क्या AIIMS साइबर अटैक टल नहीं सकता था? 2016 में डिजिटलीकरण के बाद डॉक्टरों ने खतरे से किया था आगाह

नई दिल्ली: दिल्ली में अखिल भारतीय आयुर्विज्ञान संस्थान (एम्स) के एक तंग मगर भारी सुरक्षा वाले कंप्यूटर फैसिलिटी रूम में नींद से वंचित इंजीनियर और फैकल्टी मेंबर्स पिछले महीने इस संस्थान पर हुए साइबर हमले के बाद अस्पताल के सर्वर को ठीक करने और उसे सुचारु रूप से बहाल करने के मकसद से पिछले हफ्ते ओवरटाइम में काम कर रहे थे.

उसके बाद से केंद्र सरकार द्वारा संचालित इस अस्पताल ने आधिकारिक लाइन कही है कि इसका सिस्टम ठीक हो रहा है और मरीजों का डेटा पूरी तरह से सुरक्षित और बैकअप के साथ मौजूद है.

हालांकि, दिप्रिंट द्वारा हासिल किए गए कुछ दस्तावेज के मुताबिक, साल 2016 में एम्स के पूरी तरह से डिजिटल हो जाने के तुरंत बाद अस्पताल के प्रशासन ने डेटा और सिस्टम की सुरक्षा के बारे में चिंताएं ज़ाहिर की थीं. उन्होंने इस बात को चिन्हित किया था कि कैसे इसकी खामियों से ‘रोगियों की देखभाल पर गंभीर प्रभाव पड़ सकता है.’

एम्स के एक डॉक्टर ने कहा, ‘डिजिटाइजेशन बिल्कुल बेढंगे तरीके से किया गया था. हमें सीधे बुकिंग, अपॉइंटमेंट और अन्य सेवाओं के लिए एक ऑनलाइन सिस्टम पर चले जाने के लिए कह दिया गया था. साइबर सुरक्षा के लिए कोई भी उपाय नहीं किए गए थे.’

एम्स साइबर हमले, जिसके कारण पिछले 23 नवंबर को इस अस्पताल का पूरा डिजिटल ढांचा चरमरा गया था उसे साइबर विशेषज्ञों ने भारत में अब तक हुए इस तरह के हमलों में ‘सबसे बड़े’ और ‘सबसे गंभीर’ में से एक के रूप में वर्णित किया है. कथित तौर पर चीन के हैकरों द्वारा किए गए इस हमले के कारण राजनीतिक नेताओं और अन्य वीआईपी मरीज़ों सहित चार करोड़ रोगियों का संवेदनशील डेटा कथित तौर पर खतरे में हो सकता है, जो संभवतः उन्हें ब्लैकमेल और जबरन वसूली के प्रति असुरक्षित बना सकता है.

साइबर हमले से निपटने के लिए भारत की तैयारियों की आमतौर पर मौजूद कमी के बारे में बहुत चर्चा की गई है, लेकिन एम्स के दस्तावेज़ की पड़ताल से एक स्पष्ट लापरवाही की कहानी भी उभर कर सामने आती है, जो स्वास्थ्य सेवा के डिजिटलीकरण के वास्के सरकार की ओर से दिए जा रहे जोर के साथ-साथ चलती रहती है.

यह भी पढ़ें: ‘हम इसे गंभीरता से क्यों नहीं ले रहे?’ विशेषज्ञों ने कहा-AIIMS साइबर अटैक भारत में ‘सबसे बड़ा’ हमला

पहले से दी गई थीं चेतावनियां

19 जुलाई 2016 को भारत के सबसे बड़े तृतीयक स्तर (टर्शियरी केयर) देखभाल वाले दिल्ली स्थित एम्स अस्पताल ने नरेंद्र मोदी सरकार की ‘डिजिटल इंडिया’ वाली पहल के तहत ई-अस्पताल परियोजना का कार्यान्वयन पूरा किया. ऐसा करते हुए, यह देश का पहला पूरी तरह से डिजिटल सार्वजनिक अस्पताल बन गया.

इस संस्थान में इस परिवर्तन को एक बड़ी सफलता के रूप में प्रचारित किया गया था और अन्य एम्स एवं सार्वजनिक अस्पतालों में इसी मॉडल को दोहराने की योजना बनाई गई थी. तत्कालीन आईटी मंत्री रविशंकर प्रसाद के अनुसार, पिछले साल तक देश भर में 420 ‘ई-अस्पताल’ स्थापित किए जा चुके थे.

लेकिन एम्स के डिजिटलीकरण ढांचे की खामियां इसके लागू होते ही सामने आने लगीं थीं.

पूर्ण डिजिटलीकरण के महज छह महीने बाद, नौ जनवरी, 2017 को न्यूरोसर्जरी विभाग के डॉ. दीपक अग्रवाल, (उस समय कम्प्यूटरीकरण समिति के अध्यक्ष) ने केंद्रीय स्वास्थ्य मंत्रालय को पत्र लिखा था.

अपने पत्र में, उन्होंने इस ओर इशारा किया था कि राष्ट्रीय सूचना विज्ञान केंद्र (नेशनल इन्फार्मेटिक्स सेंटर-एनआईसी) जो आईटी संबंधी बुनियादी ढांचे को स्थापित करने के लिए जिम्मेदार सरकारी विभाग है, उसके द्वारा इंस्टॉल किए गए ‘ई-अस्पताल’ को इसके रखरखाव और इसकी सुरक्षा के लिए उपयुक्त प्रणालियों के साथ मजबूत नहीं किया गया था.

डॉ अग्रवाल ने लिखा था, ‘एनआईसी द्वारा इंस्टॉल किया गया सबसे बड़ा ‘ई-अस्पताल’ ऐप एम्स, नई दिल्ली में है. हालांकि, इंस्टालेशन के लिए इस साइट पर कोई डेटाबेस एडमिनिस्ट्रेटर, सिक्योरिटी एडमिनिस्ट्रेटर और सिस्टम एडमिनिस्ट्रेटर नहीं है, जो पूरे प्रोजेक्ट को जोखिम में डाल सकता है.’

उन्होंने आगे लिखा कहा था कि एनआईसी के पास इस संबंध में कोई भी सहायता प्रदान करने की विशेषज्ञता नहीं हैं और उसने एम्स को इन विशेषज्ञों की भर्ती करने के लिए कहा है.

स्वास्थ्य मंत्रालय से इस मामले को एनआईसी और इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी विभाग के साथ उठाने का आग्रह करते हुए, अग्रवाल ने लिखा था- ‘इन विशेषज्ञों के बिना एम्स, दिल्ली में ई-अस्पताल के इंस्टालेशन को एक बड़ा जोखिम है.’

इस पत्र के बारे में स्वास्थ्य मंत्रालय की प्रतिक्रिया अभी तक पता नहीं चल पाई है, लेकिन इसके चार महीने बाद एम्स के चिकित्सा अधीक्षक डॉ. डी के शर्मा ने भी ‘ई-अस्पताल’ के कार्यान्वयन के बारे में दी गई अपनी एक रिपोर्ट में इसी तरह के मुद्दों को उठाया था.

स्वास्थ्य मंत्रालय के समक्ष इस बारे में लिखते हुए, उन्होंने बताया था कि एम्स की ऑनलाइन पंजीकरण प्रणाली में प्रतिदिन 6,500 से अधिक नए अपॉइंटमेंटस और 5,000 से अधिक फॉलो-अप देखे जा रहे हैं, लेकिन उन्होंने भी कुछ बड़ी चिंताओं को चिन्हित किया था.

डॉ शर्मा ने लिखा था, ‘एनआईसी से बार-बार अनुरोध किए जाने के बावजूद, प्राइमरी साइट फेलियर के मामले में (कामकाज के) संचालन की निरंतरता को बनाए रखने के लिए कोई इमरजेंसी बैकअप नहीं है. इससे रोगियों की देखभाल पर गंभीर प्रभाव पड़ सकते हैं.’

16 जुलाई 2016 को एम्स में ‘ई-हॉस्पिटल’ एप्लिकेशन को लागू किए जाने की प्रगति पर हुई बैठक के कॉन्क्लूज़न में कहा गया है कि एम्स में किए गए इस डिजिटल परिवर्तन के पीछे का मूल स्रोत एनआईसी ही है, लेकिन स्वास्थ्य मंत्रालय को लिखे गए डॉ. शर्मा के पत्र में कहा गया है कि एनआईसी का अस्पताल के साथ कोई सर्विस एग्रीमेंट नहीं है.

उन्होंने लिखा था, ‘एनआईसी के साथ कोई सर्विस-लेवल एग्रीमेंट नहीं है, जिसके कारण विक्रेता (एनआईसी) को सेवा में किसी भी तरह की चूक के लिए जवाबदेह नहीं ठहराया जा सकता है. रखरखाव का समय अंतरराष्ट्रीय मानकों को पूरा नहीं करता है.’

डॉ. शर्मा ने बताया कि अस्पताल ने मरीज पोर्टल और प्रयोगशाला सूचना प्रणाली में लगातार ब्रेकडाउन का भी अनुभव किया है, जिसके कारण पंजीकरण, अपॉइंटमेंट्स और प्रयोगशाला रिपोर्ट देखने में समस्याएं हुईं हैं.

इस बारे में दिप्रिंट की ओर से पूछे गए सवालों के जवाब में, एनआईसी ने कहा कि एम्स द्वारा उपयोग किए जाने वाले ‘ई-हॉस्पिटल सॉफ्टवेयर’ को मुहैया करवाए जाने के बाद से अस्पताल अपने खुद के सर्वर पर इस सिस्टम को संचालित करता है और समय-समय पर ऑपरेटिंग सिस्टम के अपग्रेड के साथ-साथ एंटी-वायरस सॉफ्टवेयर को अप-टू-डेट बनाए रखने के लिए भी जिम्मेदार है.

एनआईसी के एक प्रवक्ता ने कहा, ‘एनआईसी मुख्य रूप से ‘ई-हॉस्पिटल’ एप्लिकेशन सॉफ्टवेयर के विकास और रखरखाव के लिए ज़िम्मेदार है और इस इसका उपयोग करने वाले उपयोगकर्ताओं को आउटसोर्स रिसोर्सेस को भर्ती किये जाने के जरिए हैंडहोल्डिंग सहायता प्रदान करने के लिए जिम्मेदार है.’

एनआईसी ने यह भी कहा कि साइबर (मैलवेयर) हमले के बाद, एम्स अपने नेटवर्क के साथ-साथ इसका उपयोग करने वाले व्यक्तिगत उपकरणों को और अधिक सुरक्षित बनाने के लिए कदम उठा रहा है. प्रवक्ता ने कहा, ‘मौजूदा घटना से पहले हुआ कोई अन्य साइबर हमला या सिस्टम की कोई अन्य खराबी एनआईसी की जानकारी में नहीं है.’

दिप्रिंट ने डॉ. डी के शर्मा और डॉ. दीपक अग्रवाल से फोन कॉल, मोबाइल मैसेज और उनके ऑफिस विसिट के जरिए संपर्क करने की कोशिश की, लेकिन हमें उनकी ओर से जवाब नहीं मिले. स्वास्थ्य मंत्रालय और एम्स के निदेशक ने भी दिप्रिंट के सवालों का जवाब नहीं दिया. उनकी प्रतिक्रिया मिलने के बाद इस खबर को अपडेट कर दिया जाएगा.

यह भी पढ़ेंः कोविड, जागरूकता की कमी, टीके को लेकर झिझक – क्यों खसरे के प्रकोप से जूझ रही है मुंबई

‘साइबर सुरक्षा को कभी महत्व नहीं दिया गया’

एम्स के तत्कालीन उप निदेशक (प्रशासन) वी.श्रीनिवास ने 2016 में दि फर्स्ट डिजिटल रेवोलुशन इन हेल्थ केयर शीर्षक वाले एक नोट में बताया था कि कैसे डिजिटलीकरण ने रोगी पंजीकरण केंद्र में  ‘ देरत रात तीन बजे से लगने वाली टेढ़ी-मेढ़ी कतारों’ को खत्म कर दिया था और अस्पताल में बिताये जाने वाले प्रतीक्षा समय को छह घंटे तक कम कर दिया था.

एम्स के एक डॉक्टर ने कहा, ‘लेकिन जहां डिजिटलीकरण ने अस्पताल के कामकाज को आसान बना दिया हैं, वही साइबर सुरक्षा को कभी महत्व नहीं दिया गया. डॉक्टरों को डिजिटल स्वच्छता के बारे में सूचित करने के लिए कोई ट्रैनिंग प्रोग्राम या सेमिनार आयोजित नहीं किये गये. एम्स में कंप्यूटरों का व्यवस्थित अपग्रेड भी नदारद है.’

अस्पताल की वेबसाइट से पता चलता है कि कई डॉक्टर अभी भी आधिकारिक कामकाज के लिए व्यक्तिगत जीमेल एकाउंट्स का उपयोग कर रहे हैं.

इस सिस्टम से जुड़े खतरों को रोकने के लिए, एनआईसी जानकारी देता है कि कैसे अपडेटेड एंटी-वायरस सॉफ्टवेयर को सिस्टम पर इनस्टॉल किया जाना चाहिए और हर छह महीने में, या जब भी सोर्स कोड में कोई परिवर्तन किया जाता है तब, सिक्योरिटी ऑडिट किया जाना चाहिए.

लेकिन दिप्रिंट के साथ बात करने वाले कई डॉक्टरों ने दावा किया कि इन उपायों को कभी लागू नहीं किया गया. उनमें से कुछ का कहना है कि वे अभी भी इस साइबर हमले की प्रकृति से अनजान हैं.

इस बैठक में शामिल हुए एक डॉक्टर ने कहा, ‘कुछ दिन पहले, एम्स में सभी विभागों के प्रमुखों को अस्पताल के निदेशक द्वारा एक बैठक के लिए बुलाया गया था और कहा गया था कि वे अपने कंप्यूटर पर किसी भी बाहरी उपकरण का उपयोग न करें. हमें इस बारे में कोई जानकारी नहीं दी गई कि सिस्टम कब फिर से बहाल होगा या अस्पताल के सिस्टम में यह मैलवेयर आया कैसे.’

एम्स के एक अन्य डॉक्टर ने कहा कि इस साइबर हमले ने मरीजों की अधिक सहज देखभाल के लिए एम्स सर्वर के बाहर भी उनके रिकॉर्ड उपलब्ध कराने के लिए ‘यूनिक हेल्थ आईडी’ का उपयोग करने की प्रक्रिया को बाधित कर दिया है.

इस डॉक्टर ने कहा, ‘डिजिटलीकरण की प्रक्रिया प्रगति पर थी. विचार यह था कि अगर मरीज इलाज के लिए एम्स से बाहर जाता है तो निजी अस्पतालों में भी मरीजों के रिकॉर्ड को सुलभता से उपलब्ध कराया जा सके, लेकिन साइबर हमला इस मामले में एक बड़ा झटका है.’

एम्स की वर्तमान कम्प्यूटरीकरण समिति की अध्यक्ष डॉ. पूजा गुप्ता ने दिप्रिंट के सवालों का जवाब नहीं दिया. दिप्रिंट ने समिति के पिछले प्रमुखों से सम्पर्क करने की भी कोशिश की, लेकिन कोई असर नहीं हुआ.

यह भी पढ़ेंः स्टडी में दावा- सांपों के काटने से दुनिया में होने वाली कुल मौतों में 80 फीसदी हिस्सा भारत का

साइबर हमले का एक अकेला उदाहरण नहीं है यह मामला

साइबर हमले से जूझ रहा एम्स अकेला ऐसा सार्वजनिक स्वास्थ्य संस्थान नहीं है. एम्स पर हुए हमले के कुछ ही दिनों बाद, 30 नवंबर को कथित तौर पर भारतीय चिकित्सा अनुसंधान परिषद (आईसीएमआर) के सर्वर को हैक करने के 6,000 प्रयास किए गए.

हांगकांग में एक ब्लैक लिस्टेड सर्वर से ट्रेस कथित तौर पर की गईं ये कोशिशें इस वजह से नाकाम रहीं क्योंकि इसमें लगे फायरवॉल और अन्य सुरक्षा उपाय अप-टू-डेट थे.

पिछले महीने एक साइबर हमले के बाद सफदरजंग अस्पताल का सर्वर भी एक दिन के लिए बंद पड़ा रहा था.

सफदरजंग अस्पताल में की जा रही डिजिटलीकरण की प्रक्रिया के दौरान वहां काम करने वाले एक डॉक्टर ने आरोप लगाया कि सुरक्षा प्रोटोकॉल और प्रशिक्षण को प्राथमिकता नहीं दी गई.

इस डॉक्टर ने दावा किया, ‘सफदरजंग अस्पताल में पहला डिजिटलीकरण अभियान साल 2019 में विभागवार रूप से शुरू हुआ था. मगर, कोई डेटा सुरक्षा संबंधी प्रशिक्षण नहीं दिया गया था और फिर कोविड महामारी के दौरान सभी प्रशिक्षण कार्यक्रमों को या तो निलंबित कर दिया गया या उन्हें भुला दिया गया.’

मार्च महीने में, नेशनल इंस्टीट्यूट ऑफ मेंटल हेल्थ एंड न्यूरो साइंसेज (निम्हान्स) को भी साइबर हमले का सामना करना पड़ा था. हालांकि, इसका पैमाना एम्स जितना बड़ा नहीं था.

(अनुवाद: रामलाल खन्ना | संपादन: फाल्गुनी शर्मा)

(इस खबर को अंग्रेज़ी में पढ़ने के लिए यहां क्लिक करें)

यह भी पढ़ेंः 4 साल में होगी ऑनर्स की डिग्री, मल्टीपल एंट्री और एग्जिट का विकल्प-FYUP पर UGC की नई गाइडलाइन