|

যুক্তরাষ্ট্রের ইতিহাসে বৃহত্তম স্বাস্থ্যসেবা তথ্য লঙ্ঘন: ইউনাইটেডহেলথের দাবি, ১০০ মিলনেরও বেশি মানুষের ডেটা ক্ষতিগ্রস্ত!
ফেব্রুয়ারিতে চেঞ্জ হেলথকেয়ার উপর র্যানসমওয়্যার হামলার সময় ১০০ মিলনেরও বেশি ব্যক্তির গোপন স্বাস্থ্য তথ্য চুরি হয়, যা যুক্তরাষ্ট্রের স্বাস্থ্যসেবা খাতে unprecedented আউটেজ এবং ব্যাপক ব্যাঘাত সৃষ্টি করে।
এই প্রথমবারের মতো ইউনাইটেডহেলথ গ্রুপ (UHG) আক্রান্ত ব্যক্তিদের সংখ্যা প্রকাশ করেছে, আগে বলেছিল যে এই লঙ্ঘনে “আমেরিকার একটি গুরুত্বপূর্ণ অংশের” তথ্য অন্তর্ভুক্ত হবে।
যুক্তরাষ্ট্রের স্বাস্থ্য ও মানব সেবার দপ্তর বৃহস্পতিবার তার ডেটা লঙ্ঘন পোর্টালে আপডেট করা সংখ্যা জানিয়েছে।
UHG-এর মুখপাত্র টাইলার মেসন এক সংক্ষিপ্ত বিবৃতিতে বলেছেন: “আমরা যত দ্রুত সম্ভব সম্ভাব্যভাবে প্রভাবিত ব্যক্তিদের অবহিত করতে থাকছি, কারণ তথ্যের পরিমাণ এবং জটিলতা এবং তদন্ত এখনও চূড়ান্ত পর্যায়ে রয়েছে।”
চেঞ্জ হেলথকেয়ারে হামলা ও ডেটা লঙ্ঘন যুক্তরাষ্ট্রের চিকিৎসা রেকর্ডের বৃহত্তম ডিজিটাল চুরি হিসেবে বিবেচিত হচ্ছে এবং এটি জীবনের ইতিহাসে অন্যতম বৃহৎ তথ্য লঙ্ঘন। যারা ব্যক্তিগত চিকিৎসা তথ্য হারিয়েছে, তাদের জন্য পরিণতি হয়তো জীবনের শেষ পর্যন্ত থাকবে।
UHG জুলাইয়ের শেষের দিকে আক্রান্ত ব্যক্তিদের অবহিত করা শুরু করে, যা অক্টোবরের মধ্যেও চলতে থাকে।
চুরি হওয়া তথ্য ব্যক্তিবিশেষে ভিন্ন, তবে চেঞ্জ নিশ্চিত করেছে যে এতে ব্যক্তিগত তথ্য অন্তর্ভুক্ত রয়েছে, যেমন নাম, ঠিকানা, জন্ম তারিখ, ফোন নম্বর, ইমেইল ঠিকানা এবং সরকারী পরিচয় পত্র, যেমন সোশ্যাল সিকিউরিটি নম্বর, ড্রাইভারের লাইসেন্স নম্বর, এবং পাসপোর্ট নম্বর। চুরি হওয়া স্বাস্থ্য তথ্যের মধ্যে রয়েছে রোগ নির্ণয়, চিকিৎসা, পরীক্ষার ফলাফল, ইমেজিং এবং চিকিৎসা পরিকল্পনা, এবং স্বাস্থ্য বীমার তথ্য — পাশাপাশি আর্থিক ও ব্যাংকিং তথ্যও রয়েছে যা অপরাধীরা চুরি করে নিয়ে গেছে।
চেঞ্জ হেলথকেয়ার যুক্তরাষ্ট্রের স্বাস্থ্য ও চিকিৎসা তথ্য ও রোগীর রেকর্ড পরিচালনায় অন্যতম বৃহত্তম প্রতিষ্ঠান, যেটি হাজার হাজার হাসপাতাল, ফার্মেসি এবং চিকিৎসা প্র্যাকটিসের মাধ্যমে রোগীর বীমা এবং বিলিং প্রক্রিয়া করে। CEO অ্যান্ড্রু উইটি মে মাসে আইনপ্রণেতাদের বলেছিলেন, কোম্পানিটি প্রায় এক তৃতীয়াংশ আমেরিকানদের স্বাস্থ্য ও চিকিৎসা সংক্রান্ত তথ্য পরিচালনা করে।
সাইবার হামলা ২১ ফেব্রুয়ারিতে প্রকাশ্যে আসে যখন চেঞ্জ হেলথকেয়ার তাদের অনেক নেটওয়ার্ক অফলাইনে নিয়ে যায় intruders কে আটকে রাখার জন্য, যা যুক্তরাষ্ট্রের স্বাস্থ্যসেবা খাতে অবিলম্বে আউটেজ সৃষ্টি করে।
UHG এই সাইবার হামলাকে রাশিয়াভাষী র্যানসমওয়্যার ও শোষণ গ্যাং ALPHV/BlackCat-এর উপর দায়ী করেছে, যারা পরে হামলার দায় স্বীকার করে।
র্যানসমওয়্যার গ্যাংয়ের নেতারা পরে ২২ মিলিয়ন ডলারের র্যানসম নিয়ে পালিয়ে যায়, যা স্বাস্থ্য বীমা জায়ান্টের কাছে প্রদান করা হয়েছিল। এরপর গ্যাংটির কন্ট্রাক্টররা চেঞ্জ হেলথকেয়ার থেকে চুরি করা তথ্য নিয়ে নতুন একটি গ্যাং গঠন করে, যা UHG থেকে দ্বিতীয় র্যানসম দাবি করে এবং চুরি হওয়া তথ্যের কিছু অংশ অনলাইনে প্রকাশ করে।
এখনো সাইবার অপরাধীরা চুরি হওয়া তথ্য মুছে ফেলার কোনো প্রমাণ নেই। অন্যান্য শোষণ গ্যাং, যেমন LockBit, প্রমাণিত হয়েছে যে তারা চুরি করা তথ্য জমা করে রাখে, এমনকি ভুক্তভোগী অর্থ প্রদান করার পরেও।
র্যানসম পরিশোধের মাধ্যমে চেঞ্জ চুরি হওয়া তথ্যের একটি কপি পেয়েছে, যা কোম্পানিকে সেই ব্যক্তিদের শনাক্ত ও অবহিত করতে সহায়তা করেছে, যাদের তথ্য চুরির মধ্যে পড়েছিল।
যুক্তরাষ্ট্র সরকার ALPHV/BlackCat গ্যাংয়ের সাইবার অপরাধীদের ধরতে চেষ্টা করছে, কিন্তু এখনও সাফল্য পায়নি। ২০২৩ সালে গ্যাংটির ডার্ক ওয়েব লিক সাইট দখল করার পর গ্যাংটি পুনরুদ্ধার করেছে।
চেঞ্জ হেলথকেয়ার লঙ্ঘনের মাস কয়েক পরে, যুক্তরাষ্ট্রের পররাষ্ট্র দপ্তর ALPHV/BlackCat সাইবার অপরাধীদের অবস্থানের তথ্যের জন্য ১০ মিলিয়ন ডলারের পুরস্কার বাড়িয়ে দেয়।
কর্পোরেট সমাহার এবং নিরাপত্তার অভাব: ডেটা লঙ্ঘনের জন্য দায়ী
চেঞ্জ হেলথকেয়ারের নেটওয়ার্কের কিছু অংশ এখনও অফলাইনে রয়েছে, কারণ কোম্পানি ফেব্রুয়ারির সাইবার হামলা থেকে পুনরুদ্ধার করতে চলেছে। আইনপ্রণেতারা লঙ্ঘন এবং যাদের স্বাস্থ্য তথ্য অপরিবর্তনীয়ভাবে চুরি হয়েছে তাদের উপর প্রভাব নিয়ে তদন্ত করছে।
এপ্রিল মাসে সাইবার হামলা নিয়ে একটি হাউজ শুনানিতে ইউনাইটেডহেলথের CEO উইটি নিশ্চিত করেছেন যে সাইবার অপরাধীরা তাদের একজন কর্মচারীর সিস্টেমে চুরি হওয়া পরিচয়পত্র ব্যবহার করে প্রবেশ করেছে, যা মাল্টি-ফ্যাক্টর অথেনটিকেশন (MFA) দ্বারা সুরক্ষিত ছিল না — একটি নিরাপত্তা ফিচার যা পাসওয়ার্ড চুরির বিরুদ্ধে সুরক্ষা দিতে পারে।

Image Credits:Kent Nishimura / Getty Images
একটি চুরি হওয়া পাসওয়ার্ড ব্যবহার করে একটি গুরুত্বপূর্ণ অভ্যন্তরীণ সিস্টেমে প্রবেশ করে, র্যানসমওয়্যার গ্যাংটি চেঞ্জ হেলথকেয়ারের নেটওয়ার্কের অন্যান্য অংশে প্রবেশ করতে সক্ষম হয়েছিল এবং র্যানসমওয়্যার ডিপ্লয় করতে পারে।
কেন সিস্টেমটি MFA দ্বারা সুরক্ষিত ছিল না তা স্পষ্ট নয়, তবে এটি আইনপ্রণেতাদের এবং সরকারের চলমান তদন্তের একটি মূল অংশ হবে। উইটি আইনপ্রণেতাদের বলেছেন যে সংগঠনটি সাইবার হামলার পর MFA চালু এবং এখন এটি কার্যকর করছে।
আইনপ্রণেতারা তদন্ত করছেন যে UHG এত ডেটা পরিচালনা করে এবং প্রচুর রাজস্ব তৈরি করে অথচ মৌলিক সাইবার নিরাপত্তায় ব্যর্থ হয়েছে।
২০২৩ সালের পূর্ণ বছরের আয় রিপোর্ট অনুযায়ী, UHG $২২ বিলিয়ন লাভ করেছে $৩৭১ বিলিয়ন রাজস্বের উপর। উইটি একই বছরে $২৩.৫ মিলিয়ন নির্বাহী পারিশ্রমিক পেয়েছেন।
যদিও MFA-এর অভাব এই ক্ষেত্রে ব্যবহার করা হয়েছে, চেঞ্জ হেলথকেয়ার দ্বারা সংগৃহীত এবং সংরক্ষিত উচ্চ সংবেদনশীল তথ্যের বিশাল আকার এবং ধনাঢ্যতা নিজেই একটি লক্ষ্য করে তোলে, আইনপ্রণেতারা বলেন।
চেঞ্জ হেলথকেয়ার ২০২২ সালে ইউএস স্বাস্থ্যসেবা প্রদানকারী অপটামের সাথে $৭.৮ বিলিয়ন ডলারের চুক্তির মাধ্যমে একত্রিত হয়। এই চুক্তির মাধ্যমে দুইটি স্বাস্থ্যসেবা জায়ান্ট UHG-এর অধীনে আসতে পেরেছে এবং অপটাম, যা চিকিৎসক গোষ্ঠী মালিকানা ও বীমা কোম্পানি ও স্বাস্থ্যসেবা পরিষেবাগুলির জন্য প্রযুক্তি ও তথ্য প্রদান করে, চেঞ্জ দ্বারা পরিচালিত রোগীর রেকর্ডে ব্যাপক প্রবেশাধিকার পেয়েছে।
ইউনাইটেডহেলথ গ্রুপ বর্তমানে ৫৩ মিলিয়নেরও বেশি মার্কিন গ্রাহককে সুবিধা পরিকল্পনা প্রদান করে এবং এর সর্বশেষ পূর্ণ বছরের আয় রিপোর্ট অনুযায়ী, ৫ মিলিয়ন গ্রাহক বিদেশে রয়েছে। অপটাম প্রায় ১০৩ মিলিয়ন মার্কিন গ্রাহককে পরিষেবা প্রদান করে।
চুক্তিটি যুক্তরাষ্ট্রের ফেডারেল অ্যান্টিট্রাস্ট কর্তৃপক্ষের দ্বারা তদন্তের মুখে পড়েছিল, যারা UHG-কে চেঞ্জ হেলথকেয়ার কিনতে এবং অপটামের সাথে একত্রিত হতে নিষিদ্ধ করতে মামলা করে, বলেছিল যে ইউনাইটেডহেলথ “প্রতি বছর প্রায় অর্ধেক আমেরিকানদের স্বাস্থ্য বীমার দাবিতে অযৌক্তিক প্রতিযোগিতামূলক সুবিধা পাবে।” শেষ পর্যন্ত একজন বিচারক চুক্তিটি অনুমোদন করেন।
প্রতিবেদন অনুযায়ী, সাইবার হামলার আগে UHG এবং তার সম্ভাব্য অ্যান্টিকম্পিটিটিভ কার্যক্রমের উপর তদন্ত শুরু করে।