Digitale certifikater til HIPAA-kompatibel kommunikation

Digitale certifikater fra SSL.com kan være en vigtig del af en sundhedsorganisations planer for HIPAA-kompatibel e-mail, godkendelse og websteder.

HIPAA overtrædelser og sanktioner

Den amerikanske Health Insurance Portability and Accountability Act (HIPAA), oprindeligt vedtaget i 1996, beskytter sikkerheden og privatlivets fred for patienters elektroniske beskyttede sundhedsoplysninger (også kendt som PHI eller ePHI). HIPAA-overholdelse håndhæves af Office for Civil Rights (OCR) fra US Department of Health and Human Services (DHS).

Under HIPAA er sundhedsudbydere anklaget for at beskytte PHI under transport eller i hvile, og bøder for databrud kan være betydelige. Læger praksis rapporter at 34.9 millioner amerikanere (ca. 10% af den amerikanske befolkning!) havde overtrådt deres PHI i 2019, som stammer fra 418 rapporterede HIPAA-overtrædelser. 39% af disse overtrædelser involverede e-mail og 20% ​​involverede netværksservere.
 

For 2020, juridisk journalist Steve Alder rapporter på HIPAA Journal, at der blev rapporteret 642 storstødsbrud fra sundhedsinstitutioner, herunder sundhedsudbydere og clearingcentre i sundhedsvæsenet. Denne statistik er 25% større i forhold til 2019, som i sig selv allerede var et rekordår. 

Sammenlignet med år 2020 er brud på sundhedsdatabaserne tredoblet siden 2010 og fordoblet siden 2014. Der er derfor sket en årlig stigning på 25% i databrud. Alt i alt er der svækket en svimlende 78 millioner sundhedsrekorder mellem 2009-2020. 

Med bøder, der spænder fra $ 100 til $ 50,000 pr. Overtrædelse, og en maksimal sanktion på $ 1.5 mio. Om året for overtrædelser af en HIPAA-bestemmelse, kan ingen sundhedsudbyder råd til at være uagtsomme med at beskytte deres kunders PHI.
 

Vigtigste årsager til brud på sundhedsdata i 2020

fem hovedårsager af brud på sundhedsdata i 2020 var identificeret: hacking/it -hændelse (26.9 millioner registreringer overtrådt), uautoriseret adgang/afsløring (787,015 rekordbrud), tyveri (806,552 rekordbrud), forkert bortskaffelse (584,980 rekordbrud) og tab (169,509 registreringer overtrådt). 

Det er klart, at cybersikkerhedsangreb udgjorde den største årsag til, at sundhedsdata blev stjålet. Cyberangrebene omfattede den alt for almindelige phishing, afsendelse af malware, udnyttelse af sårbarheder og ransomware.

I de sidste måneder af 2020 steg forekomsten af ​​ransomware betydeligt. Check Point rapporteret at sundhedsvæsenet var den mest målrettede industri af ransomware -angribere i oktober 2020. Ryuk ransomware -banden var en af ​​de mest berygtede den måned. De tog computerens systemer ud af Sky Lakes Medical Center og tvang klinikere til at ty til håndskrift for at dokumentere patientoplysninger. De angreb også University of Vermont Health Network, hvor op til 20 medicinske faciliteter blev udsat for ofre. 

Det er også teoretiseret, at Ryuk var ansvarlig for ransomware -angrebet mod Universal Health Services (UHS), der har 400 hospitaler i USA og årligt henvender sig til millioner af patienter. UHS er anslået at have mistet 67 millioner dollars for skader inklusive tabt omsætning på grund af ambulancer, der blev omdirigeret til andre hospitaler, mere end 2 måneders forsinkelse i faktureringsprocedurer og gigantiske udgifter til at reparere deres systemer.  

Mellem oktober og september 2020 blev der observeret en alarmerende stigning på 71% i ransomware -angreb. Ransomware -sager i 2020 omfattede flere af de mest skadelige cyberangreb, der fandt sted mod sundhedsorganisationer det år. I mange af disse angreb blev systemer mørklægte i mange uger, og som følge heraf blev patienttjenester hårdt påvirket. 

Digitale certifikater til informationsbeskyttelse og godkendelse

HIPAA's afsnit om tekniske garantier gør det klart, at patienters PHI skal beskyttes af sundhedsudbydere, når de overføres via et computernetværk eller i hvile. Relevante regler inkluderer (men er ikke begrænset til):

164.312 (a) (2) (iv): Kryptering og dekryptering (adresserbar). Implementere en mekanisme til at kryptere og dekryptere elektronisk beskyttet sundhedsinformation.

164.312 (c) (1): Standard: Integritet. Implementere politikker og procedurer for at beskytte elektronisk beskyttet sundhedsinformation mod forkert ændring eller ødelæggelse.

164.312 (d): Standard: Person- eller enhedsgodkendelse. Implementere procedurer for at verificere, at en person eller enhed, der søger adgang til elektronisk beskyttede sundhedsoplysninger, er den, der kræves.

164.312 (e) (1): Standard: Transmissionssikkerhed. Implementere tekniske sikkerhedsforanstaltninger for at beskytte mod uautoriseret adgang til elektronisk beskyttet sundhedsinformation, der transmitteres via et elektronisk kommunikationsnetværk.

Fordi det var meningen, at det skulle være "fremtidssikret", præciserer HIPAA ikke de nøjagtige teknologier, der skal bruges til at beskytte PHI. I dag tilbyder digitale certifikater, der tilbydes af offentligt tillidte certifikatmyndigheder (CA'er), som SSL.com, en fantastisk løsning til sikring af kryptering, godkendelse og integritet af digital kommunikation.

Vi dækker tre vigtige anvendelser af digitale certifikater til HIPAA-kompatibel kommunikation her: S/MIME certifikater til sikker e-mail, certifikatbaseret klientgodkendelse og SSL /TLS certifikater til beskyttelse af websteder og webapplikationer. Vi diskuterer også, hvordan SSL.coms avancerede certifikatadministrationsværktøjer kan hjælpe dig med at planlægge og vedligeholde dækningen for hele din organisation og holde dine certifikater opdaterede.

S/MIME E-mail og klientgodkendelse for HIPAA-overholdelse

E-mail har været i brug til kommunikation via computernetværk siden begyndelsen af ​​1970'erne og er som standard usikker. E-mail er baseret på protokoller med almindelig tekst, giver ingen måde at sikre integriteten af ​​meddelelser og inkluderer ingen mekanisme til robust godkendelse. S/MIME (Sikker / Multipurpose Internet Mail Extensions) certifikater fra SSL.com kan løse disse problemer ved at sikre kryptering, autentificering og integritet til din organisations e-mail:

  • Kryptering: S/MIME giver robust ende-til-ende-kryptering, så meddelelser ikke kan opfanges og læses under transit. For eksempel, S/MIME kan beskytte meddelelser, der sendes over internettet, mellem kontorer eller organisationer og uden for firmafirewalls.
    • S/MIME kryptering er aysmmetrisk, med begge offentlige og private nøgler. Enhver med en modtager offentlig nøgle kan sende dem en krypteret besked, men kun en person i besiddelse af den tilsvarende privat nøgle kan dekryptere og læse det. Derfor er det sikkert at distribuere offentlige nøgler både inden for og uden for en organisation, mens private nøgler skal holdes sikre.
  • Godkendelse: Hver S/MIME e-mail-besked er underskrevet med en unik privat nøgle tilknyttet den e-mail-adresse (og eventuelt den enkelte person og / eller organisation), der sendte den. Fordi afsenderens identitet er verificeret af en betroet tredjeparts CA - såsom SSL.com - og bundet til denne hemmelige nøgle, er modtagerne sikre på den sande identitet for afsenderen.
  • Integritet: Hver underskrevet S/MIME e-mail-besked inkluderer en krypt hash (en type digitalt "fingeraftryk" eller kontrolsum) af meddelelsens indhold, der kan beregnes uafhængigt og bekræftes af modtagerens e-mail-software. Hvis en meddelelse på en eller anden måde opfanges og ændres (selv med et tegn), svarer den beregnede hashværdi ikke til den digitale signatur. Dette betyder, at modtagere af digitalt signeret e-mail kan være sikre på en meddelelses integritet.

Desuden, fordi en betroet digital signatur sikrer ægtheden og integriteten af ​​e-mail, S/MIME giver lovlig uafviselighed til e-mail-beskeder; det er vanskeligt for en afsender med sandsynlighed at benægte, at de sendte den nøjagtige besked.

HIPAA-overholdelse for e-mail i transit og i hvile

S/MIME certifikater fra SSL.com kan levere HIPAA-overholdelse for en organisations e-mail under transport eller i hvile:

  • Undervejs: Integriteten og ægtheden af S/MIME e-mail sikres med en unik, pålidelig digital signatur. End-to-end-kryptering sikrer, at beskeder ikke kan læses af en tredjepart, når de transmitteres over usikre netværk (såsom internettet).
  • I hvile: S/MIME kryptering sikrer, at kun en person, der har modtagerens private nøgle, kan dekryptere og læse beskeder krypteret med deres offentlige nøgle. Krypteret e-mail stjålet i databrud eller på anden måde kompromitteret er ubrugelig for angribere uden adgang til disse nøgler.

Klientgodkendelse

Alle S/MIME certifikater udstedt af SSL.com inkluderer klientgodkendelse. Klientgodkendelsescertifikater kan bruges som en godkendelsesfaktor for adgang til beskyttede netværksressourcer, såsom VPN'er og webapplikationer, hvor patientens PHI håndteres. Derfor, S/MIME og klientcertifikater fra SSL.com kan distribueres til personale som en samlet løsning til:

  • Godkendelse for adgang til beskyttede sundhedsoplysninger.
  • Kryptering, godkendelse og integritet af e-mail i transit eller i hvile.
For mere information om brug af klientcertificeringer med webapplikationer, se SSL.com's vejledning, Konfiguration af klientgodkendelsescertifikater i webbrowsere.

Bulk S/MIME Certifikater tilmelding

Ved brug af S/MIME certifikater for HIPAA-overholdelse kræver en plan for udstedelse af certifikater til alt personale, der arbejder med PHI og administrerer disse certifikater over tid. Medarbejdere kommer og går, certifikater udløber, og certifikater skal muligvis være tilbagekaldt af forskellige årsager, herunder kompromis med private nøgler.

Sundhedsudbydere kan nemt spørgsmål S/MIME certifikater i bulk fra SSL.coms avancerede kundekonto portal. Disse certifikater kan administreres, fornyes og tilbagekaldes efter behov.

Indtast e-mail-adresser

Organisationer, der kræver et stort antal certifikater, kan også drage fordel af engrosrabatter på op til 65% ved at deltage i SSL.com's Forhandler- og volumenindkøbsprogram.

SSL /TLS til websidesikkerhed

I 2021, blev alle websteder skal beskyttes med en SSL /TLS certifikat og brug HTTPS-protokol, men det er et absolut must for ethvert websted eller webapplikation, der kræves for at være HIPAA-kompatibel. lignende S/MIME til e-mail, SSL /TLS protokol giver kryptering, ægthed og integritet til websteder:

  • Al kommunikation mellem et websted beskyttet med en korrekt konfigureret SSL /TLS certifikat og en webbrowser er sikkert krypteret.
  • identitet på et HTTPS-websted, der præsenterer et gyldigt certifikat underskrevet af en offentligt betroet CA, accepteres af webbrowsere og gøres tilgængelige for brugerne.
    • Afhængigt af valideringsniveau valgt af ejeren, et websteds SSL /TLS certifikat kan ganske enkelt angive, at en CA har bekræftet kontrol af et websted af certifikatansøgeren, eller det kan omfatte detaljerede oplysninger om den enhed, der driver webstedet, såsom et firma eller en anden organisation.
    • For maksimal tillid kan sundhedsorganisationer muligvis investere i Høj sikkerhed (OV) or Extended Validation (EV) certifikater, der leverer bevis for identitet til brugerne.
  • Dokumenter - såsom websider - fra et HTTPS-websted beskyttet af en SSL /TLS certifikat har deres integritet garanteret af en krypteret hash inkluderet i den digitale signatur, som uafhængigt beregnes af browseren, før den stoler på dokumentet. Dataene kan ikke opfanges og ændres af en ondsindet tredjepart, mens de er i transit, uden at browseren opdager fejlen og advarer brugeren.
SSL /TLS konfiguration er et komplekst emne, og der er mange potentielle faldgruber, når man opretter et websted til HTTPS. Læs SSL.com's guide til SSL /TLS bedste praksis for meget mere information.

Udløbspåmindelser og automatisering

Alle certifikater har en udløbsdato, hvorefter de ikke får tillid til dem af klientsoftwaren. For offentligt betroet SSL /TLS, den maksimale certifikats levetid er i øjeblikket 398 dage. Hvis du lader et websteds SSL /TLS certifikat udløber, vil browsere ikke længere stole på det:

Fejlmeddelelse om certifikat udløbet

Det kan være svært at holde styr på udløbne certifikater og holde dem opdateret, og nuværende certifikater er afgørende for at opretholde sikre, HIPAA-kompatible websteder. SSL.com giver flere effektive muligheder for at sikre, at dine certifikater er opdaterede:

  • Påmindelser om udløb: SSL.com giver konfigurerbare meddelelser for at minde dig om, hvornår det er tid til et certifikat skal fornyes. Dette er en god mulighed for organisationer med et lille antal certifikater eller i situationer, hvor automatisering er ubelejlig eller umulig på grund af tekniske begrænsninger.
    Udløbspåmindelser
  • Scripting og automatisering: Organisationer kan oprette brugerdefinerede scripts, der udnytter SSL.com's RESTful SWS API eller industristandarden ACME-protokol at automatisere SSL /TLS certifikatfornyelse, hvilket eliminerer behovet for påmindelser. Automatisering er især vigtigt, hvis en organisation har et stort antal servere og certifikater, der skal vedligeholdes.

Konklusion

Vi håber, at dette indlæg har hjulpet dig med at forstå, hvordan digitale certifikater kan være en del af din organisations plan for HIPAA-overholdelse, og hvordan SSL.coms avancerede styringsværktøjer kan hjælpe dig med at sikre, at din organisation er beskyttet og opdateret.

Hvis du har spørgsmål om køb af certifikater til din organisation specielt til masseudstedelse af S/MIME Certifikater, kontakt venligst SSL.com's virksomhedssalgsteam via formularen nedenfor. Du kan også kontakte SSL.com support via e-mail på Support@SSL.com, telefonisk på 1-877-SSL-SECUREeller ved at klikke på chatlinket nederst til højre på denne side.

Og som altid tak, fordi du besøgte SSL.com, hvor vi mener, at en sikrere internet er en bedre internet!

Kontakt SSL.com Enterprise Sales

Abonner på SSL.coms nyhedsbrev

Gå ikke glip af nye artikler og opdateringer fra SSL.com

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.