HIPAA og IoT
Internet of Things (IoT) vokser eksponentielt, med noen rapporter som forutsier at det når over 38 milliarder enheter i 2020. Med mer og flere historier dukker opp hackede enheter som kommer ut, blir behovet for å sikre tingenes internett stadig mer presserende, mer for produsenter av medisinsk utstyr med HIPAA i tankene.
US Health Insurance Portability and Accountability Act, eller HIPAA, er ingen vits. HIPAA beskytter sikkerheten og personvernet til pasientenes elektroniske beskyttede helseinformasjon (PHI eller ePHI), og håndheves av Office for Civil Rights (OCR) ved US Department of Health and Human Services (DHS). Hvis du leter etter digitale sertifikater for HIPAA-kompatibel kommunikasjon, sjekk ut artikkelen vår her.
HIPAA krever at helsepersonell beskytter PHI under transport eller i hvile, og unnlatelse av å gjøre det kan føre til tunge bøter. Bøter for HIPAA-brudd kan variere fra $ 100 til $ 50,000 1.5 per brudd, med en maksimumsstraff på $ 2019 millioner per år. I 418 førte 34.9 brudd på kompromisset mellom XNUMX millioner amerikanernes PHI.
Å ta skritt nå for å sikre pasientinformasjon og holde seg HIPAA-kompatibel er absolutt det riktige trekket. I 2019 utgjorde brudd på nettverksserver at 30.6 millioner enkeltpersoner ble kompromittert. I 2018 ble American Medical Collection Agency (AMCA) sin nettverksserver hacket, noe som førte til at 22 millioner pasienter hadde sine data kompromittert. De økonomiske konsekvensene og tap av virksomhet førte til at AMCA arkiverte kapittel 11 Konkurs.
HIPAA Krav til overføring av informasjon
HIPAA uttaler følgende angående sikkerhetsinformasjon for overføring av informasjon:
164.312 (e) (1): Standard: Overføringssikkerhet. Implementere tekniske sikkerhetstiltak for å beskytte mot uautorisert tilgang til elektronisk beskyttet helseinformasjon som overføres over et elektronisk kommunikasjonsnett.
Fordi HIPAA var ment å være fremtidssikret, etterlater det dette direktivet åpent. I utgangspunktet, for å beskytte mot potensielt kostbare brudd, må det være protokoller for å beskytte informasjonen som overføres via et elektronisk kommunikasjonsnettverk.
For en organisasjon betyr dette at alle enheter som overfører data over et nettverk, spesielt de som gjør det utenfor en firmabrannmur, må implementere en mekanisme for autentisering og kryptering. SSL /TLS kan ta seg av dette gjennom enveis eller gjensidig autentisering.
SSL.com tilbyr et bredt utvalg av SSL /TLS serversertifikater for HTTPS nettsteder, inkludert:
SSL /TLS for HIPAA-kompatibel IoT
SSL /TLS protokoll bruker asymmetrisk kryptering for å sikre data som deles mellom to datamaskiner på Internett. I tillegg er SSL /TLS sørger for at identiteten til serveren og / eller klienten er validert. I det vanligste scenariet, ved bruk av enveisgodkjenning, gir en HTTPS-server en besøkendes nettleser et sertifikat som er signert digitalt av en offentlig klarert Certificate Authority (CA) som SSL.com.
Matematikken bak SSL /TLS sørge for at en CAs digitalt signerte sertifikater er praktisk talt umulige å forfalske gitt en stor nok nøkkelstørrelse. Offentlige sertifiseringsmyndigheter verifiserer søkernes identitet før de utsteder sertifikater. De er også gjenstand for grundige revisjoner av operativsystem- og nettleserleverandører for å bli akseptert og vedlikeholdt i tillitsbutikker (lister over klarerte rotsertifikater installert med nettleser og OS-programvare).
SSL og autentiserende klienter
For de fleste applikasjoner, SSL /TLS bruker enveis autentisering av en server til en klient; en anonym klient (nettleseren) forhandler om en kryptert økt med en webserver, som presenterer en offentlig klarert SSL /TLS sertifikat for å identifisere seg selv under SSL /TLS håndtrykk.
Selv om enveisgodkjenning er helt akseptabelt for de fleste nettlesinger, er den fremdeles sårbar for legitimasjonstyveriangrep som phishing der angripere retter seg mot påloggingsinformasjon som brukernavn og passord. Phishing-angrep står for 22% av datainnbrudd, ifølge en rapport fra Verizon. For ytterligere beskyttelse kan du velge gjensidig autentisering. Når serveren er godkjent under håndtrykk, vil den i gjensidig godkjenning sende en CertificateRequest
melding til klienten. Klienten vil svare ved å sende et sertifikat til serveren for autentisering. Med begge sider autentisert med PKI, gjensidig autentisering er så mye sikrere enn tradisjonelle passord-sentriske metoder.
Gjensidig autentisering og IoT
For produsenter av medisinsk utstyr kan gjensidig godkjenning av servere og enheter være det beste alternativet, for ikke å overlate noe til tilfeldighetene med identiteten til klienten og serveren. For eksempel, når en smart medisinsk enhet er koblet til internett, kan en produsent kanskje like den til å sende og motta data til og fra selskapets servere, slik at brukerne kan få tilgang til informasjon. For å lette denne sikre overføringen av informasjon, kan produsenten vurdere følgende:
- Send hver enhet med et unikt kryptografisk nøkkelpar og klientsertifikat. Fordi all kommunikasjon vil være mellom enheten og selskapets servere, kan disse sertifikatene være privat klarert, noe som gir ekstra fleksibilitet for policyer som sertifikatets levetid.
- Gi en unik enhetskode (for eksempel et serienummer eller QR-kode) som brukeren kan skanne eller legge inn på brukerkontoen sin på produsentens nettportal eller smarttelefonapp for å knytte enheten til kontoen sin.
- Når enheten er koblet til internett via brukerens Wi-Fi-nettverk, vil den åpne en gjensidig TLS forbindelse med produsentens server. Serveren autentiserer seg mot enheten og ber om enhetens klientsertifikat, som er knyttet til den unike koden som brukeren har angitt i kontoen.
De to partene i forbindelsen er nå gjensidig godkjent og kan sende meldinger frem og tilbake med SSL /TLS kryptering over applikasjonslagsprotokoller som HTTPS og MQTT. Brukeren kan få tilgang til data fra enheten eller gjøre endringer i innstillingene med sin webportalkonto eller smarttelefonapp. Det er aldri behov for uautentiserte eller klare tekstmeldinger mellom de to enhetene.
Siste ord
Ikke bli fanget ute i det fri. Hvis du er interessert i SSL.coms tilpassede IoT-løsninger, fyll ut skjemaet nedenfor for å få mer informasjon.