দেখিয়েছিল।

DICOM (Digital Imaging and Communications in Medicine) Medical Imaging-এর Universal Standard। PACS (Picture Archiving and Communication System) এই Protocol-এর উপর ভিত্তি করে কাজ করে। সমস্যা হলো DICOM Default-এ কোনো Authentication বা Encryption প্রদান করে না।

2019 সালে গবেষকরা প্রদর্শন করেছিলেন যে DICOM File-এ Malicious Code Embed করা সম্ভব - File-এর Header-এ ম্যালওয়্যার রাখা যেত যা একটি Image Viewer Execute করবে। DICOM-এর সাম্প্রতিক Version-এ TLS Support এবং User Identity Negotiation Profile আছে, কিন্তু অনেক Legacy System এগুলো Support করে না।

Shodan-এ Search করলে হাজারো Exposed DICOM Server পাওয়া যায়। 2019-এর Greenbone Networks-এর গবেষণায় বিশ্বব্যাপী 590টি Exposed Medical Image System পাওয়া গিয়েছিল যেখানে 24 মিলিয়ন Patient Record এবং 737 মিলিয়ন Medical Image Accessible ছিল।

HL7 (Health Level 7) Healthcare Data Exchange-এর জন্য একটি Standard। HL7 v2.x Plaintext Pipe-Delimited Message ব্যবহার করে এবং Default Authentication নেই। FHIR (Fast Healthcare Interoperability Resources) HL7-এর Modern Successor, যা RESTful API এবং OAuth 2.0 ব্যবহার করে। FHIR-এ SMART on FHIR Specification Strong Authentication এবং Authorization সরবরাহ করে।

আদর্শ Hospital Network Architecture Multiple Segmentation-এ বিভক্ত। Clinical Network-এ Medical Device, Administrative Network-এ Office IT, Guest Network-এ Patient/Visitor Wi-Fi, এবং DMZ-এ External-Facing Service। প্রতিটি Segment-এর মধ্যে Strict Firewall Rule।

Microsegmentation আরও Granular। Medical Imaging Device, Patient Monitor, Infusion Pump - প্রতিটি Category নিজস্ব VLAN-এ। East-West Traffic Limited এবং Inspected। Cisco ISE, Aruba ClearPass, এবং Forescout-এর মতো NAC সমাধান এই Segmentation Enforce করে।

Medical Device Inventory একটি Critical Foundation। Claroty, Medigate (Claroty-এর সাথে Merged), Armis, Cynerio, এবং Asimily-এর মতো Specialized Platform Healthcare Network-এ Device Discovery, Risk Assessment, এবং Anomaly Detection করে। তারা Manufacturer, Model, OS Version, এবং Known Vulnerability শনাক্ত করতে পারে।

Biomedical Engineering Department এবং Cybersecurity Team-এর সমন্বিত কাজ অপরিহার্য। প্রতিটি Device Procurement-এর সময় Cybersecurity Review বাধ্যতামূলক হওয়া উচিত। Manufacturer Disclosure Statement for Medical Device Security বা MDS2 Form Standard Documentation।

Medical Device-এ Penetration Testing প্রথাগত IT Pentest-এর চেয়ে আলাদা। Live Patient-এর সাথে যুক্ত Device-এ Test করা যায় না - এটি Life-Threatening হতে পারে। সাধারণত Procurement-এর আগে Lab Environment-এ Test হয়, বা Off-Service Device-এ।

Frequencies Communication-এর Wireless Pentest-এ Software Defined Radio ব্যবহার করা হয়। Pacemaker, Insulin Pump, এবং Continuous Glucose Monitor-এর Wireless Communication Analyze করতে HackRF, USRP, এবং RTL-SDR-এর মতো Device। Bluetooth Low Energy এবং Proprietary Protocol-এর Reverse Engineering Specialized Skill দাবি করে।

Vulnerability Management Healthcare-এ চ্যালেঞ্জিং। FDA Patch Approval Process Manufacturer-কে Limit করে, এবং Hospital Manufacturer-এর Update-এর জন্য অপেক্ষা করে। Compensating Control-এর উপর নির্ভরতা বেশি - Network Segmentation, Access Control, এবং Monitoring।

ICS-CERT, FDA Safety Communications, এবং Manufacturer Security Bulletin Subscription গুরুত্বপূর্ণ। MedCrypt এবং CyberMDX-এর মতো Vendor-এর Threat Intelligence Feed Medical Device-Specific Vulnerability Track করে।

Healthcare Cybersecurity-এর জন্য একটি Integrated Strategy প্রয়োজন। প্রথমত, Comprehensive Asset Inventory - প্রতিটি Connected Medical Device Cataloged এবং Risk-Scored। Continuous Discovery এবং Update-এর মাধ্যমে Inventory Maintenance।

দ্বিতীয়ত, Network Segmentation এবং Microsegmentation - Medical Device Internet থেকে Isolated, এবং Different Category-র মধ্যে East-West Traffic Limited। Zero Trust Principle Apply করা।

তৃতীয়ত, Endpoint Protection - যেখানে সম্ভব, Medical Device-এ Antivirus এবং EDR Deploy করা। যেখানে Manufacturer Allow করে না (অনেক ক্ষেত্রে), Network-Level Detection-এর উপর জোর।

চতুর্থত, Backup এবং Recovery - Critical System-এর Immutable Backup, Regular Restore Testing, এবং Business Continuity Plan। Ransomware-এর বিরুদ্ধে সবচেয়ে কার্যকর Defense।

পঞ্চমত, Identity এবং Access Management - Strong MFA সব User-এর জন্য, Privileged Access Management, এবং Just-in-Time Elevation। EHR এবং Clinical System-এ Conditional Access।

ষষ্ঠত, Staff Training - Healthcare Worker-রা প্রধান Phishing Target। নিয়মিত Awareness Training এবং Simulated Phishing Exercise। Clinical Workflow-এর সাথে Security Awareness Integrate করা।

সপ্তমত, Incident Response Plan - Healthcare-Specific Playbook। Tabletop Exercise যেখানে Ransomware Scenario Simulate হয়। FBI, HHS, এবং Cyber Insurance Provider-এর সাথে Pre-Established Relationship।

অষ্টমত, Vendor Security - Procurement Process-এ Cybersecurity Requirement, MDS2 Form Review, এবং Contract-এ Security Obligation। Software Bill of Materials এবং Vulnerability Disclosure Commitment।