HIPAA Uyumlu İletişim için Dijital Sertifikalar

SSL.com'dan gelen dijital sertifikalar, bir sağlık hizmetleri kuruluşunun HIPAA uyumlu e-posta, kimlik doğrulama ve web siteleri planlarının önemli bir parçası olabilir.

HIPAA İhlalleri ve Cezaları

İlk olarak 1996'da kabul edilen ABD Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA), hastaların Elektronik Korumalı Sağlık Bilgilerinin (PHI veya ePHI olarak da bilinir) güvenliğini ve gizliliğini korur. HIPAA uyumluluğu, ABD Sağlık ve İnsan Hizmetleri Bakanlığı'nın (DHS) Sivil Haklar Bürosu (OCR) tarafından uygulanmaktadır.

HIPAA kapsamında, sağlık hizmeti sağlayıcıları, taşıma sırasında veya dinlenme sırasında PHI'yı korumakla yükümlüdür ve veri ihlalleri için para cezaları önemli olabilir. Hekimler Uygulaması raporları 34.9 milyon Amerikalının (ABD nüfusunun kabaca% 10'u!) 2019 yılında rapor edilen 418 HIPAA ihlalinden kaynaklanan PHI'larının ihlal edildiğini söyledi. Bu ihlallerin% 39'u e-postayı ve% 20'si ağ sunucularını içeriyordu.
 

2020 için, hukuk gazetecisi Steve Alder raporları HIPAA Journal'da, sağlık hizmeti sunucuları ve sağlık takas evleri de dahil olmak üzere sağlık kurumları tarafından 642 büyük ölçekli veri ihlali rapor edildi. Bu istatistik, zaten rekor kıran bir yıl olan 25'a kıyasla %2019 daha büyük. 

2020 yılına kıyasla, sağlık hizmeti veri ihlalleri 2010'dan bu yana üçe katlandı ve 2014'ten bu yana iki katına çıktı. Bu nedenle, veri ihlallerinde yıllık %25'lik bir artış oldu. Genel olarak, 78-2009 yılları arasında şaşırtıcı bir şekilde 2020 milyon sağlık hizmeti kaydı ihlal edildi. 

İhlal başına 100 ila 50,000 ABD Doları arasında değişen para cezaları ve bir HIPAA hükmünün ihlali için yılda maksimum 1.5 milyon ABD Doları tutarında ceza ile hiçbir sağlık hizmeti sağlayıcısı, müşterilerinin PHI'sını koruma konusunda ihmalkar davranmayı göze alamaz.
 

2020'de Sağlık Hizmetleri Veri İhlallerinin Başlıca Nedenleri

The beş ana neden 2020'deki sağlık veri ihlallerinin sayısı tespit: bilgisayar korsanlığı/BT olayı (26.9 milyon kayıt ihlal edildi), yetkisiz erişim/açıklama (787,015 kayıt ihlal edildi), Çalınması (806,552 kayıt ihlal edildi), uygunsuz imha (584,980 kayıt ihlal edildi) ve kayıp (169,509 kayıt ihlal edildi). 

Açıkça, siber güvenlik saldırıları, sağlık verilerinin çalınmasının en büyük nedeniydi. Siber saldırılar, çok yaygın olan kimlik avı, kötü amaçlı yazılım gönderme, güvenlik açıklarından yararlanma ve fidye yazılımlarını içeriyordu.

2020'nin son aylarında fidye yazılımı vakaları önemli ölçüde arttı. Kontrol Noktası rapor Ekim 2020'de fidye yazılımı saldırganlarının en çok hedef aldığı sektör sağlık sektörüydü. Ryuk fidye yazılımı çetesi o ayın en kötü şöhretlilerinden biriydi. Sky Lakes Tıp Merkezi'nin bilgisayar sistemlerini çıkardılar ve klinisyenleri hasta bilgilerini belgelemek için el yazısına başvurmaya zorladılar. Ayrıca, 20'ye kadar tıbbi tesisin kurban edildiği Vermont Üniversitesi Sağlık Ağı'na da saldırdılar. 

Ayrıca, ABD'de 400 hastanesi bulunan ve her yıl milyonlarca hastaya hizmet veren Universal Health Services'e (UHS) yönelik fidye yazılımı saldırısından Ryuk'un sorumlu olduğu da teorize ediliyor. UHS tahmini Ambulansların başka hastanelere yönlendirilmesinden kaynaklanan gelir kaybı, faturalandırma işlemlerinde 67 aydan fazla gecikme ve sistemlerini onarmak için yapılan devasa harcamalar da dahil olmak üzere zararlar için 2 milyon dolar kaybetmiş olmak.  

2020 yılının Ekim ve Eylül ayları arasında fidye yazılımı saldırılarında %71 oranında endişe verici bir artış gözlemlendi. 2020'deki fidye yazılımı vakaları, o yıl sağlık kuruluşlarına karşı meydana gelen en zararlı siber saldırılardan birkaçını oluşturdu. Bu saldırıların çoğunda sistemler haftalarca karartıldı ve sonuç olarak hasta hizmetleri ciddi şekilde etkilendi. 

Bilgi Koruma ve Kimlik Doğrulama için Dijital Sertifikalar

HIPAA'nın bölümü teknik önlemler Hastaların PHI'sının bir bilgisayar ağı üzerinden iletildiğinde veya dinlenme sırasında sağlık hizmeti sağlayıcıları tarafından korunması gerektiğini açıkça belirtir. İlgili düzenlemeler şunları içerir (ancak bunlarla sınırlı değildir):

164.312 (a) (2) (iv): Şifreleme ve şifre çözme (Adreslenebilir). Elektronik korumalı sağlık bilgilerini şifrelemek ve şifresini çözmek için bir mekanizma uygulayın.

164.312 (c) (1): Standart: Bütünlük. Elektronik olarak korunan sağlık bilgilerini uygunsuz değişiklik veya imhadan korumak için politika ve prosedürler uygulayın.

164.312 (d): Standart: Kişi veya varlık kimlik doğrulaması. Elektronik korumalı sağlık bilgilerine erişmek isteyen bir kişi veya kuruluşun iddia edilen kişi olduğunu doğrulamak için prosedürler uygulayın.

164.312 (e) (1): Standart: İletim güvenliği. Bir elektronik iletişim ağı üzerinden iletilen elektronik korumalı sağlık bilgilerine yetkisiz erişime karşı korunmak için teknik güvenlik önlemleri uygulayın.

"Geleceğe yönelik" olması amaçlandığından, HIPAA, PHI'yi korumak için kullanılması gereken teknolojileri tam olarak açıklamaz. Bugün, SSL.com gibi herkese açık olarak güvenilen sertifika yetkilileri (CA'lar) tarafından sunulan dijital sertifikalar, dijital iletişimin şifrelenmesini, kimlik doğrulamasını ve bütünlüğünü sağlamak için harika bir çözüm sunar.

HIPAA uyumlu iletişim için üç önemli dijital sertifika uygulamasını burada ele alacağız: S/MIME güvenli e-posta, sertifika tabanlı istemci kimlik doğrulaması ve SSL /TLS web sitelerini ve web uygulamalarını korumak için sertifikalar. Ayrıca, SSL.com'un gelişmiş sertifika yönetim araçlarının tüm kuruluşunuz için kapsamı planlamanıza ve korumanıza ve sertifikalarınızı güncel tutmanıza nasıl yardımcı olabileceğini tartışacağız.

Başa gitmek

S/MIME HIPAA Uyumluluğu için E-posta ve İstemci Kimlik Doğrulaması

E-posta, 1970'lerin başından beri bilgisayar ağları üzerinden iletişim için kullanılmaktadır ve varsayılan olarak güvensizdir. E-posta, düz metin protokollerine dayanır, mesajların bütünlüğünü sağlamanın hiçbir yolunu sağlamaz ve sağlam bir kimlik doğrulama mekanizması içermez. S/MIME (Güvenli / Çok Amaçlı İnternet Posta Uzantıları) SSL.com'dan alınan sertifikalar bu sorunları, şifreleme, kimlik doğrulama ve bütünlük kuruluşunuzun e-postası için:

  • Şifreleme: S/MIME sağlam uçtan uca şifreleme sağlar, böylece mesajlar geçiş sırasında engellenemez ve okunamaz. Örneğin, S/MIME İnternet üzerinden, ofisler veya kuruluşlar arasında ve herhangi bir şirket güvenlik duvarının dışında gönderilen mesajları koruyabilir.
    • S/MIME şifreleme, her ikisi ile aysmmetriktir. genel ve özel anahtarlar. Alıcının sahibi olan herkes Genel anahtar onlara şifreli bir mesaj gönderebilir, ancak yalnızca ilgili kişinin elinde olan Özel anahtar şifresini çözebilir ve okuyabilir. Bu nedenle, ortak anahtarların hem kuruluş içinde hem de dışında dağıtılması güvenlidir ve özel anahtarların güvenli bir şekilde tutulması gerekir.
  • Kimlik doğrulama: Her S/MIME e-posta mesajı, onu gönderen e-posta adresiyle (ve isteğe bağlı olarak bireysel kişi ve / veya kuruluşla) ilişkili benzersiz bir özel anahtarla imzalanır. Gönderenin kimliği, SSL.com gibi güvenilir bir üçüncü taraf CA tarafından doğrulandığı ve bu gizli anahtara bağlandığı için, alıcılara gönderenin gerçek kimliği konusunda güvence verilir.
  • Dürüstlük: Her imzalı S/MIME e-posta mesajı şifrelenmiş bir esrar (bir tür dijital "parmak izi" veya sağlama toplamı), alıcının e-posta yazılımı tarafından bağımsız olarak hesaplanabilen ve onaylanabilen mesaj içeriğinin. Bir mesaj bir şekilde yakalanır ve değiştirilirse (bir karakterle bile), hesaplanan karma değeri dijital imzayla eşleşmeyecektir. Bu, dijital olarak imzalanmış e-posta alıcılarının bir iletinin bütünlüğünden emin olabileceği anlamına gelir.

Ayrıca, güvenilir bir dijital imza, e-postanın gerçekliğini ve bütünlüğünü sağladığından, S/MIME yasal sağlar olmayan tanımadığı e-posta mesajları için; Bir gönderenin, aynı mesajı gönderdiğini makul bir şekilde inkar etmesi zordur.

Geçiş Halinde ve Beklemede E-posta için HIPAA Uyumluluğu

S/MIME SSL.com'dan alınan sertifikalar, bir kuruluşun e-postası için aktarılırken veya kullanımda değilken HIPAA uyumluluğu sağlayabilir:

  • Transit olarak: Bütünlüğü ve özgünlüğü S/MIME e-posta benzersiz, güvenilir bir dijital imza ile sağlanır. Uçtan uca şifreleme, güvenli olmayan ağlar (internet gibi) üzerinden iletildiğinde mesajların üçüncü bir taraf tarafından okunamamasını sağlar.
  • Dinlenmede: S/MIME şifreleme, yalnızca alıcının özel anahtarına sahip olan bir kişinin genel anahtarıyla şifrelenmiş mesajların şifresini çözmesini ve okuyabilmesini sağlar. Veri ihlallerinde çalınan veya başka bir şekilde ele geçirilen şifreli e-posta, bu anahtarlara erişimi olmayan saldırganlar için işe yaramaz.

İstemci Kimlik Doğrulaması

Türkiye S/MIME SSL.com tarafından verilen sertifikalar, istemci kimlik doğrulamasını içerir. İstemci kimlik doğrulama sertifikaları, hastaların PHI'sinin işlendiği VPN'ler ve web uygulamaları gibi korumalı ağ kaynaklarına erişim için bir kimlik doğrulama faktörü olarak kullanılabilir. Bu nedenle, S/MIME ve SSL.com'dan gelen istemci sertifikaları, aşağıdakiler için birleşik bir çözüm olarak personele dağıtılabilir:

  • Korunan sağlık bilgilerine erişim için kimlik doğrulama.
  • Aktarım sırasında veya kullanımda olmayan e-postaların şifrelenmesi, kimlik doğrulaması ve bütünlüğü.
İstemci sertifikalarını web uygulamalarıyla kullanma hakkında daha fazla bilgi için lütfen SSL.com'un nasıl yapılır bölümünü okuyun, Web Tarayıcılarında İstemci Kimlik Doğrulama Sertifikalarını Yapılandırma.

yığın S/MIME Sertifika Kaydı

kullanma S/MIME HIPAA uyumluluğu sertifikaları, PHI ile çalışan tüm personele sertifika verilmesi ve bu sertifikaların zaman içinde yönetilmesi için bir plan gerektirir. Çalışanlar gelir ve gider, sertifikaların süresi dolar ve sertifikaların iptal özel anahtar güvenliği ihlali dahil olmak üzere çeşitli nedenlerle.

Sağlık hizmeti sağlayıcıları kolayca konu S/MIME toplu olarak sertifikalar SSL.com'un gelişmişinden müşteri hesabı portalı. Bu sertifikalar gerektiğinde yönetilebilir, yenilenebilir ve iptal edilebilir.

E-posta adreslerini girin

Çok sayıda sertifika gerektiren kuruluşlar da SSL.com'a katılarak% 65'e varan toptan satış indirimlerinden yararlanabilirler. Bayi ve Toplu Satın Alma Programı.

SSL /TLS Web Sitesi Güvenliği için

2021 olarak, herşey web siteleri bir ile korunmalıdır SSL /TLS sertifika ve kullan HTTPS protokolüancak HIPAA uyumlu olması gereken herhangi bir web sitesi veya web uygulaması için mutlak bir zorunluluktur. Facebok sayfasını beğenin : S/MIME e-posta için SSL /TLS protokol, web siteleri için şifreleme, özgünlük ve bütünlük sağlar:

  • Düzgün yapılandırılmış bir SSL ile korunan bir web sitesi arasındaki tüm iletişimler /TLS sertifika ve bir web tarayıcısı güvenlidir şifreli.
  • The kimlik Genel olarak güvenilen bir CA tarafından imzalanmış geçerli bir sertifika sunan bir HTTPS web sitesi, web tarayıcıları tarafından kabul edilecek ve kullanıcıların kullanımına sunulacaktır.
    • Bağlı olarak doğrulama düzeyi sahibi tarafından seçilen bir web sitesinin SSL'si /TLS Sertifika, bir CA'nın, sertifika başvuru sahibi tarafından bir web sitesinin kontrolünü onayladığını belirtebilir veya bir şirket veya başka bir kuruluş gibi siteyi işleten kuruluş hakkında ayrıntılı bilgiler içerebilir.
    • Maksimum güven için, sağlık kuruluşları yatırım yapmak isteyebilir Yüksek Güvence (OV) or Genişletilmiş Doğrulama (EV) sertifikalar, kullanıcılara kimlik kanıtı sağlar.
  • SSL ile korunan bir HTTPS web sitesindeki web sayfaları gibi belgeler /TLS sertifika onların var bütünlük , belgeye güvenilmeden önce tarayıcı tarafından bağımsız olarak hesaplanan, dijital imzaya dahil edilen şifreli bir hash ile garanti edilir. Tarayıcı, hatayı algılamadan ve kullanıcıyı uyarmadan, aktarım sırasında veriler kötü niyetli bir üçüncü tarafça ele geçirilemez ve değiştirilemez.
SSL /TLS yapılandırma karmaşık bir konudur ve HTTPS için bir web sitesi kurarken birçok potansiyel tuzak vardır. Lütfen SSL.com'u okuyun SSL kılavuzu /TLS en iyi uygulamalar çok daha fazla bilgi için.

Sona Erme Hatırlatmaları ve Otomasyon

Tüm sertifikaların bir son kullanma tarihi vardır ve bu tarihten sonra istemci yazılımı tarafından güvenilmez. Herkese açık olarak güvenilen SSL için /TLSmaksimum sertifika ömrü şu anda 398 gün. Bir web sitesinin SSL /TLS sertifikanın süresi dolduğunda, tarayıcılar artık ona güvenmeyecek:

Süresi Dolan Sertifika Hata Mesajı

Süresi dolan sertifikaları takip etmek ve bunları güncel tutmak zor olabilir ve mevcut sertifikalar, güvenli, HIPAA uyumlu web sitelerini korumak için çok önemlidir. SSL.com, sertifikalarınızın güncel olduğundan emin olmak için birkaç güçlü seçenek sunar:

  • Süre sonu hatırlatıcıları: SSL.com sağlar yapılandırılabilir bildirimler bir sertifikanın yenilenme zamanının geldiğini size hatırlatmak için. Bu, az sayıda sertifikaya sahip kuruluşlar için veya teknik kısıtlamalar nedeniyle otomasyonun elverişsiz veya imkansız olduğu durumlarda harika bir seçenektir.
    Sona Erme Hatırlatıcıları
  • Komut dosyası oluşturma ve otomasyon: Kuruluşlar, SSL.com'un RESTful'undan yararlanarak özel komut dosyaları oluşturabilir SWS API'sı veya endüstri standardı ACME protokolü SSL'yi otomatikleştirmek için /TLS sertifika yenileme, hatırlatma ihtiyacını ortadan kaldırır. Otomasyon, bir kuruluşun bakımı gereken çok sayıda sunucusu ve sertifikası varsa özellikle önemlidir.

SSL.com çok çeşitli SSL /TLS sunucu sertifikaları HTTPS web siteleri için:

SSL KARŞILAŞTIR /TLS BELGELERİ

Sonuç

Bu gönderinin, dijital sertifikaların kuruluşunuzun HIPAA uyumluluğu planının bir parçası olabileceğini ve SSL.com'un gelişmiş yönetim araçlarının kuruluşunuzun korunduğundan ve güncel olduğundan emin olmanıza nasıl yardımcı olabileceğini anlamanıza yardımcı olduğunu umuyoruz.

Kuruluşunuz için sertifika satın almayla ilgili herhangi bir sorunuz varsa, özellikle sertifikaların toplu olarak düzenlenmesi için. S/MIME Sertifikalar için lütfen aşağıdaki formu kullanarak SSL.com'un kurumsal satış ekibiyle iletişime geçin. SSL.com desteğine şu adresten e-posta yoluyla da ulaşabilirsiniz: Support@SSL.com, telefonla 1-877-SSL-SECUREveya bu sayfanın sağ altındaki sohbet bağlantısını tıklayarak.

Ve her zaman olduğu gibi, SSL.com'u ziyaret ettiğiniz için teşekkür ederiz. daha güvenli internet bir daha iyi internet!

SSL.com Enterprise Satışları ile iletişime geçin

SSL.com Destek Ekibi

Yazar - İçerik Yöneticisi
Tüm Mesajlar

İlgili Blog Yazıları

Tüm Blog Yazılarını Görüntüle
Facebook Linkedin Twitter Youtube Github

SSL nedir /TLS?

Videoyu Oynat

SSL.com'un Bültenine abone olun

SSL.com'dan yeni makaleleri ve güncellemeleri kaçırmayın

Geri bildiriminizi almak isteriz

Anketimize katılın ve son satın alma işleminizle ilgili düşüncelerinizi bize bildirin.

Anketi doldur