Conţinut
- 2FA Încredere îndelungată de către autoritățile de reglementare federale
- Studiu: Autentificare cu doi factori subutilizată pentru HIPAA
- Fără bug-uri, fără stres - Ghidul dvs. pas cu pas pentru crearea de software care poate schimba viața fără a vă distruge viața
- Documentația 2FA este necesară
- Software-ul 2FA nu are el însuși nevoie de conformitate HIPAA
- Obiectivul HIPAA: reducerea continuă a riscurilor
Sursa: CreativaImages / iStockphoto
La pachet:
Deși autentificarea cu doi factori nu este necesară pentru HIPAA, aceasta poate ajuta la deschiderea drumului către conformitatea HIPAA.
Procesul tradițional de autentificare cu un nume de utilizator și o parolă este insuficient într-un mediu de date din ce în ce mai ostil pentru date medicale. Autentificarea cu doi factori (2FA) a devenit tot mai importantă. Deși tehnologia nu este obligatorie în conformitate cu HIPAA, HIPAA Journal a menționat că este o modalitate inteligentă de a merge dintr-o perspectivă de conformitate - numind de fapt metoda „cel mai bun mod de a respecta cerințele de parolă HIPAA”. (Pentru a afla mai multe despre 2FA, consultați Noțiunile de bază ale autentificării cu doi factori.)
Un lucru interesant în ceea ce privește 2FA (uneori extins în autentificare cu mai mulți factori, MFA) este faptul că este în vigoare la multe organizații de asistență medicală - dar pentru alte forme de conformitate, inclusiv prescripția electronică a administrațiilor de aplicare a drogurilor pentru regulile privind substanțele controlate și industria cardurilor de plată. Standard de securitate a datelor (PCI DSS). Prima este orientările de bază care trebuie utilizate în prescrierea electronică a tuturor substanțelor controlate - un set de reguli care este paralel cu Regula de securitate HIPAA în abordarea specifică a garanțiilor tehnologice pentru protejarea informațiilor pacienților. Acesta din urmă este de fapt un regulament al industriei cu carduri de plată care reglementează modul în care orice date asociate cu plățile cu cardul trebuie protejate pentru a evita amenzile din partea companiilor majore de carduri de credit.
Regulamentul general privind protecția datelor din UE atrage îngrijorarea cu 2FA într-o atenție și mai mare în întreaga industrie, având în vedere supravegherea și amenzile suplimentare (și aplicabilitatea sa la orice organizație care gestionează datele cu caracter personal ale persoanelor europene).
2FA Încredere îndelungată de către autoritățile de reglementare federale
Autentificarea cu doi factori a fost recomandată de Oficiul Departamentelor pentru Drepturile Civile (HCR) pentru mulți ani. În 2006, HHS recomanda deja 2FA ca cea mai bună practică pentru respectarea HIPAA, numind-o ca fiind prima metodă pentru a aborda riscul de furt de parole, care, la rândul său, ar putea duce la vizualizarea neautorizată a ePHI. Într-un document din decembrie 2006, HIPAA Security Guidance, HHS a sugerat ca riscul de furt de parole să fie abordat cu două strategii cheie: 2FA, împreună cu implementarea unui proces tehnic pentru crearea de nume de utilizator unice și autentificarea accesului angajaților la distanță.
Studiu: Autentificare cu doi factori subutilizată pentru HIPAA
Oficiul Coordonatorului Național pentru Tehnologia Informației în Sănătate (ONC) și-a arătat îngrijorarea specifică pentru această tehnologie prin „ONC Data Brief 32” din noiembrie 2015, care a acoperit tendințele de adoptare a 2FA de către spitalele de îngrijire acută din toată țara. Raportul a fost despre câte dintre aceste instituții au capabilitatea pentru 2FA (adică capacitate pentru utilizator să o adopte, spre deosebire de a cerinţă pentru asta). La acel moment, în 2014, cu siguranță a avut sens faptul că autoritățile de reglementare o împingeau, având în vedere că mai puțin de jumătate din grupul de studiu l-au pus în aplicare, deși numărul a crescut:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Fără bug-uri, fără stres - Ghidul dvs. pas cu pas pentru crearea de software care poate schimba viața fără a vă distruge viața
Nu îți poți îmbunătăți abilitățile de programare atunci când nimeni nu îi pasă de calitatea software-ului.
● 2013 – 44%
● 2014 – 49%
Cu siguranță, 2FA a fost adoptat mai pe larg de la acel moment - dar nu este omniprezent.
Documentația 2FA este necesară
Un alt aspect care este important de remarcat este necesitatea documentației - ceea ce este esențial dacă sfârșești să fii cercetat de auditorii federali, respectând, de asemenea, cerințe de analiză a riscurilor, cu condiția să incluzi acea discuție. Documentarea este necesară, deoarece regulile de parolă sunt listate ca fiind adresabil - sensul (cât de ridicol ar părea) să ofere raționamente documentate pentru utilizarea acestei bune practici. Cu alte cuvinte, nu trebuie să implementați 2FA, ci trebuie să explicați de ce dacă faceți acest lucru.
Software-ul 2FA nu are el însuși nevoie de conformitate HIPAA
Una dintre cele mai mari provocări cu 2FA este aceea că este inerent ineficientă de la adăugarea unui pas către un proces. În realitate, însă, îngrijorarea faptului că 2FA încetinește asistența medicală a fost atenuată, în mare măsură, de majorarea funcțiilor de conectare unică și de integrare LDAP pentru autentificarea integrată între sistemele de asistență medicală.
Așa cum s-a menționat în antet, software-ul 2FA în sine nu este suficient (cu umor, deoarece este atât de critic pentru conformitate), nu trebuie să respecte HIPAA, deoarece transmite PIN-uri, dar nu PHI. Deși puteți alege alternative în locul autentificării cu doi factori, strategiile divergente de top - instrumente de gestionare a parolelor și politicile de schimbare frecventă a parolelor - nu sunt o modalitate atât de ușoară de a respecta cerințele de parolă HIPAA. „Eficient”, a menționat HIPAA Journal, „Entitățile acoperite nu trebuie să schimbe niciodată o parolă” dacă pun în aplicare 2FA. (Pentru mai multe despre autentificare, verificați cât de mari date pot securiza autentificarea utilizatorului.)
Obiectivul HIPAA: reducerea continuă a riscurilor
Importanța utilizării furnizorilor de servicii găzduite puternice și cu experiență este subliniată de nevoia de a depăși 2FA cu o postură completă și conformă. Asta pentru că 2FA este departe de a fi infailibilă; modalitățile prin care hackerii pot să-l ocolească includ următoarele:
● Push-to-accept malware care împinge utilizatorii cu „Accept” s până când în sfârșit fac clic pe acesta în frustrare
● SMS-uri programe unice de razuire a parolei
● fraudă cu cardul SIM prin inginerie socială la numere de telefon port
● Utilizarea rețelelor de transportatori mobili pentru interceptarea vocală și SMS
● Eforturi care conving utilizatorii să facă clic pe link-uri false sau să se autentifice în site-uri de phishing - predarea directă a detaliilor de autentificare
Dar nu dispera. Autentificarea cu doi factori este doar una dintre metodele de care aveți nevoie pentru a îndeplini parametrii regulii de securitate și pentru a menține un ecosistem compatibil HIPAA. Orice măsuri luate pentru o mai bună protejare a informațiilor ar trebui considerate ca atenuarea riscurilor, consolidând continuu eforturile dvs. de confidențialitate, disponibilitate și integritate.