Digitale Zertifikate für HIPAA-konforme Kommunikation

Digitale Zertifikate von SSL.com können ein wichtiger Bestandteil der Pläne einer Gesundheitsorganisation für HIPAA-konforme E-Mails, Authentifizierungen und Websites sein.

HIPAA Verstöße und Strafen

Das US-amerikanische Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA), das ursprünglich 1996 verabschiedet wurde, schützt die Sicherheit und den Datenschutz der elektronisch geschützten Gesundheitsinformationen von Patienten (auch als PHI oder ePHI bekannt). Die Einhaltung der HIPAA wird vom Office for Civil Rights (OCR) des US-amerikanischen Ministeriums für Gesundheit und menschliche Dienste (DHS) durchgesetzt.

Im Rahmen der HIPAA werden Gesundheitsdienstleister mit dem Schutz von PHI während des Transports oder in Ruhe beauftragt, und Geldstrafen für Datenschutzverletzungen können erheblich sein. Arztpraxis Berichte 34.9 Millionen Amerikaner (ungefähr 10% der US-Bevölkerung!) Hatten 2019 einen PHI-Verstoß, was auf 418 gemeldete HIPAA-Verstöße zurückzuführen ist. 39% dieser Verstöße betrafen E-Mails und 20% Netzwerkserver.
 

Für 2020, Rechtsjournalist Steve Alder Berichte im HIPAA Journal, dass 642 groß angelegte Datenschutzverletzungen von Gesundheitseinrichtungen, einschließlich Gesundheitsdienstleistern und Clearinghäusern im Gesundheitswesen, gemeldet wurden. Diese Statistik ist im Vergleich zu 25, das selbst bereits ein Rekordjahr war, um 2019 % größer. 

Im Vergleich zum Jahr 2020 haben sich die Datenschutzverletzungen im Gesundheitswesen seit 2010 verdreifacht und seit 2014 verdoppelt. Die Zahl der Datenschutzverletzungen ist somit jährlich um 25 % gestiegen. Insgesamt wurden zwischen 78 und 2009 unglaubliche 2020 Millionen Gesundheitsdatensätze verletzt. 

Mit Geldstrafen zwischen 100 und 50,000 US-Dollar pro Verstoß und einer Höchststrafe von 1.5 Millionen US-Dollar pro Jahr für Verstöße gegen eine HIPAA-Bestimmung kann es sich kein Gesundheitsdienstleister leisten, den PHI seiner Kunden fahrlässig zu schützen.
 

Hauptgründe für Datenschutzverletzungen im Gesundheitswesen im Jahr 2020

Das fünf Hauptursachen der Datenschutzverletzungen im Gesundheitswesen im Jahr 2020 waren identifiziert: Hacking/IT-Vorfall (26.9 Millionen Datensätze verletzt), unbefugter Zugriff/Offenlegung (787,015 Datensätze verletzt), der Diebstahl (806,552 Datensätze verletzt), unsachgemäße Entsorgung (584,980 Datensätze verletzt) und Verlust (169,509 verletzte Datensätze). 

Offensichtlich waren Cybersicherheitsangriffe der Hauptgrund für den Diebstahl von Gesundheitsdaten. Zu den Cyberangriffen gehörten das allzu häufige Phishing, das Versenden von Malware, das Ausnutzen von Sicherheitslücken und Ransomware.

In den letzten Monaten des Jahres 2020 stieg die Inzidenz von Ransomware deutlich an. Kontrollpunkt berichtet dass das Gesundheitswesen im Oktober 2020 die am stärksten von Ransomware-Angreifern angegriffene Branche war. Die Ryuk-Ransomware-Gang war in diesem Monat eine der berüchtigtsten. Sie nahmen die Computersysteme des Sky Lakes Medical Center aus und zwangen die Kliniker dazu, handschriftlich zu arbeiten, um Patienteninformationen zu dokumentieren. Sie griffen auch das Gesundheitsnetzwerk der University of Vermont an, bei dem bis zu 20 medizinische Einrichtungen zum Opfer fielen. 

Es wird auch vermutet, dass Ryuk für den Ransomware-Angriff gegen Universal Health Services (UHS) verantwortlich war, das 400 Krankenhäuser in den USA hat und jährlich Millionen von Patienten versorgt. UHS ist geschätzt 67 Millionen US-Dollar für Schäden verloren zu haben, darunter Umsatzeinbußen durch die Umleitung von Krankenwagen in andere Krankenhäuser, eine Verzögerung von mehr als zwei Monaten bei den Abrechnungsverfahren und gigantische Kosten für die Reparatur ihrer Systeme.  

Zwischen Oktober und September 2020 wurde ein alarmierender Anstieg der Ransomware-Angriffe um 71 % beobachtet. Ransomware-Fälle im Jahr 2020 umfassten mehrere der schädlichsten Cyberangriffe, die in diesem Jahr gegen Gesundheitsorganisationen erfolgten. Bei vielen dieser Angriffe wurden die Systeme wochenlang gesperrt und dadurch die Patientenversorgung stark beeinträchtigt. 

Digitale Zertifikate für Informationsschutz und Authentifizierung

HIPAA Abschnitt über technische Schutzmaßnahmen macht deutlich, dass die PHI von Patienten bei der Übertragung über ein Computernetzwerk oder in Ruhe von Gesundheitsdienstleistern geschützt werden muss. Relevante Vorschriften umfassen (ohne darauf beschränkt zu sein):

164.312 (a) (2) (iv): Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zum Ver- und Entschlüsseln elektronisch geschützter Gesundheitsinformationen.

164.312 (c) (1): Standard: Integrität. Implementieren Sie Richtlinien und Verfahren, um elektronisch geschützte Gesundheitsinformationen vor unsachgemäßer Änderung oder Zerstörung zu schützen.

164.312 (d): Standard: Personen- oder Entitätsauthentifizierung. Implementieren Sie Verfahren, um zu überprüfen, ob eine Person oder Organisation, die Zugang zu elektronisch geschützten Gesundheitsinformationen sucht, diejenige ist, die beansprucht wird.

164.312 (e) (1): Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen, um den unbefugten Zugriff auf elektronisch geschützte Gesundheitsinformationen zu verhindern, die über ein elektronisches Kommunikationsnetz übertragen werden.

Da es „zukunftssicher“ sein sollte, beschreibt HIPAA nicht die genauen Technologien, die zum Schutz von PHI verwendet werden müssen. Heutzutage bieten digitale Zertifikate, die von öffentlich vertrauenswürdigen Zertifizierungsstellen wie SSL.com angeboten werden, eine hervorragende Lösung, um die Verschlüsselung, Authentifizierung und Integrität der digitalen Kommunikation sicherzustellen.

Wir werden hier drei wichtige Anwendungen digitaler Zertifikate für die HIPAA-konforme Kommunikation behandeln: S/MIME Zertifikate für sichere E-Mail, zertifikatbasierte Clientauthentifizierung und SSL /TLS Zertifikate zum Schutz von Websites und Webanwendungen. Wir werden auch erläutern, wie Sie mit den erweiterten Zertifikatverwaltungstools von SSL.com die Abdeckung für Ihr gesamtes Unternehmen planen und aufrechterhalten und Ihre Zertifikate auf dem neuesten Stand halten können.

S/MIME E-Mail- und Client-Authentifizierung für HIPAA-Konformität

E-Mail wird seit Anfang der 1970er Jahre für die Kommunikation über Computernetzwerke verwendet und ist standardmäßig unsicher. E-Mail basiert auf Klartextprotokollen, bietet keine Möglichkeit, die Integrität von Nachrichten sicherzustellen, und enthält keinen Mechanismus für eine robuste Authentifizierung. S/MIME (Sichere / Mehrzweck-Internet-Mail-Erweiterungen) Zertifikate von SSL.com können diese Probleme lösen, indem sie sicherstellen Verschlüsselung, Beglaubigung und Integrität für die E-Mail-Adresse Ihrer Organisation:

  • Verschlüsselung: S/MIME Bietet eine robuste End-to-End-Verschlüsselung, sodass Nachrichten während der Übertragung nicht abgefangen und gelesen werden können. Beispielsweise, S/MIME kann Nachrichten schützen, die über das Internet, zwischen Büros oder Organisationen und außerhalb von Unternehmensfirewalls gesendet werden.
    • S/MIME Die Verschlüsselung ist bei beiden aysmmetrisch öffentliche und private Schlüssel. Jeder mit einem Empfänger Öffentlicher Schlüssel kann ihnen eine verschlüsselte Nachricht senden, aber nur eine Person im Besitz der entsprechenden privater Schlüssel kann es entschlüsseln und lesen. Daher ist es sicher, öffentliche Schlüssel sowohl innerhalb als auch außerhalb einer Organisation zu verteilen, während private Schlüssel sicher aufbewahrt werden müssen.
  • Authentifizierung: . S/MIME Die E-Mail-Nachricht wird mit einem eindeutigen privaten Schlüssel signiert, der der E-Mail-Adresse (und optional der einzelnen Person und / oder Organisation) zugeordnet ist, die sie gesendet hat. Da die Identität des Absenders von einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters wie SSL.com überprüft und an diesen geheimen Schlüssel gebunden wurde, wird den Empfängern die wahre Identität des Absenders zugesichert.
  • Integrität: Jeder unterschrieben S/MIME E-Mail-Nachricht enthält eine verschlüsselte Hash- (eine Art digitaler „Fingerabdruck“ oder Prüfsumme) des Nachrichteninhalts, der von der E-Mail-Software des Empfängers unabhängig berechnet und bestätigt werden kann. Wenn eine Nachricht irgendwie abgefangen und geändert wird (auch nur um ein Zeichen), stimmt der berechnete Hashwert nicht mit der digitalen Signatur überein. Dies bedeutet, dass Empfänger digital signierter E-Mails sicher sein können, dass eine Nachricht integer ist.

Da eine vertrauenswürdige digitale Signatur die Authentizität und Integrität von E-Mails gewährleistet, S/MIME bietet legal Nicht-Ablehnung für E-Mail-Nachrichten; Für einen Absender ist es schwierig, plausibel zu leugnen, dass er genau diese Nachricht gesendet hat.

HIPAA-Konformität für E-Mails im Transit und in Ruhe

S/MIME Zertifikate von SSL.com können die HIPAA-Konformität für E-Mails eines Unternehmens während des Transports oder in Ruhe bereitstellen:

  • Im Transit: Die Integrität und Authentizität von S/MIME E-Mails werden durch eine eindeutige, vertrauenswürdige digitale Signatur sichergestellt. Durch die End-to-End-Verschlüsselung wird sichergestellt, dass Nachrichten nicht von Dritten gelesen werden können, wenn sie über unsichere Netzwerke (z. B. das Internet) übertragen werden.
  • Im Ruhezustand: S/MIME Durch die Verschlüsselung wird sichergestellt, dass nur jemand, der den privaten Schlüssel des Empfängers besitzt, mit seinem öffentlichen Schlüssel verschlüsselte Nachrichten entschlüsseln und lesen kann. Verschlüsselte E-Mails, die bei Datenverletzungen gestohlen oder auf andere Weise kompromittiert wurden, sind für Angreifer ohne Zugriff auf diese Schlüssel nutzlos.

Client-Authentifizierung

Alle S/MIME Von SSL.com ausgestellte Zertifikate umfassen die Clientauthentifizierung. Clientauthentifizierungszertifikate können als Authentifizierungsfaktor für den Zugriff auf geschützte Netzwerkressourcen wie VPNs und Webanwendungen verwendet werden, in denen die PHI des Patienten verarbeitet wird. Deshalb, S/MIME Client-Zertifikate von SSL.com können als einheitliche Lösung an folgende Mitarbeiter verteilt werden:

  • Authentifizierung für den Zugriff auf geschützte Gesundheitsinformationen.
  • Verschlüsselung, Authentifizierung und Integrität von E-Mails während der Übertragung oder in Ruhe.
Weitere Informationen zur Verwendung von Client-Zertifikaten mit Webanwendungen finden Sie in der Anleitung von SSL.com. Konfigurieren von Clientauthentifizierungszertifikaten in Webbrowsern.

Masse S/MIME Registrierung von Zertifikaten

Die richtigen S/MIME Zertifikate für die HIPAA-Konformität erfordern einen Plan für die Ausstellung von Zertifikaten für alle Mitarbeiter, die mit PHI arbeiten, und die Verwaltung dieser Zertifikate im Laufe der Zeit. Mitarbeiter kommen und gehen, Zertifikate verfallen und Zertifikate müssen möglicherweise sein widerrufen aus verschiedenen Gründen, einschließlich Kompromiss mit privatem Schlüssel.

Leistungserbringer im Gesundheitswesen können leicht Problem S/MIME Zertifikate in loser Schüttung von SSL.com ist fortgeschritten Kundenkonto-Portal. Diese Zertifikate können nach Bedarf verwaltet, erneuert und widerrufen werden.

Geben Sie die E-Mail-Adressen ein

Unternehmen, die eine große Anzahl von Zertifikaten benötigen, können durch die Teilnahme an SSL.coms auch von Großhandelsrabatten von bis zu 65% profitieren Reseller- und Volumeneinkaufsprogramm.

SSL /TLS für die Sicherheit der Website

In 2021, alle Websites sollten mit einem geschützt werden SSL /TLS Bescheinigung und benutze die HTTPS-ProtokollEs ist jedoch ein absolutes Muss für jede Website oder Webanwendung, die HIPAA-konform sein muss. Like S/MIME für E-Mail das SSL /TLS Das Protokoll bietet Verschlüsselung, Authentizität und Integrität für Websites:

  • Die gesamte Kommunikation zwischen einer Website ist mit einem ordnungsgemäß konfigurierten SSL / geschütztTLS Zertifikat und ein Webbrowser sind sicher verschlüsselt.
  • Das Identität einer HTTPS-Website mit einem gültigen Zertifikat, das von einer öffentlich vertrauenswürdigen Zertifizierungsstelle signiert wurde, wird von Webbrowsern akzeptiert und den Benutzern zur Verfügung gestellt.
    • Abhängig von Validierungsgrad von seinem Eigentümer ausgewählt, das SSL einer Website /TLS Das Zertifikat kann lediglich anzeigen, dass eine Zertifizierungsstelle die Kontrolle über eine Website durch den Zertifikatsantragsteller bestätigt hat, oder es kann detaillierte Informationen über die Einrichtung enthalten, die die Website betreibt, z. B. ein Unternehmen oder eine andere Organisation.
    • Für maximales Vertrauen möchten Gesundheitsorganisationen möglicherweise investieren Hohe Sicherheit (OV) or Extended Validation (EV) Zertifikate, die den Benutzern einen Identitätsnachweis liefern.
  • Dokumente - wie z. B. Webseiten - von einer HTTPS-Website, die durch ein SSL / geschützt istTLS Zertifikat haben ihre Integrität Dies wird durch einen in der digitalen Signatur enthaltenen verschlüsselten Hash garantiert, der vom Browser unabhängig berechnet wird, bevor er dem Dokument vertraut. Die Daten können während der Übertragung nicht von böswilligen Dritten abgefangen und geändert werden, ohne dass der Browser den Fehler erkennt und den Benutzer warnt.
SSL /TLS Die Konfiguration ist ein komplexes Thema und es gibt viele potenzielle Fallstricke beim Einrichten einer Website für HTTPS. Bitte lesen Sie SSL.com Anleitung zu SSL /TLS Best Practices für viel mehr Informationen.

Ablauferinnerungen und Automatisierung

Alle Zertifikate haben ein Ablaufdatum, nach dem sie von der Client-Software nicht mehr als vertrauenswürdig eingestuft werden. Für öffentlich vertrauenswürdiges SSL /TLSbeträgt derzeit die maximale Lebensdauer des Zertifikats 398 Tage. Wenn Sie das SSL / einer Website zulassenTLS Zertifikat läuft ab, Browser vertrauen ihm nicht mehr:

Abgelaufene Zertifikatfehlermeldung

Es kann schwierig sein, abgelaufene Zertifikate im Auge zu behalten und auf dem neuesten Stand zu halten. Aktuelle Zertifikate sind für die Pflege sicherer, HIPAA-kompatibler Websites von entscheidender Bedeutung. SSL.com bietet verschiedene leistungsstarke Optionen, um sicherzustellen, dass Ihre Zertifikate auf dem neuesten Stand sind:

  • Ablauferinnerungen: SSL.com bietet konfigurierbare Hinweise um Sie daran zu erinnern, wann ein Zertifikat erneuert werden muss. Dies ist eine großartige Option für Unternehmen mit einer geringen Anzahl von Zertifikaten oder in Situationen, in denen die Automatisierung aufgrund technischer Einschränkungen unpraktisch oder unmöglich ist.
    Ablauferinnerungen
  • Skripterstellung und Automatisierung: Unternehmen können mithilfe von RESTful von SSL.com benutzerdefinierte Skripts erstellen SWS-API oder der Industriestandard ACME-Protokoll SSL automatisieren /TLS Erneuerung des Zertifikats, sodass keine Erinnerungen mehr erforderlich sind. Die Automatisierung ist besonders wichtig, wenn eine Organisation eine große Anzahl von Servern und Zertifikaten warten muss.

Zusammenfassung

Wir hoffen, dieser Beitrag hat Ihnen geholfen zu verstehen, wie digitale Zertifikate Teil des HIPAA-Konformitätsplans Ihres Unternehmens sein können und wie Sie mithilfe der erweiterten Verwaltungstools von SSL.com sicherstellen können, dass Ihr Unternehmen geschützt und auf dem neuesten Stand ist.

Wenn Sie Fragen zum Erwerb von Zertifikaten für Ihre Organisation haben, insbesondere zur Massenausstellung von S/MIME Zertifikate wenden Sie sich bitte über das untenstehende Formular an das Verkaufsteam von SSL.com für Unternehmen. Sie können den Support von SSL.com auch per E-Mail unter kontaktieren Support@SSL.comtelefonisch unter 1-877-SSL-SECUREoder indem Sie auf den Chat-Link unten rechts auf dieser Seite klicken.

Und wie immer vielen Dank für Ihren Besuch bei SSL.com, wo wir glauben, dass a Sicherheit Internet ist ein better Internet!

Wenden Sie sich an SSL.com Enterprise Sales

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.