HIPAA-konforme IoT-Lösungen

Mit dem Wachstum des IoT steigen auch die Sicherheitsbedrohungen. Hersteller von Medizinprodukten können nicht nachlassen - hier erfahren Sie, wie Sie sicher und HIPAA-konform bleiben.

Verwandte Inhalte

Willst du weiter lernen?

Abonnieren Sie den Newsletter von SSL.com, bleiben Sie informiert und sicher.

HIPAA und das IoT

Das Internet der Dinge (Internet of Things, IoT) wächst exponentiell, und einige Berichte sagen voraus, dass es übergreifen wird 38 Milliarden Geräte im Jahr 2020. Mit mehr und mehr Geschichten Angesichts der Tatsache, dass gehackte Geräte herauskommen, wird die Notwendigkeit, das Internet der Dinge zu sichern, immer dringlicher, insbesondere für Hersteller medizinischer Geräte mit Blick auf HIPAA.

Das US-amerikanische Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA) ist kein Scherz. HIPAA schützt die Sicherheit und Privatsphäre der elektronischen geschützten Gesundheitsinformationen (PHI oder ePHI) von Patienten und wird vom Amt für Bürgerrechte (OCR) des US-amerikanischen Ministeriums für Gesundheit und menschliche Dienste (DHS) durchgesetzt. Wenn Sie nach digitalen Zertifikaten für die HIPAA-konforme Kommunikation suchen, Lesen Sie hier unseren Artikel.

Die HIPAA verlangt, dass Gesundheitsdienstleister PHI während des Transports oder in Ruhe schützen. Andernfalls können hohe Geldstrafen verhängt werden. Geldstrafen für Verstöße gegen die HIPAA kann zwischen 100 und 50,000 US-Dollar pro Verstoß liegen, mit einer Höchststrafe von 1.5 Millionen US-Dollar pro Jahr. Im Jahr 2019 führten 418 Verstöße zum Kompromiss von 34.9 Millionen PHI der Amerikaner. 

Es ist sicherlich der richtige Schritt, jetzt Schritte zu unternehmen, um Patienteninformationen zu sichern und HIPAA-konform zu bleiben. Im Jahr 2019 wurden bei Verstößen gegen Netzwerkserver 30.6 Millionen Informationen von Personen kompromittiert. Im Jahr 2018 wurde der Netzwerkserver der American Medical Collection Agency (AMCA) gehackt, was dazu führte, dass 22 Millionen Patienten ihre hatten Daten kompromittiert. Die finanziellen Auswirkungen und der Geschäftsverlust führten dazu, dass AMCA Insolvenzantrag für Kapitel 11 stellte. 

 

Anforderungen an die HIPAA-Informationsübertragung

In Bezug auf die Sicherheit der Informationsübertragung gibt die HIPAA Folgendes an:

164.312 (e) (1): Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen, um den unbefugten Zugriff auf elektronisch geschützte Gesundheitsinformationen zu verhindern, die über ein elektronisches Kommunikationsnetz übertragen werden.

Da HIPAA zukunftssicher sein sollte, bleibt diese Richtlinie unbefristet. Grundsätzlich müssen zum Schutz vor potenziell kostspieligen Verstößen Protokolle vorhanden sein, um die über ein elektronisches Kommunikationsnetz übertragenen Informationen zu schützen.

Für ein Unternehmen bedeutet dies, dass alle Geräte, die Daten über ein Netzwerk übertragen, insbesondere solche außerhalb einer Unternehmensfirewall, einen Mechanismus zur Authentifizierung und Verschlüsselung implementieren müssen. SSL /TLS kann dies entweder in eine Richtung oder in eine Richtung erledigen gegenseitige Authentifizierung

SSL /TLS für HIPAA-konformes IoT

Das SSL /TLS Protokoll verwendet asymmetrische Verschlüsselung zum Sichern von Daten, die von zwei Computern im Internet gemeinsam genutzt werden. Darüber hinaus SSL /TLS stellt sicher, dass die Identitäten des Servers und / oder Clients überprüft werden. Im häufigsten Szenario stellt ein HTTPS-Server mithilfe der Einwegauthentifizierung dem Browser eines Besuchers ein Zertifikat zur Verfügung, das von einer öffentlich vertrauenswürdigen Zertifizierungsstelle (CA) wie SSL.com digital signiert wurde. 

Die Mathematik hinter SSL /TLS Stellen Sie sicher, dass die digital signierten Zertifikate einer Zertifizierungsstelle bei einer ausreichend großen Schlüsselgröße praktisch nicht gefälscht werden können. Öffentliche Zertifizierungsstellen überprüfen die Identität der Antragsteller, bevor sie Zertifikate ausstellen. Sie unterliegen außerdem strengen Audits durch Betriebssystem- und Webbrowser-Anbieter, die in Trust Stores akzeptiert und verwaltet werden (Listen von vertrauenswürdige Stammzertifikate installiert mit Browser und Betriebssystemsoftware).

SSL und Authentifizierung von Clients

Für die meisten Anwendungen SSL /TLS Verwendet die Einwegauthentifizierung eines Servers gegenüber einem Client. Ein anonymer Client (der Webbrowser) handelt eine verschlüsselte Sitzung mit einem Webserver aus, der ein öffentlich vertrauenswürdiges SSL / präsentiert.TLS Zertifikat zur Identifizierung während des SSL /TLS Handschlag. 

Während die Einwegauthentifizierung für die meisten Webbrowser durchaus akzeptabel ist, ist sie dennoch anfällig für Angriffe auf Diebstahl von Anmeldeinformationen wie Phishing, bei denen Angreifer auf Anmeldeinformationen wie Benutzernamen und Kennwörter abzielen. Phishing-Angriffe machen 22% der Datenschutzverletzungen aus ein Bericht von Verizon. Für zusätzlichen Schutz können Sie sich für die gegenseitige Authentifizierung entscheiden. Bei der gegenseitigen Authentifizierung sendet der Server nach der Authentifizierung während des Handshakes eine CertificateRequest Nachricht an den Kunden. Der Client sendet daraufhin ein Zertifikat zur Authentifizierung an den Server. Mit beiden Seiten authentifiziert mit PKIDie gegenseitige Authentifizierung ist viel sicherer als herkömmliche kennwortorientierte Methoden.

Gegenseitige Authentifizierung und IoT

Für Hersteller medizinischer Geräte ist die gegenseitige Authentifizierung von Servern und Geräten möglicherweise die beste Option, um nichts mit den Identitäten von Client und Server dem Zufall zu überlassen. Wenn beispielsweise ein intelligentes medizinisches Gerät mit dem Internet verbunden ist, möchte ein Hersteller möglicherweise, dass es Daten an und von den Servern des Unternehmens sendet und empfängt, damit Benutzer auf Informationen zugreifen können. Um diese sichere Informationsübertragung zu erleichtern, könnte der Hersteller Folgendes in Betracht ziehen:

  • Versenden Sie jedes Gerät mit einem eindeutigen kryptografischen Schlüsselpaar und einem Client-Zertifikat. Da die gesamte Kommunikation zwischen dem Gerät und den Servern des Unternehmens erfolgt, können diese Zertifikate privat als vertrauenswürdig eingestuft werden, was zusätzliche Flexibilität für Richtlinien wie die Lebensdauer von Zertifikaten bietet.
  • Geben Sie einen eindeutigen Gerätecode (z. B. eine Seriennummer oder einen QR-Code) an, den der Benutzer scannen oder in sein Benutzerkonto auf dem Webportal oder in der Smartphone-App des Herstellers eingeben kann, um das Gerät seinem Konto zuzuordnen.
  • Sobald das Gerät über das Wi-Fi-Netzwerk des Benutzers mit dem Internet verbunden ist, wird eine Gegenseitigkeit geöffnet TLS Verbindung mit dem Server des Herstellers. Der Server authentifiziert sich beim Gerät und fordert das Client-Zertifikat des Geräts an, das dem eindeutigen Code zugeordnet ist, den der Benutzer in sein Konto eingegeben hat.

Die beiden Parteien der Verbindung sind jetzt gegenseitig authentifiziert und können Nachrichten mit SSL / hin und her senden.TLS Verschlüsselung über Protokolle auf Anwendungsebene wie HTTPS und MQTT. Der Benutzer kann über sein Webportal-Konto oder seine Smartphone-App auf Daten vom Gerät aus zugreifen oder Änderungen an den Einstellungen vornehmen. Es sind niemals nicht authentifizierte oder Klartextnachrichten zwischen den beiden Geräten erforderlich.

Letztes Wort

Lass dich nicht im Freien erwischen. Wenn Sie an den benutzerdefinierten IoT-Lösungen von SSL.com interessiert sind, füllen Sie das folgende Formular aus, um weitere Informationen zu erhalten.

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.