Obsah
- 2FA Dlouho důvěryhodné spolkovými regulačními orgány
- Studie: Dvojfaktorové ověřování nebylo pro HIPAA příliš využíváno
- Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života
- Je vyžadována dokumentace 2FA
- Software 2FA sám o sobě nevyžaduje shodu s HIPAA
- Cíl HIPAA: Probíhající snižování rizika
Zdroj: CreativaImages / iStockphoto
Odnést:
Ačkoli pro HIPAA není vyžadováno dvoufaktorové ověření, může to pomoci připravit cestu ke splnění HIPAA.
Tradiční postup přihlašování pomocí uživatelského jména a hesla je v prostředí nepřátelských zdravotnických dat nedostatečné. Dvoufaktorové ověřování (2FA) se stalo stále důležitějším. I když tato technologie není v rámci HIPAA povinná, HIPAA Journal poznamenal, že je to chytrý způsob, jak jít z hlediska shody - ve skutečnosti je metoda nazývána „nejlepším způsobem, jak splnit požadavky na heslo HIPAA“. (Další informace o 2FA naleznete v části Základy dvoufaktorového ověřování.)
Zajímavou věcí o 2FA (někdy rozšířené o vícefaktorové ověřování, MFA) je to, že je zavedeno v mnoha zdravotnických organizacích - ale pro jiné formy dodržování předpisů, včetně elektronického předpisu pro vymáhání drog pro pravidla pro kontrolované látky a odvětví platebních karet. Standard zabezpečení dat (PCI DSS). První z nich je základní pokyny, které se mají použít při předepisování regulovaných látek elektronicky - soubor pravidel, který je paralelní s bezpečnostním pravidlem HIPAA při specifickém řešení technologických záruk na ochranu informací o pacientech. Posledně jmenovaný je ve skutečnosti průmysl v oblasti platebních karet, který určuje, jak musí být chráněna všechna data spojená s platbami kartou, aby se zabránilo pokutám od hlavních společností vydávajících kreditní karty.
Obecné nařízení EU o ochraně údajů upoutává obavy 2FA na ještě větší zaměření na celé odvětví, vzhledem k jeho dodatečnému dohledu a pokutám (a jeho použitelnosti na jakoukoli organizaci, která zpracovává osobní údaje evropských jednotlivců).
2FA Dlouho důvěryhodné spolkovými regulačními orgány
Dvoufázové ověřování bylo doporučeno Úřadem ministerstva pro občanská práva HHS (OHS) po mnoho let. V roce 2006 HHS již doporučovala 2FA jako nejlepší postup pro dodržování předpisů HIPAA a pojmenovala ji jako první metodu řešení rizika krádeže hesla, což by zase mohlo vést k neoprávněnému prohlížení ePHI. V dokumentu z prosince 2006, HIPAA Security Guidance, HHS navrhl, aby se riziko krádeže hesla řešilo dvěma klíčovými strategiemi: 2FA, spolu s implementací technického procesu pro vytvoření jedinečných uživatelských jmen a autentizace vzdáleného přístupu zaměstnanců.
Studie: Dvojfaktorové ověřování nebylo pro HIPAA příliš využíváno
Úřad národního koordinátora pro zdravotnické informační technologie (ONC) projevil své specifické obavy v souvislosti s touto technologií prostřednictvím „ONC Data Brief 32“ z listopadu 2015, který se týkal trendů adopce 2FA nemocnicemi pro akutní péči po celé zemi. Zpráva byla o tom, kolik z těchto institucí bylo schopno 2FA (tj. schopnost pro uživatele, aby jej přijal, na rozdíl od a požadavek pro to). V tomto bodě v roce 2014 to rozhodně dávalo smysl, že to regulátoři prosazovali, vzhledem k tomu, že jej implementovala méně než polovina studijní skupiny, i když s rostoucím počtem:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života
Nemůžete zlepšit své programovací schopnosti, když se nikdo nestará o kvalitu softwaru.
● 2013 – 44%
● 2014 – 49%
Od tohoto okamžiku je samozřejmě 2FA rozšířenější - ale není všudypřítomná.
Je vyžadována dokumentace 2FA
Dalším aspektem, který je důležité si uvědomit, je potřeba papírování - což je rozhodující, pokud se nakonec dostanete do vyšetřování federálními auditory a zároveň splníte požadavky na analýzu rizik, pokud tuto diskusi zahrnete. Dokumentace je nezbytná, protože pravidla pro hesla jsou uvedena jako adresovatelné - znamenat (tak směšné, jak to může znít) poskytnout zdokumentované zdůvodnění použití této nejlepší praxe. Jinými slovy, nemusíte implementovat 2FA, ale musíte vysvětlit proč.
Software 2FA sám o sobě nevyžaduje shodu s HIPAA
Jednou z největších výzev u 2FA je to, že je neodmyslitelně neefektivní, protože přidává krok do procesu. Ve skutečnosti však obavy, že 2FA zpomaluje zdravotní péči, byly do značné míry zmírněny nárůstem funkcí jednotného přihlášení a integračních funkcí LDAP pro integrované ověřování mezi systémy zdravotní péče.
Jak je uvedeno v záhlaví, samotný software 2FA nemusí (dostatečně vtipný, protože je tak důležitý pro shodu), musí být kompatibilní s HIPAA, protože přenáší PINy, ale nikoli PHI. I když si můžete zvolit alternativy namísto dvoufaktorové autentizace, nejednotné strategie - nástroje pro správu hesel a zásady častých změn hesel - nejsou tak snadným způsobem, jak splnit požadavky na heslo HIPAA. „Účinně,“ poznamenal žurnál HIPAA, „Pokryté entity už nikdy nebudou muset heslo znovu měnit“, pokud implementují 2FA. (Další informace o ověřování naleznete v tématu Jak velká data mohou zabezpečit ověření uživatele.)
Cíl HIPAA: Probíhající snižování rizika
Důležitost používání silných a zkušených poskytovatelů hostingu a spravovaných služeb je podtržena potřebou překročit rámec 2FA s komplexním vyhovujícím postojem. To proto, že 2FA není zdaleka neomylný; Mezi způsoby, kterými se hackeři mohou obejít, patří následující:
● Push-to-přijímat malware, který pummels uživatelům s "Přijmout", dokud konečně klikněte na něj frustrovaně
● SMS jednorázové programy pro stírání hesel
● Podvody na SIM kartě prostřednictvím sociálního inženýrství na telefonní čísla portů
● Využití mobilních operátorských sítí pro zachycení hlasem a SMS
● Snahy, které uživatele přesvědčují, aby klikli na falešné odkazy nebo se přihlásili k phishingovým webům - přímo předali své přihlašovací údaje
Ale nezoufejte. Dvoufaktorová autentizace je jen jednou z metod, které potřebujete, abyste splnili parametry pravidla zabezpečení a udržovali ekosystém kompatibilní s HIPAA. Jakákoli opatření přijatá k lepší ochraně informací by měla být vnímána jako zmírnění rizika, které neustále posiluje vaše úsilí o důvěrnost, dostupnost a integritu.