HIPAA-kompatible IoT-løsninger

Når IoT vokser, øker også trusler mot sikkerhet. Produsenter av medisinsk utstyr kan ikke slappe av - her kan du være trygg og i samsvar med HIPAA.

Relatert innhold

Vil du fortsette å lære?

Abonner på SSL.coms nyhetsbrev, hold deg informert og sikker.

HIPAA og IoT

Internet of Things (IoT) vokser eksponentielt, med noen rapporter som forutsier at det når over 38 milliarder enheter i 2020. Med mer og flere historier dukker opp hackede enheter som kommer ut, blir behovet for å sikre tingenes internett stadig mer presserende, mer for produsenter av medisinsk utstyr med HIPAA i tankene.

US Health Insurance Portability and Accountability Act, eller HIPAA, er ingen vits. HIPAA beskytter sikkerheten og personvernet til pasientenes elektroniske beskyttede helseinformasjon (PHI eller ePHI), og håndheves av Office for Civil Rights (OCR) ved US Department of Health and Human Services (DHS). Hvis du leter etter digitale sertifikater for HIPAA-kompatibel kommunikasjon, sjekk ut artikkelen vår her.

HIPAA krever at helsepersonell beskytter PHI under transport eller i hvile, og unnlatelse av å gjøre det kan føre til tunge bøter. Bøter for HIPAA-brudd kan variere fra $ 100 til $ 50,000 1.5 per brudd, med en maksimumsstraff på $ 2019 millioner per år. I 418 førte 34.9 brudd på kompromisset mellom XNUMX millioner amerikanernes PHI. 

Å ta skritt nå for å sikre pasientinformasjon og holde seg HIPAA-kompatibel er absolutt det riktige trekket. I 2019 utgjorde brudd på nettverksserver at 30.6 millioner enkeltpersoner ble kompromittert. I 2018 ble American Medical Collection Agency (AMCA) sin nettverksserver hacket, noe som førte til at 22 millioner pasienter hadde sine data kompromittert. De økonomiske konsekvensene og tap av virksomhet førte til at AMCA arkiverte kapittel 11 Konkurs. 

 

HIPAA Krav til overføring av informasjon

HIPAA uttaler følgende angående sikkerhetsinformasjon for overføring av informasjon:

164.312 (e) (1): Standard: Overføringssikkerhet. Implementere tekniske sikkerhetstiltak for å beskytte mot uautorisert tilgang til elektronisk beskyttet helseinformasjon som overføres over et elektronisk kommunikasjonsnett.

Fordi HIPAA var ment å være fremtidssikret, etterlater det dette direktivet åpent. I utgangspunktet, for å beskytte mot potensielt kostbare brudd, må det være protokoller for å beskytte informasjonen som overføres via et elektronisk kommunikasjonsnettverk.

For en organisasjon betyr dette at alle enheter som overfører data over et nettverk, spesielt de som gjør det utenfor en firmabrannmur, må implementere en mekanisme for autentisering og kryptering. SSL /TLS kan ta seg av dette gjennom enveis eller gjensidig autentisering

SSL /TLS for HIPAA-kompatibel IoT

SSL /TLS protokoll bruker asymmetrisk kryptering for å sikre data som deles mellom to datamaskiner på Internett. I tillegg er SSL /TLS sørger for at identiteten til serveren og / eller klienten er validert. I det vanligste scenariet, ved bruk av enveisgodkjenning, gir en HTTPS-server en besøkendes nettleser et sertifikat som er signert digitalt av en offentlig klarert Certificate Authority (CA) som SSL.com. 

Matematikken bak SSL /TLS sørge for at en CAs digitalt signerte sertifikater er praktisk talt umulige å forfalske gitt en stor nok nøkkelstørrelse. Offentlige sertifiseringsmyndigheter verifiserer søkernes identitet før de utsteder sertifikater. De er også gjenstand for grundige revisjoner av operativsystem- og nettleserleverandører for å bli akseptert og vedlikeholdt i tillitsbutikker (lister over klarerte rotsertifikater installert med nettleser og OS-programvare).

SSL og autentiserende klienter

For de fleste applikasjoner, SSL /TLS bruker enveis autentisering av en server til en klient; en anonym klient (nettleseren) forhandler om en kryptert økt med en webserver, som presenterer en offentlig klarert SSL /TLS sertifikat for å identifisere seg selv under SSL /TLS håndtrykk. 

Selv om enveisgodkjenning er helt akseptabelt for de fleste nettlesinger, er den fremdeles sårbar for legitimasjonstyveriangrep som phishing der angripere retter seg mot påloggingsinformasjon som brukernavn og passord. Phishing-angrep står for 22% av datainnbrudd, ifølge en rapport fra Verizon. For ytterligere beskyttelse kan du velge gjensidig autentisering. Når serveren er godkjent under håndtrykk, vil den i gjensidig godkjenning sende en CertificateRequest melding til klienten. Klienten vil svare ved å sende et sertifikat til serveren for autentisering. Med begge sider autentisert med PKI, gjensidig autentisering er så mye sikrere enn tradisjonelle passord-sentriske metoder.

Gjensidig autentisering og IoT

For produsenter av medisinsk utstyr kan gjensidig godkjenning av servere og enheter være det beste alternativet, for ikke å overlate noe til tilfeldighetene med identiteten til klienten og serveren. For eksempel, når en smart medisinsk enhet er koblet til internett, kan en produsent kanskje like den til å sende og motta data til og fra selskapets servere, slik at brukerne kan få tilgang til informasjon. For å lette denne sikre overføringen av informasjon, kan produsenten vurdere følgende:

  • Send hver enhet med et unikt kryptografisk nøkkelpar og klientsertifikat. Fordi all kommunikasjon vil være mellom enheten og selskapets servere, kan disse sertifikatene være privat klarert, noe som gir ekstra fleksibilitet for policyer som sertifikatets levetid.
  • Gi en unik enhetskode (for eksempel et serienummer eller QR-kode) som brukeren kan skanne eller legge inn på brukerkontoen sin på produsentens nettportal eller smarttelefonapp for å knytte enheten til kontoen sin.
  • Når enheten er koblet til internett via brukerens Wi-Fi-nettverk, vil den åpne en gjensidig TLS forbindelse med produsentens server. Serveren autentiserer seg mot enheten og ber om enhetens klientsertifikat, som er knyttet til den unike koden som brukeren har angitt i kontoen.

De to partene i forbindelsen er nå gjensidig godkjent og kan sende meldinger frem og tilbake med SSL /TLS kryptering over applikasjonslagsprotokoller som HTTPS og MQTT. Brukeren kan få tilgang til data fra enheten eller gjøre endringer i innstillingene med sin webportalkonto eller smarttelefonapp. Det er aldri behov for uautentiserte eller klare tekstmeldinger mellom de to enhetene.

Siste ord

Ikke bli fanget ute i det fri. Hvis du er interessert i SSL.coms tilpassede IoT-løsninger, fyll ut skjemaet nedenfor for å få mer informasjon.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.