HIPAA和物联网
物联网(IoT)呈指数级增长,一些报告预测它会覆盖 38年有2020亿台设备。 随着更多和 更多故事 随着被黑客入侵设备的出现,保护物联网的需求变得越来越紧迫,对于考虑了HIPAA的医疗设备制造商而言,这一点也越来越迫切。
美国健康保险可移植性和责任法案(HIPAA)并不是开玩笑。 HIPAA保护患者的电子保护健康信息(PHI或ePHI)的安全和隐私,并且由美国卫生与公共服务部(DHS)的民权办公室(OCR)实施。 如果您正在寻找符合HIPAA规范的通信的数字证书, 看看我们的文章.
HIPAA要求卫生保健提供者在运输途中或休息时保护PHI,否则可能会被罚款。 违反HIPAA的罚款 每次违规的罚款从100美元到50,000美元不等,每年最高罚款1.5万美元。 在2019年,有418起违规事件导致34.9万美国人的PHI受到损害。
现在采取措施保护患者信息并保持HIPAA符合性无疑是正确的举动。 在2019年,网络服务器违规造成30.6万个人信息被泄露。 2018年,美国医疗收集局(AMCA)的网络服务器遭到黑客攻击,导致22万患者的 资料遭到入侵。 财务影响和业务亏损导致AMCA申请第11章破产。
HIPAA信息传输要求
HIPAA关于信息传输安全性声明如下:
164.312(e)(1):标准:传输安全性。 实施技术安全措施,以防止未经授权访问通过电子通信网络传输的电子保护健康信息。
因为HIPAA是为了适应未来的发展,所以它使该指令不受限制。 基本上,为了防止潜在的代价高昂的违规行为,需要有适当的协议来保护通过电子通信网络传输的信息。
对于组织而言,这意味着通过网络传输数据的任何设备,特别是在公司防火墙之外进行传输的设备,都需要实施身份验证和加密机制。 SSL /TLS 可以通过单向或 相互认证.
SSL.com提供了多种 SSL /TLS 服务器证书 适用于HTTPS网站,包括:
SSL /TLS 符合HIPAA的物联网
SSL /TLS 协议用途 非对称加密 保护Internet上两台计算机之间共享的数据。 此外,SSL /TLS 确保验证服务器和/或客户端的身份。 在最常见的情况下,HTTPS服务器使用单向身份验证为访客的浏览器提供一个证书,该证书已由SSL.com之类的公共信任的证书颁发机构(CA)进行了数字签名。
SSL /背后的数学TLS 确保在密钥足够大的情况下,几乎不可能伪造CA的数字签名证书。 公共CA在颁发证书之前会验证申请人的身份。 他们还受到操作系统和Web浏览器提供商的严格审核,以接受并维护在信任存储中(清单 受信任的根证书 已安装浏览器和OS软件)。
SSL和身份验证客户端
对于大多数应用程序,SSL /TLS 对客户端使用服务器的单向身份验证; 匿名客户端(网络浏览器)与网络服务器协商加密的会话,该服务器会提供公众信任的SSL /TLS 证书以在SSL /TLS 握手。
尽管单向身份验证对于大多数Web浏览来说都是完全可以接受的,但是它仍然容易受到网络钓鱼等凭据盗窃攻击的攻击,在这种攻击中,攻击者将登录凭据(如用户名和密码)作为目标。 网络钓鱼攻击 据称,占数据泄露的22% Verizon的报告。 为了提供额外的保护,您可以选择相互身份验证。 在双向身份验证中,一旦服务器在握手期间通过身份验证,它将发送一个 CertificateRequest 给客户的信息。 客户端将通过将证书发送到服务器进行身份验证进行响应。 双方都通过 PKI,相互身份验证比传统的以密码为中心的方法安全得多。
相互认证和物联网
对于医疗设备制造商而言,服务器和设备的相互身份验证可能是最好的选择,因为不会给客户端和服务器的身份带来任何机会。 例如,一旦将智能医疗设备连接到Internet,制造商可能会希望它在公司服务器之间收发数据,以便用户访问信息。 为了促进信息的安全传输,制造商可以考虑以下事项:
- 为每台设备提供唯一的加密密钥对和客户端证书。 由于所有通信都将在设备与公司的服务器之间进行,因此这些证书可能是私人信任的,从而为诸如证书寿命之类的策略提供了额外的灵活性。
- 提供唯一的设备代码(例如序列号或QR码),用户可以扫描该代码或在制造商的Web门户或智能手机应用程序上输入其用户帐户,以将设备与其帐户相关联。
- 设备通过用户的Wi-Fi网络连接到互联网后,它将打开一个双向 TLS 与制造商的服务器连接。 服务器将对设备进行身份验证,并请求设备的客户端证书,该证书与用户在其帐户中输入的唯一代码相关联。
连接的双方现在已经相互验证,可以使用SSL /来回发送消息TLS 通过HTTPS和MQTT等应用层协议进行加密。 用户可以使用其门户网站帐户或智能手机应用程序访问设备中的数据或对其设置进行更改。 两个设备之间完全不需要未经身份验证的消息或明文消息。
遗言
不要被公开露面。 如果您对SSL.com的自定义IoT解决方案感兴趣,请填写下面的表格以获取更多信息。
