Digitale certificaten voor HIPAA-compatibele communicatie

Digitale certificaten van SSL.com kunnen een belangrijk onderdeel zijn van de plannen van een zorginstelling voor HIPAA-compatibele e-mail, authenticatie en websites.

HIPAA-overtredingen en sancties

De Amerikaanse Health Insurance Portability and Accountability Act (HIPAA), aanvankelijk aangenomen in 1996, beschermt de veiligheid en privacy van de elektronische beschermde gezondheidsinformatie van patiënten (ook bekend als PHI of ePHI). De naleving van HIPAA wordt afgedwongen door het Office for Civil Rights (OCR) van het Amerikaanse Department of Health and Human Services (DHS).

Volgens HIPAA zijn zorgverleners belast met het beschermen van PHI tijdens het transport of in rust, en boetes voor datalekken kunnen aanzienlijk zijn. Artsen oefenen meldt dat bij 34.9 miljoen Amerikanen (ongeveer 10% van de Amerikaanse bevolking!) hun PHI werd geschonden in 2019, als gevolg van 418 gerapporteerde HIPAA-inbreuken. Bij 39% van deze inbreuken ging het om e-mail en 20% om netwerkservers.
 

Voor 2020, juridisch journalist Steve Alder meldt op HIPAA Journal dat 642 grootschalige datalekken zijn gemeld door zorginstellingen, waaronder zorgaanbieders en zorginstellingen. Deze statistiek is 25% groter dan in 2019, dat zelf al een recordjaar was. 

Vergeleken met het jaar 2020 zijn datalekken in de gezondheidszorg verdrievoudigd sinds 2010 en verdubbeld sinds 2014. Er is daarom een ​​jaarlijkse toename van 25% van datalekken. In totaal zijn er tussen 78 en 2009 maar liefst 2020 miljoen medische dossiers geschonden. 

Met boetes variërend van $ 100 tot $ 50,000 per overtreding en een maximale boete van $ 1.5 miljoen per jaar voor schendingen van een HIPAA-bepaling, kan geen enkele zorgverlener het zich veroorloven nalatig te zijn bij het beschermen van de PHI van zijn klanten.
 

Belangrijkste redenen voor datalekken in de gezondheidszorg in 2020

De vijf belangrijke oorzaken van de datalekken in de gezondheidszorg in 2020 waren: geïdentificeerd: hacking/IT-incident (26.9 miljoen records geschonden), ongeautoriseerde toegang/openbaarmaking (787,015 records geschonden), diefstal (806,552 records geschonden), onjuiste verwijdering (584,980 records geschonden), en verlies (169,509 records geschonden). 

Het is duidelijk dat cyberbeveiligingsaanvallen de grootste reden waren voor het stelen van gezondheidsgegevens. De cyberaanvallen omvatten de veel voorkomende phishing, het verzenden van malware, misbruik van kwetsbaarheden en ransomware.

In de laatste maanden van 2020 nam het aantal ransomware-incidenten aanzienlijk toe. Controlepunt gerapporteerd dat de gezondheidszorg de meest gerichte sector was, door ransomware-aanvallers, in oktober 2020. De Ryuk ransomware-bende was die maand een van de meest beruchte. Ze haalden de computersystemen van het Sky Lakes Medical Center eruit en dwongen clinici om hun toevlucht te nemen tot handschrift om patiëntinformatie te documenteren. Ze vielen ook het University of Vermont Health Network aan, waarbij tot 20 medische faciliteiten het slachtoffer werden. 

Er wordt ook getheoretiseerd dat Ryuk verantwoordelijk was voor de ransomware-aanval op Universal Health Services (UHS), die 400 ziekenhuizen in de VS heeft en jaarlijks miljoenen patiënten bedient. UHS is geschat 67 miljoen dollar te hebben verloren aan schade, waaronder inkomstenderving doordat ambulances naar andere ziekenhuizen werden omgeleid, meer dan 2 maanden vertraging in de factureringsprocedures en gigantische kosten om hun systemen te repareren.  

Tussen oktober en september 2020 werd een alarmerende toename van 71% van ransomware-aanvallen waargenomen. Ransomware-zaken in 2020 omvatten enkele van de meest schadelijke cyberaanvallen die dat jaar tegen zorgorganisaties plaatsvonden. Bij veel van deze aanvallen waren systemen gedurende vele weken uitgeschakeld, met als gevolg dat de patiëntenzorg ernstig werd getroffen. 

Digitale certificaten voor informatiebescherming en authenticatie

HIPAA's sectie over technische waarborgen maakt duidelijk dat de PHI van patiënten moet worden beschermd door zorgverleners wanneer deze via een computernetwerk of in rust wordt verzonden. Relevante regelgeving omvat (maar is niet beperkt tot):

164.312 (a) (2) (iv): versleuteling en ontsleuteling (adresseerbaar). Implementeer een mechanisme om elektronische beschermde gezondheidsinformatie te coderen en decoderen.

164.312 (c) (1): Standaard: integriteit. Implementeer beleid en procedures om elektronisch beschermde gezondheidsinformatie te beschermen tegen ongepaste wijziging of vernietiging.

164.312 (d): Standaard: authenticatie van een persoon of entiteit. Implementeer procedures om te verifiëren dat een persoon of entiteit die toegang zoekt tot elektronische beschermde gezondheidsinformatie degene is die wordt geclaimd.

164.312 (e) (1): Standaard: transmissiebeveiliging. Implementeer technische veiligheidsmaatregelen om te beschermen tegen ongeoorloofde toegang tot elektronische beschermde gezondheidsinformatie die wordt verzonden via een elektronisch communicatienetwerk.

Omdat het bedoeld was om "toekomstbestendig" te zijn, beschrijft HIPAA niet de exacte technologieën die moeten worden gebruikt om PHI te beschermen. Tegenwoordig bieden digitale certificaten die worden aangeboden door publiekelijk vertrouwde certificeringsinstanties (CA's), zoals SSL.com, een geweldige oplossing om de codering, authenticatie en integriteit van digitale communicatie te garanderen.

We behandelen hier drie belangrijke toepassingen van digitale certificaten voor HIPAA-compatibele communicatie: S/MIME certificaten voor veilige e-mail, op certificaten gebaseerde clientverificatie en SSL /TLS certificaten voor het beschermen van websites en webapplicaties. We zullen ook bespreken hoe de geavanceerde tools voor certificaatbeheer van SSL.com u kunnen helpen bij het plannen en onderhouden van de dekking voor uw hele organisatie en om uw certificaten up-to-date te houden.

S/MIME E-mail- en clientverificatie voor naleving van HIPAA

E-mail wordt sinds het begin van de jaren zeventig gebruikt voor communicatie via computernetwerken en is standaard onveilig. E-mail is gebaseerd op protocollen in platte tekst, biedt geen manier om de integriteit van berichten te garanderen en bevat geen mechanisme voor robuuste authenticatie. S/MIME (Veilige / multifunctionele internetmail-extensies) certificaten van SSL.com kunnen deze problemen oplossen door ervoor te zorgen encryptie, authenticatie en integriteit voor het e-mailadres van uw organisatie:

  • encryptie: S/MIME biedt robuuste end-to-end-codering zodat berichten tijdens de overdracht niet kunnen worden onderschept en gelezen. Bijvoorbeeld, S/MIME kan berichten beschermen die via internet, tussen kantoren of organisaties en buiten firewalls van bedrijven worden verzonden.
    • S/MIME versleuteling is asymmetrisch, met beide openbare en privésleutels. Iedereen met een ontvanger publieke sleutel kan ze een versleuteld bericht sturen, maar alleen een persoon in het bezit van het corresponderende privé sleutel kan het decoderen en lezen. Daarom is het veilig om openbare sleutels zowel binnen als buiten een organisatie te verspreiden, terwijl privésleutels veilig moeten worden bewaard.
  • authenticatie: Elke S/MIME e-mailbericht is ondertekend met een unieke privésleutel die is gekoppeld aan het e-mailadres (en optioneel de individuele persoon en / of organisatie) die het heeft verzonden. Omdat de identiteit van de afzender is geverifieerd door een vertrouwde externe CA, zoals SSL.com, en aan deze geheime sleutel is gebonden, zijn de ontvangers verzekerd van de ware identiteit van de afzender.
  • Integriteit: Elk ondertekend S/MIME e-mailbericht bevat een encypted hachee (een soort digitale "vingerafdruk" of checksum) van de inhoud van het bericht die onafhankelijk kan worden berekend en bevestigd door de e-mailsoftware van de ontvanger. Als een bericht op de een of andere manier wordt onderschept en gewijzigd (zelfs met één teken), komt de berekende hashwaarde niet overeen met de digitale handtekening. Dit betekent dat ontvangers van digitaal ondertekende e-mail zeker kunnen zijn van de integriteit van een bericht.

Bovendien, omdat een vertrouwde digitale handtekening de authenticiteit en integriteit van e-mail garandeert, S/MIME biedt juridische niet-afwijzing voor e-mailberichten; het is moeilijk voor een afzender om aannemelijk te ontkennen dat hij precies dat bericht heeft verzonden.

HIPAA-naleving voor e-mail in transit en in rust

S/MIME certificaten van SSL.com kunnen HIPAA-conformiteit bieden voor de e-mail van een organisatie tijdens verzending of in rust:

  • Onderweg: De integriteit en authenticiteit van S/MIME e-mail wordt verzekerd door een unieke, vertrouwde digitale handtekening. End-to-end-encryptie zorgt ervoor dat berichten niet kunnen worden gelezen door een derde partij wanneer ze worden verzonden via onveilige netwerken (zoals internet).
  • Onbeweeglijk: S/MIME versleuteling zorgt ervoor dat alleen iemand die in het bezit is van de privésleutel van de ontvanger berichten kan ontsleutelen en lezen die zijn versleuteld met hun openbare sleutel. Versleutelde e-mail die is gestolen bij datalekken of anderszins is gecompromitteerd, is nutteloos voor aanvallers zonder toegang tot deze sleutels.

Clientverificatie

Alles S/MIME certificaten uitgegeven door SSL.com omvatten client-authenticatie. Clientauthenticatiecertificaten kunnen worden gebruikt als authenticatiefactor voor toegang tot beschermde netwerkbronnen, zoals VPN's en webapplicaties waar de PHI van patiënten wordt afgehandeld. Daarom S/MIME en clientcertificaten van SSL.com kunnen onder het personeel worden gedistribueerd als een uniforme oplossing voor:

  • Authenticatie voor toegang tot beschermde gezondheidsinformatie.
  • Versleuteling, authenticatie en integriteit van e-mail tijdens verzending of in rust.
Lees voor meer informatie over het gebruik van clientcertificaten met webapplicaties de instructies van SSL.com, Clientverificatiecertificaten configureren in webbrowsers.

Grootste deel S/MIME Certificaten Inschrijving

gebruik S/MIME certificaten voor HIPAA-conformiteit vereist een plan voor het uitgeven van certificaten aan al het personeel dat met PHI werkt en het beheren van deze certificaten in de loop van de tijd. Werknemers komen en gaan, certificaten verlopen en certificaten moeten mogelijk zijn herroepen om verschillende redenen, waaronder het compromitteren van de privésleutel.

Zorgverleners kunnen dat gemakkelijk kwestie S/MIME certificaten in bulk van SSL.com's geavanceerd klantaccount portaal. Deze certificaten kunnen indien nodig worden beheerd, vernieuwd en ingetrokken.

Voer e-mailadressen in

Organisaties die een groot aantal certificaten nodig hebben, kunnen ook profiteren van groothandelskortingen tot 65% door deel te nemen aan SSL.com's Programma voor wederverkoper en volumeaankoop.

SSL /TLS voor websitebeveiliging

In 2021, allen websites moeten worden beschermd met een SSL /TLS certificaat en gebruik de HTTPS-protocol, maar het is een absolute must voor elke website of webapplicatie die HIPAA-compliant moet zijn. Like S/MIME voor e-mail, de SSL /TLS protocol biedt codering, authenticiteit en integriteit voor websites:

  • Alle communicatie tussen een website die is beveiligd met een correct geconfigureerde SSL /TLS certificaat en een webbrowser zijn veilig versleutelde.
  • De identiteit van een HTTPS-website met een geldig certificaat dat is ondertekend door een publiekelijk vertrouwde CA, wordt geaccepteerd door webbrowsers en beschikbaar gesteld aan gebruikers.
    • Afhankelijk van validatieniveau gekozen door de eigenaar, de SSL /TLS certificaat kan eenvoudig aangeven dat een CA heeft bevestigd dat de certificaataanvrager de controle over een website heeft, of het kan gedetailleerde informatie bevatten over de entiteit die de site beheert, zoals een bedrijf of een andere organisatie.
    • Voor maximaal vertrouwen willen zorgorganisaties wellicht investeren Hoge zekerheid (OV) or Uitgebreide validatie (EV) certificaten, waarmee een identiteitsbewijs aan gebruikers wordt verstrekt.
  • Documenten, zoals webpagina's, van een HTTPS-website die wordt beschermd door een SSL /TLS certificaat hebben hun integriteit gegarandeerd door een gecodeerde hash die is opgenomen in de digitale handtekening, die onafhankelijk wordt berekend door de browser voordat het document wordt vertrouwd. De gegevens kunnen tijdens de overdracht niet worden onderschept en gewijzigd door een kwaadwillende derde zonder dat de browser de fout detecteert en de gebruiker waarschuwt.
SSL /TLS configuratie is een complex onderwerp en er zijn veel mogelijke valkuilen bij het opzetten van een website voor HTTPS. Lees alstublieft SSL.com's gids voor SSL /TLS 'best practices' voor veel meer informatie.

Vervaldatumherinneringen en automatisering

Alle certificaten hebben een vervaldatum, waarna ze niet worden vertrouwd door clientsoftware. Voor openbaar vertrouwde SSL /TLSis de maximale levensduur van het certificaat momenteel 398 dagen. Als u de SSL /TLS certificaat vervalt, zullen browsers het niet langer vertrouwen:

Foutmelding verlopen certificaat

Het kan moeilijk zijn om verlopen certificaten bij te houden en up-to-date te houden, en huidige certificaten zijn cruciaal voor het onderhouden van veilige websites die aan HIPAA voldoen. SSL.com biedt verschillende krachtige opties om ervoor te zorgen dat uw certificaten up-to-date zijn:

  • Herinneringen voor vervaldatum: SSL.com biedt configureerbare mededelingen om u eraan te herinneren wanneer het tijd is om een ​​certificaat te verlengen. Dit is een geweldige optie voor organisaties met een klein aantal certificaten, of in situaties waarin automatisering onhandig of onmogelijk is vanwege technische beperkingen.
    Vervalherinneringen
  • Scripting en automatisering: Organisaties kunnen aangepaste scripts maken door gebruik te maken van SSL.com's RESTful SWS-API of de industriestandaard ACME-protocol SSL automatiseren /TLS certificaat vernieuwing, waardoor er geen herinneringen meer nodig zijn. Automatisering is vooral belangrijk als een organisatie een groot aantal servers en certificaten moet onderhouden.

Conclusie

We hopen dat dit bericht u heeft geholpen te begrijpen hoe digitale certificaten een onderdeel kunnen zijn van het plan van uw organisatie voor HIPAA-compliance, en hoe de geavanceerde beheertools van SSL.com u kunnen helpen ervoor te zorgen dat uw organisatie beschermd en up-to-date is.

Heeft u vragen over het aanschaffen van certificaten voor uw organisatie speciaal voor bulkuitgifte van S/MIME Neem contact op met het zakelijke verkoopteam van SSL.com via het onderstaande formulier. U kunt ook contact opnemen met SSL.com-ondersteuning via e-mail op Support@SSL.com, telefonisch op 1-877-SSL-SECURE, of door op de chatlink rechtsonder op deze pagina te klikken.

En, zoals altijd, bedankt voor uw bezoek aan SSL.com, waarvan wij denken dat een veiliger internet is een beter internetten!

Neem contact op met SSL.com Enterprise Sales

Abonneer u op de nieuwsbrief van SSL.com

Mis geen nieuwe artikelen en updates van SSL.com

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.