HIPAA ja esineiden internet
Esineiden internet (IoT) kasvaa räjähdysmäisesti, ja joidenkin raporttien mukaan sen saavutetaan 38 miljardia laitetta vuonna 2020. Lisää ja lisää tarinoita Hakkeroitujen laitteiden ilmaantumisen myötä tarve suojata esineiden internet on yhä kiireellisempi, etenkin lääkinnällisten laitteiden valmistajille HIPAA huomioon ottaen.
Yhdysvaltain sairausvakuutuksen siirrettävyyttä ja vastuullisuutta koskeva laki tai HIPAA ei ole vitsi. HIPAA suojaa potilaiden sähköisen suojatun terveystiedon (PHI tai ePHI) turvallisuutta ja yksityisyyttä, ja sen toteuttaa Yhdysvaltain terveys- ja ihmisoikeusministeriön (DHS) kansalaisoikeuksien toimisto (OCR). Jos etsit digitaalisia varmenteita HIPAA-yhteensopivaan viestintään, tutustu artikkeliin täällä.
HIPAA edellyttää, että terveydenhuollon tarjoajat suojaavat PHI: tä kuljetuksen aikana tai levossa, ja laiminlyönti voi johtaa huomattaviin sakkoihin. Sakot HIPAA-rikkomuksista voi vaihdella 100-50,000 dollaria rikkomusta kohden, ja enimmäisrangaistus on 1.5 miljoonaa dollaria vuodessa. Vuonna 2019 418 rikkomusta johti 34.9 miljoonan amerikkalaisen PHI: n kompromissiin.
Asiantuntijatietojen turvaaminen ja HIPAA-yhteensopivuuden varmistaminen on varmasti oikea tapa. Vuonna 2019 verkkopalvelimen rikkomukset aiheuttivat 30.6 miljoonan yksilön tietoturvan. Vuonna 2018 American Medical Collection Agency (AMCA) -verkkopalvelin hakkeroitiin, mikä johti 22 miljoonaan potilaaseen tiedot vaarantuneet. Taloudelliset seuraukset ja liiketoiminnan menetys johtivat siihen, että AMCA haki luvun 11 konkurssia.
HIPAA-tiedonsiirtovaatimukset
HIPAA toteaa tiedonsiirron turvallisuudesta seuraavaa:
164.312 (e) (1): Vakio: Siirtoturva. Toteutetaan teknisiä turvatoimenpiteitä, jotta voidaan estää luvaton pääsy sähköiseen suojattuun terveystietoon, jota lähetetään sähköisen viestintäverkon kautta.
Koska HIPAA: n oli tarkoitus olla tulevaisuuden kestävä, se jättää tämän direktiivin avoimeksi. Pohjimmiltaan suojaamiseksi potentiaalisesti kalliilta rikkomuksilta on oltava käytössä protokollat sähköisen viestintäverkon kautta lähetettyjen tietojen suojaamiseksi.
Organisaation kannalta tämä tarkoittaa, että kaikkien laitteiden, jotka lähettävät tietoja verkon kautta, erityisesti yritysten palomuurin ulkopuolella, on otettava käyttöön todennuksen ja salauksen mekanismi. SSL /TLS voi hoitaa tämän joko yksisuuntaisesti tai keskinäinen todennus.
SSL.com tarjoaa laajan valikoiman SSL /TLS palvelinvarmenteet HTTPS-verkkosivustoille, mukaan lukien:
SSL /TLS HIPAA-yhteensopivalle IoT: lle
SSL /TLS protokolla käyttää epäsymmetrinen salaus kahden tietokoneen välisen jaetun tiedon suojaamiseksi Internetissä. Lisäksi SSL /TLS varmistaa, että palvelimen ja / tai asiakkaan henkilöllisyys todennetaan. Yleisimmässä tilanteessa, jossa käytetään yksisuuntaista todennusta, HTTPS-palvelin tarjoaa vierailijan selaimelle varmenteen, jonka julkisesti luotettu varmentaja (SS), kuten SSL.com, on allekirjoittanut digitaalisesti.
SSL: n takana oleva matematiikka /TLS varmista, että varmentajan digitaalisesti allekirjoitettuja varmenteita on käytännössä mahdotonta väärentää, koska avainkoko on riittävän suuri. Julkiset varmentajat tarkastavat hakijoiden henkilöllisyyden ennen varmenteiden myöntämistä. Niille tehdään myös käyttöjärjestelmän ja verkkoselaimen tarjoajien tarkat tarkastukset, jotka hyväksytään ja ylläpidetään luottamuskaupoissa (luettelot luotetut juurivarmenteet asennettu selaimen ja käyttöjärjestelmän kanssa).
SSL ja todentavat asiakkaat
Useimmissa sovelluksissa SSL /TLS käyttää palvelimen yksisuuntaista todennusta asiakkaalle; tuntematon asiakas (verkkoselain) neuvottelee salatun istunnon verkkopalvelimen kanssa, joka esittää julkisesti luotettavan SSL /TLS sertifikaatti tunnistamaan itsensä SSL: n aikana /TLS kädenpuristus.
Vaikka yksisuuntainen todennus on täysin hyväksyttävää useimmissa verkkoselaimissa, se on silti alttiina tunnistetietovarkauksien hyökkäyksille, kuten tietojenkalastelulle, jossa hyökkääjät kohdentavat kirjautumistiedot, kuten käyttäjänimet ja salasanat. Phishing-hyökkäykset mukaan 22 prosenttia tietoturvaloukkauksista Verizonin raportti. Lisäsuojaa varten voit valita keskinäisen todennuksen. Keskinäisessä todennuksessa, kun palvelin on todennettu kättelyn aikana, se lähettää CertificateRequest viesti asiakkaalle. Asiakas vastaa lähettämällä varmenteen palvelimelle todennusta varten. Molemmat osapuolet todennetaan PKI, keskinäinen todennus on paljon turvallisempi kuin perinteiset salasanakeskeiset menetelmät.
Keskinäinen todennus ja esineiden internet
Lääketieteellisten laitteiden valmistajille palvelimien ja laitteiden keskinäinen todentaminen voi olla paras vaihtoehto, koska asiakkaan ja palvelimen identiteettien kanssa ei jätetä mitään sattuman varaan. Esimerkiksi kun älykäs lääkinnällinen laite on kytketty Internetiin, valmistaja saattaa haluta sen lähettävän ja vastaanottavan tietoja yrityksen palvelimille ja palvelimilta, jotta käyttäjät voivat käyttää tietoja. Tämän turvallisen tiedonsiirron helpottamiseksi valmistaja voi harkita seuraavaa:
- Toimita kukin laite ainutlaatuisella salausavaimella ja asiakasvarmenteella. Koska kaikki viestinnät käydään laitteen ja yrityksen palvelimien välillä, näihin varmenteisiin voidaan luottaa yksityisesti, mikä tarjoaa lisää joustavuutta käytäntöihin, kuten varmenteen elinikään.
- Anna yksilöllinen laitekoodi (kuten sarjanumero tai QR-koodi), jonka käyttäjä voi skannata tai syöttää käyttäjätililleen valmistajan verkkoportaalissa tai älypuhelinsovelluksessa yhdistääksesi laitteen tiliinsä.
- Kun laite on yhdistetty Internetiin käyttäjän Wi-Fi-verkon kautta, se avaa keskinäisen yhteyden TLS yhteys valmistajan palvelimeen. Palvelin todentaa itsensä laitteelle ja pyytää laitteen asiakassertifikaattia, joka liittyy käyttäjän tiliin syöttämään yksilölliseen koodiin.
Yhteyden molemmat osapuolet ovat nyt todennetut keskenään ja voivat lähettää viestejä edestakaisin SSL /TLS salaus sovelluskerroksen protokollilla, kuten HTTPS ja MQTT. Käyttäjä voi käyttää tietoja laitteesta tai muuttaa sen asetuksia verkkoportaalitilinsä tai älypuhelinsovelluksen avulla. Näiden kahden laitteen välillä ei koskaan tarvita todentamattomia tai selkeät tekstiviestit.
Viimeinen sana
Älä jää kiinni auki. Jos olet kiinnostunut SSL.com: n mukautetuista IoT-ratkaisuista, täytä alla oleva lomake saadaksesi lisätietoja.
