Durante la ricerca dei cosiddetti provider di posta elettronica conformi a HIPAA, mi sono imbattuto in Cisco Registered Envelope Service (CRES) , che dichiara di essere conforme HIPAA .
Secondo questa istruzione , dopo aver ricevuto un'email (ad esempio dal medico) contenente un messaggio crittografato come allegato, tutto ciò che il destinatario (ad esempio il paziente) deve fare per aprire il messaggio può essere riassunto come:
1) scarica l'allegato come file html.
2) apri il file html, fai clic sul link di registrazione all'interno e il destinatario verrà indirizzato al sito Web di cisco per registrarsi per un account.
3) completa la registrazione (nome tipico, password, tipo di registrazione QA di sicurezza)
4) riceve un'email di conferma e attiva l'account
5) di nuovo il file html scaricato nel passaggio 1), inserisci la password dell'account utilizzata nel passaggio 3), il messaggio si decodificherà da solo.
Puoi leggere i dettagli nella sezione Passaggi per aprire la tua prima busta protetta da password a partire da pagina 8.
Ovviamente, una volta che l'iniziale stretta di mano è terminata, le comunicazioni successive possono essere considerate sicure. Ma come può questa iniziale stretta di mano fornire una sicurezza superiore alla sicurezza della semplice e-mail stessa, quando un attacco evidente è:
a) dirottare l'email
b) termina la procedura di registrazione fingendo di essere il destinatario, dirottando l'email di conferma
c) apre il messaggio crittografato
Bene, bene, il messaggio è crittografato, quindi conforme HIPAA. Ma come si avvicina a una soluzione sicura?
Un po 'rilevante: gli spammer potrebbero fingere le e-mail CRES come una nuova tattica di spamming . Ovviamente, gli aggressori possono fare lo stesso per dirottare l'account di posta elettronica.