Rozwiązania IoT zgodne z ustawą HIPAA

HIPAA i IoT

Internet rzeczy (IoT) rozwija się wykładniczo, a niektóre raporty przewidują, że się skończy 38 miliardów urządzeń w 2020 roku. Z więcej i więcej opowieści Pojawia się liczba zhakowanych urządzeń, potrzeba zabezpieczenia Internetu rzeczy staje się coraz pilniejsza, szczególnie w przypadku producentów urządzeń medycznych, którzy myślą o ustawie HIPAA.

Amerykańska ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) nie jest żartem. Ustawa HIPAA chroni bezpieczeństwo i prywatność elektronicznych chronionych informacji zdrowotnych pacjentów (PHI lub ePHI) i jest egzekwowana przez Biuro Praw Obywatelskich (OCR) Departamentu Zdrowia i Opieki Społecznej Stanów Zjednoczonych (DHS). Jeśli szukasz cyfrowych certyfikatów do komunikacji zgodnej z HIPAA, sprawdź nasz artykuł tutaj.

HIPAA wymaga, aby pracownicy służby zdrowia chronili PHI podczas transportu lub odpoczynku, a zaniechanie tego może skutkować wysokimi grzywnami. Kary za naruszenia HIPAA może wynosić od 100 do 50,000 1.5 USD za każde naruszenie, a maksymalna kara w wysokości 2019 mln USD rocznie. W 418 roku 34.9 naruszeń doprowadziło do kompromitacji XNUMX miliona PHI Amerykanów. 

Podjęcie kroków w celu zabezpieczenia informacji o pacjencie i zachowania zgodności z ustawą HIPAA jest z pewnością właściwym posunięciem. W 2019 roku włamania do serwerów sieciowych spowodowały, że 30.6 miliona osób zostało naruszonych. W 2018 roku zhakowano serwer sieciowy American Medical Collection Agency (AMCA), w wyniku czego 22 miliony pacjentów dane zostały naruszone. Skutki finansowe i utrata działalności doprowadziły do ​​złożenia przez AMCA wniosku o ogłoszenie upadłości na podstawie rozdziału 11. 

Przejdź do góry

 

Wymagania HIPAA dotyczące przekazywania informacji

HIPAA stanowi, co następuje w zakresie bezpieczeństwa transmisji informacji:

164.312 (e) (1): Standard: Bezpieczeństwo transmisji. Wdrożenie technicznych środków bezpieczeństwa w celu ochrony przed nieuprawnionym dostępem do chronionych elektronicznie informacji zdrowotnych, które są przesyłane za pośrednictwem sieci łączności elektronicznej.

Ponieważ ustawa HIPAA miała być przyszłościowa, pozostawia tę dyrektywę bezterminową. Zasadniczo, aby chronić się przed potencjalnie kosztownymi naruszeniami, muszą istnieć protokoły chroniące informacje przesyłane przez sieć łączności elektronicznej.

Dla organizacji oznacza to, że wszelkie urządzenia, które przesyłają dane przez sieć, szczególnie te robiące to poza zaporą firmową, muszą wdrożyć mechanizm uwierzytelniania i szyfrowania. SSL /TLS może się tym zająć w jedną stronę lub wzajemne uwierzytelnianie

SSL.com zapewnia szeroką gamę domen SSL /TLS certyfikaty serwera dla witryn HTTPS, w tym:

PORÓWNAJ SSL /TLS CERTYFIKATY

SSL /TLS dla IoT zgodnego z HIPAA

SSL /TLS używa protokołu szyfrowanie asymetryczne do zabezpieczenia danych współdzielonych między dwoma komputerami w Internecie. Ponadto SSL /TLS zapewnia weryfikację tożsamości serwera i / lub klienta. W najbardziej typowym scenariuszu, przy użyciu uwierzytelniania jednokierunkowego, serwer HTTPS dostarcza przeglądarce odwiedzającego certyfikat, który został podpisany cyfrowo przez publicznie zaufany urząd certyfikacji (CA), taki jak SSL.com. 

Matematyka SSL /TLS Upewnij się, że podpisane cyfrowo certyfikaty urzędu certyfikacji są praktycznie niemożliwe do sfałszowania, biorąc pod uwagę odpowiednio duży rozmiar klucza. Publiczne urzędy certyfikacji weryfikują tożsamość wnioskodawców przed wydaniem certyfikatów. Podlegają również rygorystycznym audytom przeprowadzanym przez dostawców systemów operacyjnych i przeglądarek internetowych w celu ich akceptacji i utrzymywania w zaufanych magazynach (listy zaufane certyfikaty główne zainstalowane z przeglądarką i oprogramowaniem systemu operacyjnego).

Przejdź do góry

SSL i klienci uwierzytelniający

W przypadku większości aplikacji SSL /TLS wykorzystuje jednokierunkowe uwierzytelnianie serwera do klienta; anonimowy klient (przeglądarka internetowa) negocjuje zaszyfrowaną sesję z serwerem WWW, który prezentuje publicznie zaufany SSL /TLS certyfikat do identyfikacji podczas SSL /TLS uścisk dłoni. 

Chociaż uwierzytelnianie jednokierunkowe jest całkowicie akceptowalne w przypadku większości przeglądarek internetowych, nadal jest podatne na ataki kradzieży poświadczeń, takie jak phishing, w których atakujący celują w dane logowania, takie jak nazwy użytkowników i hasła. Ataki phishingowe odpowiadają za 22% naruszeń danych raport Verizon. Aby uzyskać dodatkową ochronę, możesz zdecydować się na wzajemne uwierzytelnianie. W przypadku uwierzytelniania wzajemnego, gdy serwer zostanie uwierzytelniony podczas uzgadniania, wyśle ​​plik CertificateRequest wiadomość do klienta. Klient odpowie, wysyłając certyfikat do serwera w celu uwierzytelnienia. Z uwierzytelnieniem po obu stronach PKI, wzajemne uwierzytelnianie jest o wiele bezpieczniejsze niż tradycyjne metody oparte na hasłach.

Przejdź do góry

Wzajemne uwierzytelnianie i IoT

Dla producentów urządzeń medycznych najlepszym rozwiązaniem może być wzajemne uwierzytelnianie serwerów i urządzeń, ponieważ nie pozostawia nic przypadkowi w przypadku tożsamości klienta i serwera. Na przykład po podłączeniu inteligentnego urządzenia medycznego do Internetu producent może chcieć wysyłać i odbierać dane do i z serwerów firmy, aby użytkownicy mieli dostęp do informacji. Aby ułatwić to bezpieczne przekazywanie informacji, producent może rozważyć następujące kwestie:

  • Dostarcz każde urządzenie z unikalną parą kluczy kryptograficznych i certyfikatem klienta. Ponieważ cała komunikacja będzie odbywać się między urządzeniem a serwerami firmy, certyfikaty te mogą być zaufane prywatnie, oferując dodatkową elastyczność w zakresie zasad, takich jak okres ważności certyfikatu.
  • Podaj unikalny kod urządzenia (taki jak numer seryjny lub kod QR), który użytkownik może zeskanować lub wprowadzić do swojego konta użytkownika w portalu internetowym producenta lub aplikacji na smartfony, aby powiązać urządzenie z kontem.
  • Gdy urządzenie zostanie podłączone do Internetu za pośrednictwem sieci Wi-Fi użytkownika, otworzy się wzajemne TLS połączenie z serwerem producenta. Serwer uwierzytelni się na urządzeniu i zażąda certyfikatu klienta urządzenia, który jest powiązany z unikalnym kodem wprowadzonym przez użytkownika do jego konta.

Dwie strony połączenia są teraz wzajemnie uwierzytelniane i mogą wysyłać wiadomości tam iz powrotem za pomocą SSL /TLS szyfrowanie za pośrednictwem protokołów warstwy aplikacji, takich jak HTTPS i MQTT. Użytkownik może uzyskać dostęp do danych z urządzenia lub dokonać zmian w jego ustawieniach za pomocą swojego konta w portalu internetowym lub aplikacji na smartfona. Nigdy nie ma potrzeby przesyłania nieuwierzytelnionych lub czystych wiadomości tekstowych między tymi dwoma urządzeniami.

Przejdź do góry

Ostatnie słowo

Nie daj się złapać na otwartej przestrzeni. Jeśli jesteś zainteresowany niestandardowymi rozwiązaniami IoT SSL.com, wypełnij poniższy formularz, aby uzyskać więcej informacji.

Connor Wilsona

Wszystkie Posty

Powiązane posty na blogu

Zobacz wszystkie posty na blogu
Facebook LinkedIn Twitter youtube Github

Co to jest SSL /TLS?

Odtwórz wideo

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.

Wypełnij ankietę