HIPAA ve IoT
Nesnelerin İnterneti (IoT) katlanarak büyüyor ve bazı raporlar, 38'de 2020 milyar cihaz. Daha fazlası ve daha fazla hikaye Ortaya çıkan saldırıya uğramış cihazların ortaya çıkmasıyla, Nesnelerin İnternetini güvence altına alma ihtiyacı, HIPAA'yı göz önünde bulunduran tıbbi cihaz üreticileri için daha acil hale geliyor.
ABD Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası veya HIPAA şaka değil. HIPAA, hastaların Elektronik Korumalı Sağlık Bilgilerinin (PHI veya ePHI) güvenliğini ve gizliliğini korur ve ABD Sağlık ve İnsan Hizmetleri Departmanının (DHS) Sivil Haklar Bürosu (OCR) tarafından uygulanır. HIPAA uyumlu iletişim için dijital sertifikalar arıyorsanız, makalemize buradan göz atın.
HIPAA, sağlık hizmeti sağlayıcılarının PHI'yi taşıma sırasında veya dinlenme sırasında korumasını gerektirir ve bunu yapmamak ağır para cezalarına neden olabilir. HIPAA ihlalleri için para cezaları İhlal başına 100 ila 50,000 ABD Doları arasında değişebilir ve yılda maksimum 1.5 milyon ABD Doları ceza olabilir. 2019'da 418 ihlal, 34.9 milyon Amerikalı'nın PHI'sının tehlikeye atılmasına yol açtı.
Hasta bilgilerini güvence altına almak ve HIPAA uyumlu kalmak için şimdi adımlar atmak kesinlikle doğru harekettir. 2019'da ağ sunucusu ihlalleri, 30.6 milyon kişinin bilgilerinin tehlikeye atılmasına neden oldu. 2018 yılında, Amerikan Tıbbi Toplama Ajansı'nın (AMCA) ağ sunucusu saldırıya uğradı ve 22 milyon hasta veriler tehlikeye atıldı. Mali yankılar ve iş kaybı, AMCA'nın Bölüm 11 İflas başvurusunda bulunmasına yol açtı.
HIPAA Bilgi Aktarım Gereksinimleri
HIPAA, bilgi aktarım güvenliği ile ilgili olarak şunları belirtir:
164.312 (e) (1): Standart: İletim güvenliği. Bir elektronik iletişim ağı üzerinden iletilen elektronik korumalı sağlık bilgilerine yetkisiz erişime karşı korunmak için teknik güvenlik önlemleri uygulayın.
HIPAA'nın geleceğe dönük olması amaçlandığından, bu yönergeyi açık uçlu bırakır. Temel olarak, potansiyel olarak maliyetli ihlallere karşı koruma sağlamak için, bir elektronik iletişim ağı üzerinden iletilen bilgileri koruyacak protokoller bulunmalıdır.
Bir kuruluş için bu, bir ağ üzerinden veri ileten tüm cihazların, özellikle bunu şirket güvenlik duvarının dışında yapanların, kimlik doğrulama ve şifreleme için bir mekanizma uygulaması gerektiği anlamına gelir. SSL /TLS bunu tek yolla veya Karşılıklı kimlik doğrulama.
SSL.com çok çeşitli SSL /TLS sunucu sertifikaları HTTPS web siteleri için:
SSL /TLS HIPAA Uyumlu IoT için
SSL /TLS protokol kullanır asimetrik şifreleme İnternette iki bilgisayar arasında paylaşılan verilerin güvenliğini sağlamak için. Ek olarak, SSL /TLS sunucu ve / veya istemcinin kimliklerinin doğrulanmasını sağlar. En yaygın senaryoda, tek yönlü kimlik doğrulama kullanan bir HTTPS sunucusu, ziyaretçinin tarayıcısına SSL.com gibi genel olarak güvenilen bir Sertifika Yetkilisi (CA) tarafından dijital olarak imzalanmış bir sertifika sağlar.
SSL'nin arkasındaki matematik /TLS Yeterince büyük bir anahtar boyutu göz önüne alındığında bir CA'nın dijital olarak imzalanmış sertifikalarının tahrif edilmesinin pratikte imkansız olduğundan emin olun. Genel CA'lar, sertifika vermeden önce başvuru sahiplerinin kimliğini doğrular. Ayrıca, güven depolarında kabul edilmeleri ve muhafaza edilmeleri için işletim sistemi ve web tarayıcısı sağlayıcıları tarafından sıkı denetimlere tabidirler ( güvenilen kök sertifikalar tarayıcı ve işletim sistemi yazılımı yüklü).
SSL ve İstemcilerin Kimlik Doğrulaması
Çoğu uygulama için SSL /TLS bir sunucunun bir istemciye tek yönlü kimlik doğrulamasını kullanır; anonim bir istemci (web tarayıcısı), herkese açık olarak güvenilen bir SSL sunan bir web sunucusuyla şifrelenmiş bir oturum görüşür.TLS SSL sırasında kendini tanıtmak için sertifika /TLS tokalaşma.
Tek yönlü kimlik doğrulama çoğu web taraması için tamamen kabul edilebilir olsa da, saldırganların kullanıcı adları ve parolalar gibi oturum açma kimlik bilgilerini hedeflediği kimlik avı gibi kimlik bilgisi hırsızlığı saldırılarına karşı hala savunmasızdır. Kimlik avı saldırıları göre veri ihlallerinin% 22'sini oluşturuyor bir Verizon raporu. Ek koruma için, karşılıklı kimlik doğrulamayı tercih edebilirsiniz. Karşılıklı kimlik doğrulamada, el sıkışma sırasında sunucunun kimliği doğrulandığında, bir CertificateRequest müşteriye mesaj. İstemci, kimlik doğrulaması için sunucuya bir sertifika göndererek yanıt verecektir. Her iki taraf da doğrulanmış PKIKarşılıklı kimlik doğrulama, geleneksel parola merkezli yöntemlerden çok daha güvenlidir.
Karşılıklı Kimlik Doğrulama ve IoT
Tıbbi cihaz üreticileri için, istemci ve sunucunun kimlikleriyle hiçbir şeyi şansa bırakmamak için sunucuların ve cihazların karşılıklı kimlik doğrulaması en iyi seçenek olabilir. Örneğin, akıllı bir tıbbi cihaz internete bağlandığında, bir üretici, kullanıcıların bilgilere erişebilmesi için şirketin sunucularından veri gönderip almasını isteyebilir. Bu güvenli bilgi aktarımını kolaylaştırmak için üretici aşağıdakileri dikkate alabilir:
- Her cihazı benzersiz bir şifreleme anahtarı çifti ve istemci sertifikasıyla gönderin. Tüm iletişim cihaz ile şirketin sunucuları arasında olacağından, bu sertifikalara özel olarak güvenilebilir ve sertifika ömrü gibi ilkeler için ek esneklik sunar.
- Kullanıcının cihazı kendi hesabıyla ilişkilendirmek için üreticinin web portalında veya akıllı telefon uygulamasında tarayabileceği veya kullanıcı hesabına girebileceği benzersiz bir cihaz kodu (seri numarası veya QR kodu gibi) sağlayın.
- Cihaz, kullanıcının Wi-Fi ağı üzerinden internete bağlandığında, ortak bir TLS üreticinin sunucusuyla bağlantı. Sunucu, cihazda kendi kimliğini doğrulayacak ve kullanıcının hesabına girdiği benzersiz kodla ilişkilendirilen cihazın istemci sertifikasını isteyecektir.
Bağlantının iki tarafı artık karşılıklı olarak kimlik doğrulamalıdır ve SSL /TLS HTTPS ve MQTT gibi uygulama katmanı protokolleri üzerinden şifreleme. Kullanıcı, cihazdaki verilere erişebilir veya web portalı hesabı veya akıllı telefon uygulamasıyla ayarlarında değişiklik yapabilir. İki cihaz arasında hiçbir zaman kimliği doğrulanmamış veya açık metin mesajlarına gerek yoktur.
Son söz
Açıkta kalmayın. SSL.com'un özel IoT çözümleriyle ilgileniyorsanız, daha fazla bilgi almak için aşağıdaki formu doldurun.
