Certificats numériques pour une communication conforme HIPAA

Les certificats numériques de SSL.com peuvent être une partie importante des plans d'une organisation de soins de santé pour les e-mails, l'authentification et les sites Web conformes à la HIPAA.

Infractions et sanctions HIPAA

La loi américaine HIPAA (Health Insurance Portability and Accountability Act), initialement adoptée en 1996, protège la sécurité et la confidentialité des informations électroniques protégées sur la santé des patients (également appelées PHI ou ePHI). La conformité HIPAA est appliquée par le Bureau des droits civils (OCR) du Département américain de la santé et des services sociaux (DHS).

En vertu de la HIPAA, les prestataires de soins de santé sont chargés de protéger les RPS pendant leur transit ou au repos, et les amendes pour violation de données peuvent être importantes. Pratique des médecins rapports que 34.9 millions d'Américains (environ 10% de la population américaine!) ont vu leur PHI violé en 2019, résultant de 418 violations HIPAA signalées. 39% de ces violations concernaient des e-mails et 20% des serveurs de réseau.
 

Pour 2020, le journaliste juridique Steve Alder rapports sur HIPAA Journal que 642 violations de données à grande échelle ont été signalées par des établissements de santé, y compris des prestataires de soins de santé et des centres d'échange de soins de santé. Cette statistique est 25% plus importante par rapport à 2019 qui était déjà elle-même une année record. 

Par rapport à l'année 2020, les violations de données sur les soins de santé ont triplé depuis 2010 et doublé depuis 2014. Il y a donc eu une augmentation annuelle de 25 % des violations de données. Dans l'ensemble, 78 millions de dossiers médicaux ont été violés entre 2009 et 2020. 

Avec des amendes allant de 100 USD à 50,000 USD par infraction et une sanction maximale de 1.5 million USD par an pour les violations d'une disposition de la HIPAA, aucun fournisseur de soins de santé ne peut se permettre de négliger la protection des RPS de ses clients.
 

Principales raisons des violations de données sur les soins de santé en 2020

La cinq causes majeures des violations de données de santé en 2020 étaient identifié: piratage/incident informatique (26.9 millions d'enregistrements violés), accès/divulgation non autorisés (787,015 XNUMX enregistrements violés), vol (806,552 XNUMX enregistrements violés), une élimination inappropriée (584,980 XNUMX enregistrements violés) et la perte (169,509 XNUMX enregistrements violés). 

De toute évidence, les attaques de cybersécurité constituaient la principale raison du vol de données de santé. Les cyberattaques comprenaient le phishing trop commun, l'envoi de logiciels malveillants, l'exploitation de vulnérabilités et les ransomwares.

Au cours des derniers mois de 2020, le nombre de ransomwares a considérablement augmenté. Point de contrôle rapporté que les soins de santé étaient l'industrie la plus ciblée, par les attaquants de ransomware, en octobre 2020. Le gang de ransomware Ryuk était l'un des plus notoires ce mois-ci. Ils ont supprimé les systèmes informatiques du Sky Lakes Medical Center et forcé les cliniciens à recourir à l'écriture manuscrite pour documenter les informations des patients. Ils ont également attaqué le réseau de santé de l'Université du Vermont, dans lequel jusqu'à 20 établissements médicaux ont été victimes. 

Il est également émis l'hypothèse que Ryuk était responsable de l'attaque de ransomware contre Universal Health Services (UHS) qui compte 400 hôpitaux aux États-Unis et accueille chaque année des millions de patients. UHS est estimé avoir perdu 67 millions de dollars pour les dommages, y compris la perte de revenus due à la réorientation des ambulances vers d'autres hôpitaux, plus de 2 mois de retard dans les procédures de facturation et des dépenses gigantesques pour réparer leurs systèmes.  

Entre octobre et septembre 2020, une augmentation alarmante de 71% des attaques de ransomware a été observée. Les cas de ransomware en 2020 comprenaient plusieurs des cyberattaques les plus préjudiciables qui se sont produites contre des organisations de soins de santé cette année-là. Dans bon nombre de ces attaques, les systèmes ont été bloqués pendant plusieurs semaines et, par conséquent, les services aux patients ont été gravement touchés. 

Certificats numériques pour la protection et l'authentification des informations

Section HIPAA sur garanties techniques indique clairement que les RPS des patients doivent être protégés par les prestataires de soins de santé lorsqu'ils sont transmis sur un réseau informatique ou au repos. Les réglementations pertinentes comprennent (mais ne sont pas limitées à):

164.312 (a) (2) (iv): Cryptage et décryptage (adressable). Mettre en place un mécanisme pour crypter et décrypter les informations de santé électroniques protégées.

164.312 (c) (1): Norme: Intégrité. Mettre en œuvre des politiques et des procédures pour protéger les informations de santé électroniques protégées contre toute altération ou destruction inappropriée.

164.312 (d): Norme: authentification de personne ou d'entité. Mettre en œuvre des procédures pour vérifier qu'une personne ou une entité cherchant à accéder à des informations de santé électroniques protégées est bien celle revendiquée.

164.312 (e) (1): Standard: sécurité de transmission. Mettre en œuvre des mesures de sécurité techniques pour se prémunir contre tout accès non autorisé aux informations de santé protégées électroniques qui sont transmises sur un réseau de communications électroniques.

Parce qu'il était destiné à être «à l'épreuve du futur», la HIPAA ne précise pas les technologies exactes qui doivent être utilisées pour protéger les PHI. Aujourd'hui, les certificats numériques proposés par les autorités de certification (CA) de confiance publique, comme SSL.com, offrent une excellente solution pour garantir le cryptage, l'authentification et l'intégrité des communications numériques.

Nous aborderons ici trois applications importantes des certificats numériques pour la communication conforme HIPAA: S/MIME certificats pour e-mail sécurisé, authentification client basée sur des certificats et SSL /TLS certificats pour la protection des sites Web et des applications Web. Nous discuterons également de la manière dont les outils avancés de gestion des certificats de SSL.com peuvent vous aider à planifier et à maintenir la couverture de l'ensemble de votre organisation et à maintenir vos certificats à jour.

Haut de Page

S/MIME Authentification des e-mails et des clients pour la conformité HIPAA

Le courrier électronique est utilisé pour la communication sur les réseaux informatiques depuis le début des années 1970 et n'est pas sécurisé par défaut. Le courrier électronique est basé sur des protocoles en clair, ne fournit aucun moyen de garantir l'intégrité des messages et ne comprend aucun mécanisme d'authentification robuste. S/MIME (Extensions de messagerie Internet sécurisées / polyvalentes) les certificats de SSL.com peuvent résoudre ces problèmes en s'assurant chiffrement, authentification et intégrité pour l'e-mail de votre organisation:

  • Cryptage: S/MIME fournit un chiffrement robuste de bout en bout afin que les messages ne puissent pas être interceptés et lus en transit. Par exemple, S/MIME peut protéger les messages envoyés sur Internet, entre les bureaux ou les organisations et en dehors de tout pare-feu d'entreprise.
    • S/MIME le cryptage est asymétrique, avec les deux clés publiques et privées. Toute personne avec un destinataire Clé publique peut leur envoyer un message crypté, mais seule une personne en possession du correspondant Clé privée peut le déchiffrer et le lire. Par conséquent, il est sûr de distribuer des clés publiques à la fois à l'intérieur et à l'extérieur d'une organisation, tandis que les clés privées doivent être conservées en sécurité.
  • Authentification: Chaque S/MIME Le message électronique est signé avec une clé privée unique associée à l'adresse électronique (et éventuellement à la personne et / ou à l'organisation) qui l'a envoyé. Étant donné que l'identité de l'expéditeur a été vérifiée par une autorité de certification tierce de confiance, telle que SSL.com, et liée à cette clé secrète, les destinataires sont assurés de la véritable identité de l'expéditeur.
  • Intégrité: Chaque signé S/MIME le message électronique comprend un hachage (un type d '«empreinte digitale» numérique ou somme de contrôle) du contenu du message qui peut être calculé et confirmé indépendamment par le logiciel de messagerie du destinataire. Si un message est intercepté et modifié d'une manière ou d'une autre (même par un caractère), la valeur de hachage calculée ne correspondra pas à la signature numérique. Cela signifie que les destinataires d'un e-mail signé numériquement peuvent être certains de l'intégrité d'un message.

De plus, parce qu'une signature numérique de confiance garantit l'authenticité et l'intégrité du courrier électronique, S/MIME fournit juridique non-répudiation pour les messages électroniques; il est difficile pour un expéditeur de nier de manière plausible avoir envoyé ce message exact.

Conformité HIPAA pour les e-mails en transit et au repos

S/MIME Les certificats de SSL.com peuvent fournir la conformité HIPAA pour le courrier électronique d'une organisation en transit ou au repos:

  • En transit: L'intégrité et l'authenticité de S/MIME l'email est assuré par une signature numérique unique et fiable. Le chiffrement de bout en bout garantit que les messages ne peuvent pas être lus par un tiers lorsqu'ils sont transmis sur des réseaux non sécurisés (comme Internet).
  • Au repos: S/MIME le chiffrement garantit que seule une personne en possession de la clé privée du destinataire peut déchiffrer et lire les messages chiffrés avec sa clé publique. Les e-mails chiffrés volés lors de violations de données ou autrement compromis sont inutiles pour les attaquants sans accès à ces clés.

Authentification du client

Tous S/MIME les certificats émis par SSL.com incluent l'authentification client. Les certificats d'authentification client peuvent être utilisés comme facteur d'authentification pour l'accès aux ressources réseau protégées, telles que les VPN et les applications Web où les PHI des patients sont gérés. Donc, S/MIME et les certificats clients de SSL.com peuvent être distribués au personnel en tant que solution unifiée pour:

  • Authentification pour l'accès aux informations de santé protégées.
  • Chiffrement, authentification et intégrité des e-mails en transit ou au repos.
Pour plus d'informations sur l'utilisation des certifcats clients avec les applications Web, veuillez lire le guide de SSL.com, Configuration des certificats d'authentification client dans les navigateurs Web.

Gros Volume S/MIME Inscription aux certificats

En utilisant S/MIME Les certificats de conformité HIPAA nécessitent un plan pour délivrer des certificats à tout le personnel travaillant avec PHI et gérer ces certificats au fil du temps. Les employés vont et viennent, les certificats expirent et les certificats peuvent devoir être révoqué pour diverses raisons, y compris la compromission de clé privée.

Les fournisseurs de soins de santé peuvent facilement aide S/MIME certificats en vrac de SSL.com's advanced portail compte client. Ces certificats peuvent être gérés, renouvelés et révoqués si nécessaire.

Entrez des adresses e-mail

Les organisations nécessitant un grand nombre de certificats peuvent également bénéficier de remises de gros allant jusqu'à 65% en participant à SSL.com. Programme de revendeurs et d'achats en volume.

SSL /TLS pour la sécurité du site Web

En 2021, TOUTE les sites Web doivent être protégés par un SSL /TLS certificat et utiliser le Protocole HTTPS, mais c'est un must absolu pour tout site Web ou application Web qui doit être conforme à la HIPAA. Comme S/MIME pour le courrier électronique, le SSL /TLS protocole fournit le cryptage, l'authenticité et l'intégrité des sites Web:

  • Toutes les communications entre un site Web protégé par un SSL correctement configuré /TLS certificat et un navigateur Web sont en toute sécurité crypté.
  • La identité d'un site Web HTTPS présentant un certificat valide signé par une autorité de certification de confiance publique sera accepté par les navigateurs Web et mis à la disposition des utilisateurs.
    • En fonction de la niveau de validation choisi par son propriétaire, SSL /TLS Le certificat peut simplement indiquer qu'une autorité de certification a confirmé le contrôle d'un site Web par le demandeur de certificat, ou il peut inclure des informations détaillées sur l'entité exploitant le site, telle qu'une entreprise ou une autre organisation.
    • Pour une confiance maximale, les établissements de santé peuvent souhaiter investir dans Assurance élevée (OV) or Extended Validation (EV) certificats, fournissant une preuve d'identité aux utilisateurs.
  • Documents, tels que des pages Web, provenant d'un site Web HTTPS protégé par SSL /TLS certificat ont leur intégrité garanti par un hachage crypté inclus dans la signature numérique, qui est calculé indépendamment par le navigateur avant de faire confiance au document. Les données ne peuvent pas être interceptées et modifiées par un tiers malveillant pendant leur transit sans que le navigateur détecte l'erreur et avertisse l'utilisateur.
SSL /TLS La configuration est un sujet complexe et il existe de nombreux pièges potentiels lors de la mise en place d'un site Web pour HTTPS. Veuillez lire SSL.com guide SSL /TLS les meilleures pratiques pour beaucoup plus d'informations.

Rappels d'expiration et automatisation

Tous les certificats ont une date d'expiration, après laquelle ils ne seront plus approuvés par le logiciel client. Pour SSL de confiance publique /TLS, la durée de vie maximale du certificat est actuellement 398 jours. Si vous laissez SSL /TLS le certificat expire, les navigateurs ne lui feront plus confiance:

Message d'erreur de certificat expiré

Il peut être difficile de suivre les certificats expirant et de les maintenir à jour, et les certificats actuels sont essentiels pour maintenir des sites Web sécurisés et conformes à la HIPAA. SSL.com propose plusieurs options puissantes pour vous assurer que vos certificats sont à jour:

  • Rappels d'expiration: SSL.com fournit avis configurables pour vous rappeler quand il est temps de renouveler un certificat. C'est une excellente option pour les organisations avec un petit nombre de certificats, ou dans les situations où l'automatisation est peu pratique ou impossible en raison de contraintes techniques.
    Rappels d'expiration
  • Script et automatisation: Les organisations peuvent créer des scripts personnalisés en utilisant RESTful de SSL.com API SWS ou la norme de l'industrie Protocole ACME pour automatiser SSL /TLS renouvellement du certificat, éliminant le besoin de rappels. L'automatisation est particulièrement importante si une organisation a un grand nombre de serveurs et de certificats à maintenir.

SSL.com fournit une grande variété de SSL /TLS certificats de serveur pour les sites Web HTTPS, y compris:

COMPARER SSL /TLS CERTIFICATS

Conclusion

Nous espérons que cet article vous a aidé à comprendre comment les certificats numériques peuvent faire partie du plan de votre organisation pour la conformité HIPAA, et comment les outils de gestion avancés de SSL.com peuvent vous aider à vous assurer que votre organisation est protégée et à jour.

Si vous avez des questions sur l'achat de certificats pour votre organisation, en particulier pour l'émission en masse de S/MIME Certificats, veuillez contacter l'équipe de vente aux entreprises de SSL.com via le formulaire ci-dessous. Vous pouvez également contacter le support SSL.com par e-mail à Support@SSL.com, par téléphone au 1-877-SSL-SECURE, ou en cliquant sur le lien de chat en bas à droite de cette page.

Et, comme toujours, merci de visiter SSL.com, où nous croyons plus sûre Internet est un mieux l'Internet!

Contactez SSL.com Enterprise Sales

Équipe d'assistance SSL.com

Auteur - Administrateur de contenu
Tous Les Articles

À lire également

Voir tous les articles du blog
Facebook LinkedIn Twitter Youtube Github

Qu'est-ce que SSL /TLS?

Regardez la vidéo

Abonnez-vous à la newsletter SSL.com

Ne manquez pas les nouveaux articles et mises à jour de SSL.com

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.

Répondez au sondage