SSL.com的数字证书可能是医疗保健组织针对符合HIPAA要求的电子邮件,身份验证和网站计划的重要组成部分。
HIPAA违反和处罚
最初于1996年通过的《美国健康保险可移植性和责任法案》(HIPAA)保护患者的电子保护健康信息(也称为PHI或ePHI)的安全和隐私。 HIPAA的合规性由美国卫生与公共服务部(DHS)的民权办公室(OCR)强制执行。
2020 年,法律记者史蒂夫·奥尔德 (Steve Alder) 报告 在 HIPAA 杂志上,包括医疗保健提供者和医疗保健信息交换所在内的医疗保健机构报告了 642 起大规模数据泄露事件。 与 25 年相比,这一统计数据增加了 2019%,而 XNUMX 年本身就已经是破纪录的一年。
与 2020 年相比,医疗保健数据泄露事件自 2010 年以来增加了两倍,自 2014 年以来翻了一番。因此,数据泄露事件以每年 25% 的速度增长。 总体而言,在 78 年至 2009 年间,有 2020 万份医疗保健记录被泄露。
2020 年医疗保健数据泄露的主要原因
特 五个主要原因 2020 年的医疗保健数据泄露事件是 确定:黑客/IT 事件(26.9 万条记录遭到破坏)、未经授权的访问/披露(787,015 条记录遭到破坏), 盗窃 (806,552 条记录遭到破坏)、处置不当(584,980 条记录遭到破坏) 和丢失(169,509 条记录遭到破坏)。
显然,网络安全攻击是医疗数据被盗的最大原因。 网络攻击包括非常常见的网络钓鱼、发送恶意软件、漏洞利用和勒索软件。
在 2020 年的最后几个月,勒索软件的发生率显着增加。 检查点 报道 2020 年 20 月,医疗保健是勒索软件攻击者最有针对性的行业。 Ryuk 勒索软件团伙是当月最臭名昭著的行业之一。 他们拿出了天湖医疗中心的计算机系统,迫使临床医生依靠手写来记录患者信息。 他们还攻击了佛蒙特大学健康网络,其中多达 XNUMX 家医疗机构受害。
从理论上讲,Ryuk 对针对 Universal Health Services (UHS) 的勒索软件攻击负责,该服务在美国拥有 400 家医院,每年为数百万患者提供服务。 UHS 是 估计 损失了 67 万美元,其中包括因救护车被转移到其他医院而导致的收入损失、计费程序延迟超过 2 个月以及修复系统的巨额费用。
在 2020 年 71 月至 2020 月期间,观察到勒索软件攻击增加了 XNUMX%,令人震惊。 XNUMX 年的勒索软件案件包括当年针对医疗保健组织发生的几起危害最大的网络攻击。 在许多此类攻击中,系统中断了数周,结果,患者服务受到了严重影响。
信息保护和认证的数字证书
HIPAA的部分 技术保障 明确指出,当通过计算机网络传输或处于静止状态时,患者的PHI必须受到医疗保健提供者的保护。 相关法规包括(但不限于):
164.312(a)(2)(iv):加密和解密(可寻址)。 实现一种机制,以加密和解密电子保护的健康信息。
164.312(c)(1):标准:完整性。 实施政策和程序,以保护受电子保护的健康信息免遭不当更改或破坏。
164.312(d):标准:个人或实体认证。 实施程序以验证寻求访问受保护的电子健康信息的个人或实体。
164.312(e)(1):标准:传输安全性。 实施技术安全措施,以防止未经授权访问通过电子通信网络传输的电子保护健康信息。
由于HIPAA旨在“面向未来”,因此并未明确说明保护PHI所必须使用的确切技术。 如今,由SSL.com等公共信任证书颁发机构(CA)提供的数字证书为确保数字通信的加密,身份验证和完整性提供了一种出色的解决方案。
我们将在这里介绍数字证书在符合HIPAA的通信中的三个重要应用: S/MIME 用于安全电子邮件的证书,基于证书的客户端身份验证和SSL /TLS 保护网站和Web应用程序的证书。 我们还将讨论SSL.com的高级证书管理工具如何帮助您计划和维护整个组织的覆盖范围,并使证书保持最新状态。
S/MIME 符合HIPAA要求的电子邮件和客户端身份验证
电子邮件自1970年代初以来就一直用于通过计算机网络进行通信,默认情况下它是不安全的。 电子邮件基于纯文本协议,无法提供任何方法来确保消息的完整性,并且不包含用于进行可靠身份验证的机制。 S/MIME (安全/多功能Internet邮件扩展) SSL.com的证书可以通过确保 加密, 认证 和 诚信 用于您组织的电子邮件:
- 加密: S/MIME 提供强大的端到端加密,以便在传输过程中不会截获和读取消息。 例如, S/MIME 可以保护通过Internet,办公室或组织之间以及任何公司防火墙之外发送的消息。
- S/MIME 加密是不对称的,两者 公钥和私钥。 有收件者的任何人 公钥 可以向他们发送加密消息,但只有一个拥有相应消息的人 私钥 可以解密并读取它。 因此,在组织内部和外部分发公共密钥是安全的,而私有密钥必须保持安全。
- 验证: 每 S/MIME 电子邮件使用与发送电子邮件的电子邮件地址(以及可选的个人和/或组织)关联的唯一私钥进行签名。 由于发件人的身份已由受信任的第三方CA(例如SSL.com)进行了验证,并且已绑定到此密钥,因此可以确保收件人具有发件人的真实身份。
- 完整性: 每个签名 S/MIME 电子邮件中包含加密的 哈希 邮件内容的一种(数字“指纹”或校验和的类型),可以由收件人的电子邮件软件独立计算和确认。 如果以某种方式截取和更改了一条消息(甚至是一个字符),则计算出的哈希值将与数字签名不匹配。 这意味着经过数字签名的电子邮件的收件人可以确定邮件的完整性。
此外,由于受信任的数字签名可确保电子邮件的真实性和完整性, S/MIME 提供法律 不可否认 用于电子邮件; 发送者很难合理地拒绝他们发送了确切的消息。
HIPAA合规性,适用于在途和静止的电子邮件
S/MIME SSL.com的证书可以在运输途中或静止时为组织的电子邮件提供HIPAA符合性:
- 在途中: 的完整性和真实性 S/MIME 电子邮件是由唯一的,受信任的数字签名来确保的。 端到端加密可确保在不安全的网络(例如Internet)上传输消息时,第三方无法读取消息。
- 在休息: S/MIME 加密可确保只有拥有收件人私钥的人才能解密和读取使用其公钥加密的邮件。 加密的电子邮件因数据泄露而被盗或以其他方式被破坏,对于无法访问这些密钥的攻击者来说是无用的。
客户端认证
全部 S/MIME SSL.com颁发的证书包括客户端身份验证。 客户端身份验证证书可以用作访问受保护网络资源(例如处理患者PHI的VPN和Web应用程序)的身份验证因素。 因此, S/MIME SSL.com的客户端证书可以作为以下人员的统一解决方案分发给人员:
- 用于访问受保护的健康信息的身份验证。
- 电子邮件在传输中或静止时的加密,身份验证和完整性。
整体 S/MIME 证书注册
运用 S/MIME HIPAA 合规性证书需要一个计划,用于向所有与 PHI 合作的人员颁发证书并随着时间的推移管理这些证书。 员工来来去去,证书过期,可能需要提供证书 撤销 由于各种原因,包括私钥泄露。
医疗保健提供者可以轻松 问题 S/MIME 批量证书 来自SSL.com的高级版本 客户帐户门户。 这些证书可以根据需要进行管理,更新和吊销。
需要大量证书的组织也可以通过参加SSL.com的活动而获得高达65%的批发折扣。 经销商和批量购买计划.
SSL /TLS 网站安全
2021年, 所有 网站应使用 SSL /TLS 证书 并使用 HTTPS协议,但对于必须符合HIPAA要求的任何网站或Web应用程序,这都是绝对必须的。 喜欢 S/MIME 对于电子邮件,SSL /TLS 协议可为网站提供加密,真实性和完整性:
- 使用正确配置的SSL /保护的网站之间的所有通信TLS 证书和Web浏览器是安全的 加密.
- 特 身分 Web浏览器将接受HTTPS网站上显示由公共信任的CA签名的有效证书的,并将其提供给用户。
- 来自受SSL /保护的HTTPS网站中的文档(例如网页)TLS 证书有他们的 诚信 由数字签名中包含的加密散列来保证,该散列在信任文档之前由浏览器独立计算。 在传输过程中,如果浏览器未检测到错误并警告用户,则恶意第三方无法拦截和更改数据。
过期提醒和自动化
所有证书都有到期日期,在此日期之后客户端软件将不信任它们。 对于公共信任的SSL /TLS,最大证书有效期当前为 为期398天。 如果您让网站的SSL /TLS 证书过期,浏览器将不再信任它:
跟踪过期证书并保持更新可能很困难,而当前证书对于维护符合HIPAA要求的安全网站至关重要。 SSL.com提供了几个强大的选项来确保您的证书是最新的:
- 到期提醒: SSL.com提供 可配置的通知 提醒您何时需要更新证书。 对于证书数量很少的组织,或者由于技术限制而导致自动化不便或无法实现的情况,这是一个很好的选择。
- 脚本编写和自动化: 组织可以利用SSL.com的RESTful创建自定义脚本 软件接口 或行业标准 ACME协议 自动执行SSL /TLS 证书更新,无需提醒。 如果组织需要维护大量服务器和证书,则自动化尤为重要。
SSL.com提供了多种 SSL /TLS 服务器证书 适用于HTTPS网站,包括:
结论
我们希望这篇文章能帮助您了解数字证书如何成为您组织的HIPAA遵从性计划的一部分,以及SSL.com的高级管理工具如何帮助您确保组织受到保护并保持最新状态。
如果您对为您的组织购买证书特别是批量颁发的证书有任何疑问 S/MIME 证书,请通过以下表格联系 SSL.com 的企业销售团队。 您也可以通过电子邮件联系 SSL.com 支持,网址为 Support@SSL.com,通过电话 1-877-SSL-SECURE,或单击此页面右下角的聊天链接。
而且,一如既往,感谢您访问SSL.com,我们相信 更安全 互联网是一个 更好 互联网!
联系SSL.com企业销售