HIPAA와 IoT
사물 인터넷 (IoT)은 기하 급수적으로 성장하고 있으며 일부 보고서에서는이를 도달 할 것으로 예측합니다. 38 년 2020 억 개의 장치. 점점 더 더 많은 이야기 해킹 된 기기가 등장하면서 사물 인터넷 보안의 필요성이 더욱 시급 해지고 HIPAA를 염두에두고있는 의료 기기 제조업체의 경우 더욱 그렇습니다.
미국 건강 보험 이동성 및 책임법 (HIPAA)은 농담이 아닙니다. HIPAA는 환자의 전자 보호 건강 정보 (PHI 또는 ePHI)의 보안 및 개인 정보를 보호하며 미국 보건 복지부 (DHS)의 시민권 사무소 (OCR)에서 시행합니다. HIPAA 준수 통신을위한 디지털 인증서를 찾고 있다면, 여기에서 우리의 기사를 확인하십시오.
HIPAA는 의료 서비스 제공자가 이동 중이거나 휴식 중일 때 PHI를 보호하도록 요구하며, 그렇게하지 않으면 막대한 벌금이 부과 될 수 있습니다. HIPAA 위반에 대한 벌금 위반 당 $ 100에서 $ 50,000까지 가능하며 최대 벌금은 연간 $ 1.5 만입니다. 2019 년에는 418 건의 침해로 인해 34.9 만 명의 미국인 PHI가 손상되었습니다.
환자 정보를 보호하고 HIPAA 규정을 준수하기 위해 지금 조치를 취하는 것은 확실히 올바른 조치입니다. 2019 년에 네트워크 서버 침해로 인해 30.6 만 명의 개인 정보가 유출되었습니다. 2018 년 AMCA (American Medical Collection Agency)의 네트워크 서버가 해킹되어 22 만 명의 환자가 손상된 데이터. 재정적 영향과 사업 손실로 인해 AMCA가 11 장 파산을 신청했습니다.
HIPAA 정보 전송 요구 사항
HIPAA는 정보 전송 보안과 관련하여 다음과 같이 명시합니다.
164.312 (e) (1) : 표준 : 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기위한 기술적 보안 조치를 구현합니다.
HIPAA는 미래 보장을위한 것이기 때문에이 지침은 개방형으로 남겨 둡니다. 기본적으로 잠재적으로 비용이 많이 드는 위반으로부터 보호하려면 전자 통신 네트워크를 통해 전송되는 정보를 보호하는 프로토콜이 있어야합니다.
조직의 경우 네트워크를 통해 데이터를 전송하는 모든 장치, 특히 회사 방화벽 외부에서 데이터를 전송하는 장치는 인증 및 암호화를위한 메커니즘을 구현해야합니다. SSL /TLS 단방향 또는 상호 인증.
SSL.com은 다양한 SSL /TLS 서버 인증서 다음을 포함한 HTTPS 웹 사이트의 경우 :
SSL /TLS HIPAA 준수 IoT 용
SSL /TLS 프로토콜 사용 비대칭 암호화 인터넷에서 두 컴퓨터간에 공유되는 데이터를 보호합니다. 또한 SSL /TLS 서버 및 / 또는 클라이언트의 ID가 검증되었는지 확인합니다. 가장 일반적인 시나리오에서 단방향 인증을 사용하는 HTTPS 서버는 SSL.com과 같이 공개적으로 신뢰할 수있는 인증 기관 (CA)에서 디지털 서명 한 인증서를 방문자의 브라우저에 제공합니다.
SSL /이면의 수학TLS CA의 디지털 서명 된 인증서가 충분히 큰 키 크기를 고려할 때 사실상 위조가 불가능하도록합니다. 공용 CA는 인증서를 발급하기 전에 신청자의 신원을 확인합니다. 또한 운영 체제 및 웹 브라우저 제공 업체의 엄격한 감사를 받아 신뢰 저장소 (목록 신뢰할 수있는 루트 인증서 브라우저 및 OS 소프트웨어와 함께 설치).
SSL 및 인증 클라이언트
대부분의 애플리케이션에서 SSL /TLS 클라이언트에 대한 서버의 단방향 인증을 사용합니다. 익명 클라이언트 (웹 브라우저)는 공개적으로 신뢰할 수있는 SSL을 제공하는 웹 서버와 암호화 된 세션을 협상합니다.TLS SSL / 동안 자신을 식별하는 인증서TLS 악수.
단방향 인증은 대부분의 웹 검색에서 완벽하게 허용되지만 공격자가 사용자 이름 및 암호와 같은 로그인 자격 증명을 표적으로 삼는 피싱과 같은 자격 증명 도용 공격에 여전히 취약합니다. 피싱 공격 데이터 침해의 22 %를 차지합니다. Verizon의 보고서. 추가 보호를 위해 상호 인증을 선택할 수 있습니다. 상호 인증에서 서버가 핸드 셰이크 중에 인증되면 CertificateRequest 클라이언트에 메시지. 클라이언트는 인증을 위해 서버에 인증서를 보내 응답합니다. 양쪽 모두 인증 PKI, 상호 인증은 기존의 암호 중심 방법보다 훨씬 더 안전합니다.
상호 인증 및 IoT
의료 기기 제조업체의 경우 클라이언트와 서버의 ID에 우연을 남기지 않기 위해 서버와 장치의 상호 인증이 최선의 선택 일 수 있습니다. 예를 들어 스마트 의료 기기가 인터넷에 연결되면 제조업체는 사용자가 정보에 액세스 할 수 있도록 회사 서버와 데이터를주고받을 수 있습니다. 이러한 정보의 안전한 전송을 촉진하기 위해 제조업체는 다음 사항을 고려할 수 있습니다.
- 고유 한 암호화 키 쌍 및 클라이언트 인증서와 함께 각 장치를 제공합니다. 모든 통신이 장치와 회사 서버간에 이루어지기 때문에 이러한 인증서는 비공개로 신뢰할 수 있으며 인증서 수명과 같은 정책에 추가적인 유연성을 제공합니다.
- 사용자가 스캔하거나 제조업체의 웹 포털 또는 스마트 폰 앱에서 사용자 계정에 입력하여 장치를 계정과 연결할 수있는 고유 한 장치 코드 (예 : 일련 번호 또는 QR 코드)를 제공합니다.
- 기기가 사용자의 Wi-Fi 네트워크를 통해 인터넷에 연결되면 상호 TLS 제조업체 서버와의 연결. 서버는 장치에 대해 자신을 인증하고 사용자가 계정에 입력 한 고유 코드와 관련된 장치의 클라이언트 인증서를 요청합니다.
연결에 대한 두 당사자는 이제 상호 인증되며 SSL /을 사용하여 메시지를주고받을 수 있습니다.TLS HTTPS 및 MQTT와 같은 애플리케이션 계층 프로토콜을 통한 암호화. 사용자는 장치에서 데이터에 액세스하거나 웹 포털 계정 또는 스마트 폰 앱을 사용하여 설정을 변경할 수 있습니다. 두 장치간에 인증되지 않은 메시지 나 일반 텍스트 메시지가 필요하지 않습니다.
마지막 단어
공개적으로 잡히지 마십시오. SSL.com의 맞춤형 IoT 솔루션에 관심이있는 경우 아래 양식을 작성하여 자세한 정보를 얻으십시오.
