Τα ψηφιακά πιστοποιητικά από το SSL.com μπορούν να αποτελέσουν σημαντικό μέρος των σχεδίων ενός οργανισμού υγειονομικής περίθαλψης για email, έλεγχο ταυτότητας και ιστότοπους που συμμορφώνονται με το HIPAA.
Παραβιάσεις και ποινές HIPAA
Ο νόμος φορητότητας και λογοδοσίας για την ασφάλιση υγείας των ΗΠΑ (HIPAA), ο οποίος αρχικά ψηφίστηκε το 1996, προστατεύει την ασφάλεια και το απόρρητο των ηλεκτρονικών πληροφοριών για την προστασία της υγείας των ασθενών (επίσης γνωστές ως PHI ή ePHI). Η συμμόρφωση του HIPAA επιβάλλεται από το Γραφείο Πολιτικών Δικαιωμάτων (OCR) του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (DHS).
Για το 2020, ο νομικός δημοσιογράφος Steve Alder εκθέσεις στο HIPAA Journal ότι 642 παραβιάσεις δεδομένων μεγάλης κλίμακας αναφέρθηκαν από ιδρύματα υγειονομικής περίθαλψης, συμπεριλαμβανομένων παρόχων υγειονομικής περίθαλψης και γραφείων εκκαθάρισης υγειονομικής περίθαλψης. Αυτό το στατιστικό είναι 25% μεγαλύτερο σε σύγκριση με το 2019, το οποίο ήταν ήδη ένα έτος ρεκόρ.
Σε σύγκριση με το έτος 2020, οι παραβιάσεις δεδομένων υγειονομικής περίθαλψης τριπλασιάστηκαν από το 2010 και διπλασιάστηκαν από το 2014. Συνεπώς, υπήρξε ετήσια αύξηση των παραβιάσεων δεδομένων κατά 25%. Συνολικά, έχουν καταρριφθεί εκπληκτικά 78 εκατομμύρια αρχεία υγειονομικής περίθαλψης μεταξύ 2009-2020.
Κύριοι λόγοι για παραβιάσεις δεδομένων υγειονομικής περίθαλψης το 2020
Η πέντε κύριες αιτίες παραβιάσεις δεδομένων υγειονομικής περίθαλψης το 2020 ήταν προσδιορίζονται: παραβίαση/συμβάν πληροφορικής (παραβίαση 26.9 εκατομμυρίων εγγραφών), μη εξουσιοδοτημένη πρόσβαση/αποκάλυψη (Παραβιάστηκαν 787,015 εγγραφές), κλοπή (Παραβιάστηκαν 806,552 εγγραφές), ακατάλληλη απόρριψη (Παραβιάστηκαν 584,980 εγγραφές), και απώλεια (παραβιάστηκαν 169,509 εγγραφές).
Σαφώς, οι επιθέσεις στον κυβερνοχώρο αποτελούν τον μεγαλύτερο λόγο για κλοπή δεδομένων υγειονομικής περίθαλψης. Οι κυβερνοεπιθέσεις περιελάμβαναν το συνηθισμένο ηλεκτρονικό ψάρεμα, αποστολή κακόβουλου λογισμικού, εκμετάλλευση τρωτών σημείων και ransomware.
Τους τελευταίους μήνες του 2020, τα περιστατικά ransomware αυξήθηκαν σημαντικά. Σημείο ελέγχου αναφερθεί ότι η υγειονομική περίθαλψη ήταν η πιο στοχευμένη βιομηχανία, από επιτιθέμενους ransomware, τον Οκτώβριο του 2020. Η συμμορία ransomware Ryuk ήταν μία από τις πιο διαβόητες εκείνο τον μήνα. Έβγαλαν τα συστήματα υπολογιστών του Ιατρικού Κέντρου Sky Lakes και ανάγκασαν τους κλινικούς γιατρούς να καταφύγουν στη γραφή για να τεκμηριώσουν τις πληροφορίες των ασθενών. Επιτέθηκαν επίσης στο Δίκτυο Υγείας του Πανεπιστημίου του Βερμόντ, στο οποίο έπεσαν θύματα έως 20 ιατρικές εγκαταστάσεις.
Θεωρείται επίσης ότι ο Ryuk ήταν υπεύθυνος για την επίθεση ransomware εναντίον των Universal Health Services (UHS) που έχει 400 νοσοκομεία στις ΗΠΑ και εξυπηρετεί ετησίως εκατομμύρια ασθενείς. Το UHS είναι αναμενόμενη να έχουν χάσει 67 εκατομμύρια δολάρια για ζημιές, συμπεριλαμβανομένων των χαμένων εσόδων λόγω της ανακατεύθυνσης ασθενοφόρων σε άλλα νοσοκομεία, καθυστέρηση περισσότερων από 2 μηνών στις διαδικασίες χρέωσης και γιγαντιαία έξοδα για τη διόρθωση των συστημάτων τους.
Μεταξύ Οκτωβρίου και Σεπτεμβρίου του 2020, παρατηρήθηκε μια ανησυχητική αύξηση 71% των επιθέσεων ransomware. Οι περιπτώσεις Ransomware το 2020 περιελάμβαναν αρκετές από τις πιο επιζήμιες επιθέσεις στον κυβερνοχώρο που συνέβησαν εναντίον οργανισμών υγειονομικής περίθαλψης το ίδιο έτος. Σε πολλές από αυτές τις επιθέσεις, τα συστήματα μαυρίστηκαν για πολλές εβδομάδες και ως αποτέλεσμα, οι υπηρεσίες ασθενών επηρεάστηκαν σοβαρά.
Ψηφιακά πιστοποιητικά για προστασία και έλεγχο ταυτότητας πληροφοριών
Ενότητα HIPAA στο τεχνικές διασφαλίσεις καθιστά σαφές ότι το PHI των ασθενών πρέπει να προστατεύεται από τους παρόχους υγειονομικής περίθαλψης όταν μεταδίδονται μέσω δικτύου υπολογιστών ή σε κατάσταση ηρεμίας. Οι σχετικοί κανονισμοί περιλαμβάνουν (αλλά δεν περιορίζονται σε):
164.312 (α) (2) (iv): Κρυπτογράφηση και αποκρυπτογράφηση (Διεύθυνση). Εφαρμογή μηχανισμού κρυπτογράφησης και αποκρυπτογράφησης ηλεκτρονικών προστατευόμενων πληροφοριών για την υγεία.
164.312 (γ) (1): Πρότυπο: Ακεραιότητα. Εφαρμογή πολιτικών και διαδικασιών για την προστασία ηλεκτρονικών προστατευμένων πληροφοριών υγείας από ακατάλληλη αλλοίωση ή καταστροφή.
164.312 (δ): Πρότυπο: Έλεγχος ταυτότητας προσώπου ή οντότητας. Εφαρμόστε διαδικασίες για να επαληθεύσετε ότι ένα άτομο ή οντότητα που ζητά πρόσβαση σε ηλεκτρονικές προστατευόμενες πληροφορίες υγείας είναι αυτό που αξιώνεται.
164.312 (ε) (1): Πρότυπο: Ασφάλεια μετάδοσης. Εφαρμογή τεχνικών μέτρων ασφαλείας για την προστασία από μη εξουσιοδοτημένη πρόσβαση σε ηλεκτρονικές προστατευόμενες πληροφορίες υγείας που μεταδίδονται μέσω δικτύου ηλεκτρονικών επικοινωνιών.
Επειδή προοριζόταν να είναι «μελλοντική απόδειξη», το HIPAA δεν εξηγεί τις ακριβείς τεχνολογίες που πρέπει να χρησιμοποιηθούν για την προστασία του PHI. Σήμερα, τα ψηφιακά πιστοποιητικά που προσφέρονται από αξιόπιστες αρχές έκδοσης πιστοποιητικών (CA), όπως το SSL.com, προσφέρουν μια εξαιρετική λύση για τη διασφάλιση της κρυπτογράφησης, του ελέγχου ταυτότητας και της ακεραιότητας των ψηφιακών επικοινωνιών.
Θα καλύψουμε τρεις σημαντικές εφαρμογές ψηφιακών πιστοποιητικών για επικοινωνία συμβατή με HIPAA εδώ: S/MIME πιστοποιητικά για ασφαλή διεύθυνση ηλεκτρονικού ταχυδρομείου, πιστοποίηση πελάτη βάσει πιστοποιητικών και SSL /TLS πιστοποιητικά για την προστασία ιστότοπων και εφαρμογών ιστού. Θα συζητήσουμε επίσης πώς τα προηγμένα εργαλεία διαχείρισης πιστοποιητικών του SSL.com μπορούν να σας βοηθήσουν να σχεδιάσετε και να διατηρήσετε την κάλυψη για ολόκληρο τον οργανισμό σας και να διατηρήσετε τα πιστοποιητικά σας ενημερωμένα.
S/MIME Έλεγχος ταυτότητας μέσω email και πελάτη για συμμόρφωση με HIPAA
Το ηλεκτρονικό ταχυδρομείο χρησιμοποιείται για επικοινωνία μέσω δικτύων υπολογιστών από τις αρχές της δεκαετίας του 1970 και από προεπιλογή δεν είναι ασφαλές. Το ηλεκτρονικό ταχυδρομείο βασίζεται σε πρωτόκολλα απλού κειμένου, δεν παρέχει τρόπο διασφάλισης της ακεραιότητας των μηνυμάτων και δεν περιλαμβάνει μηχανισμό για ισχυρό έλεγχο ταυτότητας. S/MIME (Ασφαλείς / επεκτάσεις αλληλογραφίας πολλαπλών χρήσεων) πιστοποιητικά από το SSL.com μπορούν να επιλύσουν αυτά τα ζητήματα διασφαλίζοντας κρυπτογράφηση, πιστοποίηση και ακεραιότητα για το email του οργανισμού σας:
- Κρυπτογράφηση: S/MIME παρέχει ισχυρή κρυπτογράφηση από άκρο σε άκρο, έτσι ώστε τα μηνύματα να μην μπορούν να υποκλαπούν και να διαβάζονται κατά τη μεταφορά. Για παράδειγμα, S/MIME μπορεί να προστατεύσει τα μηνύματα που αποστέλλονται μέσω του Διαδικτύου, μεταξύ γραφείων ή οργανισμών και εκτός οποιουδήποτε τείχους προστασίας της εταιρείας.
- S/MIME η κρυπτογράφηση είναι ασύμμετρη και με τα δύο δημόσια και ιδιωτικά κλειδιά. Όποιος έχει παραλήπτη Δημόσιο κλειδί μπορεί να τους στείλει ένα κρυπτογραφημένο μήνυμα, αλλά μόνο ένα άτομο που βρίσκεται στη θέση του αντίστοιχου ιδιωτικό κλειδί μπορεί να αποκρυπτογραφήσει και να το διαβάσει. Επομένως, είναι ασφαλές να διανέμετε δημόσια κλειδιά τόσο εντός όσο και εκτός ενός οργανισμού, ενώ τα ιδιωτικά κλειδιά πρέπει να διατηρούνται ασφαλή.
- Αυθεντικοποίηση: Κάθε S/MIME το μήνυμα ηλεκτρονικού ταχυδρομείου υπογράφεται με ένα μοναδικό ιδιωτικό κλειδί που σχετίζεται με τη διεύθυνση email (και προαιρετικά μεμονωμένο άτομο ή / και οργανισμό) που το έστειλε. Επειδή η ταυτότητα του αποστολέα έχει επαληθευτεί από μια αξιόπιστη ΑΠ τρίτων - όπως SSL.com - και δεσμεύεται σε αυτό το μυστικό κλειδί, οι παραλήπτες είναι σίγουροι για την πραγματική ταυτότητα του αποστολέα.
- Ακεραιότητα: Κάθε υπογεγραμμένο S/MIME Το μήνυμα ηλεκτρονικού ταχυδρομείου περιλαμβάνει ένα κρυπτογραφημένο χασίσι (ένας τύπος ψηφιακού "δακτυλικού αποτυπώματος" ή αθροίσματος ελέγχου) του περιεχομένου του μηνύματος που μπορεί να υπολογιστεί και να επιβεβαιωθεί ανεξάρτητα από το λογισμικό email του παραλήπτη. Εάν κάποιο μήνυμα παρεμποδιστεί και τροποποιηθεί (ακόμη και με έναν χαρακτήρα), η υπολογισμένη τιμή κατακερματισμού δεν θα ταιριάζει με την ψηφιακή υπογραφή. Αυτό σημαίνει ότι οι παραλήπτες ψηφιακά υπογεγραμμένου email μπορούν να είναι σίγουροι για την ακεραιότητα ενός μηνύματος.
Επιπλέον, επειδή μια αξιόπιστη ψηφιακή υπογραφή διασφαλίζει την αυθεντικότητα και την ακεραιότητα του email, S/MIME παρέχει νομική μη αποκήρυξη για μηνύματα email · Είναι δύσκολο για έναν αποστολέα να αρνηθεί εύλογα ότι έστειλε αυτό το ακριβές μήνυμα.
Συμμόρφωση HIPAA για ηλεκτρονικό ταχυδρομείο σε Transit και σε κατάσταση ηρεμίας
S/MIME Τα πιστοποιητικά από το SSL.com μπορούν να παρέχουν συμμόρφωση με το HIPAA για το ηλεκτρονικό ταχυδρομείο ενός οργανισμού κατά τη μεταφορά ή την ηρεμία:
- Σε διαμετακόμιση: Η ακεραιότητα και η αυθεντικότητα του S/MIME Το email διασφαλίζεται από μια μοναδική, αξιόπιστη ψηφιακή υπογραφή. Η κρυπτογράφηση από άκρο σε άκρο διασφαλίζει ότι τα μηνύματα δεν μπορούν να διαβαστούν από τρίτους όταν μεταδίδονται μέσω μη ασφαλών δικτύων (όπως το Διαδίκτυο).
- Σε κατάσταση ηρεμίας: S/MIME Η κρυπτογράφηση διασφαλίζει ότι μόνο κάποιος που διαθέτει το ιδιωτικό κλειδί του παραλήπτη μπορεί να αποκρυπτογραφήσει και να διαβάσει μηνύματα κρυπτογραφημένα με το δημόσιο κλειδί του. Το κρυπτογραφημένο ηλεκτρονικό ταχυδρομείο που κλαπεί σε παραβιάσεις δεδομένων ή αλλιώς παραβιάζεται είναι άχρηστο για τους εισβολείς χωρίς πρόσβαση σε αυτά τα κλειδιά.
Έλεγχος ταυτότητας πελάτη
Όλα S/MIME Τα πιστοποιητικά που εκδίδονται από το SSL.com περιλαμβάνουν έλεγχο ταυτότητας πελάτη. Τα πιστοποιητικά ελέγχου ταυτότητας πελάτη μπορούν να χρησιμοποιηθούν ως συντελεστής ελέγχου ταυτότητας για πρόσβαση σε προστατευμένους πόρους δικτύου, όπως VPN και διαδικτυακές εφαρμογές όπου διαχειρίζεται το PHI των ασθενών. Επομένως, S/MIME και πιστοποιητικά πελατών από το SSL.com μπορούν να διανεμηθούν στο προσωπικό ως ενοποιημένη λύση για:
- Έλεγχος ταυτότητας για πρόσβαση σε προστατευμένες πληροφορίες υγείας.
- Κρυπτογράφηση, έλεγχος ταυτότητας και ακεραιότητα email κατά τη μεταφορά ή σε κατάσταση ηρεμίας.
Όγκος S/MIME Εγγραφή πιστοποιητικών
Χρησιμοποιώντας S/MIME Τα πιστοποιητικά για τη συμμόρφωση με το HIPAA απαιτούν ένα σχέδιο για την έκδοση πιστοποιητικών σε όλο το προσωπικό που εργάζεται με το PHI και τη διαχείριση αυτών των πιστοποιητικών με την πάροδο του χρόνου. Οι εργαζόμενοι έρχονται και φεύγουν, τα πιστοποιητικά λήγουν και τα πιστοποιητικά μπορεί να χρειαστούν ανακληθεί για διάφορους λόγους, συμπεριλαμβανομένου του συμβιβασμού ιδιωτικού κλειδιού.
Οι πάροχοι υγειονομικής περίθαλψης μπορούν εύκολα ζήτημα S/MIME χύμα πιστοποιητικά από το SSL.com για προχωρημένους πύλη λογαριασμού πελατών. Αυτά τα πιστοποιητικά μπορούν να διαχειρίζονται, να ανανεώνονται και να ανακαλούνται ανάλογα με τις ανάγκες.
Οι οργανισμοί που απαιτούν μεγάλο αριθμό πιστοποιητικών μπορούν επίσης να επωφεληθούν από εκπτώσεις χονδρικής έως και 65% συμμετέχοντας σε SSL.com Πρόγραμμα μεταπωλητών και αγορών όγκου.
SSL /TLS για την ασφάλεια του ιστότοπου
Σε 2021, όλοι οι ιστότοποι πρέπει να προστατεύονται με ένα SSL /TLS πιστοποιητικό και χρησιμοποιήστε το Πρωτόκολλο HTTPS, αλλά είναι απόλυτο απαραίτητο για οποιονδήποτε ιστότοπο ή εφαρμογή Ιστού απαιτείται να συμμορφώνεται με το HIPAA. Αρέσει S/MIME για email, το SSL /TLS Το πρωτόκολλο παρέχει κρυπτογράφηση, αυθεντικότητα και ακεραιότητα για ιστότοπους:
- Όλες οι επικοινωνίες μεταξύ ενός ιστότοπου που προστατεύεται με ένα σωστά διαμορφωμένο SSL /TLS πιστοποιητικό και ένα πρόγραμμα περιήγησης ιστού είναι με ασφάλεια κρυπτογραφημένα.
- Η ταυτότητα ενός ιστότοπου HTTPS που παρουσιάζει ένα έγκυρο πιστοποιητικό υπογεγραμμένο από μια δημόσια αξιόπιστη ΑΠ θα γίνεται αποδεκτή από προγράμματα περιήγησης ιστού και θα διατίθεται στους χρήστες.
- Εξαρτάται από επίπεδο επικύρωσης επιλέχθηκε από τον κάτοχό του, SSL ενός ιστότοπου /TLS Το πιστοποιητικό μπορεί απλώς να υποδηλώνει ότι μια ΑΠ έχει επιβεβαιώσει τον έλεγχο ενός ιστότοπου από τον αιτούντα πιστοποιητικό ή μπορεί να περιλαμβάνει λεπτομερείς πληροφορίες σχετικά με την οντότητα που λειτουργεί τον ιστότοπο, όπως μια εταιρεία ή άλλος οργανισμός.
- Για μέγιστη εμπιστοσύνη, οι οργανισμοί υγειονομικής περίθαλψης μπορεί να επιθυμούν να επενδύσουν Υψηλή διασφάλιση (OV) or Εκτεταμένη επικύρωση (EV) πιστοποιητικά, που παρέχουν απόδειξη ταυτότητας στους χρήστες.
- Έγγραφα - όπως ιστοσελίδες - από έναν ιστότοπο HTTPS που προστατεύεται από SSL /TLS πιστοποιητικό έχουν ακεραιότητα εγγυημένη από ένα κρυπτογραφημένο κατακερματισμό που περιλαμβάνεται στην ψηφιακή υπογραφή, το οποίο υπολογίζεται ανεξάρτητα από το πρόγραμμα περιήγησης πριν εμπιστευτεί το έγγραφο. Τα δεδομένα δεν μπορούν να υποκλαπούν και να τροποποιηθούν από κακόβουλο τρίτο μέρος κατά τη μεταφορά χωρίς το πρόγραμμα περιήγησης να εντοπίσει το σφάλμα και να προειδοποιήσει τον χρήστη.
Υπενθυμίσεις λήξης και αυτοματισμός
Όλα τα πιστοποιητικά έχουν ημερομηνία λήξης, μετά την οποία δεν θα είναι αξιόπιστα από το λογισμικό πελάτη. Για αξιόπιστο SSL /TLS, η μέγιστη διάρκεια ζωής του πιστοποιητικού είναι αυτήν τη στιγμή 398 ημέρες. Εάν αφήσετε το SSL ενός ιστότοπου /TLS το πιστοποιητικό λήγει, τα προγράμματα περιήγησης δεν θα το εμπιστεύονται πλέον:
Μπορεί να είναι δύσκολο να παρακολουθείτε τα πιστοποιητικά που λήγουν και να τα ενημερώνετε και τα τρέχοντα πιστοποιητικά είναι ζωτικής σημασίας για τη διατήρηση ασφαλών ιστότοπων που είναι συμβατοί με HIPAA. Το SSL.com παρέχει πολλές ισχυρές επιλογές για να βεβαιωθείτε ότι τα πιστοποιητικά σας είναι ενημερωμένα:
- Υπενθυμίσεις λήξης: Το SSL.com παρέχει διαμορφώσιμες ειδοποιήσεις να σας υπενθυμίσω πότε είναι ώρα να ανανεωθεί ένα πιστοποιητικό. Αυτή είναι μια εξαιρετική επιλογή για οργανισμούς με μικρό αριθμό πιστοποιητικών ή σε περιπτώσεις όπου ο αυτοματισμός είναι άβολος ή αδύνατος λόγω τεχνικών περιορισμών.
- Σενάριο και αυτοματοποίηση: Οι οργανισμοί μπορούν να δημιουργήσουν προσαρμοσμένα σενάρια που χρησιμοποιούν το RESTful του SSL.com API SWS ή το βιομηχανικό πρότυπο Πρωτόκολλο ACME για αυτοματοποίηση SSL /TLS ανανέωση πιστοποιητικού, εξαλείφοντας την ανάγκη για υπενθυμίσεις. Ο αυτοματισμός είναι ιδιαίτερα σημαντικός εάν ένας οργανισμός διαθέτει μεγάλο αριθμό διακομιστών και πιστοποιητικών για συντήρηση.
Το SSL.com παρέχει μια μεγάλη ποικιλία SSL /TLS πιστοποιητικά διακομιστή για ιστότοπους HTTPS, όπως:
Συμπέρασμα
Ελπίζουμε αυτή η ανάρτηση να σας βοηθήσει να καταλάβετε πώς τα ψηφιακά πιστοποιητικά μπορούν να αποτελέσουν μέρος του σχεδίου του οργανισμού σας για συμμόρφωση με το HIPAA και πώς τα προηγμένα εργαλεία διαχείρισης του SSL.com μπορούν να σας βοηθήσουν να βεβαιωθείτε ότι ο οργανισμός σας προστατεύεται και είναι ενημερωμένος.
Εάν έχετε οποιεσδήποτε ερωτήσεις σχετικά με την αγορά πιστοποιητικών για τον οργανισμό σας, ειδικά για μαζική έκδοση S/MIME Πιστοποιητικά, επικοινωνήστε με την ομάδα επιχειρηματικών πωλήσεων του SSL.com μέσω της παρακάτω φόρμας. Μπορείτε επίσης να επικοινωνήσετε με την υποστήριξη του SSL.com μέσω email στη διεύθυνση Support@SSL.com, τηλεφωνικώς στις 1-877-SSL-SECUREή κάνοντας κλικ στο σύνδεσμο συνομιλίας κάτω δεξιά αυτής της σελίδας.
Και, όπως πάντα, σας ευχαριστούμε που επισκεφθήκατε το SSL.com, όπου πιστεύουμε Ασφαλέστερο το Διαδίκτυο είναι ένα καλύτερα Διαδίκτυο!
Επικοινωνήστε με το SSL.com Enterprise Sales
