Zawartość
- 2FA Long Trusted przez federalne organy regulacyjne
- Badanie: Uwierzytelnianie dwuskładnikowe niewykorzystane w przypadku HIPAA
- Bez błędów, bez stresu - Twój przewodnik krok po kroku do tworzenia oprogramowania zmieniającego życie bez niszczenia życia
- Wymagana jest dokumentacja 2FA
- Oprogramowanie 2FA nie wymaga zgodności z HIPAA
- Cel HIPAA: Ciągłe ograniczanie ryzyka
Źródło: CreativaImages / iStockphoto
Na wynos:
Chociaż uwierzytelnianie dwuskładnikowe nie jest wymagane w przypadku HIPAA, może pomóc utorować drogę do zgodności z HIPAA.
Tradycyjny proces logowania przy użyciu nazwy użytkownika i hasła jest niewystarczający w coraz bardziej wrogim środowisku danych opieki zdrowotnej. Uwierzytelnianie dwuskładnikowe (2FA) staje się coraz ważniejsze. Chociaż technologia HIPAA nie jest obowiązkowa, dziennik HIPAA zauważył, że jest to mądry sposób na przejście z punktu widzenia zgodności - nazywając tę metodę „najlepszym sposobem spełnienia wymagań dotyczących hasła HIPAA”. (Aby dowiedzieć się więcej o 2FA, zobacz Podstawy uwierzytelniania dwuskładnikowego.)
Interesującą rzeczą w przypadku 2FA (czasami rozszerzanej na uwierzytelnianie wieloskładnikowe, MFA) jest to, że ma ona zastosowanie w wielu organizacjach opieki zdrowotnej - ale w przypadku innych form zgodności, w tym elektronicznych przepisów dotyczących leków kontrolowanych przez administrację antynarkotykową dla przepisów dotyczących substancji kontrolowanych i branży kart płatniczych Data Security Standard (PCI DSS). Pierwsza z nich to podstawowe wytyczne, które należy stosować przy przepisywaniu wszelkich substancji kontrolowanych drogą elektroniczną - zbiór zasad, który jest równoległy do reguły bezpieczeństwa HIPAA, w szczególności w odniesieniu do zabezpieczeń technologicznych w celu ochrony informacji o pacjencie. Ta ostatnia jest w rzeczywistości regulacją branży kart płatniczych, która reguluje, w jaki sposób należy chronić wszelkie dane związane z płatnościami kartami, aby uniknąć grzywien od głównych firm obsługujących karty kredytowe.
Ogólne rozporządzenie o ochronie danych w UE zwraca uwagę koncernu 2FA na jeszcze większy nacisk w całej branży, biorąc pod uwagę jego dodatkowy nadzór i grzywny (oraz jego zastosowanie do każdej organizacji, która obsługuje dane osobowe osób fizycznych w Europie).
2FA Long Trusted przez federalne organy regulacyjne
Uwierzytelnianie dwuskładnikowe jest zalecane przez Biuro Departamentu Praw Obywatelskich HHS (OCR) od wielu lat. W 2006 r. HHS zalecał już 2FA jako najlepszą praktykę w zakresie zgodności z HIPAA, nazywając ją jako pierwszą metodę przeciwdziałania ryzyku kradzieży hasła, co z kolei może prowadzić do nieautoryzowanego przeglądania ePHI. W dokumencie z HIPAA Security Guidance z grudnia 2006 r. HHS zasugerował, że ryzyko kradzieży hasła jest rozwiązane za pomocą dwóch kluczowych strategii: 2FA, wraz z wdrożeniem technicznego procesu tworzenia unikalnych nazw użytkowników i uwierzytelniania zdalnego dostępu pracowników.
Badanie: Uwierzytelnianie dwuskładnikowe niewykorzystane w przypadku HIPAA
Biuro Krajowego Koordynatora Technologii Informacyjnych Zdrowia (ONC) wykazało szczególne zaniepokojenie tą technologią poprzez „ONC Data Brief 32” z listopada 2015 r., Który dotyczył trendów przyjmowania 2FA przez szpitale intensywnej terapii w całym kraju. Raport dotyczył liczby tych instytucji posiadających zdolność do 2FA (tj zdolność dla użytkownika, aby go przyjąć, w przeciwieństwie do wymaganie dla tego). W tym momencie w 2014 r. Z pewnością miało sens, że organy regulacyjne naciskały na to, biorąc pod uwagę, że wdrożyło go mniej niż połowa grupy analitycznej, chociaż liczba ta rosła:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Bez błędów, bez stresu - Twój przewodnik krok po kroku do tworzenia oprogramowania zmieniającego życie bez niszczenia życia
Nie możesz poprawić swoich umiejętności programistycznych, gdy nikt nie dba o jakość oprogramowania.
● 2013 – 44%
● 2014 – 49%
Z pewnością od tego momentu 2FA zostało szerzej przyjęte - ale nie jest wszechobecne.
Wymagana jest dokumentacja 2FA
Innym aspektem, na który należy zwrócić uwagę, jest potrzeba formalności - co jest krytyczne, jeśli zostaniesz zbadany przez federalnych audytorów, a jednocześnie spełnisz wymogi analizy ryzyka, pod warunkiem, że załączysz tę dyskusję. Dokumentacja jest konieczna, ponieważ reguły dotyczące haseł są wymienione jako adresowalny - znaczenie (choć może to zabrzmieć absurdalnie), aby przedstawić udokumentowane uzasadnienie zastosowania tej najlepszej praktyki. Innymi słowy, nie musisz implementować 2FA, ale musisz wyjaśnić dlaczego, jeśli tak zrobisz.
Oprogramowanie 2FA nie wymaga zgodności z HIPAA
Jednym z największych wyzwań związanych z 2FA jest to, że jest on z natury nieefektywny, ponieważ stanowi krok w procesie. W rzeczywistości jednak obawa, że 2FA spowalnia opiekę zdrowotną, została w dużym stopniu rozwiana przez gwałtowny wzrost funkcji rejestracji jednokrotnej i integracji LDAP w celu zintegrowanego uwierzytelniania między systemami opieki zdrowotnej.
Jak zauważono w nagłówku, samo oprogramowanie 2FA nie musi (dość humoru, ponieważ jest tak ważne dla zgodności) musi być zgodne z HIPAA, ponieważ przesyła kody PIN, ale nie PHI. Chociaż zamiast uwierzytelniania dwuskładnikowego można wybrać alternatywne rozwiązania, najistotniejsze rozbieżne strategie - narzędzia do zarządzania hasłami i zasady częstych zmian haseł - nie są tak łatwym sposobem na spełnienie wymagań HIPAA dotyczących haseł. „Skutecznie”, zauważył HIPAA Journal, „Podmioty objęte usługą nigdy więcej nie muszą zmieniać hasła”, jeśli wdrożą 2FA. (Aby uzyskać więcej informacji na temat uwierzytelniania, sprawdź, jak duże zbiory danych mogą zabezpieczyć uwierzytelnianie użytkowników).
Cel HIPAA: Ciągłe ograniczanie ryzyka
Znaczenie korzystania z silnych i doświadczonych dostawców usług hostingowych i zarządzanych jest podkreślone przez potrzebę wykraczania poza 2FA z kompleksową, zgodną postawą. To dlatego, że 2FA jest daleki od nieomylności; hakerzy mogą obejść ten problem:
● Szkodliwe oprogramowanie typu „push-to-accept”, które uderza użytkowników „Akceptuj”, dopóki nie kliknie z frustracją
● SMS-y jednorazowe programy skrobające hasła
● Oszustwa związane z kartami SIM za pośrednictwem socjotechniki w celu przeniesienia numerów telefonów
● Wykorzystanie sieci operatorów komórkowych do przechwytywania głosu i wiadomości SMS
● Wysiłki, które przekonują użytkowników do klikania fałszywych linków lub logowania do witryn phishingowych - bezpośrednie przekazywanie danych logowania
Ale nie rozpaczajcie. Uwierzytelnianie dwuskładnikowe to tylko jedna z metod potrzebnych do spełnienia parametrów reguły bezpieczeństwa i utrzymania ekosystemu zgodnego z HIPAA. Wszelkie kroki podejmowane w celu lepszej ochrony informacji należy postrzegać jako ograniczenie ryzyka, nieustannie wzmacniając wysiłki w zakresie poufności, dostępności i integralności.