Soluciones de IoT compatibles con HIPAA

HIPAA y el IoT

Internet de las cosas (IoT) está creciendo exponencialmente, y algunos informes predicen que llegará 38 mil millones de dispositivos en 2020. Con mas y más historias A raíz de la aparición de dispositivos pirateados, la necesidad de proteger el Internet de las cosas es cada vez más urgente, más aún para los fabricantes de dispositivos médicos que tienen en cuenta la HIPAA.

La Ley de Portabilidad y Responsabilidad de Seguros de Salud de EE. UU., O HIPAA, no es una broma. La HIPAA protege la seguridad y la privacidad de la Información de salud protegida electrónica (PHI o ePHI) de los pacientes, y la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (DHS) de EE. UU. La aplica. Si busca certificados digitales para comunicaciones compatibles con HIPAA, Echa un vistazo a nuestro artículo aquí.

HIPAA requiere que los proveedores de atención médica protejan la PHI mientras están en tránsito o en reposo, y no hacerlo puede resultar en multas considerables. Multas por violaciones de HIPAA puede oscilar entre $ 100 y $ 50,000 por infracción, con una multa máxima de $ 1.5 millones por año. En 2019, 418 infracciones llevaron a comprometer la PHI de 34.9 millones de estadounidenses. 

Tomar medidas ahora para proteger la información del paciente y cumplir con la HIPAA es sin duda la decisión correcta. En 2019, las violaciones del servidor de red representaron 30.6 millones de personas comprometidas. En 2018, el servidor de red de la American Medical Collection Agency (AMCA) fue pirateado, lo que provocó que 22 millones de pacientes tuvieran su datos comprometidos. Las repercusiones financieras y la pérdida de negocios llevaron a AMCA a solicitar el Capítulo 11 de Bancarrota. 

 

Requisitos de transmisión de información de HIPAA

HIPAA establece lo siguiente con respecto a la seguridad de la transmisión de información:

164.312 (e) (1): Estándar: Seguridad de transmisión. Implementar medidas de seguridad técnica para protegerse contra el acceso no autorizado a información de salud protegida electrónica que se transmite a través de una red de comunicaciones electrónicas.

Debido a que la HIPAA estaba destinada a ser preparada para el futuro, deja esta directiva abierta. Básicamente, para proteger contra violaciones potencialmente costosas, es necesario que existan protocolos para proteger la información transmitida a través de una red de comunicaciones electrónicas.

Para una organización, esto significa que cualquier dispositivo que transmita datos a través de una red, particularmente aquellos que lo hacen fuera del firewall de la empresa, debe implementar un mecanismo de autenticación y cifrado. SSL /TLS puede encargarse de esto a través de un solo sentido o autenticacion mutua

SSL /TLS para IoT compatible con HIPAA

El SSL /TLS usos del protocolo cifrado asimétrico para proteger los datos compartidos entre dos computadoras en Internet. Además, SSL /TLS asegura que las identidades del servidor y / o cliente estén validadas. En el escenario más común, al usar la autenticación unidireccional, un servidor HTTPS proporciona al navegador de un visitante un certificado que ha sido firmado digitalmente por una Autoridad de Certificación (CA) de confianza pública como SSL.com. 

Las matemáticas detrás de SSL /TLS Asegúrese de que los certificados firmados digitalmente de una CA sean prácticamente imposibles de falsificar dado un tamaño de clave suficientemente grande. Las CA públicas verifican la identidad de los solicitantes antes de emitir certificados. También están sujetos a auditorías rigurosas por parte de los proveedores de sistemas operativos y navegadores web para ser aceptados y mantenidos en tiendas de confianza (listas de certificados raíz de confianza instalado con navegador y software del sistema operativo).

SSL y autenticación de clientes

Para la mayoría de las aplicaciones, SSL /TLS utiliza la autenticación unidireccional de un servidor a un cliente; un cliente anónimo (el navegador web) negocia una sesión cifrada con un servidor web, que presenta un SSL / de confianza públicaTLS certificado para identificarse durante el SSL /TLS apretón de manos. 

Si bien la autenticación unidireccional es perfectamente aceptable para la mayoría de la navegación web, sigue siendo vulnerable a los ataques de robo de credenciales, como el phishing, en el que los atacantes apuntan a credenciales de inicio de sesión como nombres de usuario y contraseñas. Ataques de phishing representan el 22% de las violaciones de datos, según un informe de Verizon. Para una protección adicional, puede optar por la autenticación mutua. En la autenticación mutua, una vez que el servidor se autentica durante el protocolo de enlace, enviará un CertificateRequest mensaje al cliente. El cliente responderá enviando un certificado al servidor para su autenticación. Con ambos lados autenticados con PKI, la autenticación mutua es mucho más segura que los métodos tradicionales centrados en contraseñas.

Autenticación mutua e IoT

Para los fabricantes de dispositivos médicos, la autenticación mutua de servidores y dispositivos puede ser la mejor opción, para no dejar nada al azar con las identidades de cliente y servidor. Por ejemplo, una vez que un dispositivo médico inteligente está conectado a Internet, un fabricante puede querer que envíe y reciba datos hacia y desde los servidores de la empresa, para que los usuarios puedan acceder a la información. Para facilitar esta transferencia segura de información, el fabricante podría considerar lo siguiente:

  • Envíe cada dispositivo con un par de claves criptográficas y un certificado de cliente únicos. Debido a que toda la comunicación se realizará entre el dispositivo y los servidores de la empresa, estos certificados pueden ser de confianza privada, lo que ofrece flexibilidad adicional para políticas como la vida útil del certificado.
  • Proporcione un código de dispositivo único (como un número de serie o un código QR) que el usuario pueda escanear o ingresar en su cuenta de usuario en el portal web del fabricante o en la aplicación de teléfono inteligente para asociar el dispositivo con su cuenta.
  • Una vez que el dispositivo esté conectado a Internet a través de la red Wi-Fi del usuario, se abrirá una TLS conexión con el servidor del fabricante. El servidor se autenticará en el dispositivo y solicitará el certificado de cliente del dispositivo, que está asociado con el código único ingresado por el usuario en su cuenta.

Las dos partes de la conexión ahora se autentican mutuamente y pueden enviar mensajes de ida y vuelta con SSL /TLS cifrado sobre protocolos de capa de aplicación como HTTPS y MQTT. El usuario puede acceder a los datos del dispositivo o realizar cambios en su configuración con su cuenta de portal web o aplicación de teléfono inteligente. Nunca hay necesidad de mensajes no autenticados o de texto claro entre los dos dispositivos.

Ultima palabra

No se deje atrapar al aire libre. Si está interesado en las soluciones IoT personalizadas de SSL.com, complete el formulario a continuación para obtener más información.

Suscríbase al boletín de SSL.com

No se pierda los nuevos artículos y actualizaciones de SSL.com

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.