Зміст
- 2FA довго довіряють федеральні регулятори
- Дослідження: Двофакторна автентифікація недостатньо використовується для HIPAA
- Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя
- Документація 2FA необхідна
- Програмне забезпечення 2FA не потребує відповідності HIPAA
- Мета HIPAA: Постійне зменшення ризиків
Джерело: CreativaImages / iStockphoto
Винос:
Хоча двофакторна автентифікація не потрібна для HIPAA, вона може допомогти прокласти шлях до відповідності HIPAA.
Традиційний процес входу з іменем користувача та паролем недостатній у все більш ворожій системі охорони здоров'я. Двофакторна аутентифікація (2FA) набуває все більшого значення. Хоча ця технологія не є обов'язковою для HIPAA, журнал HIPAA зазначає, що це розумний спосіб перейти з точки зору дотримання вимог - фактично називаючи метод "найкращим способом дотримання вимог пароля HIPAA". (Щоб дізнатися більше про 2FA, див. Основи двофакторної автентифікації.)
Цікава річ 2FA (іноді перетворюється на багатофакторну аутентифікацію, МЗС) полягає в тому, що вона існує в багатьох організаціях охорони здоров’я - але для інших форм дотримання, зокрема електронних рецептів для контролю над наркотиками для правил контролю за речовинами та індустрії платіжних карток Стандарт безпеки даних (PCI DSS). Перший - це основні вказівки, які слід застосовувати при призначенні будь-яких контрольованих речовин в електронному вигляді - набір правил, паралельних Правилу безпеки HIPAA, зокрема щодо вирішення технологічних гарантій захисту інформації про пацієнтів. Останнє насправді є галузевим регулюванням платіжних карток, яке регулює, як будь-які дані, пов’язані з платежами по картках, повинні бути захищені, щоб уникнути штрафів від великих компаній, що займаються кредитними картками.
Загальний регламент ЄС про захист даних привертає занепокоєння щодо 2FA до ще більшої уваги у всій галузі, враховуючи її додатковий нагляд та штрафи (та її застосовність до будь-якої організації, що обробляє особисті дані європейських осіб).
2FA довго довіряють федеральні регулятори
Двофакторна автентифікація вже багато років рекомендується Управлінням з питань громадянських прав департаментів HHS (OCR). У 2006 році HHS вже рекомендував 2FA як найкращу практику щодо дотримання HIPAA, називаючи це як перший метод боротьби з ризиком викрадення пароля, що, в свою чергу, може призвести до несанкціонованого перегляду ePHI. У документі від грудня 2006 року, керівництві щодо безпеки HIPAA, HHS запропонував розглянути ризик викрадення пароля за допомогою двох ключових стратегій: 2FA разом із впровадженням технічного процесу для створення унікальних імен користувачів та автентифікації віддаленого доступу співробітників.
Дослідження: Двофакторна автентифікація недостатньо використовується для HIPAA
Управління Національного координатора інформаційних технологій охорони здоров'я (ОНК) виявило своє особливе занепокоєння цією технологією завдяки своєму "Обліковому опису даних ONC 32" від листопада 2015 року, який висвітлював тенденції прийняття 2FA в лікарнях швидкої допомоги по всій країні. У звіті було відомо про те, скільки цих установ мали можливість для 2FA (тобто здатність для користувача, щоб прийняти його, на відміну від a вимога для нього). У той момент, у 2014 році, безумовно, було сенс, що регулятори наполягають на цьому, враховуючи, що менше половини дослідницької групи було впроваджено, хоча кількість людей зростала:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя
Ви не можете покращити свої навички програмування, коли ніхто не піклується про якість програмного забезпечення.
● 2013 – 44%
● 2014 – 49%
Звичайно, 2FA з цього моменту було більш широко прийнято - але це не є всюдисущим.
Документація 2FA необхідна
Ще один аспект, який важливо відзначити, - це необхідність оформлення документів - що є надзвичайно важливим, якщо ви в кінцевому підсумку розслідуєтесь федеральними аудиторами, одночасно виконуючи вимоги щодо аналізу ризиків, якщо ви включите цю дискусію. Документація необхідна, оскільки правила пароля вказані як адресний - сенс (наскільки смішно це не звучить) надати задокументовані міркування щодо використання цієї найкращої практики. Іншими словами, вам не потрібно впроваджувати 2FA, але ви повинні пояснити, чому, якщо це зробити.
Програмне забезпечення 2FA не потребує відповідності HIPAA
Однією з найбільших проблем 2FA є те, що вона за своєю суттю неефективна з моменту додавання кроку до процесу. Насправді, однак, стурбованість тим, що 2FA уповільнює охорону здоров'я, значною мірою усунута сплеском функцій єдиного входу та інтеграції LDAP для інтегрованої автентифікації між системами охорони здоров’я.
Як зазначається в заголовку, програмне забезпечення 2FA саме по собі не (досить гумористично, оскільки його так важливо відповідати) не повинно відповідати HIPAA, оскільки воно передає PIN-коди, але не PHI. Хоча ви можете обрати альтернативи замість двофакторної автентифікації, найкращі стратегії розбіжності - інструменти керування паролями та правила частої зміни паролів - не такий простий спосіб дотриматись вимог пароля HIPAA. "Ефективно", зазначає журнал HIPAA, "охопленим особам більше ніколи не потрібно міняти пароль", якщо вони реалізують 2FA. (Докладніше про аутентифікацію див. Як великі дані можуть захистити автентифікацію користувача.)
Мета HIPAA: Постійне зменшення ризиків
Важливість використання сильних та досвідчених постачальників послуг, що управляють хостингом та керованими послугами, підкреслюється необхідністю виходу за рамки 2FA із вичерпною сумісною позицією. Це тому, що 2FA далеко не безпомильний; способи, як хакери можуть його обійти, включають наступне:
● Надіслати зловмисне програмне забезпечення, яке заправляє користувачів на "Прийняти", поки вони нарешті не розчаруються
● Програми одноразового скасування пароля SMS
● Шахрайство на SIM-картці через соціальну інженерію для передачі номерів телефонів порту
● Використання мобільних мереж мобільних операторів для перехоплення голосом та SMS
● Зусилля, які переконують користувачів натискати фальшиві посилання або входити в фішинг-сайти - передаючи дані про їх вхід безпосередньо
Але не впадайте у відчай. Двофакторна автентифікація - лише один із методів, необхідних для задоволення параметрів Правила безпеки та підтримки екосистеми, сумісної з HIPAA. Будь-які кроки, вжиті для кращого захисту інформації, слід розглядати як зменшення ризику, постійно посилюючи ваші зусилля щодо конфіденційності, доступності та цілісності.