Os certificados digitais de SSL.com podem ser uma parte importante dos planos de uma organização de saúde para e-mail, autenticação e sites compatíveis com HIPAA.
Violações e penalidades HIPAA
A Lei de Portabilidade e Responsabilidade de Seguro de Saúde dos Estados Unidos (HIPAA), aprovada inicialmente em 1996, protege a segurança e a privacidade das Informações de Saúde Protegidas Eletrônicas dos pacientes (também conhecidas como PHI ou ePHI). A conformidade com a HIPAA é aplicada pelo Escritório de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (DHS) dos Estados Unidos.
Para 2020, o jornalista jurídico Steve Alder relatórios no HIPAA Journal, que 642 violações de dados em grande escala foram relatadas por instituições de saúde, incluindo provedores de saúde e câmaras de compensação de saúde. Essa estatística é 25% maior em relação a 2019, que já foi um ano recorde.
Em comparação com o ano de 2020, as violações de dados de saúde triplicaram desde 2010 e dobraram desde 2014. Portanto, houve um aumento de 25% ao ano nas violações de dados. No geral, surpreendentes 78 milhões de registros de saúde foram violados entre 2009-2020.
Principais razões para violações de dados de saúde em 2020
A cinco causas principais de violações de dados de saúde em 2020 foram identificado: incidente de hacking / TI (26.9 milhões de registros violados), acesso não autorizado / divulgação (787,015 registros violados), roubo (806,552 registros violados), descarte impróprio (584,980 registros violados) e perda (169,509 registros violados).
Claramente, os ataques de segurança cibernética constituíram o maior motivo para o roubo de dados de saúde. Os ataques cibernéticos incluíram phishing, envio de malware, exploração de vulnerabilidades e ransomware.
Nos últimos meses de 2020, as incidências de ransomware aumentaram significativamente. Ponto de verificação relatado que o setor de saúde foi o mais visado pelos atacantes de ransomware em outubro de 2020. A gangue de ransomware Ryuk foi uma das mais notórias naquele mês. Eles retiraram os sistemas de computador do Sky Lakes Medical Center e forçaram os médicos a usar a letra para documentar as informações dos pacientes. Eles também atacaram a Rede de Saúde da Universidade de Vermont, onde até 20 instalações médicas foram vítimas.
Também se teoriza que Ryuk foi responsável pelo ataque de ransomware contra os Serviços Universais de Saúde (UHS), que tem 400 hospitais nos Estados Unidos e atende anualmente a milhões de pacientes. UHS é estimado ter perdido US $ 67 milhões por danos, incluindo perda de receita devido ao redirecionamento de ambulâncias para outros hospitais, atraso de mais de 2 meses nos procedimentos de faturamento e despesas gigantescas para consertar seus sistemas.
Entre outubro e setembro de 2020, foi observado um aumento alarmante de 71% nos ataques de ransomware. Os casos de ransomware em 2020 incluíram vários dos ataques cibernéticos mais prejudiciais que ocorreram contra organizações de saúde naquele ano. Em muitos desses ataques, os sistemas ficaram indisponíveis por várias semanas e, como resultado, os serviços aos pacientes foram severamente afetados.
Certificados digitais para proteção e autenticação de informações
Seção da HIPAA sobre salvaguardas técnicas deixa claro que as PHI dos pacientes devem ser protegidas pelos profissionais de saúde quando transmitidas por uma rede de computadores ou em repouso. Os regulamentos relevantes incluem (mas não estão limitados a):
164.312 (a) (2) (iv): Criptografia e descriptografia (endereçável). Implementar um mecanismo para criptografar e descriptografar informações de saúde protegidas eletrônicas.
164.312 (c) (1): Padrão: Integridade. Implementar políticas e procedimentos para proteger as informações de saúde protegidas eletrônicas contra alteração ou destruição indevida.
164.312 (d): Padrão: Autenticação de pessoa ou entidade. Implementar procedimentos para verificar se uma pessoa ou entidade que busca acesso a informações de saúde protegidas eletrônicas é aquela reivindicada.
164.312 (e) (1): Padrão: Segurança de transmissão. Implementar medidas técnicas de segurança para proteger contra acesso não autorizado a informações de saúde protegidas eletrônicas que estão sendo transmitidas por uma rede de comunicações eletrônicas.
Como foi planejado para ser “à prova de futuro”, o HIPAA não especifica as tecnologias exatas que devem ser usadas para proteger as PHI. Hoje, os certificados digitais oferecidos por autoridades de certificação (CAs) publicamente confiáveis, como SSL.com, oferecem uma ótima solução para garantir a criptografia, autenticação e integridade das comunicações digitais.
Abordaremos três aplicações importantes de certificados digitais para comunicação compatível com HIPAA aqui: S/MIME certificados para e-mail seguro, autenticação de cliente baseada em certificado e SSL /TLS certificados para proteger sites e aplicativos da web. Também discutiremos como as ferramentas avançadas de gerenciamento de certificados SSL.com podem ajudá-lo a planejar e manter a cobertura para toda a sua organização e manter seus certificados atualizados.
S/MIME Email e autenticação de cliente para conformidade com HIPAA
O e-mail tem sido usado para comunicação em redes de computadores desde o início dos anos 1970 e é inseguro por padrão. O e-mail é baseado em protocolos de texto simples, não fornece nenhuma maneira de garantir a integridade das mensagens e não inclui nenhum mecanismo para autenticação robusta. S/MIME (Extensões de correio da Internet seguras / multifuncionais) certificados de SSL.com podem resolver esses problemas, garantindo criptografia, autenticação e integridade para o e-mail da sua organização:
- Criptografia: S/MIME fornece criptografia robusta de ponta a ponta para que as mensagens não possam ser interceptadas e lidas em trânsito. Por exemplo, S/MIME pode proteger mensagens enviadas pela Internet, entre escritórios ou organizações e fora dos firewalls de qualquer empresa.
- S/MIME a criptografia é simétrica, com ambos chaves públicas e privadas. Qualquer pessoa com um destinatário chave pública pode enviar-lhes uma mensagem criptografada, mas apenas uma pessoa em posse do correspondente chave privada pode descriptografar e ler. Portanto, é seguro distribuir chaves públicas dentro e fora de uma organização, enquanto as chaves privadas devem ser mantidas em segurança.
- Autenticação: Cada S/MIME a mensagem de e-mail é assinada com uma chave privada exclusiva associada ao endereço de e-mail (e opcionalmente à pessoa individual e / ou organização) que a enviou. Como a identidade do remetente foi verificada por uma autoridade de certificação terceirizada confiável - como SSL.com - e vinculada a essa chave secreta, os destinatários têm a garantia da verdadeira identidade do remetente.
- Integridade: Cada assinado S/MIME a mensagem de e-mail inclui um código hash (um tipo de “impressão digital” ou soma de verificação digital) do conteúdo da mensagem que pode ser calculado de forma independente e confirmado pelo software de e-mail do destinatário. Se uma mensagem for de alguma forma interceptada e alterada (mesmo por um caractere), o valor de hash calculado não corresponderá à assinatura digital. Isso significa que os destinatários do e-mail assinado digitalmente podem ter certeza da integridade da mensagem.
Além disso, como uma assinatura digital confiável garante a autenticidade e integridade do e-mail, S/MIME fornece legal não repúdio para mensagens de e-mail; é difícil para um remetente negar de forma plausível que enviou aquela mensagem exata.
Conformidade HIPAA para e-mail em trânsito e em repouso
S/MIME Os certificados SSL.com podem fornecer conformidade HIPAA para o e-mail de uma organização em trânsito ou em repouso:
- Em trânsito: A integridade e autenticidade de S/MIME o e-mail é garantido por uma assinatura digital exclusiva e confiável. A criptografia de ponta a ponta garante que as mensagens não possam ser lidas por terceiros quando transmitidas por redes inseguras (como a Internet).
- Em repouso: S/MIME a criptografia garante que apenas alguém em posse da chave privada do destinatário possa descriptografar e ler mensagens criptografadas com sua chave pública. Email criptografado roubado em violações de dados ou comprometido de outra forma é inútil para atacantes sem acesso a essas chaves.
Autenticação de cliente
Todos os Produtos S/MIME certificados emitidos por SSL.com incluem autenticação de cliente. Os certificados de autenticação de cliente podem ser usados como um fator de autenticação para acesso a recursos de rede protegidos, como VPNs e aplicativos da web onde as PHI dos pacientes são tratadas. Portanto, S/MIME e os certificados de cliente de SSL.com podem ser distribuídos ao pessoal como uma solução unificada para:
- Autenticação para acesso a informações de saúde protegidas.
- Criptografia, autenticação e integridade de e-mail em trânsito ou em repouso.
Bulk S/MIME Inscrição de Certificados
utilização S/MIME certificados para conformidade com HIPAA requer um plano para emitir certificados para todo o pessoal que trabalha com PHI e gerenciar esses certificados ao longo do tempo. Os funcionários vão e vêm, os certificados expiram e os certificados podem precisar ser revogou por várias razões, incluindo o comprometimento da chave privada.
Os prestadores de cuidados de saúde podem facilmente emitem S/MIME certificados em massa de SSL.com's advanced portal da conta do cliente. Esses certificados podem ser gerenciados, renovados e revogados conforme necessário.
As organizações que exigem um grande número de certificados também podem se beneficiar de descontos no atacado de até 65% participando do SSL.com's Programa de revendedor e compra por volume.
SSL /TLS para segurança de sites
Em 2021, todos os sites devem ser protegidos com um SSL /TLS certificado e use o Protocolo HTTPS, mas é uma necessidade absoluta para qualquer site ou aplicativo da web que precise ser compatível com HIPAA. Como S/MIME para e-mail, o SSL /TLS protocolo fornece criptografia, autenticidade e integridade para sites:
- Todas as comunicações entre um site protegido por um SSL / devidamente configuradoTLS certificado e um navegador da web estão com segurança criptografada.
- A identidade de um site HTTPS apresentando um certificado válido assinado por uma CA publicamente confiável será aceito por navegadores da web e disponibilizado aos usuários.
- Alguns nível de validação escolhido por seu proprietário, um site SSL /TLS O certificado pode simplesmente indicar que uma CA confirmou o controle de um site pelo requerente do certificado ou pode incluir informações detalhadas sobre a entidade que opera o site, como uma empresa ou outra organização.
- Para obter o máximo de confiança, as organizações de saúde podem desejar investir em Alta garantia (OV) or Extended Validation (EV) certificados, fornecendo prova de identidade aos usuários.
- Documentos, como páginas da web, de um site HTTPS protegido por um SSL /TLS certificado tem seu integridade garantido por um hash criptografado incluído na assinatura digital, que é calculado de forma independente pelo navegador antes de confiar no documento. Os dados não podem ser interceptados e alterados por terceiros mal-intencionados durante o trânsito, sem que o navegador detecte o erro e avise o usuário.
Lembretes de expiração e automação
Todos os certificados têm uma data de expiração, após a qual não serão mais confiáveis para o software cliente. Para SSL publicamente confiável /TLS, a vida útil máxima do certificado é atualmente 398 dias . Se você permitir que um site SSL /TLS o certificado expira, os navegadores não vão mais confiar nele:
Pode ser difícil controlar os certificados expirados e mantê-los atualizados, e os certificados atuais são cruciais para manter sites seguros em conformidade com o HIPAA. SSL.com oferece várias opções poderosas para garantir que seus certificados estejam atualizados:
- Lembretes de expiração: SSL.com fornece avisos configuráveis para lembrá-lo quando é hora de um certificado ser renovado. Esta é uma ótima opção para organizações com poucos certificados ou em situações onde a automação é inconveniente ou impossível devido a restrições técnicas.
- Scripting e automação: As organizações podem criar scripts personalizados usando RESTful de SSL.com API SWS ou o padrão da indústria Protocolo ACME para automatizar SSL /TLS renovação do certificado, eliminando a necessidade de lembretes. A automação é especialmente importante se uma organização tiver um grande número de servidores e certificados para manter.
SSL.com oferece uma grande variedade de SSL /TLS certificados de servidor para sites HTTPS, incluindo:
Conclusão
Esperamos que esta postagem tenha ajudado você a entender como os certificados digitais podem fazer parte do plano de sua organização para conformidade com HIPAA e como as ferramentas de gerenciamento avançadas de SSL.com podem ajudá-lo a garantir que sua organização esteja protegida e atualizada.
Se você tiver alguma dúvida sobre a compra de certificados para sua organização, especialmente para emissão em massa de S/MIME Certificados, entre em contato com a equipe de vendas corporativas da SSL.com por meio do formulário abaixo. Você também pode entrar em contato com o suporte SSL.com por e-mail em Support@SSL.com, por telefone em 1-877-SSL-SECUREou clicando no link de bate-papo no canto inferior direito desta página.
E, como sempre, obrigado por visitar SSL.com, onde acreditamos que um mais segura internet é um better Internet!
Contactar SSL.com Enterprise Sales