HIPAA и IoT
Интернет на нещата (IoT) нараства експоненциално, като някои доклади предсказват, че ще достигне 38 милиарда устройства през 2020 г.. С повече и още истории появата на хакнати устройства, които излизат, необходимостта от осигуряване на Интернет на нещата става все по-спешна, още повече за производителите на медицински изделия, като се има предвид HIPAA.
Законът за преносимост и отчетност на здравното осигуряване в САЩ или HIPAA не е шега работа. HIPAA защитава сигурността и поверителността на електронната защитена здравна информация на пациентите (PHI или ePHI) и се прилага от Службата за граждански права (OCR) на Министерството на здравеопазването и социалните услуги на САЩ (DHS). Ако търсите цифрови сертификати за съвместима с HIPAA комуникация, вижте нашата статия тук.
HIPAA изисква доставчиците на здравни услуги да защитават PHI, докато са в транспорт или в покой, а ако не го направят, това може да доведе до солидни глоби. Глоби за нарушения на HIPAA може да варира от 100 до 50,000 1.5 долара за нарушение, с максимално наказание от 2019 милиона долара годишно. През 418 г. 34.9 нарушения доведоха до компромиса с XNUMX милиона PHI на американците.
Предприемането на стъпки сега за осигуряване на информация за пациента и запазване на съответствие с HIPAA със сигурност е правилният ход. През 2019 г. пробивите на мрежовите сървъри представляват 30.6 милиона информация, които са компрометирани. През 2018 г. мрежовият сървър на Американската агенция за медицинско събиране (AMCA) беше хакнат, което доведе до 22 милиона пациенти данните са компрометирани. Финансовите последици и загубата на бизнес доведоха до AMCA подаване на заявление за глава 11 несъстоятелност.
Изисквания за предаване на информация по HIPAA
HIPAA посочва следното по отношение на сигурността на предаването на информация:
164.312 (д) (1): Стандарт: Сигурност на предаването. Прилагане на технически мерки за сигурност, за да се предпази от неоторизиран достъп до електронна защитена здравна информация, която се предава по електронна комуникационна мрежа.
Тъй като HIPAA е трябвало да бъде устойчива на бъдещето, тя оставя тази директива отворена. По принцип, за да се предпазят от потенциално скъпи нарушения, трябва да има протоколи за защита на информацията, предавана по електронна комуникационна мрежа.
За организация това означава, че всички устройства, които предават данни по мрежа, особено тези, които правят това извън фирмената защитна стена, трябва да внедрят механизъм за удостоверяване и криптиране. SSL /TLS може да се погрижи за това чрез еднопосочен или взаимно удостоверяване.
SSL.com предоставя голямо разнообразие от SSL /TLS сървърни сертификати за уебсайтове на HTTPS, включително:
SSL /TLS за IoT, съвместим с HIPAA
SSL /TLS протокол използва асиметрично криптиране за защита на данните, споделени между два компютъра в Интернет. В допълнение, SSL /TLS гарантира, че самоличността на сървъра и / или клиента е валидирана. В най-често срещания сценарий, използвайки еднопосочно удостоверяване, HTTPS сървър предоставя на браузъра на посетител сертификат, който е подписан дигитално от публично доверен сертифициращ орган (CA) като SSL.com.
Математиката зад SSL /TLS гарантира, че цифрово подписаните сертификати на CA са практически невъзможни за фалшифициране при достатъчно голям размер на ключа. Обществените сертифициращи органи проверяват самоличността на кандидатите, преди да издадат сертификати. Те също са обект на строги одити от доставчиците на операционна система и уеб браузър, които да бъдат приети и поддържани в доверителни магазини (списъци с надеждни коренни сертификати инсталиран със софтуер за браузър и ОС).
SSL и удостоверяване на клиенти
За повечето приложения SSL /TLS използва еднопосочно удостоверяване на сървър за клиент; анонимен клиент (уеб браузърът) договаря криптирана сесия с уеб сървър, който представя публично доверен SSL /TLS сертификат за самоличност по време на SSL /TLS ръкостискане.
Въпреки че еднопосочното удостоверяване е напълно приемливо за повечето сърфирания в мрежата, то все още е уязвимо за атаки за кражба на идентификационни данни, като фишинг, при което атакуващите насочват идентификационни данни за вход като потребителски имена и пароли. Фишинг атаки представляват 22% от пробивите на данни, според доклад на Verizon. За допълнителна защита можете да изберете взаимно удостоверяване. При взаимно удостоверяване, след като сървърът бъде удостоверен по време на ръкостискането, той ще изпрати CertificateRequest съобщение до клиента. Клиентът ще отговори, като изпрати сертификат на сървъра за удостоверяване. С двете страни са удостоверени с PKI, взаимното удостоверяване е много по-сигурно от традиционните методи, ориентирани към паролата.
Взаимно удостоверяване и IoT
За производителите на медицински устройства взаимното удостоверяване на сървъри и устройства може да бъде най-добрият вариант, тъй като не се оставя нищо на случайността с идентичността на клиента и сървъра. Например, след като интелигентно медицинско устройство е свързано към интернет, производителят може да иска да изпраща и получава данни към и от сървърите на компанията, така че потребителите да имат достъп до информация. За да улесни този безопасен трансфер на информация, производителят може да вземе предвид следното:
- Изпращайте всяко устройство с уникална двойка криптографски ключове и клиентски сертификат. Тъй като цялата комуникация ще бъде между устройството и сървърите на компанията, тези сертификати могат да бъдат частно доверени, като предлагат допълнителна гъвкавост за политики като продължителността на сертификата.
- Предоставете уникален код на устройството (като сериен номер или QR код), който потребителят може да сканира или да влезе в своя потребителски акаунт на уеб портала на производителя или приложението за смартфон, за да свърже устройството със своя акаунт.
- След като устройството се свърже с интернет чрез Wi-Fi мрежата на потребителя, то ще отвори взаимно TLS връзка със сървъра на производителя. Сървърът ще се удостовери с устройството и ще изиска клиентския сертификат на устройството, който е свързан с уникалния код, въведен от потребителя в акаунта му.
Двете страни по връзката вече са взаимно удостоверени и могат да изпращат съобщения напред и назад със SSL /TLS криптиране над протоколи от приложен слой като HTTPS и MQTT. Потребителят може да осъществи достъп до данни от устройството или да промени настройките му със своя акаунт в уеб портала или приложението за смартфон. Никога няма нужда от неудостоверени или ясни текстови съобщения между двете устройства.
Последна дума
Не се хващайте на открито. Ако се интересувате от персонализираните IoT решения на SSL.com, попълнете формуляра по-долу, за да получите повече информация.
