Λύσεις IoT συμβατές με HIPAA

Καθώς το IoT μεγαλώνει, το ίδιο κάνουν και οι απειλές κατά της ασφάλειας. Οι κατασκευαστές ιατρικών συσκευών δεν μπορούν να χαλαρώσουν - εδώ μπορείτε να παραμείνετε ασφαλείς και να συμμορφώνονται με το HIPAA.

HIPAA και το IoT

Το Διαδίκτυο των πραγμάτων (IoT) αναπτύσσεται εκθετικά, με ορισμένες αναφορές να προβλέπουν ότι θα φτάσει 38 δισεκατομμύρια συσκευές το 2020. Με περισσότερα και περισσότερες ιστορίες από την εμφάνιση των παραβιασμένων συσκευών, η ανάγκη διασφάλισης του Διαδικτύου των πραγμάτων γίνεται πιο επείγουσα, ιδίως για τους κατασκευαστές ιατρικών συσκευών με γνώμονα το HIPAA.

Ο νόμος περί φορητότητας και λογοδοσίας για την ασφάλιση υγείας των ΗΠΑ, ή HIPAA, δεν είναι αστείο. Το HIPAA προστατεύει την ασφάλεια και το απόρρητο των ηλεκτρονικών πληροφοριών για την προστασία της υγείας των ασθενών (PHI ή ePHI) και επιβάλλεται από το Γραφείο Πολιτικών Δικαιωμάτων (OCR) του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (DHS). Εάν αναζητάτε ψηφιακά πιστοποιητικά για επικοινωνία συμβατή με HIPAA, δείτε το άρθρο μας εδώ.

Το HIPAA απαιτεί οι πάροχοι υγειονομικής περίθαλψης να προστατεύουν το PHI κατά τη μεταφορά ή σε κατάσταση ηρεμίας και η αποτυχία τους μπορεί να οδηγήσει σε μεγάλα πρόστιμα. Πρόστιμα για παραβιάσεις HIPAA μπορεί να κυμαίνεται από 100 $ έως 50,000 $ ανά παραβίαση, με μέγιστη ποινή 1.5 εκατομμύρια $ ετησίως. Το 2019, 418 παραβιάσεις οδήγησαν σε συμβιβασμό 34.9 εκατομμυρίων Αμερικανών PHI. 

Η λήψη τώρα μέτρων για την ασφάλεια των πληροφοριών του ασθενούς και την παραμονή σε συμμόρφωση με το HIPAA είναι σίγουρα η σωστή κίνηση. Το 2019, οι παραβιάσεις διακομιστή δικτύου αντιπροσώπευαν 30.6 εκατομμύρια πληροφορίες ατόμων που έχουν τεθεί σε κίνδυνο. Το 2018, ο διακομιστής δικτύου της American Medical Collection Agency (AMCA) παραβιάστηκε, με αποτέλεσμα 22 εκατομμύρια ασθενείς να έχουν τα δεδομένα έχουν παραβιαστεί. Οι οικονομικές επιπτώσεις και η απώλεια επιχειρήσεων οδήγησαν την AMCA κατάθεση στο Κεφάλαιο 11 Πτώχευση. 

 

Απαιτήσεις μετάδοσης πληροφοριών HIPAA

Η HIPAA δηλώνει τα ακόλουθα σχετικά με την ασφάλεια μετάδοσης πληροφοριών:

164.312 (ε) (1): Πρότυπο: Ασφάλεια μετάδοσης. Εφαρμογή τεχνικών μέτρων ασφαλείας για την προστασία από μη εξουσιοδοτημένη πρόσβαση σε ηλεκτρονικές προστατευόμενες πληροφορίες υγείας που μεταδίδονται μέσω δικτύου ηλεκτρονικών επικοινωνιών.

Επειδή το HIPAA προοριζόταν να είναι μελλοντικό, αφήνει αυτήν την οδηγία ανοιχτή. Βασικά, για την προστασία από δυνητικά δαπανηρές παραβιάσεις, πρέπει να υπάρχουν πρωτόκολλα για την προστασία των πληροφοριών που μεταδίδονται μέσω ενός δικτύου ηλεκτρονικών επικοινωνιών.

Για έναν οργανισμό, αυτό σημαίνει ότι όλες οι συσκευές που μεταδίδουν δεδομένα μέσω δικτύου, ιδίως εκείνες που το κάνουν εκτός του τείχους προστασίας μιας εταιρείας, πρέπει να εφαρμόσουν έναν μηχανισμό ελέγχου ταυτότητας και κρυπτογράφησης. SSL /TLS μπορεί να το φροντίσει είτε με μονόδρομο είτε αμοιβαίος έλεγχος ταυτότητας

SSL /TLS για IoT συμβατό με HIPAA

Το SSL /TLS χρήσεις πρωτοκόλλου ασύμμετρη κρυπτογράφηση για την ασφαλή κοινή χρήση δεδομένων μεταξύ δύο υπολογιστών στο Διαδίκτυο. Επιπλέον, SSL /TLS διασφαλίζει ότι οι ταυτότητες του διακομιστή και / ή του πελάτη επικυρώνονται. Στο πιο κοινό σενάριο, χρησιμοποιώντας έναν έλεγχο ταυτότητας μονής κατεύθυνσης, ένας διακομιστής HTTPS παρέχει στο πρόγραμμα περιήγησης ενός επισκέπτη ένα πιστοποιητικό που έχει υπογραφεί ψηφιακά από μια δημόσια αξιόπιστη αρχή έκδοσης πιστοποιητικών (CA), όπως το SSL.com. 

Τα μαθηματικά πίσω από το SSL /TLS βεβαιωθείτε ότι τα ψηφιακά υπογεγραμμένα πιστοποιητικά μιας ΑΠ είναι πρακτικά αδύνατο να παραποιηθούν, δεδομένου ενός αρκετά μεγάλου μεγέθους κλειδιού. Οι δημόσιες ΑΠ επαληθεύουν την ταυτότητα των αιτούντων πριν από την έκδοση πιστοποιητικών. Επίσης υπόκεινται σε αυστηρούς ελέγχους από παρόχους λειτουργικού συστήματος και προγράμματος περιήγησης στο Web για να γίνουν αποδεκτοί και να διατηρηθούν σε καταστήματα εμπιστοσύνης (κατάλογοι του αξιόπιστα πιστοποιητικά ρίζας εγκατεστημένο με πρόγραμμα περιήγησης και λογισμικό OS).

Πελάτες SSL και ελέγχου ταυτότητας

Για τις περισσότερες εφαρμογές, SSL /TLS χρησιμοποιεί έναν μονόδρομο έλεγχο ταυτότητας ενός διακομιστή σε έναν πελάτη. ένας ανώνυμος πελάτης (το πρόγραμμα περιήγησης ιστού) διαπραγματεύεται μια κρυπτογραφημένη συνεδρία με έναν διακομιστή ιστού, ο οποίος παρουσιάζει ένα αξιόπιστο SSL /TLS πιστοποιητικό για να αναγνωριστεί κατά τη διάρκεια του SSL /TLS χειραψία. 

Ενώ ο έλεγχος ταυτότητας μίας κατεύθυνσης είναι απολύτως αποδεκτός για τα περισσότερα προγράμματα περιήγησης στον ιστό, εξακολουθεί να είναι ευάλωτο σε επιθέσεις κλοπής διαπιστευτηρίων, όπως το ηλεκτρονικό ψάρεμα (phishing) στο οποίο οι εισβολείς στοχεύουν διαπιστευτήρια σύνδεσης όπως ονόματα χρήστη και κωδικούς πρόσβασης. Επιθέσεις ψαρέματος αντιπροσωπεύουν το 22% των παραβιάσεων δεδομένων, σύμφωνα με μια έκθεση του Verizon. Για πρόσθετη προστασία, μπορείτε να επιλέξετε αμοιβαίο έλεγχο ταυτότητας. Σε αμοιβαίο έλεγχο ταυτότητας, όταν ο διακομιστής πιστοποιηθεί κατά τη χειραψία, θα στείλει ένα CertificateRequest μήνυμα στον πελάτη. Ο πελάτης θα απαντήσει στέλνοντας ένα πιστοποιητικό στο διακομιστή για έλεγχο ταυτότητας. Με τις δύο πλευρές επικυρωμένο με PKI, ο αμοιβαίος έλεγχος ταυτότητας είναι πολύ πιο ασφαλής από τις παραδοσιακές μεθόδους που βασίζονται στον κωδικό πρόσβασης.

Αμοιβαίος έλεγχος ταυτότητας και IoT

Για τους κατασκευαστές ιατρικών συσκευών, ο αμοιβαίος έλεγχος ταυτότητας διακομιστών και συσκευών μπορεί να είναι η καλύτερη επιλογή, καθώς δεν αφήνει τίποτα τυχαία με τις ταυτότητες του πελάτη και του διακομιστή. Για παράδειγμα, όταν μια έξυπνη ιατρική συσκευή συνδεθεί στο Διαδίκτυο, ένας κατασκευαστής μπορεί να του αρέσει να στέλνει και να λαμβάνει δεδομένα από και προς τους διακομιστές της εταιρείας, έτσι ώστε οι χρήστες να έχουν πρόσβαση σε πληροφορίες. Για να διευκολυνθεί αυτή η ασφαλής μεταφορά πληροφοριών, ο κατασκευαστής θα μπορούσε να εξετάσει τα εξής:

  • Αποστολή κάθε συσκευής με ένα μοναδικό ζεύγος κρυπτογραφικών κλειδιών και πιστοποιητικό πελάτη. Επειδή όλη η επικοινωνία θα γίνεται μεταξύ της συσκευής και των διακομιστών της εταιρείας, αυτά τα πιστοποιητικά ενδέχεται να είναι αξιόπιστα ιδιωτικά, προσφέροντας επιπλέον ευελιξία για πολιτικές όπως η διάρκεια ζωής του πιστοποιητικού.
  • Δώστε έναν μοναδικό κωδικό συσκευής (όπως έναν σειριακό αριθμό ή έναν κωδικό QR) που ο χρήστης μπορεί να σαρώσει ή να εισάγει στον λογαριασμό χρήστη του στην πύλη ιστού του κατασκευαστή ή στην εφαρμογή smartphone για να συσχετίσει τη συσκευή με τον λογαριασμό του.
  • Μόλις η συσκευή συνδεθεί στο Διαδίκτυο μέσω του δικτύου Wi-Fi του χρήστη, θα ανοίξει ένα κοινό TLS σύνδεση με τον διακομιστή του κατασκευαστή. Ο διακομιστής θα πραγματοποιήσει έλεγχο ταυτότητας στη συσκευή και θα ζητήσει το πιστοποιητικό πελάτη της συσκευής, το οποίο σχετίζεται με τον μοναδικό κωδικό που εισάγει ο χρήστης στον λογαριασμό του.

Τα δύο μέρη της σύνδεσης είναι τώρα ταυτόχρονα αμοιβαία επικυρωμένα και μπορούν να στέλνουν μηνύματα μπρος-πίσω με SSLTLS κρυπτογράφηση πάνω από πρωτόκολλα επιπέδου εφαρμογής όπως HTTPS και MQTT. Ο χρήστης μπορεί να έχει πρόσβαση σε δεδομένα από τη συσκευή ή να κάνει αλλαγές στις ρυθμίσεις του με τον λογαριασμό πύλης ιστού ή την εφαρμογή smartphone. Δεν υπάρχει ποτέ ανάγκη για μη εξουσιοδοτημένα ή σαφή μηνύματα μεταξύ των δύο συσκευών.

Τελευταία λέξη

Μην πιάσετε ανοιχτά. Εάν ενδιαφέρεστε για τις προσαρμοσμένες λύσεις IoT του SSL.com, συμπληρώστε την παρακάτω φόρμα για να λάβετε περισσότερες πληροφορίες.

Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.