ใบรับรองดิจิทัลจาก SSL.com สามารถเป็นส่วนสำคัญของแผนขององค์กรด้านการดูแลสุขภาพสำหรับอีเมลการรับรองความถูกต้องและเว็บไซต์ที่สอดคล้องกับ HIPAA
การละเมิดและบทลงโทษของ HIPAA
พระราชบัญญัติความสามารถในการพกพาและความรับผิดชอบของการประกันสุขภาพของสหรัฐอเมริกา (HIPAA) ซึ่งเริ่มต้นในปี 1996 ได้ให้ความคุ้มครองความปลอดภัยและความเป็นส่วนตัวของข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ของผู้ป่วย (หรือเรียกว่า PHI หรือ ePHI) การปฏิบัติตามข้อกำหนด HIPAA บังคับใช้โดยสำนักงานเพื่อสิทธิพลเมือง (OCR) ของกระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐอเมริกา (DHS)
สำหรับปี 2020 นักข่าวกฎหมาย Steve Alder รายงาน ใน HIPAA Journal พบว่ามีการละเมิดข้อมูลขนาดใหญ่ 642 รายการโดยสถาบันด้านการดูแลสุขภาพรวมถึงผู้ให้บริการด้านการดูแลสุขภาพและสำนักหักบัญชีด้านการดูแลสุขภาพ สถิตินี้ใหญ่กว่า 25% เมื่อเทียบกับปี 2019 ซึ่งเป็นปีที่ทำลายสถิติแล้ว
เมื่อเทียบกับปี 2020 การละเมิดข้อมูลด้านการดูแลสุขภาพเพิ่มขึ้นสามเท่าตั้งแต่ปี 2010 และเพิ่มเป็นสองเท่าตั้งแต่ปี 2014 ดังนั้นจึงมีการละเมิดข้อมูลเพิ่มขึ้น 25% ต่อปี โดยรวมแล้ว มีการละเมิดข้อมูลการรักษาพยาบาล 78 ล้านรายการระหว่างปี 2009-2020
เหตุผลหลักสำหรับการละเมิดข้อมูลการดูแลสุขภาพในปี 2020
เทศกาล ห้าสาเหตุหลัก ของการละเมิดข้อมูลด้านสุขภาพในปี 2020 คือ ระบุ: เหตุการณ์แฮ็ค/ไอที (มีการละเมิดข้อมูล 26.9 ล้านรายการ) การเข้าถึง/การเปิดเผยโดยไม่ได้รับอนุญาต (787,015 บันทึกการละเมิด) การโจรกรรม (806,552 บันทึกการละเมิด), การกำจัดที่ไม่เหมาะสม (584,980 บันทึกการละเมิด) และการสูญเสีย (การละเมิดข้อมูล 169,509 รายการ)
เห็นได้ชัดว่าการโจมตีด้านความปลอดภัยทางไซเบอร์เป็นสาเหตุที่ใหญ่ที่สุดที่ข้อมูลด้านการดูแลสุขภาพถูกขโมย การโจมตีทางไซเบอร์รวมถึงฟิชชิ่งทั่วไป การส่งมัลแวร์ การใช้ประโยชน์จากช่องโหว่ และแรนซัมแวร์
ในช่วงเดือนสุดท้ายของปี 2020 อุบัติการณ์ของแรนซัมแวร์เพิ่มขึ้นอย่างมาก จุดตรวจ รายงาน การดูแลสุขภาพเป็นอุตสาหกรรมที่กำหนดเป้าหมายมากที่สุดโดยผู้โจมตี ransomware ในเดือนตุลาคม 2020 แก๊ง Ryuk ransomware เป็นหนึ่งในกลุ่มที่มีชื่อเสียงที่สุดในเดือนนั้น พวกเขานำระบบคอมพิวเตอร์ของ Sky Lakes Medical Center ออกและบังคับให้แพทย์ใช้ลายมือเพื่อบันทึกข้อมูลผู้ป่วย พวกเขายังโจมตีเครือข่ายสุขภาพของมหาวิทยาลัยเวอร์มอนต์ซึ่งมีสถานพยาบาลมากถึง 20 แห่งที่ตกเป็นเหยื่อ
นอกจากนี้ยังมีทฤษฎีว่า Ryuk เป็นผู้รับผิดชอบการโจมตี ransomware กับ Universal Health Services (UHS) ซึ่งมีโรงพยาบาล 400 แห่งในสหรัฐอเมริกาและให้บริการผู้ป่วยหลายล้านคนต่อปี UHS คือ ประมาณ เสียค่าเสียหาย 67 ล้านดอลลาร์ รวมถึงสูญเสียรายได้เนื่องจากรถพยาบาลถูกเปลี่ยนเส้นทางไปยังโรงพยาบาลอื่น กระบวนการเรียกเก็บเงินล่าช้ากว่า 2 เดือน และค่าใช้จ่ายมหาศาลในการซ่อมแซมระบบ
ระหว่างเดือนตุลาคมถึงกันยายนของปี 2020 พบว่ามีการโจมตีแรนซัมแวร์เพิ่มขึ้น 71% ที่น่าตกใจ คดีแรนซัมแวร์ในปี 2020 ประกอบด้วยการโจมตีทางไซเบอร์ที่สร้างความเสียหายมากที่สุดหลายครั้งที่เกิดขึ้นกับองค์กรด้านการดูแลสุขภาพในปีนั้น ในการโจมตีเหล่านี้หลายครั้ง ระบบต่างๆ ดับไปหลายสัปดาห์ ส่งผลให้บริการผู้ป่วยได้รับผลกระทบอย่างรุนแรง
ใบรับรองดิจิทัลสำหรับการปกป้องข้อมูลและการรับรองความถูกต้อง
ส่วนของ HIPAA บน การป้องกันทางเทคนิค ทำให้ชัดเจนว่า PHI ของผู้ป่วยต้องได้รับการคุ้มครองโดยผู้ให้บริการด้านสุขภาพเมื่อส่งผ่านเครือข่ายคอมพิวเตอร์หรือพักผ่อน ข้อบังคับที่เกี่ยวข้อง ได้แก่ (แต่ไม่ จำกัด เพียง):
164.312 (a) (2) (iv): การเข้ารหัสและถอดรหัส (แอดเดรสได้) ใช้กลไกในการเข้ารหัสและถอดรหัสข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์
164.312 (c) (1): มาตรฐาน: ความซื่อสัตย์. ดำเนินนโยบายและขั้นตอนเพื่อปกป้องข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์จากการเปลี่ยนแปลงหรือการทำลายที่ไม่เหมาะสม
164.312 (d): มาตรฐาน: การตรวจสอบบุคคลหรือเอนทิตี ดำเนินการตามขั้นตอนเพื่อตรวจสอบว่าบุคคลหรือหน่วยงานที่ต้องการเข้าถึงข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์เป็นบุคคลที่อ้างสิทธิ์
164.312 (e) (1): มาตรฐาน: ความปลอดภัยในการส่ง ใช้มาตรการรักษาความปลอดภัยทางเทคนิคเพื่อป้องกันการเข้าถึงข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ซึ่งถูกส่งผ่านเครือข่ายการสื่อสารทางอิเล็กทรอนิกส์โดยไม่ได้รับอนุญาต
เนื่องจากมีวัตถุประสงค์เพื่อ "พิสูจน์อนาคต" HIPAA จึงไม่ได้ระบุถึงเทคโนโลยีที่แน่นอนที่ต้องใช้เพื่อปกป้อง PHI ปัจจุบันใบรับรองดิจิทัลที่นำเสนอโดยหน่วยงานผู้ออกใบรับรอง (CA) ที่เชื่อถือได้สาธารณะเช่น SSL.com นำเสนอโซลูชันที่ยอดเยี่ยมในการรับรองการเข้ารหัสการรับรองความถูกต้องและความสมบูรณ์ของการสื่อสารแบบดิจิทัล
เราจะกล่าวถึงแอปพลิเคชันที่สำคัญสามประการของใบรับรองดิจิทัลสำหรับการสื่อสารตามมาตรฐาน HIPAA ที่นี่: S/MIME ใบรับรองสำหรับอีเมลที่ปลอดภัยการรับรองความถูกต้องของไคลเอนต์ตามใบรับรองและ SSL /TLS ใบรับรองสำหรับการปกป้องเว็บไซต์และเว็บแอปพลิเคชัน นอกจากนี้เราจะพูดถึงวิธีที่เครื่องมือจัดการใบรับรองขั้นสูงของ SSL.com สามารถช่วยคุณวางแผนและรักษาความครอบคลุมสำหรับทั้งองค์กรของคุณและทำให้ใบรับรองของคุณเป็นปัจจุบันอยู่เสมอ
S/MIME การรับรองความถูกต้องของอีเมลและไคลเอ็นต์สำหรับการปฏิบัติตามข้อกำหนด HIPAA
อีเมลถูกใช้เพื่อการสื่อสารผ่านเครือข่ายคอมพิวเตอร์ตั้งแต่ต้นทศวรรษ 1970 และไม่ปลอดภัยโดยค่าเริ่มต้น อีเมลเป็นไปตามโปรโตคอลข้อความธรรมดาไม่มีวิธีใดในการรับรองความสมบูรณ์ของข้อความและไม่มีกลไกในการตรวจสอบสิทธิ์ที่มีประสิทธิภาพ S/MIME (Secure / Multipurpose Internet Mail Extensions) ใบรับรองจาก SSL.com สามารถแก้ปัญหาเหล่านี้ได้โดยการตรวจสอบ การเข้ารหัสลับ, การรับรอง and ความสมบูรณ์ สำหรับอีเมลขององค์กรของคุณ:
- การเข้ารหัสลับ: S/MIME ให้การเข้ารหัสจากต้นทางถึงปลายทางที่มีประสิทธิภาพเพื่อไม่ให้ข้อความถูกดักจับและอ่านระหว่างการส่ง ตัวอย่างเช่น, S/MIME สามารถป้องกันข้อความที่ส่งทางอินเทอร์เน็ตระหว่างสำนักงานหรือองค์กรและภายนอกไฟร์วอลล์ของ บริษัท ใด ๆ
- S/MIME การเข้ารหัสเป็นแบบไม่สมมาตรกับทั้งสองอย่าง กุญแจสาธารณะและส่วนตัว. ทุกคนที่มีผู้รับ คีย์สาธารณะ สามารถส่งข้อความที่เข้ารหัสให้พวกเขา แต่มีเพียงผู้ที่อยู่ในตำแหน่งที่เกี่ยวข้องเท่านั้น กุญแจส่วนตัว สามารถถอดรหัสและอ่านได้ ดังนั้นจึงปลอดภัยที่จะแจกจ่ายคีย์สาธารณะทั้งภายในและภายนอกองค์กรในขณะที่คีย์ส่วนตัวต้องได้รับการรักษาอย่างปลอดภัย
- รับรองความถูกต้อง: แต่ละ S/MIME ข้อความอีเมลจะถูกลงนามด้วยคีย์ส่วนตัวที่ไม่ซ้ำกันซึ่งเชื่อมโยงกับที่อยู่อีเมล (และเป็นทางเลือกของบุคคลและ / หรือองค์กร) ที่ส่งไป เนื่องจากตัวตนของผู้ส่งได้รับการยืนยันโดย CA ของบุคคลที่สามที่เชื่อถือได้เช่น SSL.com และผูกไว้กับคีย์ลับนี้ผู้รับจึงมั่นใจได้ถึงตัวตนที่แท้จริงของผู้ส่ง
- ความสมบูรณ์: แต่ละคนลงนาม S/MIME ข้อความอีเมลมีการเข้ารหัส กัญชา (ประเภทของ "ลายนิ้วมือ" หรือการตรวจสอบข้อมูลดิจิทัล) ของเนื้อหาของข้อความที่สามารถคำนวณและยืนยันได้อย่างอิสระโดยซอฟต์แวร์อีเมลของผู้รับ หากข้อความถูกดักจับและเปลี่ยนแปลง (แม้แต่อักขระเดียว) ค่าแฮชที่คำนวณจะไม่ตรงกับลายเซ็นดิจิทัล ซึ่งหมายความว่าผู้รับอีเมลที่ลงชื่อแบบดิจิทัลสามารถมั่นใจได้ถึงความสมบูรณ์ของข้อความ
นอกจากนี้เนื่องจากลายเซ็นดิจิทัลที่เชื่อถือได้ทำให้มั่นใจได้ถึงความถูกต้องและความสมบูรณ์ของอีเมล S/MIME ให้กฎหมาย ปฏิเสธไม่ สำหรับข้อความอีเมล เป็นเรื่องยากสำหรับผู้ส่งที่จะปฏิเสธอย่างมีเหตุผลว่าพวกเขาส่งข้อความที่แน่นอนนั้น
การปฏิบัติตามข้อกำหนดของ HIPAA สำหรับอีเมลในการขนส่งและที่พักผ่อน
S/MIME ใบรับรองจาก SSL.com สามารถให้การปฏิบัติตามข้อกำหนด HIPAA สำหรับอีเมลขององค์กรในระหว่างการขนส่งหรือพักผ่อน:
- ในการขนส่ง: ความสมบูรณ์และความถูกต้องของ S/MIME รับรองอีเมลด้วยลายเซ็นดิจิทัลที่ไม่ซ้ำใครและเชื่อถือได้ การเข้ารหัสจากต้นทางถึงปลายทางช่วยให้แน่ใจว่าบุคคลที่สามไม่สามารถอ่านข้อความได้เมื่อส่งผ่านเครือข่ายที่ไม่ปลอดภัย (เช่นอินเทอร์เน็ต)
- ในส่วนที่เหลือ: S/MIME การเข้ารหัสช่วยให้มั่นใจได้ว่ามีเพียงผู้ที่ครอบครองคีย์ส่วนตัวของผู้รับเท่านั้นที่สามารถถอดรหัสและอ่านข้อความที่เข้ารหัสด้วยคีย์สาธารณะได้ อีเมลที่เข้ารหัสที่ขโมยมาจากการละเมิดข้อมูลหรือถูกบุกรุกจะไม่มีประโยชน์สำหรับผู้โจมตีหากไม่มีการเข้าถึงคีย์เหล่านี้
การตรวจสอบลูกค้า
ทั้งหมด S/MIME ใบรับรองที่ออกโดย SSL.com รวมถึงการรับรองความถูกต้องของไคลเอ็นต์ ใบรับรองการตรวจสอบความถูกต้องของไคลเอ็นต์สามารถใช้เป็นปัจจัยในการตรวจสอบสิทธิ์สำหรับการเข้าถึงทรัพยากรเครือข่ายที่มีการป้องกันเช่น VPN และเว็บแอปพลิเคชันที่มีการจัดการ PHI ของคนไข้ ดังนั้น, S/MIME และใบรับรองไคลเอ็นต์จาก SSL.com สามารถแจกจ่ายให้กับบุคลากรเป็นโซลูชันแบบครบวงจรสำหรับ:
- การรับรองความถูกต้องเพื่อเข้าถึงข้อมูลสุขภาพที่มีการป้องกัน
- การเข้ารหัสการรับรองความถูกต้องและความสมบูรณ์ของอีเมลในระหว่างการส่งหรือขณะอยู่นิ่ง
ขนาดใหญ่ S/MIME การลงทะเบียนใบรับรอง
การใช้ S/MIME ใบรับรองสำหรับการปฏิบัติตาม HIPAA ต้องมีแผนการออกใบรับรองให้กับบุคลากรทุกคนที่ทำงานกับ PHI และจัดการใบรับรองเหล่านี้เมื่อเวลาผ่านไป พนักงานไปไหนมาไหนใบรับรองหมดอายุและอาจต้องมีใบรับรอง เพิกถอน ด้วยเหตุผลหลายประการรวมถึงการประนีประนอมคีย์ส่วนตัว
ผู้ให้บริการด้านสุขภาพสามารถทำได้ง่าย ปัญหา S/MIME ใบรับรองจำนวนมาก จาก SSL.com ขั้นสูง พอร์ทัลบัญชีลูกค้า. ใบรับรองเหล่านี้อาจได้รับการจัดการต่ออายุและเพิกถอนได้ตามความจำเป็น
องค์กรที่ต้องการใบรับรองจำนวนมากอาจได้รับส่วนลดจากการขายส่งสูงถึง 65% จากการเข้าร่วม SSL.com โปรแกรมผู้ค้าปลีกและการจัดซื้อจำนวนมาก.
SSL /TLS สำหรับความปลอดภัยของเว็บไซต์
ใน 2021, ทั้งหมด เว็บไซต์ควรได้รับการปกป้องด้วยไฟล์ SSL /TLS ใบรับรอง และใช้ โปรโตคอล HTTPSแต่เป็นสิ่งจำเป็นอย่างยิ่งสำหรับเว็บไซต์หรือเว็บแอปพลิเคชันใด ๆ ที่จำเป็นต้องเป็นไปตามมาตรฐาน HIPAA Like S/MIME สำหรับอีเมล SSL /TLS โปรโตคอลให้การเข้ารหัสความถูกต้องและความสมบูรณ์สำหรับเว็บไซต์:
- การสื่อสารทั้งหมดระหว่างเว็บไซต์ที่ได้รับการป้องกันด้วย SSL / ที่กำหนดค่าไว้อย่างเหมาะสมTLS ใบรับรองและเว็บเบราว์เซอร์อย่างปลอดภัย ที่มีการเข้ารหัส.
- เทศกาล เอกลักษณ์ ของเว็บไซต์ HTTPS ที่แสดงใบรับรองที่ถูกต้องซึ่งลงนามโดย CA ที่เชื่อถือได้แบบสาธารณะจะได้รับการยอมรับจากเว็บเบราว์เซอร์และเปิดให้ผู้ใช้ใช้งานได้
- ขึ้นอยู่กับ ระดับการตรวจสอบ เลือกโดยเจ้าของ SSL ของเว็บไซต์ /TLS ใบรับรองอาจระบุเพียงว่า CA ยืนยันการควบคุมเว็บไซต์โดยผู้ขอใบรับรองหรืออาจรวมถึงข้อมูลโดยละเอียดเกี่ยวกับหน่วยงานที่ดำเนินการไซต์เช่น บริษัท หรือองค์กรอื่น ๆ
- เพื่อความไว้วางใจสูงสุดองค์กรด้านการดูแลสุขภาพอาจต้องการลงทุน การประกันสูง (OV) or ขยายการตรวจสอบ (EV) ใบรับรองแสดงหลักฐานยืนยันตัวตนแก่ผู้ใช้
- เอกสารเช่นหน้าเว็บจากเว็บไซต์ HTTPS ที่ป้องกันโดย SSL /TLS ใบรับรองมี ความสมบูรณ์ รับประกันโดยแฮชที่เข้ารหัสซึ่งรวมอยู่ในลายเซ็นดิจิทัลซึ่งเบราว์เซอร์คำนวณโดยอิสระก่อนที่จะเชื่อถือเอกสาร ข้อมูลนี้ไม่สามารถถูกดักจับและเปลี่ยนแปลงโดยบุคคลที่สามที่เป็นอันตรายในระหว่างการขนส่งโดยที่เบราว์เซอร์ไม่ตรวจพบข้อผิดพลาดและเตือนผู้ใช้
การแจ้งเตือนการหมดอายุและการทำงานอัตโนมัติ
ใบรับรองทั้งหมดมีวันหมดอายุซึ่งหลังจากนั้นซอฟต์แวร์ไคลเอ็นต์จะไม่เชื่อถือ สำหรับ SSL ที่เชื่อถือได้แบบสาธารณะ /TLSอายุการใช้งานใบรับรองสูงสุดในขณะนี้คือ 398 วัน. หากคุณปล่อยให้ SSL ของเว็บไซต์ /TLS ใบรับรองหมดอายุเบราว์เซอร์จะไม่เชื่อถืออีกต่อไป:
อาจเป็นเรื่องยากที่จะติดตามใบรับรองที่หมดอายุและอัปเดตอยู่เสมอและใบรับรองปัจจุบันมีความสำคัญอย่างยิ่งต่อการรักษาความปลอดภัยเว็บไซต์ที่สอดคล้องกับ HIPAA SSL.com มีตัวเลือกที่มีประสิทธิภาพมากมายเพื่อให้แน่ใจว่าใบรับรองของคุณทันสมัย:
- การแจ้งเตือนการหมดอายุ: SSL.com ให้ ประกาศที่กำหนดได้ เพื่อเตือนคุณเมื่อถึงเวลาต่ออายุใบรับรอง นี่เป็นตัวเลือกที่ยอดเยี่ยมสำหรับองค์กรที่มีใบรับรองจำนวนน้อยหรือในสถานการณ์ที่ระบบอัตโนมัติไม่สะดวกหรือเป็นไปไม่ได้เนื่องจากข้อ จำกัด ทางเทคนิค
- การเขียนสคริปต์และระบบอัตโนมัติ: องค์กรสามารถสร้างสคริปต์ที่กำหนดเองโดยใช้ประโยชน์จาก RESTful ของ SSL.com SWS API หรือมาตรฐานอุตสาหกรรม โปรโตคอล ACME เพื่อทำให้ SSL /TLS การต่ออายุใบรับรองไม่จำเป็นต้องมีการแจ้งเตือน ระบบอัตโนมัติมีความสำคัญอย่างยิ่งหากองค์กรมีเซิร์ฟเวอร์และใบรับรองจำนวนมากที่ต้องดูแล
SSL.com มีไฟล์ SSL /TLS ใบรับรองเซิร์ฟเวอร์ สำหรับเว็บไซต์ HTTPS ได้แก่ :
สรุป
เราหวังว่าโพสต์นี้จะช่วยให้คุณเข้าใจว่าใบรับรองดิจิทัลสามารถเป็นส่วนหนึ่งของแผนการปฏิบัติตามข้อกำหนด HIPAA ขององค์กรของคุณได้อย่างไรและเครื่องมือการจัดการขั้นสูงของ SSL.com จะช่วยให้คุณมั่นใจได้อย่างไรว่าองค์กรของคุณจะได้รับการปกป้องและเป็นปัจจุบัน
หากคุณมีคำถามใดๆ เกี่ยวกับการจัดซื้อใบรับรองสำหรับองค์กรของคุณ โดยเฉพาะสำหรับการออกใบรับรองจำนวนมาก S/MIME ใบรับรอง โปรดติดต่อทีมขายระดับองค์กรของ SSL.com ผ่านแบบฟอร์มด้านล่าง คุณสามารถติดต่อฝ่ายสนับสนุน SSL.com ทางอีเมลได้ที่ Support@SSL.com, ทางโทรศัพท์ที่ 1-877-SSL-SECUREหรือคลิกลิงก์แชทที่ด้านล่างขวาของหน้านี้
และเช่นเคยขอขอบคุณที่เยี่ยมชม SSL.com ที่ซึ่งเราเชื่อว่า ปลอดภัยมากขึ้น อินเทอร์เน็ตคือ ดีกว่า อินเทอร์เน็ต!
ติดต่อฝ่ายขายองค์กร SSL.com
