HIPAA dan IoT
Internet of Things (IoT) tumbuh secara eksponensial, dengan beberapa laporan memprediksinya akan mencapai lebih 38 miliar perangkat pada tahun 2020. Dengan lebih banyak dan lebih banyak cerita Munculnya perangkat yang diretas keluar, kebutuhan untuk mengamankan Internet of Things menjadi lebih mendesak, terlebih lagi untuk produsen perangkat medis dengan HIPAA dalam pikiran.
Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan AS, atau HIPAA, bukanlah lelucon. HIPAA melindungi keamanan dan privasi Informasi Kesehatan yang Dilindungi Elektronik (PHI atau ePHI) pasien, dan diberlakukan oleh Kantor Hak Sipil (OCR) dari Departemen Kesehatan dan Layanan Kemanusiaan (DHS) AS. Jika Anda mencari sertifikat digital untuk komunikasi yang sesuai dengan HIPAA, lihat artikel kami di sini.
HIPAA mewajibkan penyedia layanan kesehatan melindungi PHI saat dalam perjalanan atau saat istirahat, dan kegagalan untuk melakukannya dapat mengakibatkan denda yang besar. Denda untuk pelanggaran HIPAA dapat berkisar dari $ 100 hingga $ 50,000 per pelanggaran, dengan denda maksimum $ 1.5 juta per tahun. Pada 2019, 418 pelanggaran menyebabkan kompromi 34.9 juta PHI Amerika.
Mengambil langkah sekarang untuk mengamankan informasi pasien dan tetap mematuhi HIPAA tentunya merupakan langkah yang tepat. Pada 2019, pelanggaran server jaringan menyumbang 30.6 juta informasi individu yang dikompromikan. Pada tahun 2018, server jaringan American Medical Collection Agency (AMCA) diretas, menyebabkan 22 juta pasien mengalaminya data disusupi. Dampak keuangan dan kerugian bisnis menyebabkan pengajuan AMCA untuk Bab 11 Kebangkrutan.
Persyaratan Transmisi Informasi HIPAA
HIPAA menyatakan hal berikut tentang keamanan transmisi informasi:
164.312 (e) (1): Standar: Keamanan transmisi. Menerapkan langkah-langkah keamanan teknis untuk melindungi dari akses tidak sah ke informasi kesehatan yang dilindungi secara elektronik yang dikirim melalui jaringan komunikasi elektronik.
Karena HIPAA dimaksudkan untuk menjadi bukti masa depan, ia membiarkan arahan ini terbuka. Pada dasarnya, untuk melindungi dari kemungkinan pelanggaran yang merugikan, perlu ada protokol untuk melindungi informasi yang dikirimkan melalui jaringan komunikasi elektronik.
Untuk organisasi, ini berarti bahwa perangkat apa pun yang mengirimkan data melalui jaringan, terutama yang melakukannya di luar firewall perusahaan, perlu menerapkan mekanisme otentikasi dan enkripsi. SSL /TLS dapat menangani ini melalui salah satu cara atau saling otentikasi.
SSL.com menyediakan berbagai macam SSL /TLS sertifikat server untuk situs web HTTPS, termasuk:
SSL /TLS untuk IoT yang Sesuai dengan HIPAA
SSL /TLS penggunaan protokol enkripsi asimetris untuk mengamankan data yang dibagikan antara dua komputer di Internet. Selain itu, SSL /TLS memastikan bahwa identitas server dan / atau klien divalidasi. Dalam skenario yang paling umum, menggunakan otentikasi satu arah, server HTTPS menyediakan browser pengunjung dengan sertifikat yang telah ditandatangani secara digital oleh Otoritas Sertifikat (CA) yang dipercaya secara publik seperti SSL.com.
Matematika di balik SSL /TLS memastikan bahwa sertifikat yang ditandatangani secara digital CA tidak mungkin dipalsukan mengingat ukuran kunci yang cukup besar. CA publik memverifikasi identitas pelamar sebelum mengeluarkan sertifikat. Mereka juga tunduk pada audit ketat oleh sistem operasi dan penyedia browser web untuk diterima dan dipelihara di toko kepercayaan (daftar sertifikat dasar tepercaya diinstal dengan peramban dan perangkat lunak OS).
Klien SSL dan Otentikasi
Untuk sebagian besar aplikasi, SSL /TLS menggunakan otentikasi satu arah dari server ke klien; klien anonim (browser web) menegosiasikan sesi terenkripsi dengan server web, yang menyajikan SSL /TLS sertifikat untuk mengidentifikasi dirinya sendiri selama SSL /TLS jabat tangan.
Sementara otentikasi satu arah dapat diterima dengan baik untuk sebagian besar penjelajahan web, itu masih rentan terhadap serangan pencurian kredensial seperti phishing di mana penyerang menargetkan kredensial masuk seperti nama pengguna dan kata sandi. Serangan phishing menyumbang 22% dari pelanggaran data, menurut sebuah laporan oleh Verizon. Untuk perlindungan tambahan, Anda dapat memilih otentikasi timbal balik. Dalam otentikasi bersama, setelah server diautentikasi selama jabat tangan, itu akan mengirim file CertificateRequest pesan ke klien. Klien akan merespon dengan mengirimkan sertifikat ke server untuk otentikasi. Dengan kedua sisi diautentikasi dengan PKI, otentikasi bersama jauh lebih aman daripada metode tradisional yang berpusat pada kata sandi.
Otentikasi Bersama dan IoT
Untuk produsen perangkat medis, otentikasi server dan perangkat yang saling menguntungkan mungkin merupakan pilihan terbaik, karena tidak menyisakan apa pun yang kebetulan dengan identitas klien dan server. Misalnya, setelah perangkat medis pintar terhubung ke internet, produsen mungkin ingin mengirim dan menerima data ke dan dari server perusahaan, sehingga pengguna dapat mengakses informasi. Untuk memfasilitasi transfer informasi yang aman ini, produsen dapat mempertimbangkan hal berikut:
- Mengirimkan setiap perangkat dengan pasangan kunci kriptografi unik dan sertifikat klien. Karena semua komunikasi akan dilakukan antara perangkat dan server perusahaan, sertifikat ini mungkin dipercaya secara pribadi, menawarkan fleksibilitas tambahan untuk kebijakan seperti masa pakai sertifikat.
- Berikan kode perangkat unik (seperti nomor seri atau kode QR) yang dapat dipindai atau dimasukkan pengguna ke akun pengguna mereka di portal web produsen atau aplikasi ponsel cerdas untuk mengaitkan perangkat dengan akun mereka.
- Setelah perangkat terhubung ke internet melalui jaringan Wi-Fi pengguna, perangkat akan saling terbuka TLS koneksi dengan server pabrikan. Server akan mengautentikasi dirinya sendiri ke perangkat dan meminta sertifikat klien perangkat, yang dikaitkan dengan kode unik yang dimasukkan oleh pengguna ke akun mereka.
Kedua pihak ke koneksi sekarang saling diautentikasi dan dapat mengirim pesan bolak-balik dengan SSL /TLS enkripsi atas protokol lapisan aplikasi seperti HTTPS dan MQTT. Pengguna dapat mengakses data dari perangkat atau membuat perubahan pada pengaturannya dengan akun portal web atau aplikasi smartphone mereka. Tidak perlu ada pesan yang tidak diautentikasi atau teks yang jelas antara kedua perangkat.
Kata terakhir
Jangan sampai ketahuan. Jika Anda tertarik dengan solusi IoT khusus SSL.com, isi formulir di bawah ini untuk mendapatkan informasi lebih lanjut.
