Sisu
- 2FA, mida föderaalsed regulaatorid usaldavad kaua
- Uuring: kahefaktoriline autentimine on HIPAA jaoks alakasutatud
- Pole vigu ega stressi - teie samm-sammuline juhend elumuutva tarkvara loomiseks ilma oma elu hävitamata
- 2FA dokumentatsioon on vajalik
- 2FA tarkvara ise ei vaja HIPAA vastavust
- HIPAA eesmärk: pidev riski vähendamine
Allikas: CreativaImages / iStockphoto
Ära võtma:
Kuigi kahefaktorilist autentimist HIPAA jaoks ei nõuta, võib see aidata sillutada teed HIPAA järgimisele.
Traditsiooniline kasutajanime ja parooliga sisselogimisprotsess on üha vaenulikumas tervishoiuandmete keskkonnas ebapiisav. Kahefaktoriline autentimine (2FA) on muutunud üha olulisemaks. Ehkki tehnoloogia pole HIPAA järgi kohustuslik, märkis HIPAA Teataja, et see on nutikas viis vastavuse vaatenurgast lahkumiseks - nimetades meetodit tegelikult "parimaks viisiks HIPAA paroolinõuete täitmiseks". (Lisateavet 2FA kohta leiate jaotisest Kahefaktorilise autentimise põhitõed.)
2FA (mõnikord laiendatud mitmefaktoriliseks autentimiseks, MFA) jaoks on huvitav see, et see on olemas paljudes tervishoiuorganisatsioonides - kuid muude vormide järgimiseks, sealhulgas uimastite jõustamise administratsioonide kontrollitavate ainete elektrooniliste retseptide reeglid ja maksekaarditööstus Andmeturbe standard (PCI DSS). Esimene neist on põhisuunised, mida tuleb kasutada kontrollitavate ainete elektroonilisel väljakirjutamisel - eeskirjade kogum, mis on paralleelne HIPAA turbereegliga patsientide teabe kaitsmiseks ette nähtud tehnoloogiliste kaitsemeetmete osas. Viimane on tegelikult maksekaartide valdkonna määrus, mis reguleerib, kuidas tuleb kaitsta kõiki kaardimaksetega seotud andmeid, et vältida suuremate krediitkaardiettevõtete trahve.
ELi üldine andmekaitsemäärus juhib 2FA-ga seotud mure veelgi suuremat tähelepanu kogu tööstuses, arvestades selle täiendavat järelevalvet ja trahve (ning selle kohaldatavust organisatsioonide suhtes, mis käitlevad Euroopa üksikisikute isikuandmeid).
2FA, mida föderaalsed regulaatorid usaldavad kaua
HHSi kodanikuõiguste osakond (OCR) on juba aastaid soovitanud kahefaktorilist autentimist. 2006. aastal soovitas HHS juba 2FA-d kui HIPAA järgimise parimat tava, nimetades seda esimeseks meetodiks paroolide varguse ohu vähendamiseks, mis võib omakorda viia ePHI loata vaatamiseni. 2006. aasta detsembri dokumendis HIPAA turvalisuse juhend soovitas HHS paroolide varguse riski käsitleda kahes põhistrateegias: 2FA koos tehnilise protsessi juurutamisega ainulaadsete kasutajanimede loomiseks ja töötajate kaugjuurdepääsu autentimiseks.
Uuring: kahefaktoriline autentimine on HIPAA jaoks alakasutatud
Tervise infotehnoloogia riikliku koordinaatori riikliku koordinaatori (ONC) büroo on oma novembrist 2015 ilmunud "ONC Data Brief 32" abil üles näidanud oma erilist muret selle tehnoloogia pärast, mis hõlmas 2FA vastuvõtmise suundumusi kogu riigi ägeda hoolduse haiglates. Aruandes käsitleti seda, kui paljudel neist asutustest on 2FA (st võimekust et kasutaja saaks selle vastu võtta, mitte a nõue selle jaoks). Sel hetkel, 2014. aastal, oli kindlasti mõistlik, et seadusandjad seda tõukavad, arvestades, et vähem kui pooled uuringugrupist olid selle rakendanud, ehkki arv kasvas:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Pole vigu ega stressi - teie samm-sammuline juhend elumuutva tarkvara loomiseks ilma oma elu hävitamata
Te ei saa oma programmeerimisoskusi parandada, kui keegi tarkvara kvaliteedist ei hooli.
● 2013 – 44%
● 2014 – 49%
Kindlasti on 2FA sellest hetkest alates laiemalt vastu võetud, kuid see pole üldlevinud.
2FA dokumentatsioon on vajalik
Teine aspekt, mida on oluline tähele panna, on paberimajanduse vajadus - see on kriitilise tähtsusega, kui lõpuks jõuate föderaalsete audiitorite poolt uurimiseni, kui täidate samal ajal ka riskianalüüsi nõudeid, tingimusel et lisate selle arutelu. Dokumenteerimine on vajalik, kuna paroolireeglid on loetletud kujul adresseeritav - tähendus (nii naeruväärseks, kui see võib tunduda) dokumenteeritud põhjenduse esitamine selle parima tava kasutamiseks. Teisisõnu, te ei pea 2FA-d rakendama, vaid peate selgitama, miks seda teete.
2FA tarkvara ise ei vaja HIPAA vastavust
Üks 2FA suurimaid väljakutseid on see, et see on oma olemuselt ebaefektiivne, kuna see lisab protsessile sammu. Tegelikult on mure, et 2FA aeglustab tervishoiuteenuste osutamist, siiski suuresti leevendatud ühekordse sisselogimise ja LDAP-i integreerimisfunktsioonide lisandumisega integreeritud autentimiseks tervishoiusüsteemide vahel.
Nagu päises märgitud, ei pea 2FA tarkvara ise (piisavalt humoorikalt, kuna see on vastavuse jaoks nii kriitiline) HIPAA-ühilduv, kuna see edastab PIN-koode, kuid mitte PHI-d. Ehkki kahefaktorilise autentimise asemel saate valida alternatiive, pole parimad erinevad strateegiad - paroolihaldusriistad ja paroolide sagedase muutmise põhimõtted - HIPAA paroolinõuete täitmiseks nii lihtne viis. "Tõhusalt," märkis HIPAA Teataja, "hõlmatud üksused ei pea kunagi parooli enam vahetama", kui nad rakendavad 2FA. (Autentimise kohta lisateabe saamiseks vaadake, kuidas suured andmed saavad kasutaja autentimist turvaliselt kaitsta.)
HIPAA eesmärk: pidev riski vähendamine
Tugevate ja kogenud hostimise ning hallatud teenusepakkujate kasutamise olulisust rõhutab vajadus ületada 2FA-d laiaulatusliku, nõuetele vastava poosiga. See on seepärast, et 2FA pole kaugeltki eksimatu; Häkkerid pääsevad selle juurde järgmiselt:
● Pahatahtlikult aktsepteeritav pahavara, mis segab kasutajaid nupuga „Nõustuma”, kuni nad lõpuks pettunult sellele klõpsavad
● SMS-ide ühekordsed paroolide kraapimisprogrammid
● SIM-kaardi pettus sotsiaalabi kaudu telefoninumbrite teisaldamiseks
● Mobiilsidevõrkude võimendamine kõne- ja SMS-pealtkuulamiseks
● Pingutused, mis veenvad kasutajaid klõpsama võltslinkidele või andmepüügisaitidele sisse logima - annavad oma sisselogimisandmed otse üle
Kuid ärge heitke meelt. Kahefaktoriline autentimine on vaid üks vajalikest meetoditest turvareegli parameetrite täitmiseks ja HIPAA-ga ühilduva ökosüsteemi säilitamiseks. Kõiki teabe paremaks kaitsmiseks võetud samme tuleks vaadelda riskimaandamisena, toetades pidevalt teie jõupingutusi konfidentsiaalsuse, kättesaadavuse ja terviklikkuse tagamiseks.