Digitale sertifikater for HIPAA-kompatibel kommunikasjon

Digitale sertifikater fra SSL.com kan være en viktig del av helseorganisasjonens planer for HIPAA-kompatibel e-post, autentisering og nettsteder.

HIPAA Brudd og straffer

US Health Insurance Portability and Accountability Act (HIPAA), opprinnelig vedtatt i 1996, beskytter sikkerheten og personvernet til pasientenes elektroniske beskyttede helseinformasjon (også kjent som PHI eller ePHI). HIPAA-overholdelse håndheves av Office for Civil Rights (OCR) ved US Department of Health and Human Services (DHS).

Under HIPAA er helsepersonell tiltalt for å beskytte PHI under transport eller i hvile, og bøter for datainnbrudd kan være betydelige. Leger Praksis rapporter at 34.9 millioner amerikanere (omtrent 10% av den amerikanske befolkningen!) hadde brutt sin PHI i 2019, som stammer fra 418 rapporterte HIPAA-brudd. 39% av disse bruddene involverte e-post, og 20% ​​involverte nettverksservere.
 

For 2020, juridisk journalist Steve Alder rapporter på HIPAA Journal at 642 storstilt databrudd ble rapportert av helseinstitusjoner, inkludert helsepersonell og helsetjenester. Denne statistikken er 25% større sammenlignet med 2019 som i seg selv allerede var et rekordår. 

Sammenlignet med år 2020 har brudd på helsetjenester blitt tredoblet siden 2010, og doblet seg siden 2014. Det har derfor vært en 25% årlig økning av databrudd. Totalt sett er det svimlende 78 millioner helsejournaler mellom 2009-2020. 

Med bøter fra $ 100 til $ 50,000 1.5 per brudd, og en maksimumsstraff på $ XNUMX millioner per år for brudd på en HIPAA-bestemmelse, har ingen helsepersonell råd til å være uaktsomme med å beskytte kundenes PHI.
 

Viktigste årsaker til brudd på helsedata i 2020

De fem hovedårsaker av helsedatabrudd i 2020 var identifisert: hacking/IT -hendelse (26.9 millioner registreringer brutt), uautorisert tilgang/avsløring (787,015 rekordbrudd), tyveri (806,552 rekordbrudd), feil kassering (584,980 rekordbrudd) og tap (169,509 registreringer brutt). 

Det er tydelig at cybersikkerhetsangrep utgjorde den største årsaken til at helsedata ble stjålet. Cyberangrepene inkluderte altfor vanlig phishing, sending av skadelig programvare, utnyttelse av sårbarheter og ransomware.

I de siste månedene av 2020 økte forekomsten av ransomware betydelig. Sjekkpunkt rapportert at helsevesenet var den mest målrettede bransjen, av ransomware -angripere, i oktober 2020. Ryuk ransomware -gjengen var en av de mest beryktede den måneden. De tok ut datasystemene til Sky Lakes Medical Center og tvang klinikere til å ty til håndskrift for å dokumentere pasientinformasjon. De angrep også University of Vermont Health Network der opptil 20 medisinske fasiliteter ble utsatt for ofre. 

Det er også teoretisert at Ryuk var ansvarlig for ransomware -angrepet mot Universal Health Services (UHS) som har 400 sykehus i USA og årlig henvender seg til millioner av pasienter. UHS er anslått å ha mistet 67 millioner dollar for skader inkludert tapte inntekter på grunn av at ambulanser ble omdirigert til andre sykehus, mer enn 2 måneders forsinkelse i faktureringsprosedyrer og gigantiske utgifter til å fikse systemene sine.  

Mellom oktober og september 2020 ble det observert en alarmerende økning på 71% i ransomware -angrep. Ransomware -saker i 2020 omfattet flere av de mest skadelige cyberangrepene som skjedde mot helseorganisasjoner det året. I mange av disse angrepene ble systemer mørklagt i mange uker, og som et resultat ble pasienttjenestene hardt påvirket. 

Digitale sertifikater for informasjonsbeskyttelse og autentisering

HIPAAs avsnitt om tekniske garantier gjør det klart at pasienters PHI må beskyttes av helsepersonell når de overføres via et datanettverk eller i ro. Relevante forskrifter inkluderer (men er ikke begrenset til):

164.312 (a) (2) (iv): Kryptering og dekryptering (adresserbar). Implementere en mekanisme for å kryptere og dekryptere elektronisk beskyttet helseinformasjon.

164.312 (c) (1): Standard: Integritet. Implementere retningslinjer og prosedyrer for å beskytte elektronisk beskyttet helseinformasjon mot feil endring eller ødeleggelse.

164.312 (d): Standard: Person- eller enhetsautentisering. Implementere prosedyrer for å verifisere at det er en person eller enhet som ønsker tilgang til elektronisk beskyttet helseinformasjon.

164.312 (e) (1): Standard: Overføringssikkerhet. Implementere tekniske sikkerhetstiltak for å beskytte mot uautorisert tilgang til elektronisk beskyttet helseinformasjon som overføres over et elektronisk kommunikasjonsnett.

Fordi det var ment å være "fremtidssikkert", stavet ikke HIPAA de nøyaktige teknologiene som må brukes for å beskytte PHI. I dag tilbyr digitale sertifikater som tilbys av offentlig pålitelige sertifikatmyndigheter (CAer), som SSL.com, en flott løsning for å sikre kryptering, autentisering og integritet av digital kommunikasjon.

Vi vil dekke tre viktige applikasjoner av digitale sertifikater for HIPAA-kompatibel kommunikasjon her: S/MIME sertifikater for sikker e-post, sertifikatbasert klientautentisering og SSL /TLS sertifikater for å beskytte nettsteder og webapplikasjoner. Vi vil også diskutere hvordan SSL.coms avanserte sertifikatadministrasjonsverktøy kan hjelpe deg med å planlegge og opprettholde dekning for hele organisasjonen din og holde sertifikatene dine oppdatert.

Gå til toppen

S/MIME E-post og klientgodkjenning for HIPAA-samsvar

E-post har vært i bruk for kommunikasjon over datanettverk siden tidlig på 1970-tallet, og er usikker som standard. E-post er basert på klartekstprotokoller, gir ingen måte å sikre integriteten til meldinger og inneholder ingen mekanisme for robust autentisering. S/MIME (Sikker / flerbruksutvidelser for Internett-post) sertifikater fra SSL.com kan løse disse problemene ved å sikre kryptering, autentisering og integritet for organisasjonens e-post:

  • kryptering: S/MIME gir robust end-to-end-kryptering slik at meldinger ikke kan avlyttes og leses under transport. For eksempel, S/MIME kan beskytte meldinger sendt over internett, mellom kontorer eller organisasjoner og utenfor firmaets brannmurer.
    • S/MIME kryptering er aysmmetrisk, med begge offentlige og private nøkler. Alle som har en mottaker offentlig nøkkel kan sende dem en kryptert melding, men bare en person i posisjon av den tilsvarende privat nøkkel kan dekryptere og lese den. Derfor er det trygt å distribuere offentlige nøkler både innenfor og utenfor en organisasjon, mens private nøkler må holdes sikre.
  • Autentisering: hver enkelt S/MIME e-postmeldingen signeres med en unik privat nøkkel tilknyttet e-postadressen (og eventuelt den enkelte person og / eller organisasjon) som sendte den. Fordi avsenderens identitet er bekreftet av en pålitelig tredjeparts CA - for eksempel SSL.com - og bundet til denne hemmelige nøkkelen, er mottakerne sikre på den sanne identiteten til avsenderen.
  • Integritet: Hver signert S/MIME e-postmeldingen inneholder en krypt hash (en type digitalt "fingeravtrykk" eller sjekksum) av meldingens innhold som kan beregnes uavhengig og bekreftes av mottakerens e-postprogramvare. Hvis en melding på en eller annen måte blir fanget opp og endret (selv med ett tegn), vil den beregnede hashverdien ikke stemme overens med den digitale signaturen. Dette betyr at mottakere av digitalt signert e-post kan være sikre på meldingens integritet.

Videre, fordi en pålitelig digital signatur sikrer ektheten og integriteten til e-post, S/MIME gir lovlig ikke-avvisning for e-postmeldinger; det er vanskelig for en avsender å sannsynligvis benekte at de sendte den nøyaktige meldingen.

HIPAA-overholdelse for e-post i transitt og i hvile

S/MIME sertifikater fra SSL.com kan gi HIPAA-samsvar for organisasjonens e-post under transport eller i hvile:

  • Under transport: Integriteten og ektheten til S/MIME e-post er sikret av en unik, pålitelig digital signatur. End-to-end-kryptering sikrer at meldinger ikke kan leses av en tredjepart når de overføres over usikre nettverk (for eksempel internett).
  • I ro: S/MIME kryptering sikrer at bare noen som har mottakerens private nøkkel kan dekryptere og lese meldinger kryptert med den offentlige nøkkelen. Kryptert e-post stjålet i brudd på data eller på annen måte kompromittert er ubrukelig for angripere uten tilgang til disse nøklene.

Klientautentisering

Alle S/MIME sertifikater utstedt av SSL.com inkluderer klientautentisering. Klientautentiseringssertifikater kan brukes som en autentiseringsfaktor for tilgang til beskyttede nettverksressurser, for eksempel VPN og webapplikasjoner der pasientens PHI håndteres. Derfor, S/MIME og klientsertifikater fra SSL.com kan distribueres til personell som en samlet løsning for:

  • Autentisering for tilgang til beskyttet helseinformasjon.
  • Kryptering, autentisering og integritet av e-post under transport eller i hvile.
For mer informasjon om bruk av klientsertifikater med webapplikasjoner, kan du lese SSL.coms veiledning, Konfigurere klientautentiseringssertifikater i nettlesere.

Bulk S/MIME Påmelding av sertifikater

Ved hjelp av S/MIME sertifikater for HIPAA-samsvar krever en plan for utstedelse av sertifikater til alt personell som jobber med PHI og administrerer disse sertifikatene over tid. Ansatte kommer og går, sertifikater utløper, og sertifikater må kanskje være opphevet av forskjellige grunner, inkludert kompromiss med private nøkler.

Helsepersonell kan enkelt utstedelse S/MIME sertifikater i bulk fra SSL.coms avanserte kundekontoportal. Disse sertifikatene kan administreres, fornyes og tilbakekalles etter behov.

Angi e-postadresser

Organisasjoner som krever et stort antall sertifikater, kan også ha fordel av engrosrabatter på opptil 65% ved å delta i SSL.com Program for forhandler og voluminnkjøp.

SSL /TLS for nettstedssikkerhet

I 2021, alle nettsteder bør beskyttes med en SSL /TLS sertifikat og bruk HTTPS-protokoll, men det er et absolutt must for ethvert nettsted eller webapplikasjon som kreves for å være HIPAA-kompatibel. I likhet med S/MIME for e-post, SSL /TLS protokollen gir kryptering, ekthet og integritet for nettsteder:

  • All kommunikasjon mellom et nettsted beskyttet med en riktig konfigurert SSL /TLS sertifikat og en nettleser er sikkert kryptert.
  • De identitet på et HTTPS-nettsted som presenterer et gyldig sertifikat signert av en offentlig klarert CA, vil bli akseptert av nettlesere og gjort tilgjengelig for brukere.
    • Avhengig av valideringsnivå valgt av eieren, et nettsteds SSL /TLS sertifikatet kan ganske enkelt indikere at en CA har bekreftet kontrollen av et nettsted av sertifikatsøkeren, eller det kan inneholde detaljert informasjon om enheten som driver nettstedet, for eksempel et selskap eller en annen organisasjon.
    • For maksimal tillit kan helseorganisasjoner ønske å investere i Høy forsikring (OV) or Extended Validation (EV) sertifikater, og gir bevis på identitet til brukerne.
  • Dokumenter - for eksempel websider - fra et HTTPS-nettsted beskyttet av en SSL /TLS sertifikat har sine integritet garantert av en kryptert hash inkludert i den digitale signaturen, som beregnes uavhengig av nettleseren før den stoler på dokumentet. Dataene kan ikke fanges opp og endres av en ondsinnet tredjepart mens de er i ferd uten at nettleseren oppdager feilen og advarer brukeren.
SSL /TLS konfigurasjon er et komplekst emne, og det er mange potensielle fallgruver når du setter opp et nettsted for HTTPS. Vennligst les SSL.coms guide til SSL /TLS beste praksis for mye mer informasjon.

Utløpspåminnelser og automatisering

Alle sertifikater har en utløpsdato, og deretter vil de ikke stole på av klientprogramvare. For offentlig pålitelig SSL /TLS, er den maksimale sertifikatets levetid for øyeblikket 398 dager. Hvis du lar et nettsteds SSL /TLS sertifikatet utløper, vil nettlesere ikke lenger stole på det:

Feilmelding om utløpt sertifikat

Det kan være vanskelig å holde oversikt over utløpte sertifikater og holde dem oppdatert, og gjeldende sertifikater er avgjørende for å opprettholde sikre, HIPAA-kompatible nettsteder. SSL.com tilbyr flere kraftige alternativer for å sikre at sertifikatene dine er oppdatert:

  • Utløpspåminnelser: SSL.com gir konfigurerbare merknader for å minne deg på når det er på tide at et sertifikat fornyes. Dette er et flott alternativ for organisasjoner med et lite antall sertifikater, eller i situasjoner der automatisering er ubeleilig eller umulig på grunn av tekniske begrensninger.
    Utløpspåminnelser
  • Skripting og automatisering: Organisasjoner kan lage egendefinerte skript som bruker SSL.coms RESTful SWS API eller industristandarden ACME-protokoll å automatisere SSL /TLS sertifikatfornyelse, noe som eliminerer behovet for påminnelser. Automatisering er spesielt viktig hvis en organisasjon har et stort antall servere og sertifikater å vedlikeholde.

SSL.com tilbyr et bredt utvalg av SSL /TLS serversertifikater for HTTPS nettsteder, inkludert:

SAMMENLIGN SSL /TLS SERTIFIKATER

konklusjonen

Vi håper dette innlegget har hjulpet deg med å forstå hvordan digitale sertifikater kan være en del av organisasjonens plan for HIPAA-samsvar, og hvordan SSL.coms avanserte administrasjonsverktøy kan hjelpe deg med å sikre at organisasjonen din er beskyttet og oppdatert.

Hvis du har spørsmål om kjøp av sertifikater for din organisasjon, spesielt for masseutstedelse av S/MIME Sertifikater, vennligst kontakt SSL.coms bedriftssalgsteam via skjemaet nedenfor. Du kan også kontakte SSL.com-støtte via e-post på Support@SSL.com, på telefon kl 1-877-SSL-SECURE, eller ved å klikke chat-lenken nederst til høyre på denne siden.

Og som alltid, takk for at du besøkte SSL.com, der vi tror a sikrere Internett er en bedre internett!

Kontakt SSL.com Enterprise Sales

SSL.com Support Team

Forfatter - innholdsadministrator
Alle innlegg

Relaterte blogginnlegg

Vis alle blogginnlegg
Facebook Linkedin Twitter Youtube Github

Hva er SSL /TLS?

Spill av video

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.

Ta undersøkelsen