Certyfikaty cyfrowe do komunikacji zgodnej z HIPAA

Certyfikaty cyfrowe z SSL.com mogą być ważną częścią planów organizacji opieki zdrowotnej dotyczących poczty elektronicznej, uwierzytelniania i witryn internetowych zgodnych z ustawą HIPAA.

Naruszenia i kary HIPAA

Amerykańska ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA), pierwotnie uchwalona w 1996 r., Chroni bezpieczeństwo i prywatność elektronicznych chronionych informacji zdrowotnych pacjentów (znanych również jako PHI lub ePHI). Zgodność z ustawą HIPAA jest egzekwowana przez Biuro Praw Obywatelskich (OCR) Departamentu Zdrowia i Opieki Społecznej Stanów Zjednoczonych (DHS).

Zgodnie z ustawą HIPAA świadczeniodawcy opieki zdrowotnej są zobowiązani do ochrony PHI podczas transportu lub spoczynku, a kary za naruszenie danych mogą być wysokie. Praktyka lekarska Raporty że 34.9 miliona Amerykanów (około 10% populacji USA!) miało naruszenie PHI w 2019 r., co wynika z 418 zgłoszonych naruszeń HIPAA. 39% tych naruszeń dotyczyło poczty elektronicznej, a 20% serwerów sieciowych.
 

Na rok 2020, dziennikarz prawny Steve Alder Raporty w HIPAA Journal, że 642 duże naruszenia danych zostały zgłoszone przez instytucje opieki zdrowotnej, w tym świadczeniodawców i izby rozliczeniowe opieki zdrowotnej. Ta statystyka jest o 25% większa w porównaniu z 2019 r., który sam w sobie był już rekordowym rokiem. 

W porównaniu z rokiem 2020 liczba naruszeń danych w opiece zdrowotnej potroiła się od 2010 r. i podwoiła od 2014 r. W związku z tym nastąpił wzrost naruszeń danych o 25% rocznie. Ogólnie rzecz biorąc, w latach 78-2009 naruszono oszałamiającą liczbę 2020 milionów dokumentacji medycznej. 

Z grzywnami w wysokości od 100 do 50,000 1.5 USD za naruszenie i maksymalną karą w wysokości XNUMX miliona USD rocznie za naruszenie postanowień HIPAA, żaden pracownik służby zdrowia nie może sobie pozwolić na zaniedbanie w zakresie ochrony ChIZ swoich klientów.
 

Główne przyczyny naruszeń danych w służbie zdrowia w 2020 r.

Połączenia pięć głównych przyczyn naruszeń danych w służbie zdrowia w 2020 r.: zidentyfikowane: incydent hakerski/informatyczny (26.9 mln naruszonych rekordów), nieautoryzowany dostęp/ujawnienie (Naruszono 787,015 XNUMX rekordów), kradzież (Naruszono 806,552 XNUMX rekordów), niewłaściwa utylizacja (Naruszono 584,980 XNUMX rekordów) oraz strata (169,509 XNUMX rekordów naruszonych). 

Najwyraźniej ataki cybernetyczne stanowiły największy powód kradzieży danych dotyczących opieki zdrowotnej. Cyberataki obejmowały zbyt powszechny phishing, wysyłanie złośliwego oprogramowania, wykorzystywanie luk w zabezpieczeniach oraz oprogramowanie ransomware.

W ostatnich miesiącach 2020 r. liczba przypadków oprogramowania ransomware znacznie wzrosła. Punkt kontrolny zgłaszane że opieka zdrowotna była najbardziej ukierunkowaną branżą przez osoby atakujące oprogramowanie ransomware w październiku 2020 r. Gang ransomware Ryuk był jednym z najbardziej znanych w tym miesiącu. Wyjęli systemy komputerowe Sky Lakes Medical Center i zmusili klinicystów do uciekania się do pisma ręcznego w celu udokumentowania informacji o pacjencie. Zaatakowali również University of Vermont Health Network, w której ofiarami padło nawet 20 placówek medycznych. 

Istnieje również teoria, że ​​Ryuk był odpowiedzialny za atak ransomware na Universal Health Services (UHS), który ma 400 szpitali w USA i co roku obsługuje miliony pacjentów. UHS jest szacunkowa stracić 67 milionów dolarów z tytułu szkód, w tym utraconych dochodów z powodu przekierowania karetek do innych szpitali, ponad dwumiesięcznego opóźnienia w procedurach rozliczeniowych i gigantycznych wydatków na naprawę ich systemów.  

Od października do września 2020 r. zaobserwowano alarmujący 71% wzrost liczby ataków ransomware. Przypadki ransomware w 2020 r. obejmowały kilka najbardziej szkodliwych cyberataków, które miały miejsce w tym roku na organizacje opieki zdrowotnej. W wielu z tych ataków systemy były wyłączane na wiele tygodni, w wyniku czego poważnie ucierpiała obsługa pacjentów. 

Certyfikaty cyfrowe do ochrony informacji i uwierzytelniania

Sekcja HIPAA dotycząca zabezpieczenia techniczne wyjaśnia, że ​​PHI pacjentów muszą być chronione przez pracowników służby zdrowia w przypadku transmisji przez sieć komputerową lub w stanie spoczynku. Odpowiednie przepisy obejmują (ale nie są do nich ograniczone):

164.312 (a) (2) (iv): Szyfrowanie i deszyfrowanie (adresowalne). Wdrożenie mechanizmu szyfrowania i odszyfrowywania chronionych elektronicznie informacji zdrowotnych.

164.312 (c) (1): Standard: Integralność. Wdrażaj zasady i procedury w celu ochrony chronionych elektronicznie informacji zdrowotnych przed niewłaściwą modyfikacją lub zniszczeniem.

164.312 (d): Standard: Uwierzytelnianie osoby lub podmiotu. Wdrożenie procedur w celu sprawdzenia, czy osoba lub podmiot ubiegający się o dostęp do chronionych elektronicznie informacji zdrowotnych jest tą, której dotyczy wniosek.

164.312 (e) (1): Standard: Bezpieczeństwo transmisji. Wdrożenie technicznych środków bezpieczeństwa w celu ochrony przed nieuprawnionym dostępem do chronionych elektronicznie informacji zdrowotnych, które są przesyłane za pośrednictwem sieci komunikacji elektronicznej.

Ponieważ miał być „przyszłościowy”, HIPAA nie określa dokładnych technologii, które należy stosować do ochrony PHI. Obecnie certyfikaty cyfrowe oferowane przez publicznie zaufane urzędy certyfikacji (CA), takie jak SSL.com, stanowią doskonałe rozwiązanie zapewniające szyfrowanie, uwierzytelnianie i integralność komunikacji cyfrowej.

Omówimy tutaj trzy ważne zastosowania certyfikatów cyfrowych do komunikacji zgodnej z ustawą HIPAA: S/MIME certyfikaty do bezpiecznej poczty e-mail, uwierzytelniania klienta opartego na certyfikatach i SSL /TLS certyfikaty do ochrony serwisów WWW i aplikacji internetowych. Omówimy również, w jaki sposób zaawansowane narzędzia do zarządzania certyfikatami SSL.com mogą pomóc w planowaniu i utrzymywaniu zasięgu dla całej organizacji oraz zapewnianiu aktualności certyfikatów.

S/MIME Uwierzytelnianie poczty e-mail i klienta w celu zapewnienia zgodności z HIPAA

Poczta e-mail jest używana do komunikacji w sieciach komputerowych od wczesnych lat siedemdziesiątych i jest domyślnie niepewna. Poczta e-mail jest oparta na protokołach w postaci zwykłego tekstu, nie zapewnia żadnego sposobu zapewnienia integralności wiadomości i nie zawiera mechanizmu niezawodnego uwierzytelniania. S/MIME (Bezpieczne / uniwersalne rozszerzenia poczty internetowej) certyfikaty z SSL.com mogą rozwiązać te problemy, zapewniając szyfrowanie, Uwierzytelnianie i integralność dla poczty e-mail Twojej organizacji:

  • Szyfrowanie: S/MIME zapewnia solidne szyfrowanie od końca do końca, dzięki czemu wiadomości nie mogą być przechwytywane i odczytywane podczas przesyłania. Na przykład, S/MIME może chronić wiadomości przesyłane przez Internet, między biurami lub organizacjami oraz poza zaporami firmy.
    • S/MIME szyfrowanie jest symetryczne, z obydwoma klucze publiczne i prywatne. Każdy, kto ma odbiorcę klucz publiczny może wysłać im zaszyfrowaną wiadomość, ale tylko osoba posiadająca korespondencję prywatny klucz może odszyfrować i przeczytać. Dlatego dystrybucja kluczy publicznych zarówno w organizacji, jak i poza nią, jest bezpieczna, podczas gdy klucze prywatne muszą być bezpieczne.
  • Poświadczenie: Każdy S/MIME wiadomość e-mail jest podpisana unikalnym kluczem prywatnym skojarzonym z adresem e-mail (i opcjonalnie osobą i / lub organizacją), która ją wysłała. Ponieważ tożsamość nadawcy została zweryfikowana przez zaufany zewnętrzny urząd certyfikacji - na przykład SSL.com - i powiązana z tym tajnym kluczem, odbiorcy mają pewność co do prawdziwej tożsamości nadawcy.
  • Integralność: Każdy podpisał S/MIME wiadomość e-mail zawiera zaszyfrowany plik haszysz (rodzaj cyfrowego „odcisku palca” lub sumy kontrolnej) zawartości wiadomości, którą można niezależnie obliczyć i potwierdzić przez oprogramowanie pocztowe odbiorcy. Jeśli wiadomość zostanie w jakiś sposób przechwycona i zmieniona (nawet o jeden znak), obliczona wartość skrótu nie będzie pasować do podpisu cyfrowego. Oznacza to, że odbiorcy podpisanych cyfrowo wiadomości e-mail mogą być pewni integralności wiadomości.

Ponadto, ponieważ zaufany podpis cyfrowy zapewnia autentyczność i integralność wiadomości e-mail, S/MIME zapewnia prawne niezaprzeczalność do wiadomości e-mail; nadawcy trudno wiarygodnie zaprzeczyć, że wysłał dokładnie taką wiadomość.

Zgodność z ustawą HIPAA dotycząca poczty e-mail w tranzycie i w spoczynku

S/MIME certyfikaty z SSL.com mogą zapewnić zgodność poczty e-mail organizacji z ustawą HIPAA podczas przesyłania lub spoczynku:

  • W tranzycie: Integralność i autentyczność S/MIME e-mail jest chroniony unikalnym, zaufanym podpisem cyfrowym. Szyfrowanie typu end-to-end zapewnia, że ​​wiadomości nie mogą zostać odczytane przez osoby trzecie podczas przesyłania ich przez niezabezpieczone sieci (takie jak Internet).
  • W spoczynku: S/MIME szyfrowanie zapewnia, że ​​tylko osoba będąca w posiadaniu klucza prywatnego odbiorcy może odszyfrować i odczytać wiadomości zaszyfrowane za pomocą klucza publicznego. Zaszyfrowane wiadomości e-mail skradzione podczas naruszenia bezpieczeństwa danych lub w inny sposób naruszone są bezużyteczne dla atakujących bez dostępu do tych kluczy.

Uwierzytelnianie klienta

Wszystkie kategorie S/MIME certyfikaty wydane przez SSL.com obejmują uwierzytelnianie klienta. Certyfikaty uwierzytelniania klienta mogą być używane jako czynnik uwierzytelniający w celu uzyskania dostępu do chronionych zasobów sieciowych, takich jak VPN i aplikacje internetowe, w których obsługiwane są PHI pacjentów. W związku z tym, S/MIME i certyfikaty klienta z SSL.com mogą być dystrybuowane do personelu jako ujednolicone rozwiązanie dla:

  • Uwierzytelnienie dostępu do chronionych informacji zdrowotnych.
  • Szyfrowanie, uwierzytelnianie i integralność wiadomości e-mail podczas przesyłania lub w stanie spoczynku.
Aby uzyskać więcej informacji na temat korzystania z certyfikatów klienta w aplikacjach internetowych, przeczytaj instrukcje SSL.com, Konfigurowanie certyfikatów uwierzytelniania klienta w przeglądarkach internetowych.

Objętość S/MIME Rejestracja certyfikatów

Korzystanie z S/MIME Certyfikaty zgodności z HIPAA wymagają planu wydawania certyfikatów całemu personelowi pracującemu z PHI i zarządzania tymi certyfikatami w czasie. Pracownicy przychodzą i odchodzą, certyfikaty wygasają, a certyfikaty mogą być potrzebne odwołany z różnych powodów, w tym złamania klucza prywatnego.

Pracownicy służby zdrowia mogą łatwo problem S/MIME certyfikaty luzem z zaawansowanego SSL.com portal konta klienta. W razie potrzeby można zarządzać tymi certyfikatami, odnawiać je i odwoływać.

Wpisz adresy e-mail

Organizacje wymagające dużej liczby certyfikatów mogą również skorzystać z rabatów hurtowych do 65%, uczestnicząc w SSL.com Program dla sprzedawców i zakupów grupowych.

SSL /TLS dla bezpieczeństwa witryny

W 2021, cała kolekcja strony internetowe powinny być chronione rozszerzeniem SSL /TLS świadectwo i użyj Protokół HTTPS, ale jest to absolutnie konieczne dla każdej witryny lub aplikacji internetowej, która musi być zgodna z ustawą HIPAA. Jak S/MIME w przypadku poczty e-mail SSL /TLS protokół zapewnia szyfrowanie, autentyczność i integralność witryn internetowych:

  • Wszelka komunikacja pomiędzy serwisem internetowym zabezpieczona odpowiednio skonfigurowanym SSL /TLS certyfikat i przeglądarka internetowa są bezpieczne szyfrowane.
  • Połączenia tożsamość strony HTTPS przedstawiającej ważny certyfikat podpisany przez zaufany publicznie urząd certyfikacji zostanie zaakceptowana przez przeglądarki internetowe i udostępniona użytkownikom.
    • W zależności od poziom walidacji wybrany przez właściciela certyfikat SSL serwisu /TLS Certyfikat może po prostu wskazywać, że CA potwierdził kontrolę nad witryną przez wnioskującego o certyfikat lub może zawierać szczegółowe informacje o podmiocie obsługującym witrynę, takim jak firma lub inna organizacja.
    • Aby uzyskać maksymalne zaufanie, organizacje opieki zdrowotnej mogą chcieć zainwestować Wysoka pewność (OV) or Extended Validation (EV) certyfikaty, stanowiące dowód tożsamości dla użytkowników.
  • Dokumenty - takie jak strony internetowe - z witryny HTTPS chronionej przez SSL /TLS certyfikat mają swoje integralność gwarantowana zaszyfrowanym hashem zawartym w podpisie cyfrowym, który jest niezależnie obliczany przez przeglądarkę przed zaufaniem dokumentowi. Dane nie mogą zostać przechwycone i zmienione przez złośliwą stronę trzecią podczas przesyłania bez wykrycia błędu przez przeglądarkę i ostrzeżenia użytkownika.
SSL /TLS Konfiguracja to złożony temat i istnieje wiele potencjalnych pułapek podczas konfigurowania witryny internetowej pod kątem protokołu HTTPS. Przeczytaj SSL.com przewodnik po SSL /TLS Najlepsze praktyki aby uzyskać więcej informacji.

Przypomnienia o wygaśnięciu i automatyzacja

Wszystkie certyfikaty mają datę ważności, po której oprogramowanie klienckie nie będzie im ufać. Publicznie zaufany protokół SSL /TLS, maksymalny okres ważności certyfikatu wynosi obecnie 398 dni. Jeśli zezwalasz na SSL /TLS certyfikat wygaśnie, przeglądarki nie będą mu już ufać:

Komunikat o błędzie wygasłego certyfikatu

Śledzenie wygasających certyfikatów i ich aktualizowanie może być trudne, a aktualne certyfikaty mają kluczowe znaczenie dla utrzymania bezpiecznych witryn internetowych zgodnych z ustawą HIPAA. SSL.com udostępnia kilka zaawansowanych opcji zapewniających aktualność certyfikatów:

  • Przypomnienia o wygaśnięciu: SSL.com zapewnia konfigurowalne powiadomienia aby przypomnieć Ci o konieczności odnowienia certyfikatu. To świetna opcja dla organizacji z małą liczbą certyfikatów lub w sytuacjach, w których automatyzacja jest niewygodna lub niemożliwa ze względu na ograniczenia techniczne.
    Przypomnienia o wygaśnięciu
  • Skrypty i automatyzacja: Organizacje mogą tworzyć niestandardowe skrypty z wykorzystaniem protokołu RESTful SSL.com API SWS lub standard branżowy Protokół ACME zautomatyzować SSL /TLS odnowienie certyfikatu, eliminując potrzebę przypominania. Automatyzacja jest szczególnie ważna, jeśli organizacja ma do utrzymania dużą liczbę serwerów i certyfikatów.

Wnioski

Mamy nadzieję, że ten post pomógł Ci zrozumieć, w jaki sposób certyfikaty cyfrowe mogą być częścią planu Twojej organizacji w zakresie zgodności z ustawą HIPAA oraz w jaki sposób zaawansowane narzędzia do zarządzania SSL.com mogą pomóc Ci upewnić się, że Twoja organizacja jest chroniona i aktualna.

Jeśli masz jakiekolwiek pytania dotyczące zakupu certyfikatów dla Twojej organizacji, zwłaszcza w celu ich masowego wydawania S/MIME Certyfikaty, skontaktuj się z zespołem sprzedaży korporacyjnej SSL.com za pomocą poniższego formularza. Możesz również skontaktować się z pomocą techniczną SSL.com, wysyłając e-mail na adres Support@SSL.com, telefonicznie pod numerem 1-877-SSL-SECURElub klikając łącze czatu w prawym dolnym rogu tej strony.

I jak zawsze dziękujemy za odwiedzenie SSL.com, gdzie uważamy, że domena bezpieczniej Internet to lepszy Internet!

Skontaktuj się z działem sprzedaży SSL.com Enterprise

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.