Tartalom
- 2FA, hosszú szövetségi szabályozók bizalma
- Tanulmány: Kétfaktoros hitelesítés alulfelhasználva a HIPAA-hoz
- Nincsenek hibák, nincs stressz - Az Ön életét megváltoztató szoftverek készítésének lépésről lépésre történő leírása az élet megsemmisítése nélkül
- 2FA-dokumentáció szükséges
- A 2FA szoftvernek önmagában nincs szüksége HIPAA megfelelőségre
- HIPAA Cél: Folyamatos kockázatcsökkentés
Forrás: CreativaImages / iStockphoto
Elvitel:
Bár a HIPAA-hoz nem szükséges két tényezős hitelesítés, ez elősegítheti a HIPAA-megfelelés útját.
A hagyományos felhasználónévvel és jelszóval történő bejelentkezési folyamat nem kielégítő az egyre ellenségesebb egészségügyi adatok környezetében. A kétfaktoros hitelesítés (2FA) egyre fontosabbá válik. Noha a technológia a HIPAA szerint nem kötelező, a HIPAA Journal megjegyezte, hogy okos módszer a megfelelőség szempontjából való visszalépéshez - valójában a módszert nevezik a "legjobb módszernek a HIPAA jelszó követelmények teljesítésének". (Ha többet szeretne megtudni a 2FA-ról, olvassa el a Két tényező hitelesítés alapjai című részt.)
Érdekes dolog a 2FA-nál (amelyet több tényezős hitelesítésre (MFA) is kibővítenek) az, hogy sok egészségügyi szervezetnél működik - de a megfelelés más formáira is, ideértve a Kábítószer-végrehajtó Igazgatások Elektronikus receptjét az ellenőrzött anyagok szabályaira és a Fizetési Kártyaipart Adatbiztonsági szabvány (PCI DSS). Az előbbi az alapvető iránymutatások, amelyeket figyelembe kell venni bármilyen ellenőrzött anyag elektronikus felírásakor - a HIPAA biztonsági szabályával párhuzamos szabálykészlet, amely kifejezetten a betegekkel kapcsolatos információk védelmére szolgáló technológiai biztosítékokkal foglalkozik. Ez utóbbi valójában a fizetési kártyák iparági szabályozása, amely szabályozza, hogy a kártyás fizetésekkel kapcsolatos adatokat hogyan kell védeni a nagyobb hitelkártya-társaságoktól származó bírságok elkerülése érdekében.
Az EU általános adatvédelmi rendelete a 2FA-val kapcsolatos aggodalmat az ipar egészében még nagyobb hangsúlyba helyezi, tekintettel annak további felügyeletére és bírságaira (és az alkalmazhatóságra minden olyan szervezetnél, amely az európai személyek személyes adatait kezeli).
2FA, hosszú szövetségi szabályozók bizalma
Két tényezővel történő hitelesítést a HHS Polgári Jogi Osztálya (OCR) évek óta javasolja. 2006-ban a HHS már javasolta a 2FA-t, mint a HIPAA-megfelelés bevált gyakorlatát, és ezt nevezi az első módszernek a jelszólopás kockázatának kezelésére, amely viszont az ePHI jogosulatlan megtekintéséhez vezethet. A 2006. decemberi HIPAA biztonsági útmutatásban a HHS javasolta, hogy a jelszó lopás kockázatával két kulcsstratégiával foglalkozzanak: 2FA, valamint az egyedi felhasználónevek létrehozására és a távoli alkalmazottak hozzáférésének hitelesítésére szolgáló technikai eljárás végrehajtásával.
Tanulmány: Kétfaktoros hitelesítés alulfelhasználva a HIPAA-hoz
Az Egészségügyi Információs Technológia Nemzeti Koordinátorának (ONC) Irodája a 2015. novemberi ONC Data Brief 32 segítségével, amely az ország egész területén akut ápolási kórházakban beszámolt a 2FA alkalmazási tendenciáiról, megmutatta különös aggodalmát ezzel a technológiával. A jelentés arról szól, hogy ezek közül az intézmények közül hány volt képes a 2FA - ra (azaz a képesség hogy a felhasználó elfogadhassa azt, szemben a követelmény érte). Abban a pontban, 2014-ben, nyilvánvaló volt értelme, hogy a szabályozók szorgalmazzák, mivel a tanulmányozócsoport kevesebb mint fele hajtotta végre, bár a számok növekedtek:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Nincsenek hibák, nincs stressz - Az Ön életét megváltoztató szoftverek készítésének lépésről lépésre történő leírása az élet megsemmisítése nélkül
Nem javíthatja a programozási képességeit, ha senki sem törődik a szoftver minőségével.
● 2013 – 44%
● 2014 – 49%
Természetesen a 2FA ettől kezdve szélesebb körben elfogadásra került, de ez nem mindenütt jelenik meg.
2FA-dokumentáció szükséges
Egy másik szempont, amelyet fontos megjegyezni, a papírmunka szükségessége - ez kritikus fontosságú, ha a szövetségi könyvvizsgálók végül kivizsgálják, és ugyanakkor teljesítik a kockázatelemzési követelményeket is, feltéve hogy belefoglalják ezt a vitát. A dokumentációra szükség van, mivel a jelszószabályok a következők: címezhető - azt jelenti (akár nevetséges, akár hangzik is), hogy dokumentált indokolást nyújtson ennek a legjobb gyakorlatnak a felhasználására. Más szavakkal, nem kell végrehajtania a 2FA-t, hanem meg kell magyaráznia, miért, ha igen.
A 2FA szoftvernek önmagában nincs szüksége HIPAA megfelelőségre
Az egyik legnagyobb kihívás a 2FA-val, hogy természetéből adódóan nem hatékony, mivel egy lépést ad a folyamathoz. Valójában azonban azt az aggodalmat, hogy a 2FA lelassítja az egészségügyi ellátást, nagymértékben enyhítette az egyszeri bejelentkezés és az LDAP integrációs funkciók rohama az integrált hitelesítés érdekében az egészségügyi rendszerek között.
Amint azt a fejlécben megjegyezzük, maga a 2FA szoftvernek (elég humoros módon, mivel ez a kritérium a megfelelőség szempontjából) nem kell HIPAA-kompatibilisnek lennie, mivel PIN-kódot továbbít, de nem PHI-t. Noha kétfaktoros hitelesítés helyett alternatívákat választhat, a legfontosabb eltérő stratégiák - a jelszókezelő eszközök és a gyakori jelszóváltás politikája - nem olyan egyszerű módja a HIPAA jelszókövetelmények teljesítésének. "Hatékonyan" - jegyezte meg a HIPAA Journal - "A lefedett egyéneknek nem kell többé megváltoztatniuk a jelszót", ha a 2FA-t megvalósítják. (A hitelesítéssel kapcsolatos további információkért olvassa el, hogy a Big Data hogyan tudja biztonságosítani a felhasználó hitelesítését.)
HIPAA Cél: Folyamatos kockázatcsökkentés
Az erős és tapasztalt tárhelyszolgáltatások és menedzselt szolgáltatók igénybevételének fontosságát hangsúlyozza, hogy átfogó, megfelelő testtartással kell túlmenni a 2FA-n. Ez azért van, mert a 2FA messze nem tévedhetetlen; A hackerek megkerülhetik a következőket:
● Olyan rosszindulatú programok, amelyek elfogadják a felhasználót az „Accept” gombbal, amíg végül frusztrációval rákattintanak
● SMS egyszeri jelszókaparó programok
● A SIM-kártya csalása a szociális tervezés révén a telefonszámok portolására
● A mobilszolgáltató hálózatok kihasználása a hang- és SMS-lehallgatáshoz
● Erőfeszítések, amelyek meggyőzik a felhasználókat a hamis hivatkozásokra való kattintásra vagy az adathalász webhelyekre való belépésre - a bejelentkezési adataik közvetlen átadására
De ne ess kétségbe. A két tényezőjű hitelesítés csak egy a módszereire, amelyre van szüksége a biztonsági szabály paramétereinek teljesítéséhez és a HIPAA-kompatibilis ökoszisztéma fenntartásához. Az információ fokozottabb védelme érdekében tett lépéseket kockázatcsökkentésnek kell tekinteni, és folyamatosan fokozzák erőfeszítéseit a titoktartás, a rendelkezésre állás és az integritás szempontjából.