Vsebina
- 2FA Dolgo zaupanje zveznih regulatorjev
- Študija: Dvofaktorska avtentikacija se premalo uporablja za HIPAA
- Brez napak, brez stresa - vaš korak za korakom vodnik za ustvarjanje programske opreme, ki spreminja življenje, ne da bi vam uničila življenje
- Dokumentacija 2FA je obvezna
- Programska oprema 2FA sama ni potrebna skladnosti HIPAA
- Cilj HIPAA: Nenehno zmanjševanje tveganja
Vir: CreativaImages / iStockphoto
Odvzem:
Čeprav za HIPAA ni potrebna dvofaktorska avtentikacija, lahko pomaga pri utiranju poti do skladnosti s HIPAA.
Tradicionalni postopek prijave z uporabniškim imenom in geslom ne zadostuje v vse bolj sovražnem zdravstvenem okolju podatkov. Dvofaktorna avtentikacija (2FA) postaja vse pomembnejša. Medtem ko tehnologija HIPAA ni obvezna, je v reviji HIPAA ugotovil, da je pametno iti z vidika skladnosti - metodo dejansko imenuje "najboljši način za izpolnjevanje zahtev glede gesla HIPAA." (Če želite izvedeti več o 2FA, glejte Osnove dvofaktorske overitve.)
Zanimivost pri 2FA (včasih razširjena na večfaktorsko preverjanje pristnosti, MFA) je, da obstaja v mnogih zdravstvenih organizacijah - vendar za druge oblike skladnosti, vključno z elektronskimi recepti za nadzor nad drogami za izvrševanje drog in pravilnikom o plačilnih karticah Standard za varnost podatkov (PCI DSS). Prva je osnovna smernica, ki jo je treba uporabiti pri elektronskem predpisovanju kakršnih koli nadzorovanih snovi - niz pravil, ki so vzporedna varnostnemu pravilu HIPAA, posebej obravnavajo tehnološke zaščitne ukrepe za zaščito informacij o pacientih. Slednje je pravzaprav uredba industrije plačilnih kartic, ki ureja, kako je treba zaščititi vse podatke, povezane s plačilom s karticami, da se prepreči globa večjih podjetij s kreditnimi karticami.
Splošna uredba EU o varstvu podatkov vzbuja zaskrbljenost zaradi 2FA pri še večji osredotočenosti v celotni panogi glede na njen dodaten nadzor in globe (ter njeno uporabnost za katero koli organizacijo, ki obdeluje osebne podatke evropskih posameznikov).
2FA Dolgo zaupanje zveznih regulatorjev
Dvofaktorska overitev že več let priporoča Služba za civilne pravice HSS. V letu 2006 je HHS že priporočil 2FA kot najboljšo prakso za skladnost s HIPAA in jo označil za prvo metodo za reševanje nevarnosti kraje gesla, kar bi posledično lahko privedlo do nepooblaščenega ogleda ePHI. V dokumentu iz decembra 2006, Varnostne smernice HIPAA, je HHS predlagal, da se tveganje kraje gesla obravnava z dvema ključnima strategijama: 2FA, skupaj z izvajanjem tehničnega postopka za ustvarjanje edinstvenih uporabniških imen in overjanja oddaljenega dostopa zaposlenih.
Študija: Dvofaktorska avtentikacija se premalo uporablja za HIPAA
Urad nacionalnega koordinatorja za zdravstveno informacijsko tehnologijo (ONC) je s to tehnologijo izkazal posebno skrb s svojim "ONC Data Brief 32" iz novembra 2015, ki je zajel trende sprejemanja 2FA v bolnišnicah za akutno oskrbo po državi. Poročilo je poročalo o tem, koliko teh institucij je bilo sposobnih za 2FA (t.i. sposobnost, zmožnost, zmogljivost da ga uporabnik sprejme v nasprotju z a zahteva zanjo). Takrat je bilo v letu 2014 zagotovo smiselno, da so ga izvajali regulatorji, saj ga je izvedla manj kot polovica študijske skupine, čeprav se število povečuje:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Brez napak, brez stresa - vaš korak za korakom vodnik za ustvarjanje programske opreme, ki spreminja življenje, ne da bi vam uničila življenje
Ne morete izboljšati svojih programskih veščin, kadar nikogar ne skrbi za kakovost programske opreme.
● 2013 – 44%
● 2014 – 49%
Zagotovo je bila od te točke 2FA sprejeta širše - vendar ni vseprisotna.
Dokumentacija 2FA je obvezna
Drug vidik, ki ga je treba opozoriti, je potreba po papirologiji - kar je ključnega pomena, če boste na koncu preiskali zvezne revizorje in hkrati izpolnili zahteve za analizo tveganja, pod pogojem, da vključite razpravo. Dokumentacija je potrebna, saj so pravila za geslo navedena kot naslovno - smiselno (kolikor smešno se sliši) predložiti dokumentirano utemeljitev za uporabo te najboljše prakse. Z drugimi besedami, ni vam treba izvajati 2FA, ampak morate razložiti, zakaj to storite.
Programska oprema 2FA sama ni potrebna skladnosti HIPAA
Eden največjih izzivov 2FA je, da je sam po sebi dodaten korak k procesu. Kljub temu je zaskrbljenost, da 2FA upočasnjuje zdravstveno varstvo, v veliki meri zmanjšana zaradi porasta enotnih funkcij za prijavo in integracijo LDAP za integrirano preverjanje pristnosti med zdravstvenimi sistemi.
Kot je navedeno v zaglavju, programska oprema 2FA sama (dovolj šaljivo, ker je tako kritična do skladnosti) ne bi smela biti skladna s HIPAA, saj prenaša PIN-ove, ne pa tudi PHI. Medtem ko lahko izbirate druge možnosti namesto dvofaktorske avtentikacije, vrhunske strategije, ki se razlikujejo - orodja za upravljanje gesla in politike pogostih sprememb gesla -, niso tako enostaven način za izpolnjevanje zahtev glede gesla HIPAA. "Učinkovito," je opozoril HIPAA Journal, "zajetim subjektom ni treba nikoli več spremeniti gesla", če uporabljajo 2FA. (Za več informacij o preverjanju pristnosti preverite, kako veliki podatki lahko zaščitijo pristnost uporabnika.)
Cilj HIPAA: Nenehno zmanjševanje tveganja
Pomembnost uporabe močnih in izkušenih ponudnikov storitev gostovanja in vodenih storitev poudarja, da je treba preseči 2FA z obsežno skladno držo. To je zato, ker 2FA še zdaleč ni nezmotljiv; hekerji ga lahko zaobidejo med drugim:
● Sprejemite zlonamerno programsko opremo, ki napaja uporabnike z možnostjo »Sprejmi«, dokler jih ne razočarajo
● SMS programi za enkratno geslo za geslo
● Goljufija na SIM kartici s pomočjo socialnega inženiringa za prenos telefonskih številk
● Uporaba mobilnih operaterskih mrež za prestrezanje glasov in SMS
● Prizadevanja, ki uporabnike prepričajo, da kliknejo lažne povezave ali se prijavijo na spletna mesta za lažno predstavljanje - neposredno predajo svoje podatke za prijavo
Toda ne obupajte. Dvofaktorska avtentikacija je le eden od načinov, ki jih potrebujete za izpolnjevanje parametrov pravila o varnosti in vzdrževanje ekosistema, ki ustreza HIPAA. Vse ukrepe, ki so sprejeti za boljše varovanje informacij, je treba obravnavati kot zmanjšanje tveganja in nenehno spodbujati vaša prizadevanja za zaupnost, razpoložljivost in integriteto.