HIPAA e a IoT
A Internet das Coisas (IoT) está crescendo exponencialmente, com alguns relatórios prevendo que alcançará 38 bilhões de dispositivos em 2020. Com mais e Mais histórias Com o surgimento de dispositivos hackeados, a necessidade de proteger a Internet das Coisas está se tornando mais urgente, ainda mais para fabricantes de dispositivos médicos que têm o HIPAA em mente.
O Ato de Portabilidade e Responsabilidade de Seguro Saúde dos Estados Unidos, ou HIPAA, não é brincadeira. A HIPAA protege a segurança e a privacidade das Informações de Saúde Protegidas Eletrônicas (PHI ou ePHI) dos pacientes e é aplicada pelo Escritório de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (DHS) dos Estados Unidos. Se você estiver procurando por certificados digitais para comunicação compatível com HIPAA, confira nosso artigo aqui.
A HIPAA exige que os prestadores de cuidados de saúde protejam as PHI em trânsito ou em repouso, e se não o fizer, pode resultar em multas pesadas. Multas por violações HIPAA pode variar de $ 100 a $ 50,000 por violação, com uma penalidade máxima de $ 1.5 milhão por ano. Em 2019, 418 violações levaram ao comprometimento de 34.9 milhões de PHI de americanos.
Tomar medidas agora para proteger as informações do paciente e manter a conformidade com o HIPAA é certamente a medida certa. Em 2019, as violações de servidor de rede representaram 30.6 milhões de informações de indivíduos comprometidas. Em 2018, o servidor de rede da American Medical Collection Agency (AMCA) foi hackeado, levando a 22 milhões de pacientes dados comprometidos. As repercussões financeiras e a perda de negócios levaram a AMCA ao depósito do Capítulo 11 de Falência.
Requisitos de transmissão de informações HIPAA
A HIPAA afirma o seguinte em relação à segurança da transmissão de informações:
164.312 (e) (1): Padrão: Segurança de transmissão. Implementar medidas técnicas de segurança para proteger contra acesso não autorizado a informações de saúde protegidas eletrônicas que estão sendo transmitidas por uma rede de comunicações eletrônicas.
Como a HIPAA foi criada para ser à prova de futuro, ela deixa essa diretiva em aberto. Basicamente, para proteger contra violações potencialmente caras, é necessário que haja protocolos em vigor para proteger as informações transmitidas por uma rede de comunicações eletrônicas.
Para uma organização, isso significa que todos os dispositivos que transmitem dados por uma rede, especialmente aqueles que fazem isso fora do firewall da empresa, precisam implementar um mecanismo de autenticação e criptografia. SSL /TLS pode cuidar disso por meio de uma via ou autenticação mútua.
SSL.com oferece uma grande variedade de SSL /TLS certificados de servidor para sites HTTPS, incluindo:
SSL /TLS para IoT compatível com HIPAA
O SSL /TLS protocolo usa criptografia assimétrica para proteger os dados compartilhados entre dois computadores na Internet. Além disso, SSL /TLS garante que as identidades do servidor e / ou cliente sejam validadas. No cenário mais comum, usando a autenticação unilateral, um servidor HTTPS fornece ao navegador do visitante um certificado que foi assinado digitalmente por uma Autoridade de Certificação (CA) publicamente confiável como SSL.com.
A matemática por trás do SSL /TLS garantir que os certificados assinados digitalmente de uma CA sejam praticamente impossíveis de falsificar, dado um tamanho de chave grande o suficiente. As CAs públicas verificam a identidade dos candidatos antes de emitir os certificados. Eles também estão sujeitos a auditorias rigorosas pelo sistema operacional e fornecedores de navegadores da web para serem aceitos e mantidos em lojas de confiança (listas de certificados de raiz confiável instalado com o navegador e o software do SO).
SSL e autenticação de clientes
Para a maioria dos aplicativos, SSL /TLS usa autenticação unilateral de um servidor para um cliente; um cliente anônimo (o navegador da web) negocia uma sessão criptografada com um servidor da web, que apresenta um SSL / publicamente confiávelTLS certificado para se identificar durante o SSL /TLS aperto de mão.
Embora a autenticação unilateral seja perfeitamente aceitável para a maioria dos navegadores na web, ela ainda é vulnerável a ataques de roubo de credenciais, como phishing, no qual os invasores visam credenciais de login, como nomes de usuário e senhas. Ataques de phishing são responsáveis por 22% das violações de dados, de acordo com um relatório da Verizon. Para proteção adicional, você pode optar por autenticação mútua. Na autenticação mútua, uma vez que o servidor é autenticado durante o handshake, ele enviará um CertificateRequest
mensagem para o cliente. O cliente responderá enviando um certificado ao servidor para autenticação. Com ambos os lados autenticados com PKI, a autenticação mútua é muito mais segura do que os métodos tradicionais centrados em senha.
Autenticação mútua e IoT
Para fabricantes de dispositivos médicos, a autenticação mútua de servidores e dispositivos pode ser a melhor opção, de forma a não deixar nada ao acaso com as identidades de cliente e servidor. Por exemplo, uma vez que um dispositivo médico inteligente é conectado à Internet, um fabricante pode querer que ele envie e receba dados de e para os servidores da empresa, para que os usuários possam acessar as informações. Para facilitar esta transferência segura de informações, o fabricante pode considerar o seguinte:
- Envie cada dispositivo com um único par de chaves criptográficas e certificado de cliente. Como toda a comunicação será entre o dispositivo e os servidores da empresa, esses certificados podem ser confidenciais, oferecendo flexibilidade adicional para políticas como a vida útil do certificado.
- Forneça um código de dispositivo exclusivo (como um número de série ou código QR) que o usuário pode digitalizar ou inserir em sua conta de usuário no portal da web do fabricante ou aplicativo de smartphone para associar o dispositivo à sua conta.
- Assim que o dispositivo estiver conectado à Internet por meio da rede Wi-Fi do usuário, ele abrirá um TLS conexão com o servidor do fabricante. O servidor se autenticará no dispositivo e solicitará o certificado do cliente do dispositivo, que está associado ao código exclusivo inserido pelo usuário em sua conta.
As duas partes da conexão agora são mutuamente autenticadas e podem enviar mensagens e para trás com SSL /TLS criptografia sobre protocolos de camada de aplicativo como HTTPS e MQTT. O usuário pode acessar dados do dispositivo ou fazer alterações em suas configurações com sua conta do portal da web ou aplicativo de smartphone. Nunca há necessidade de mensagens não autenticadas ou de texto não criptografado entre os dois dispositivos.
Última palavra
Não seja pego em campo aberto. Se você estiver interessado nas soluções IoT personalizadas de SSL.com, preencha o formulário abaixo para obter mais informações.