HIPAA-kompatibilis IoT megoldások

HIPAA és az IoT

A tárgyak internete (IoT) ugrásszerűen növekszik, egyes jelentések szerint az eljutása várható 38 milliárd eszköz 2020-ban. Több és további történetek feltört készülékek megjelenése egyre sürgetőbbé teszi a tárgyak internetének biztonságát, különösen a HIPAA-t szem előtt tartó orvostechnikai eszközök gyártói számára.

Az amerikai egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvény (HIPAA) nem vicc. A HIPAA védi a betegek elektronikus védett egészségügyi információinak (PHI vagy ePHI) biztonságát és magánéletét, és végrehajtását az Egyesült Államok Egészségügyi és Humán Szolgáltatási Minisztériumának (DHS) Polgári Jogi Hivatala (OCR) hajtja végre. Ha digitális tanúsítványokat keres a HIPAA-kompatibilis kommunikációhoz, nézze meg itt a cikkünket.

A HIPAA előírja, hogy az egészségügyi szolgáltatók szállítás közben vagy nyugalomban védjék meg a PHI-t, ennek elmulasztása tetemes pénzbírságokat vonhat maga után. Bírságok a HIPAA megsértéséért jogsértésenként 100 és 50,000 1.5 dollár között mozoghat, maximális büntetése évi 2019 millió dollár. 418-ben 34.9 megsértés vezetett XNUMX millió amerikai PHI kompromisszumához. 

A betegek tájékoztatásának biztosítása és a HIPAA-kompatibilitás biztosítása most minden bizonnyal a helyes lépés. 2019-ben a hálózati szerver megsértése 30.6 millió személy adatait sérti. 2018-ban feltörték az American Medical Collection Agency (AMCA) hálózati szerverét, aminek eredményeként 22 millió betegnek adatok sérültek. A pénzügyi következmények és az üzletvesztés oda vezetett, hogy az AMCA benyújtotta a 11. fejezet csődjét. 

Ugrás az oldal tetejére

 

HIPAA információátviteli követelmények

A HIPAA a következőket állítja az információátvitel biztonságával kapcsolatban:

164.312 (e) (1): Szabvány: Átviteli biztonság. Műszaki biztonsági intézkedéseket hajtson végre az elektronikus hírközlő hálózaton keresztül továbbított elektronikus védett egészségügyi információk illetéktelen hozzáférésének megakadályozása érdekében.

Mivel a HIPAA-nak jövőbiztosnak kellett lennie, ezért ezt az irányelvet nyitva hagyja. Alapvetően a potenciálisan költséges jogsértések elleni védelem érdekében protokollokra van szükség az elektronikus hírközlő hálózaton keresztül továbbított információk védelmére.

Egy szervezet számára ez azt jelenti, hogy minden olyan eszköznek, amely adatokat továbbít a hálózaton keresztül, különösen azoknak, amelyeket a vállalati tűzfalon kívül végeznek, be kell vezetniük a hitelesítés és a titkosítás mechanizmusát. SSL /TLS gondoskodhat erről akár egyirányú, akár kölcsönös hitelesítés

Az SSL.com széles skáláját kínálja SSL /TLS szerver tanúsítványok a HTTPS webhelyek esetében, ideértve:

Hasonlítsa össze az SSL-t /TLS BIZONYÍTVÁNYOK

SSL /TLS a HIPAA-kompatibilis IoT számára

Az SSL /TLS protokollt használ aszimmetrikus titkosítás két számítógép között megosztott adatok biztonságának biztosítása az interneten. Ezen felül az SSL /TLS biztosítja, hogy a szerver és / vagy az ügyfél identitása érvényesüljön. A leggyakoribb esetekben, egyirányú hitelesítéssel, a HTTPS szerver a látogató böngészőjéhez tanúsítványt biztosít, amelyet egy nyilvánosan megbízható tanúsító hatóság (CA), például az SSL.com, digitálisan aláírt. 

Az SSL mögött álló matematika /TLS annak biztosítása, hogy a CA digitálisan aláírt tanúsítványait gyakorlatilag lehetetlen meghamisítani, ha elég nagy a kulcsméret. Az állami hitelesítésszolgáltatók igazolások kiadása előtt ellenőrzik a pályázók személyazonosságát. Az operációs rendszer és a webböngésző szolgáltatói szigorú ellenőrzéseknek is alávetik őket, hogy elfogadják és fenntartsák őket a bizalmi üzletekben ( megbízható gyökértanúsítványok böngészővel és operációs rendszerrel telepítve).

Ugrás az oldal tetejére

SSL és hitelesítő ügyfelek

A legtöbb alkalmazás esetében az SSL /TLS a szerver egyirányú hitelesítését használja az ügyfél számára; egy névtelen kliens (a webböngésző) egy titkosított munkamenetet tárgyal egy webszerverrel, amely nyilvánosan megbízható SSL-t /TLS tanúsítvány az SSL során történő azonosításáraTLS kézfogás. 

Noha az egyirányú hitelesítés tökéletesen elfogadható a legtöbb internetes böngészés során, még mindig sérülékeny a hitelesítő adatok lopásával szembeni támadások, például az adathalászat ellen, amelyben a támadók a bejelentkezési adatokat, például a felhasználóneveket és a jelszavakat célozzák meg. Adathalászat támadások szerint az adatszegések 22% - át teszi ki a Verizon jelentése. További védelem érdekében választhatja a kölcsönös hitelesítést. Kölcsönös hitelesítéskor, miután a kiszolgálót hitelesítették a kézfogás során, a CertificateRequest üzenetet az ügyfélnek. Az ügyfél úgy válaszol, hogy tanúsítványt küld a kiszolgálónak hitelesítés céljából. Mindkét oldallal hitelesítve PKI, a kölcsönös hitelesítés sokkal biztonságosabb, mint a hagyományos jelszóközpontú módszerek.

Ugrás az oldal tetejére

Kölcsönös hitelesítés és IoT

Az orvostechnikai eszközök gyártói számára a szerverek és eszközök kölcsönös hitelesítése lehet a legjobb megoldás, mivel semmit sem hagy a véletlenre az ügyfél és a szerver identitása szempontjából. Például, ha egy intelligens orvostechnikai eszköz csatlakozik az internethez, a gyártónak tetszhet, hogy adatokat küld a vállalat szervereire és azokról, hogy a felhasználók hozzáférjenek az információkhoz. A biztonságos információátadás megkönnyítése érdekében a gyártó a következőket fontolgathatja:

  • Minden eszközt egyedi kriptográfiai kulcspárral és kliens tanúsítvánnyal szállítson. Mivel minden kommunikáció az eszköz és a vállalat szerverei között zajlik, ezek a tanúsítványok magántulajdonban lehetnek, és további rugalmasságot kínálnak a házirendekhez, például a tanúsítványok élettartamához.
  • Adjon meg egy egyedi eszközkódot (például sorozatszámot vagy QR-kódot), amelyet a felhasználó beolvashat vagy beírhat a felhasználói fiókjába a gyártó webportálján vagy okostelefonos alkalmazásában, hogy társítsa az eszközt a fiókjához.
  • Miután a készülék csatlakozik az internethez a felhasználó Wi-Fi hálózatán keresztül, megnyílik egy kölcsönös TLS kapcsolat a gyártó szerverével. A szerver hitelesíti magát az eszközön, és kéri az eszköz kliens tanúsítványát, amely társul a felhasználó által a fiókjukba beírt egyedi kóddal.

A kapcsolat két fele kölcsönösen hitelesített és továbbíthat üzeneteket oda-vissza SSL /TLS titkosítás olyan alkalmazásréteg protokollokon keresztül, mint a HTTPS és az MQTT. A felhasználó elérheti az eszköz adatait, vagy módosíthatja annak beállításait a webportál-fiókjával vagy az okostelefonos alkalmazásával. Soha nincs szükség hitelesítés nélküli vagy tiszta szöveges üzenetekre a két eszköz között.

Ugrás az oldal tetejére

Utolsó szó

Ne ragadjon el a szabadban. Ha érdekel az SSL.com egyedi IoT megoldásai, töltse ki az alábbi űrlapot további információkért.

Connor Wilson

Minden hozzászólás

Kapcsolódó blogbejegyzések

Összes blogbejegyzés megtekintése
Facebook Linkedin Twitter Youtube GitHub

Mi az SSL /TLS?

Videó lejátszása

Feliratkozás az SSL.com hírlevelére

Ne hagyja ki az SSL.com új cikkeit és frissítéseit

Örülnénk a visszajelzésének

Töltse ki felmérésünket, és ossza meg velünk véleményét legutóbbi vásárlásával kapcsolatban.

Kérdőívet kitölteni