Obsah
- 2FA Dlho dôveryhodné federálnymi regulátormi
- Štúdia: Dvojfaktorové overovanie nedostatočne využívané pre HIPAA
- Žiadne chyby, žiadny stres - Váš sprievodca krok za krokom k vytvoreniu softvéru na zmenu života bez zničenia vášho života
- Vyžaduje sa dokumentácia 2FA
- Softvér 2FA sám o sebe nepotrebuje zhodu HIPAA
- Cieľ HIPAA: Neustále znižovanie rizika
Zdroj: CreativaImages / iStockphoto
Zobrať:
Aj keď pre HIPAA sa nevyžaduje dvojfaktorové overenie, môže to pomôcť pripraviť cestu na dosiahnutie súladu s HIPAA.
Tradičný proces prihlásenia s používateľským menom a heslom je v prostredí čoraz viac nepriateľských údajov o zdravotnej starostlivosti nedostatočné. Dvojfaktorová autentifikácia (2FA) sa stáva čoraz dôležitejšou. Aj keď táto technológia nie je v rámci HIPAA povinná, HIPAA Journal poznamenal, že je to šikovný spôsob, ako ísť z hľadiska dodržiavania súladu - v skutočnosti metódu nazývame „najlepším spôsobom, ako splniť požiadavky na heslo HIPAA“. (Viac informácií o 2FA nájdete v časti Základy dvojfaktorového overovania.)
Zaujímavou vecou, ktorá sa týka 2FA (niekedy rozšírenej na viacfaktorovú autentifikáciu, MFA), je to, že existuje v mnohých zdravotníckych organizáciách - ale pre iné formy dodržiavania predpisov, vrátane elektronického predpisu pre vymáhanie liekov v súvislosti s pravidlami pre kontrolované látky a odvetvia platobných kariet. Data Security Standard (PCI DSS). Prvý z nich je základným usmernením, ktoré sa má používať pri predpisovaní akýchkoľvek kontrolovaných látok elektronicky - súbor pravidiel, ktorý je paralelný s bezpečnostným predpisom HIPAA pri špecifickom riešení technologických záruk na ochranu informácií o pacientovi. Posledne menovaný je v skutočnosti odvetvím platobných kariet, ktoré upravuje, ako sa musia chrániť všetky údaje spojené s platobnými kartami, aby sa predišlo pokutám od veľkých spoločností vydávajúcich kreditné karty.
V nariadení EÚ o všeobecnej ochrane údajov sa znepokojenie 2FA ešte viac zameriava na celé odvetvie vzhľadom na jeho ďalší dohľad a pokuty (a jeho uplatniteľnosť na všetky organizácie, ktoré spracúvajú osobné údaje európskych jednotlivcov).
2FA Dlho dôveryhodné federálnymi regulátormi
Dvojfaktorové overenie bolo už mnoho rokov odporúčané Úradom ministerstva zahraničných vecí HHS (OHS). V roku 2006 HHS už odporučila 2FA ako najlepší postup na dosiahnutie súladu s HIPAA a pomenovala ho ako prvý spôsob riešenia rizika krádeže hesla, čo by následne mohlo viesť k neoprávnenému prezeraniu ePHI. V dokumente z decembra 2006, HIPAA Security Guidance, HHS navrhol, aby sa riziko krádeže hesla riešilo dvoma kľúčovými stratégiami: 2FA, spolu s implementáciou technického procesu na vytvorenie jedinečných používateľských mien a autentifikáciou vzdialeného prístupu zamestnancov.
Štúdia: Dvojfaktorové overovanie nedostatočne využívané pre HIPAA
Úrad národného koordinátora pre zdravotnícke informačné technológie (ONC) preukázal svoje osobitné obavy v súvislosti s touto technológiou prostredníctvom svojho „informačného briefingu ONC 32“ z novembra 2015, ktorý sa zaoberal trendmi prijatia 2FA nemocnicami pre akútnu starostlivosť po celej krajine. Správa sa týkala toho, koľko z týchto inštitúcií malo kapacitu 2FA (t. J schopnosť aby ho užívateľ prijal na rozdiel od a požiadavka pre to). V tom okamihu v roku 2014 to určite malo zmysel, že regulačné orgány ho presadzovali, keďže ho implementovala menej ako polovica študijnej skupiny, hoci s rastúcim počtom:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Žiadne chyby, žiadny stres - Váš sprievodca krok za krokom k vytvoreniu softvéru na zmenu života bez zničenia vášho života
Svoje programovacie schopnosti si nemôžete vylepšiť, keď sa nikto nestará o kvalitu softvéru.
● 2013 – 44%
● 2014 – 49%
Od tohto bodu sa určite platí, že program 2FA sa už prijal širšie - nie je však všadeprítomný.
Vyžaduje sa dokumentácia 2FA
Ďalším aspektom, ktorý je potrebné poznamenať, je potreba papierovania - čo je rozhodujúce, ak ste nakoniec vyšetrovaní federálnymi audítormi a zároveň spĺňali požiadavky analýzy rizika za predpokladu, že uvediete túto diskusiu. Dokumentácia je potrebná, pretože pravidlá pre heslá sú uvedené ako adresovateľné - znamená (také smiešne, ako to môže znieť) poskytnúť zdokumentované zdôvodnenie použitia tohto osvedčeného postupu. Inými slovami, nemusíte implementovať 2FA, ale musíte vysvetliť prečo.
Softvér 2FA sám o sebe nepotrebuje zhodu HIPAA
Jednou z najväčších výziev v prípade 2FA je to, že je neodmysliteľne neefektívne od svojho pridania do procesu. Obava, že 2FA spomaľuje zdravotnú starostlivosť, sa však do veľkej miery zmiernila nárastom funkcií jednotného prihlásenia a integračných funkcií LDAP na integrovanú autentifikáciu medzi systémami zdravotnej starostlivosti.
Ako je uvedené v záhlaví, samotný softvér 2FA nemusí (dostatočne vtipný, pretože je veľmi dôležitý pre zhodu), musí byť kompatibilný s HIPAA, pretože prenáša PIN, ale nie PHI. Aj keď si namiesto dvojfaktorovej autentifikácie môžete zvoliť alternatívy, najvyššie rozdielne stratégie - nástroje na správu hesiel a politiky častých zmien hesiel - nie sú tak jednoduché, ako splniť požiadavky na heslo HIPAA. „Účinne,“ poznamenal denník HIPAA, „Pokryté subjekty už nikdy nemusia znova meniť heslo“, ak implementujú 2FA. (Viac informácií o overovaní nájdete v časti Ako veľké údaje môžu zabezpečiť overenie totožnosti používateľa.)
Cieľ HIPAA: Neustále znižovanie rizika
Dôležitosť využívania silných a skúsených poskytovateľov hostingu a spravovaných služieb je zdôraznená potrebou ísť nad rámec 2FA s komplexným držaním tela. Je to preto, že 2FA nie je ani zďaleka neomylný; Medzi spôsoby, ktorými sa hackeri môžu obísť, patria:
● Push-to-Accept malware, ktorý pummels užívateľov s "Prijať", kým sa nakoniec kliknite na neho frustrovaní
● SMS jednorazové programy na škrabanie hesiel
● Podvody na karte SIM prostredníctvom sociálneho inžinierstva na telefónne čísla portov
● Využívanie sietí mobilných operátorov na zachytávanie hlasu a SMS
● Snahy, ktoré používateľov presvedčia, aby klikli na falošné odkazy alebo sa prihlásili na phishingové stránky - priame prihlasovacie údaje
Ale nezúfajte. Dvojfaktorová autentifikácia je len jednou z metód, ktoré potrebujete, aby ste splnili parametre bezpečnostného predpisu a udržiavali ekosystém kompatibilný s HIPAA. Akékoľvek kroky podniknuté na lepšiu ochranu informácií by sa mali vnímať ako zmierňovanie rizika, ktoré neustále zvyšuje vaše úsilie o dôvernosť, dostupnosť a integritu.