Sadržaj
- Federalne regulatorne agencije 2FA dugo vjeruju
- Studija: Dvofaktorska provjera autentičnosti nedovoljno korištena za HIPAA
- Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
- 2FA dokumentacija je obavezna
- 2FA Softver ne treba HIPAA sukladnost
- Cilj HIPAA: U tijeku je ublažavanje rizika
Izvor: CreativaImages / iStockphoto
Oduzeti:
Iako za HIPAA nije potrebna dvofaktorska provjera autentičnosti, to može pomoći da se otvori put ka usklađenosti s HIPAA.
Tradicionalni postupak prijave s korisničkim imenom i lozinkom nedovoljan je u sve neprijateljskijem zdravstvenom podatku. Dvofaktorska provjera autentičnosti (2FA) postaje sve važnija. Iako tehnologija prema HIPAA-i nije obvezna, HIPAA Journal je napomenuo da je to pametan način da se pređe iz perspektive usklađenosti - zapravo nazivajući metodu "najboljim načinom za udovoljavanje zahtjevima HIPAA lozinke". (Da biste saznali više o 2FA, pogledajte Osnove dvofaktorske provjere autentičnosti.)
Zanimljivost u vezi s 2FA (ponekad proširenom na multifaktorsku provjeru autentičnosti, MFA) jest da postoji na mnogim zdravstvenim organizacijama - ali za druge oblike poštivanja zakona, uključujući elektronički recept Uprava za provođenje lijekova za pravila o kontroliranim supstancama i industriju platnih kartica Standard sigurnosti podataka (PCI DSS). Prva su osnovne smjernice koje se trebaju koristiti u elektroničkom propisivanju bilo kojih kontroliranih tvari - skup pravila koja su paralelna s Pravilnikom o sigurnosti HIPAA-e, posebno kada se bave tehnološkim jamstvima za zaštitu informacija o pacijentima. Potonje je ustvari uredba o industriji platnih kartica koja regulira kako svi podaci povezani s plaćanjem putem kartica moraju biti zaštićeni kako bi se izbjegle novčane kazne od velikih tvrtki koje se bave kreditnim karticama.
EU-ova Opća uredba o zaštiti podataka usmjerava zabrinutost zbog 2FA u još veći fokus u cijeloj industriji, s obzirom na njezin dodatni nadzor i novčane kazne (i njezinu primjenjivost na bilo koju organizaciju koja rukuje s osobnim podacima europskih pojedinaca).
Federalne regulatorne agencije 2FA dugo vjeruju
Dvofaktorska provjera autentičnosti već dugi niz godina preporučuje Ured za odjela za građanska prava HHS-a (OCR). Godine 2006. HHS je već preporučio 2FA kao najbolju praksu za poštivanje HIPAA-e, navodeći je kao prvu metodu za rješavanje rizika od krađe lozinke koja bi zauzvrat mogla dovesti do neovlaštenog pregleda ePHI-ja. U dokumentu iz prosinca 2006., HIPAA-ovom sigurnosnom smjernicom, HHS je predložio da se rizik krađe lozinke riješi s dvije ključne strategije: 2FA, zajedno s provedbom tehničkog postupka za stvaranje jedinstvenih korisničkih imena i provjere autentičnosti udaljenog pristupa zaposlenika.
Studija: Dvofaktorska provjera autentičnosti nedovoljno korištena za HIPAA
Ured nacionalnog koordinatora za zdravstvenu informacijsku tehnologiju (ONC) pokazao je svoju posebnu zabrinutost ovom tehnologijom kroz „ONC data Brief 32“ iz studenog 2015., koji je obuhvatio trendove usvajanja 2FA od strane bolnica za akutnu njegu u cijeloj zemlji. Izvješće je objavilo koliko je od ovih institucija imalo sposobnost za 2FA (tj sposobnost da ga korisnik usvoji, za razliku od a zahtjev za to). U tom trenutku, u 2014. godini, zasigurno je imalo smisla da regulatorno tijelo gura, s obzirom na to da ga je provodila manje od pola istraživačke skupine, iako je broj porastao:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
Ne možete poboljšati svoje programiranje kad nikoga nije briga za kvalitetu softvera.
● 2013 – 44%
● 2014 – 49%
Dakako, 2FA je od te točke široko prihvaćena - ali nije sveprisutna.
2FA dokumentacija je obavezna
Drugi aspekt koji je važan za napomenuti je potreba za papirologijom - što je kritično ako završite sa istragom saveznih revizora, a istovremeno ispunite zahtjeve za analizu rizika, pod uvjetom da uključite tu raspravu. Dokumentacija je potrebna s obzirom da su pravila za lozinku navedena kao adresabilni - značenje (koliko god smiješno moglo zvučati) pružiti dokumentirano obrazloženje za korištenje ove najbolje prakse. Drugim riječima, ne morate implementirati 2FA, ali morate objasniti zašto ako to učinite.
2FA Softver ne treba HIPAA sukladnost
Jedan od najvećih izazova s 2FA je taj što je on inherentno neučinkovit od svog dodavanja koraka u proces. Zapravo, zabrinutost da 2FA usporava zdravstvo uvelike je smanjena naletom funkcija jedinstvene prijave i integracije LDAP za integriranu provjeru autentičnosti između zdravstvenih sustava.
Kao što je navedeno u zaglavlju, 2FA softver sam (dovoljno šaljivo, budući da je toliko kritičan za usklađenost) ne mora biti kompatibilan sa HIPAA, jer prenosi PIN-ove, ali ne i PHI. Iako možete birati alternative umjesto dvofaktorske provjere autentičnosti, vrhunske divergentne strategije - alati za upravljanje lozinkom i pravila čestih izmjena zaporki - nisu tako lak način da se udovolje zahtjevima HIPAA lozinke. "Učinkovito", primijetio je časopis HIPAA, "Pokrivene jedinice nikada više ne moraju mijenjati lozinku" ako implementiraju 2FA. (Za više informacija o provjeri autentičnosti provjerite kako veliki podaci mogu osigurati autentifikaciju korisnika.)
Cilj HIPAA: U tijeku je ublažavanje rizika
Važnost korištenja snažnih i iskusnih pružatelja usluga hostinga i upravljanih usluga naglašava se potrebom da se nadilazi 2FA s sveobuhvatnim kompatibilnim stavom. To je zato što je 2FA daleko od nepogrešivog; načini na koji ih hakeri mogu zaobići uključuju sljedeće:
● Push-to accept malware koji pumpi korisnike s "Prihvati" dok ih konačno ne frustrirano kliknu
● SMS programi za jednokratno uklanjanje lozinke
● Prevara SIM kartice putem socijalnog inženjeringa za prijenos telefonskih brojeva
● Korištenje mobilnih mobilnih mreža za presretanje glasa i SMS-a
● Napori koji uvjeravaju korisnike da kliknu lažne veze ili se prijave na web mjesto za krađu identiteta - izravno predaju svoje podatke za prijavu
Ali ne očajavajte. Dvofaktorska provjera identiteta samo je jedna od metoda koja su vam potrebna da biste zadovoljili parametre pravila o sigurnosti i održavali ekosustav koji odgovara HIPAA. Bilo koji koraci poduzeti za bolju zaštitu informacija trebali bi se smatrati ublažavanjem rizika, kontinuirano pojačavajući vaše napore na povjerljivosti, dostupnosti i integritetu.