HIPAA en het IoT
Het internet der dingen (IoT) groeit exponentieel, en sommige rapporten voorspellen dat het verder reikt 38 miljard apparaten in 2020. Met meer en meer verhalen Door de opkomst van gehackte apparaten, wordt de noodzaak om het internet der dingen te beveiligen urgenter, vooral voor fabrikanten van medische apparatuur die HIPAA in gedachten hebben.
De Amerikaanse Health Insurance Portability and Accountability Act, of HIPAA, is geen grap. HIPAA beschermt de veiligheid en privacy van de elektronische beschermde gezondheidsinformatie van patiënten (PHI of ePHI) en wordt gehandhaafd door het Office for Civil Rights (OCR) van het Amerikaanse ministerie van Volksgezondheid en Human Services (DHS). Als u op zoek bent naar digitale certificaten voor HIPAA-compatibele communicatie, Bekijk hier ons artikel.
HIPAA vereist dat zorgverleners PHI beschermen tijdens het transport of in rust, en het nalaten hiervan kan resulteren in hoge boetes. Boetes voor HIPAA-overtredingen kan variëren van $ 100 tot $ 50,000 per overtreding, met een maximale boete van $ 1.5 miljoen per jaar. In 2019 leidden 418 inbreuken tot het compromis van de PHI van 34.9 miljoen Amerikanen.
Nu stappen ondernemen om patiëntinformatie te beveiligen en HIPAA-compliant te blijven, is zeker de juiste zet. In 2019 zorgden inbreuken op de netwerkserver ervoor dat 30.6 miljoen informatie van individuen werd gecompromitteerd. In 2018 werd de netwerkserver van de American Medical Collection Agency (AMCA) gehackt, waardoor 22 miljoen patiënten hun gegevens gecompromitteerd. De financiële repercussies en het verlies van zaken leidden ertoe dat AMCA een faillissement van Chapter 11 aanvraagde.
Vereisten voor HIPAA-informatieoverdracht
HIPAA stelt het volgende over de beveiliging van informatieoverdracht:
164.312 (e) (1): Standaard: transmissiebeveiliging. Implementeer technische veiligheidsmaatregelen om te beschermen tegen ongeoorloofde toegang tot elektronische beschermde gezondheidsinformatie die wordt verzonden via een elektronisch communicatienetwerk.
Omdat HIPAA bedoeld was om toekomstbestendig te zijn, laat het deze richtlijn open. Om u te beschermen tegen mogelijk kostbare schendingen, moeten er in principe protocollen zijn om de informatie te beschermen die via een elektronisch communicatienetwerk wordt verzonden.
Voor een organisatie betekent dit dat alle apparaten die gegevens over een netwerk verzenden, met name apparaten die dit buiten de firewall van een bedrijf doen, een mechanisme voor authenticatie en codering moeten implementeren. SSL /TLS kan dit regelen via een enkele reis of wederzijdse authenticatie.
SSL.com biedt een breed scala aan SSL /TLS server certificaten voor HTTPS-websites, waaronder:
SSL /TLS voor HIPAA-compatibele IoT
De SSL /TLS protocol gebruikt asymmetrische encryptie om gegevens te beveiligen die worden gedeeld tussen twee computers op internet. Bovendien SSL /TLS zorgt ervoor dat de identiteiten van de server en / of client worden gevalideerd. In het meest voorkomende scenario, waarbij eenrichtingsverificatie wordt gebruikt, voorziet een HTTPS-server de browser van een bezoeker van een certificaat dat digitaal is ondertekend door een openbaar vertrouwde certificeringsinstantie (CA) zoals SSL.com.
De wiskunde achter SSL /TLS Zorg ervoor dat de digitaal ondertekende certificaten van een CA praktisch onmogelijk te vervalsen zijn, gezien de sleutelgrootte die groot genoeg is. Openbare CA's verifiëren de identiteit van aanvragers voordat ze certificaten uitgeven. Ze worden ook onderworpen aan strenge audits door leveranciers van besturingssystemen en webbrowsers om te worden geaccepteerd en onderhouden in trustwinkels (lijsten met vertrouwde rootcertificaten geïnstalleerd met browser en OS-software).
SSL en authenticerende clients
Voor de meeste toepassingen is SSL /TLS maakt gebruik van eenrichtingsverificatie van een server naar een klant; een anonieme client (de webbrowser) onderhandelt over een gecodeerde sessie met een webserver, die een openbaar vertrouwde SSL /TLS certificaat om zichzelf te identificeren tijdens de SSL /TLS handdruk.
Hoewel eenrichtingsverificatie volkomen acceptabel is voor de meeste webbrowsers, is het nog steeds kwetsbaar voor aanvallen met inloggegevens, zoals phishing, waarbij aanvallers zich richten op inloggegevens zoals gebruikersnamen en wachtwoorden. Phishing-aanvallen verantwoordelijk voor 22% van de datalekken, aldus een rapport van Verizon. Voor extra bescherming kunt u kiezen voor wederzijdse authenticatie. Bij wederzijdse authenticatie, zodra de server is geauthenticeerd tijdens de handshake, zal deze een CertificateRequest
bericht aan de klant. De klant zal reageren door een certificaat naar de server te sturen voor authenticatie. Met beide zijden geauthenticeerd met PKIis wederzijdse authenticatie veel veiliger dan traditionele wachtwoordgerichte methoden.
Wederzijdse authenticatie en IoT
Voor fabrikanten van medische hulpmiddelen is wederzijdse authenticatie van servers en apparaten wellicht de beste optie, om niets aan het toeval over te laten met de identiteit van cliënt en server. Als een slim medisch apparaat bijvoorbeeld eenmaal met internet is verbonden, kan een fabrikant het leuk vinden om gegevens van en naar de servers van het bedrijf te verzenden en te ontvangen, zodat gebruikers toegang hebben tot informatie. Om deze veilige overdracht van informatie te vergemakkelijken, zou de fabrikant het volgende kunnen overwegen:
- Verzend elk apparaat met een uniek cryptografisch sleutelpaar en clientcertificaat. Omdat alle communicatie tussen het apparaat en de servers van het bedrijf verloopt, kunnen deze certificaten privé worden vertrouwd, wat extra flexibiliteit biedt voor beleid zoals de levensduur van certificaten.
- Geef een unieke apparaatcode op (zoals een serienummer of QR-code) die de gebruiker kan scannen of voer deze in in zijn gebruikersaccount op de webportal of smartphone-app van de fabrikant om het apparaat aan zijn account te koppelen.
- Zodra het apparaat is verbonden met internet via het Wi-Fi-netwerk van de gebruiker, wordt er een onderlinge verbinding geopend TLS verbinding met de server van de fabrikant. De server verifieert zichzelf bij het apparaat en vraagt het clientcertificaat van het apparaat aan, dat is gekoppeld aan de unieke code die de gebruiker in zijn account heeft ingevoerd.
De twee partijen bij de verbinding zijn nu wederzijds geverifieerd en kunnen berichten heen en weer sturen met SSL /TLS versleuteling via protocollen op toepassingslaag, zoals HTTPS en MQTT. De gebruiker heeft toegang tot de gegevens van het apparaat of kan de instellingen wijzigen met zijn webportaalaccount of smartphone-app. Er zijn nooit niet-geverifieerde of duidelijke tekstberichten tussen de twee apparaten nodig.
Laatste woord
Laat u niet in de open lucht betrappen. Als u geïnteresseerd bent in de aangepaste IoT-oplossingen van SSL.com, vul dan het onderstaande formulier in voor meer informatie.