HIPAA et l'IoT
L'Internet des objets (IoT) connaît une croissance exponentielle, certains rapports prévoyant qu'il dépasse 38 milliards d'appareils en 2020. Avec plus et plus d'histoires émergeant d'appareils piratés, la nécessité de sécuriser l'Internet des objets devient de plus en plus urgente pour les fabricants de dispositifs médicaux avec la HIPAA à l'esprit.
Le US Health Insurance Portability and Accountability Act, ou HIPAA, n'est pas une blague. HIPAA protège la sécurité et la confidentialité des informations de santé protégées électroniques des patients (PHI ou ePHI) et est appliquée par le Bureau des droits civils (OCR) du Département américain de la santé et des services humains (DHS). Si vous recherchez des certificats numériques pour une communication conforme HIPAA, consultez notre article ici.
La HIPAA exige que les prestataires de soins de santé protègent les RPS pendant leur transit ou au repos, et ne pas le faire peut entraîner de lourdes amendes. Amendes pour violations de la loi HIPAA peut varier de 100 $ à 50,000 1.5 $ par infraction, avec une pénalité maximale de 2019 million de dollars par an. En 418, 34.9 violations ont conduit au compromis de XNUMX millions de PHI d'Américains.
Prendre des mesures maintenant pour sécuriser les informations des patients et rester conforme à la loi HIPAA est certainement la bonne décision. En 2019, les violations de serveurs de réseau représentaient 30.6 millions d'informations de personnes compromises. En 2018, le serveur réseau de l'American Medical Collection Agency (AMCA) a été piraté, ce qui a conduit 22 millions de patients à données compromises. Les répercussions financières et la perte d'activité ont conduit l'AMCA à déposer son bilan en vertu du chapitre 11.
Exigences de transmission d'informations HIPAA
HIPAA déclare ce qui suit concernant la sécurité de la transmission des informations:
164.312 (e) (1): Standard: sécurité de transmission. Mettre en œuvre des mesures de sécurité techniques pour se prémunir contre l'accès non autorisé aux informations de santé électroniques protégées qui sont transmises sur un réseau de communications électroniques.
Parce que HIPAA était censé être à l'épreuve du temps, il laisse cette directive ouverte. Fondamentalement, pour se protéger contre des violations potentiellement coûteuses, des protocoles doivent être en place pour protéger les informations transmises sur un réseau de communications électroniques.
Pour une organisation, cela signifie que tous les périphériques qui transmettent des données sur un réseau, en particulier ceux qui le font en dehors d'un pare-feu d'entreprise, doivent mettre en œuvre un mécanisme d'authentification et de cryptage. SSL /TLS peut s'en occuper soit à sens unique, soit authentification mutuelle.
SSL.com fournit une grande variété de SSL /TLS certificats de serveur pour les sites Web HTTPS, y compris:
SSL /TLS pour l'IoT conforme HIPAA
Le SSL /TLS utilisations du protocole chiffrement asymétrique pour sécuriser les données partagées entre deux ordinateurs sur Internet. De plus, SSL /TLS s'assure que les identités du serveur et / ou du client sont validées. Dans le scénario le plus courant, en utilisant l'authentification unidirectionnelle, un serveur HTTPS fournit au navigateur d'un visiteur un certificat qui a été signé numériquement par une autorité de certification (CA) de confiance publique telle que SSL.com.
Les mathématiques derrière SSL /TLS s'assurer que les certificats signés numériquement d'une autorité de certification sont pratiquement impossibles à falsifier étant donné une taille de clé suffisamment grande. Les autorités de certification publiques vérifient l'identité des candidats avant d'émettre des certificats. Ils sont également soumis à des audits rigoureux de la part des fournisseurs de systèmes d'exploitation et de navigateurs Web pour être acceptés et conservés dans les magasins de confiance (listes de certificats racine approuvés installé avec navigateur et logiciel OS).
SSL et authentification des clients
Pour la plupart des applications, SSL /TLS utilise l'authentification unidirectionnelle d'un serveur auprès d'un client; un client anonyme (le navigateur Web) négocie une session cryptée avec un serveur Web, qui présente un SSL /TLS certificat pour s'identifier lors du SSL /TLS poignée de main.
Bien que l'authentification unidirectionnelle soit parfaitement acceptable pour la plupart des navigations Web, elle est toujours vulnérable aux attaques de vol d'informations d'identification telles que le phishing dans lequel les attaquants ciblent les informations de connexion telles que les noms d'utilisateur et les mots de passe. Attaques de phishing représentent 22% des violations de données, selon un rapport de Verizon. Pour une protection supplémentaire, vous pouvez opter pour une authentification mutuelle. Dans l'authentification mutuelle, une fois que le serveur est authentifié lors de la prise de contact, il enverra un CertificateRequest
message au client. Le client répondra en envoyant un certificat au serveur pour l'authentification. Avec les deux côtés authentifiés avec PKI, l'authentification mutuelle est beaucoup plus sécurisée que les méthodes traditionnelles centrées sur les mots de passe.
Authentification mutuelle et IoT
Pour les fabricants de dispositifs médicaux, l'authentification mutuelle des serveurs et des dispositifs pourrait être la meilleure option, car ne rien laisser au hasard avec les identités du client et du serveur. Par exemple, une fois qu'un dispositif médical intelligent est connecté à Internet, un fabricant peut souhaiter qu'il envoie et reçoive des données vers et depuis les serveurs de l'entreprise, afin que les utilisateurs puissent accéder aux informations. Pour faciliter ce transfert sécurisé d'informations, le fabricant pourrait envisager les éléments suivants:
- Expédiez chaque appareil avec une paire de clés cryptographiques et un certificat client uniques. Étant donné que toutes les communications se feront entre l'appareil et les serveurs de l'entreprise, ces certificats peuvent être de confiance privée, offrant une flexibilité supplémentaire pour les politiques comme la durée de vie des certificats.
- Fournissez un code d'appareil unique (tel qu'un numéro de série ou un code QR) que l'utilisateur peut scanner ou saisir dans son compte utilisateur sur le portail Web du fabricant ou dans l'application pour smartphone pour associer l'appareil à son compte.
- Une fois l'appareil connecté à Internet via le réseau Wi-Fi de l'utilisateur, il ouvrira une mutuelle TLS connexion avec le serveur du fabricant. Le serveur s'authentifie auprès de l'appareil et demande le certificat client de l'appareil, qui est associé au code unique saisi par l'utilisateur dans son compte.
Les deux parties à la connexion sont désormais mutuellement authentifiées et peuvent envoyer des messages dans les deux sens avec SSL /TLS cryptage via des protocoles de couche application tels que HTTPS et MQTT. L'utilisateur peut accéder aux données de l'appareil ou modifier ses paramètres avec son compte de portail Web ou son application pour smartphone. Il n'y a jamais besoin de messages non authentifiés ou en texte clair entre les deux appareils.
Dernier mot
Ne soyez pas pris au dépourvu. Si vous êtes intéressé par les solutions IoT personnalisées de SSL.com, remplissez le formulaire ci-dessous pour obtenir plus d'informations.