Περιεχόμενο
- 2FA Long Trusted από τις ομοσπονδιακές ρυθμιστικές αρχές
- Μελέτη: Έλεγχος ταυτότητας δύο παραγόντων που δεν χρησιμοποιείται καθόλου για το HIPAA
- No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας
- Απαιτείται τεκμηρίωση 2FA
- Το λογισμικό 2FA δεν χρειάζεται τον εαυτό του HIPAA Compliance
- HIPAA Στόχος: Συνεχιζόμενη μείωση του κινδύνου
Πηγή: CreativaImages / iStockphoto
Πάρε μακριά:
Παρόλο που ο έλεγχος ταυτότητας δύο παραγόντων δεν απαιτείται για την HIPAA, μπορεί να συμβάλει στην προετοιμασία της συμμόρφωσης με το HIPAA.
Η παραδοσιακή διαδικασία σύνδεσης με όνομα χρήστη και κωδικό πρόσβασης είναι ανεπαρκής σε ένα όλο και πιο εχθρικό περιβάλλον δεδομένων περίθαλψης. Ο έλεγχος ταυτότητας δύο παραγόντων (2FA) έχει αποκτήσει όλο και μεγαλύτερη σημασία. Ενώ η τεχνολογία δεν είναι υποχρεωτική σύμφωνα με το HIPAA, η HIPAA Journal σημείωσε ότι είναι ένας έξυπνος τρόπος να προχωρήσουμε από την άποψη της συμμόρφωσης - πράγματι καλώντας τη μέθοδο "τον καλύτερο τρόπο συμμόρφωσης με τις απαιτήσεις κωδικού πρόσβασης HIPAA". (Για να μάθετε περισσότερα σχετικά με το 2FA, ανατρέξτε στα Βασικά στοιχεία της επαλήθευσης δύο παραγόντων.)
Ένα ενδιαφέρον στοιχείο για το 2FA (μερικές φορές επεκτάθηκε σε έλεγχο ταυτότητας πολλαπλών παραγόντων, MFA) είναι ότι υπάρχει σε πολλούς οργανισμούς υγειονομικής περίθαλψης - αλλά για άλλες μορφές συμμόρφωσης, συμπεριλαμβανομένων των κανόνων ηλεκτρονικής συνταγογράφησης για τις ελεγχόμενες ουσίες και της βιομηχανίας καρτών πληρωμών Πρότυπο ασφαλείας δεδομένων (PCI DSS). Οι πρώτες είναι οι βασικές κατευθυντήριες γραμμές που πρέπει να χρησιμοποιούνται για τη συνταγογράφηση οποιωνδήποτε ελεγχόμενων ουσιών ηλεκτρονικά - ένα σύνολο κανόνων παράλληλο με τον κανόνα ασφαλείας της HIPAA, το οποίο αφορά ειδικά τις τεχνολογικές διασφαλίσεις για την προστασία των πληροφοριών των ασθενών. Το τελευταίο είναι στην πραγματικότητα ένας κανονισμός βιομηχανικής κάρτας πληρωμών που διέπει τον τρόπο με τον οποίο πρέπει να προστατεύονται τα δεδομένα που σχετίζονται με τις πληρωμές με κάρτες, ώστε να αποφεύγονται πρόστιμα από τις μεγάλες εταιρείες πιστωτικών καρτών.
Ο κανονισμός για την προστασία των γενικών δεδομένων της ΕΕ εκφράζει την ανησυχία του για το γεγονός ότι η 2FA θα εστιασθεί ακόμη περισσότερο σε ολόκληρη τη βιομηχανία, δεδομένης της πρόσθετης εποπτείας και των προστίμων της (και της εφαρμογής της σε κάθε οργανισμό που χειρίζεται τα προσωπικά δεδομένα των ευρωπαίων πολιτών).
2FA Long Trusted από τις ομοσπονδιακές ρυθμιστικές αρχές
Ο έλεγχος ταυτότητας δύο παραγόντων συνιστάται εδώ και πολλά χρόνια από την Υπηρεσία για τα Αστικά Δικαιώματα (OCR) των Διευθύνσεων Υγείας του HHS. Το 2006, το HHS συνιστούσε ήδη την 2FA ως βέλτιστη πρακτική για τη συμμόρφωση με την HIPAA, χαρακτηρίζοντάς την ως την πρώτη μέθοδο αντιμετώπισης του κινδύνου κλοπής κωδικού πρόσβασης, η οποία με τη σειρά της θα μπορούσε να οδηγήσει σε μη εξουσιοδοτημένη προβολή του ePHI. Σε ένα έγγραφο του Δεκεμβρίου του 2006, HHSA Guidance Security, το HHS πρότεινε ότι ο κίνδυνος κλοπής κωδικού πρόσβασης αντιμετωπίζεται με δύο βασικές στρατηγικές: 2FA, μαζί με την υλοποίηση μιας τεχνικής διαδικασίας για τη δημιουργία μοναδικών ονομάτων χρηστών και την εξακρίβωση της ταυτότητας των απομακρυσμένων εργαζομένων.
Μελέτη: Έλεγχος ταυτότητας δύο παραγόντων που δεν χρησιμοποιείται καθόλου για το HIPAA
Το Γραφείο του Εθνικού Συντονιστή για την Πληροφορική Υγείας (ONC) έδειξε την ιδιαίτερη ανησυχία του για την τεχνολογία αυτή μέσω του "ONC Data Brief 32" από τον Νοέμβριο του 2015, το οποίο κάλυψε τις τάσεις υιοθεσίας των 2FA από νοσοκομεία οξείας φροντίδας σε όλη τη χώρα. Η έκθεση αφορούσε πόσα από αυτά τα ιδρύματα είχαν την ικανότητα για 2FA (δηλ ικανότητα για το χρήστη να το υιοθετήσει, σε αντίθεση με ένα απαίτηση γι 'αυτό). Σε αυτό το σημείο, το 2014, ασφαλώς ήταν λογικό οι ρυθμιστικές αρχές να το πιέζουν, δεδομένου ότι λιγότερο από το ήμισυ της ομάδας μελέτης το είχε εφαρμόσει, αν και με αυξανόμενο αριθμό:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας
Δεν μπορείτε να βελτιώσετε τις δεξιότητες προγραμματισμού σας όταν κανείς δεν ενδιαφέρεται για την ποιότητα του λογισμικού.
● 2013 – 44%
● 2014 – 49%
Βεβαίως, το 2FA έχει υιοθετηθεί ευρύτερα από τότε - αλλά δεν είναι πανταχού παρόν.
Απαιτείται τεκμηρίωση 2FA
Μια άλλη πτυχή που πρέπει να σημειωθεί είναι η ανάγκη για γραφική εργασία - η οποία είναι κρίσιμη εάν καταλήξετε να διερευνηθεί από ομοσπονδιακούς ελεγκτές, ενώ ικανοποιούν και τις απαιτήσεις ανάλυσης κινδύνου, υπό τον όρο ότι συμπεριλαμβάνετε τη συζήτηση αυτή. Η τεκμηρίωση είναι απαραίτητη αφού οι κανόνες κωδικού πρόσβασης είναι καταχωρημένοι ως διευθυνσιοδότηση - που σημαίνει (όσο γελοίο μπορεί να ακούγεται) η τεκμηριωμένη συλλογιστική για τη χρήση αυτής της βέλτιστης πρακτικής. Με άλλα λόγια, δεν χρειάζεται να εφαρμόσετε 2FA, αλλά πρέπει να εξηγήσετε γιατί αν το κάνετε.
Το λογισμικό 2FA δεν χρειάζεται τον εαυτό του HIPAA Compliance
Μία από τις μεγαλύτερες προκλήσεις με το 2FA είναι ότι είναι εγγενώς αναποτελεσματική δεδομένου ότι προσθέτει ένα βήμα σε μια διαδικασία. Στην πραγματικότητα, όμως, η ανησυχία ότι η 2FA επιβραδύνει την υγειονομική περίθαλψη έχει υποχωρήσει, σε μεγάλο βαθμό, από την αύξηση των λειτουργιών ενιαίας σύνδεσης και ενσωμάτωσης του LDAP για ολοκληρωμένη πιστοποίηση ταυτότητας μεταξύ των συστημάτων υγειονομικής περίθαλψης.
Όπως σημειώνεται στην κεφαλίδα, το ίδιο το λογισμικό 2FA δεν (αρκετά χιουμοριστικό, αφού είναι τόσο κρίσιμο για συμμόρφωση) πρέπει να είναι συμβατό με HIPAA, καθώς μεταδίδει PIN αλλά όχι PHI. Ενώ μπορείτε να επιλέξετε εναλλακτικές λύσεις αντί για έλεγχο ταυτότητας δύο παραγόντων, οι κορυφαίες αποκλίνουσες στρατηγικές - τα εργαλεία διαχείρισης κωδικών πρόσβασης και οι πολιτικές συχνών αλλαγών κωδικού πρόσβασης - δεν είναι τόσο εύκολοι τρόπος συμμόρφωσης με τις απαιτήσεις κωδικού πρόσβασης HIPAA. "Αποτελεσματικά", σημείωσε το περιοδικό HIPAA, "Οι καλυμμένες οντότητες δεν χρειάζεται ποτέ να αλλάξουν ξανά έναν κωδικό πρόσβασης" εάν εφαρμόσουν το 2FA. (Για περισσότερες πληροφορίες σχετικά με τον έλεγχο ταυτότητας, ελέγξτε πόσο μεγάλα δεδομένα μπορούν να εξασφαλίσουν τον έλεγχο ταυτότητας χρήστη.)
HIPAA Στόχος: Συνεχιζόμενη μείωση του κινδύνου
Η σημασία της χρήσης ισχυρών και έμπειρων παρόχων φιλοξενίας και διαχειριζόμενων υπηρεσιών υπογραμμίζεται από την ανάγκη να προχωρήσουμε πέρα από το 2FA με μια ολοκληρωμένη συμμορφούμενη στάση. Αυτό γιατί το 2FA είναι μακριά από αλάνθαστο. οι τρόποι που μπορούν να κάνουν οι χάκερ γύρω τους περιλαμβάνουν τα εξής:
● Λογισμικό κακόβουλου λογισμικού push-to-accept που ωθεί τους χρήστες με "Αποδοχή" έως ότου τελικά κάνουν κλικ σε απογοήτευση
● Προγράμματα απομάκρυνσης κωδικού πρόσβασης μιας διάρκειας SMS
● Απάτη κάρτας SIM μέσω κοινωνικής μηχανικής σε αριθμούς τηλεφώνου λιμένων
● Αξιοποίηση δικτύων κινητής τηλεφωνίας για παρακολούθηση φωνής και SMS
● Προσπάθειες που πείθουν τους χρήστες να κάνουν κλικ σε ψεύτικους συνδέσμους ή να συνδεθούν σε ιστότοπους ηλεκτρονικού "ψαρέματος" - παραδίδοντας απευθείας τα στοιχεία σύνδεσης τους
Αλλά μην απελπίζεστε. Ο έλεγχος ταυτότητας δύο παραγόντων είναι μόνο μία από τις μεθόδους που χρειάζεστε για να ικανοποιήσετε τις παραμέτρους του Κανόνου Ασφαλείας και να διατηρήσετε ένα οικοσύστημα συμβατό με HIPAA. Οποιεσδήποτε ενέργειες θα γίνουν για την καλύτερη προστασία των πληροφοριών θα πρέπει να θεωρηθούν ως μετριασμός του κινδύνου, ενισχύοντας συνεχώς τις προσπάθειές σας για εμπιστευτικότητα, διαθεσιμότητα και ακεραιότητα.