HIPAA и Интернет вещей
Интернет вещей (IoT) растет экспоненциально, и в некоторых отчетах прогнозируется его охват 38 миллиардов устройств в 2020 году. С большим количеством и больше историй В связи с появлением взломанных устройств необходимость защиты Интернета вещей становится все более насущной, особенно для производителей медицинского оборудования с учетом HIPAA.
Закон США о переносимости и подотчетности медицинского страхования (HIPAA) - не шутка. HIPAA защищает безопасность и конфиденциальность электронной защищенной медицинской информации пациентов (PHI или ePHI) и обеспечивается Управлением по гражданским правам (OCR) Министерства здравоохранения и социальных служб США (DHS). Если вам нужны цифровые сертификаты для обмена данными в соответствии с HIPAA, проверьте нашу статью здесь.
HIPAA требует, чтобы поставщики медицинских услуг защищали PHI во время транспортировки или покоя, и несоблюдение этого требования может привести к большим штрафам. Штрафы за нарушение HIPAA может варьироваться от 100 до 50,000 1.5 долларов за нарушение, с максимальным штрафом в 2019 миллиона долларов в год. В 418 году 34.9 нарушений привели к компрометации PHI XNUMX миллиона американцев.
Принятие мер по защите информации о пациентах и соблюдению требований HIPAA - это, безусловно, правильный шаг. В 2019 году в результате взлома сетевых серверов была скомпрометирована информация 30.6 миллиона человек. В 2018 году был взломан сетевой сервер Американского медицинского агентства по сбору платежей (AMCA), в результате чего 22 миллиона пациентов получили свои данные скомпрометированы. Финансовые последствия и потеря бизнеса привели к тому, что AMCA подала заявление о банкротстве в соответствии с главой 11.
Требования HIPAA к передаче информации
HIPAA утверждает следующее относительно безопасности передачи информации:
164.312 (e) (1): Стандарт: безопасность передачи. Внедрение технических мер безопасности для защиты от несанкционированного доступа к защищенной в электронном виде информации о здоровье, которая передается по сети электронной связи.
Поскольку HIPAA должен был соответствовать требованиям завтрашнего дня, действие этой директивы остается открытым. По сути, для защиты от потенциально дорогостоящих нарушений необходимы протоколы для защиты информации, передаваемой по сети электронной связи.
Для организации это означает, что любые устройства, которые передают данные по сети, особенно те, которые делают это за пределами брандмауэра компании, должны реализовать механизм аутентификации и шифрования. SSL /TLS может решить эту проблему с помощью одностороннего или взаимная аутентификация.
SSL.com предоставляет широкий выбор SSL /TLS сертификаты сервера для сайтов HTTPS, в том числе:
SSL /TLS для HIPAA-совместимого Интернета вещей
SSL /TLS протокол использует асимметричное шифрование для защиты данных, совместно используемых двумя компьютерами в Интернете. Кроме того, SSL /TLS гарантирует, что идентичность сервера и / или клиента подтверждена. В наиболее распространенном сценарии при использовании односторонней аутентификации сервер HTTPS предоставляет браузеру посетителя сертификат, подписанный цифровой подписью общедоступного доверенного центра сертификации (CA), такого как SSL.com.
Математика SSL /TLS гарантировать, что сертификаты ЦС с цифровой подписью практически невозможно подделать при достаточно большом размере ключа. Публичные центры сертификации проверяют личность заявителей перед выдачей сертификатов. Они также подлежат тщательному аудиту со стороны поставщиков операционных систем и веб-браузеров для принятия и хранения в надежных хранилищах (списки доверенные корневые сертификаты устанавливается вместе с браузером и программным обеспечением ОС).
SSL и аутентификация клиентов
Для большинства приложений SSL /TLS использует одностороннюю аутентификацию сервера для клиента; анонимный клиент (веб-браузер) согласовывает зашифрованный сеанс с веб-сервером, который представляет публично доверенный SSL /TLS сертификат для идентификации во время SSL /TLS рукопожатие.
Хотя односторонняя аутентификация вполне приемлема для большинства веб-браузеров, она по-прежнему уязвима для атак кражи учетных данных, таких как фишинг, при котором злоумышленники нацелены на учетные данные для входа, такие как имена пользователей и пароли. Фишинг-атаки приходится 22% утечек данных, по данным отчет Verizon. Для дополнительной защиты вы можете выбрать взаимную аутентификацию. При взаимной аутентификации, как только сервер аутентифицируется во время рукопожатия, он отправляет CertificateRequest сообщение клиенту. Клиент ответит отправкой сертификата на сервер для аутентификации. С обеих сторон аутентифицированы PKI, взаимная аутентификация намного безопаснее, чем традиционные методы, основанные на паролях.
Взаимная аутентификация и Интернет вещей
Для производителей медицинских устройств взаимная аутентификация серверов и устройств может быть лучшим вариантом, поскольку не оставляет ничего случайного с идентификацией клиента и сервера. Например, когда интеллектуальное медицинское устройство подключено к Интернету, производитель может захотеть, чтобы оно отправляло и получало данные на серверы компании и с них, чтобы пользователи могли получать доступ к информации. Чтобы облегчить эту безопасную передачу информации, производитель может рассмотреть следующее:
- Отправьте каждое устройство с уникальной парой криптографических ключей и сертификатом клиента. Поскольку вся связь будет осуществляться между устройством и серверами компании, этим сертификатам можно доверять в частном порядке, что обеспечивает дополнительную гибкость для политик, таких как срок действия сертификатов.
- Предоставьте уникальный код устройства (например, серийный номер или QR-код), который пользователь может отсканировать или ввести в свою учетную запись на веб-портале производителя или в приложении для смартфона, чтобы связать устройство со своей учетной записью.
- Как только устройство подключится к Интернету через сеть Wi-Fi пользователя, оно откроет общий TLS соединение с сервером производителя. Сервер аутентифицируется на устройстве и запрашивает сертификат клиента устройства, связанный с уникальным кодом, введенным пользователем в свою учетную запись.
Обе стороны соединения теперь взаимно аутентифицированы и могут отправлять сообщения туда и обратно с помощью SSL /TLS шифрование по протоколам прикладного уровня, таким как HTTPS и MQTT. Пользователь может получить доступ к данным с устройства или внести изменения в его настройки с помощью своей учетной записи веб-портала или приложения для смартфона. Между двумя устройствами никогда не требуется неаутентифицированных сообщений или сообщений в открытом виде.
Последнее слово
Не попадитесь на открытое место. Если вас интересуют индивидуальные решения SSL.com для Интернета вещей, заполните форму ниже, чтобы получить дополнительную информацию.
