Sisältö
- 2FA Kauan luottavat liittovaltion sääntelijät
- Tutkimus: Kahden tekijän todennus alikäytetty HIPAA: lle
- Ei vikoja, ei stressiä - vaiheittaiset ohjeet elämää muuttavien ohjelmistojen luomiseen tuhoamatta elämääsi
- 2FA-dokumentaatio vaaditaan
- 2FA-ohjelmisto ei itse tarvitse HIPAA-vaatimustenmukaisuutta
- HIPAA-tavoite: Jatkuva riskinhallinta
Lähde: CreativaImages / iStockphoto
Ottaa mukaan:
Vaikka HIPAA: lle ei vaadita kaksifaktorista todennusta, se voi auttaa tasoittamaan tietä HIPAA-vaatimustenmukaisuuteen.
Perinteinen kirjautumisprosessi käyttäjätunnuksella ja salasanalla on riittämätöntä yhä vihamielisemmässä terveydenhuollon tietoympäristössä. Kahden tekijän todennuksesta (2FA) on tullut yhä tärkeämpi. Vaikka tekniikka ei ole pakollista HIPAA: n nojalla, HIPAA Journal totesi, että se on fiksu tapa siirtyä vaatimustenmukaisuuden näkökulmasta - kutsuen menetelmää "parhaaksi tapaksi noudattaa HIPAA-salasanavaatimuksia". (Lisätietoja 2FA: sta, katso Kaksitekijän todennuksen perusteet.)
Mielenkiintoinen asia 2FA: ssa (joskus laajennettu monitekijäiseen todennukseen, MFA) on se, että se on käytössä monissa terveydenhuollon organisaatioissa - mutta muissa tapauksissa noudatettavaksi, mukaan lukien lääkevalvontaviranomaisten hallinnoitavien aineiden sähköinen resepti säännöt ja maksukortti-ala Tietoturvastandardi (PCI DSS). Ensimmäinen on perusohjeet, joita käytetään valvottavien aineiden määräämisessä sähköisesti - joukko sääntöjä, jotka ovat samansuuntaisia HIPAA: n turvallisuussäännön kanssa ja joissa käsitellään erityisesti potilastietojen suojaamiseen tarkoitettuja teknisiä takeita. Jälkimmäinen on tosiasiallisesti maksukorttiteollisuuden asetus, joka sääntelee sitä, kuinka kaikki korttimaksuihin liittyvät tiedot on suojattava suurien luottokorttiyhtiöiden sakkojen välttämiseksi.
EU: n yleinen tietosuoja-asetus vetää 2FA: n kanssa entistä enemmän huomiota koko toimialalla, ottaen huomioon sen lisävalvonta ja sakot (ja sen sovellettavuus organisaatioihin, jotka käsittelevät eurooppalaisten henkilötietoja).
2FA Kauan luottavat liittovaltion sääntelijät
HHS: n kansalaisoikeuksien osasto (OCR) on suositellut kahden tekijän todennusta monien vuosien ajan. Vuonna 2006 HHS suositteli jo 2FA: ta parhaaksi käytännöksi HIPAA-vaatimustenmukaisuudelle, ja nimitti sen ensimmäiseksi menetelmäksi puuttua salasanan varkauden riskiin, mikä puolestaan voi johtaa ePHI: n luvattomaan tarkasteluun. Joulukuussa 2006 julkaistussa HIPAA-tietoturvaohjeessa HHS ehdotti, että salasanavarkausriskiin puututaan kahdella keskeisellä strategialla: 2FA, samoin kuin teknisen prosessin toteuttaminen yksilöivien käyttäjätunnusten luomiseksi ja työntekijöiden etäkäytön todentamiseksi.
Tutkimus: Kahden tekijän todennus alikäytetty HIPAA: lle
Terveyden tietotekniikan kansallisen koordinaattorin (ONC) toimisto on osoittanut olevansa erityisen huolestunut tästä tekniikasta marraskuusta 2015 päivätyn "ONC Data Brief 32" -kampanjan avulla, joka kattoi 2FA: n omaksumissuuntaukset akuutin hoidon sairaaloissa ympäri maata. Raportti koski sitä, kuinka monella näistä laitoksista oli kyky 2FA: n (ts valmiudet jotta käyttäjä voi ottaa sen käyttöön, toisin kuin a vaatimus sitä varten). Tuolloin, vuonna 2014, oli varmasti järkevää, että sääntelyviranomaiset ajavat sitä, koska alle puolet tutkimusryhmästä oli toteuttanut sen, vaikkakin lukumäärät nousivat:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Ei vikoja, ei stressiä - vaiheittaiset ohjeet elämää muuttavien ohjelmistojen luomiseen tuhoamatta elämääsi
Et voi parantaa ohjelmointitaitojasi, kun kukaan ei välitä ohjelmiston laadusta.
● 2013 – 44%
● 2014 – 49%
Tietysti 2FA on hyväksytty laajemmin tuosta hetkestä lähtien - mutta se ei ole kaikkialla.
2FA-dokumentaatio vaaditaan
Toinen näkökohta, joka on tärkeätä huomata, on paperityön tarve - mikä on kriittistä, jos päädyt liittovaltion tilintarkastajien tutkimaan, samalla kun täytät myös riskianalyysin vaatimukset, edellyttäen että sisällytät kyseisen keskustelun. Dokumentaatio on välttämätöntä, koska salasanasäännöt on lueteltu nimellä osoitteellinen - tarkoitus (niin naurettavaa kuin se voi kuulostaa) antaa dokumentoidut perustelut tämän parhaan käytännön käyttämiselle. Toisin sanoen, sinun ei tarvitse toteuttaa 2FA: ta, mutta sinun on perusteltava miksi, jos teet.
2FA-ohjelmisto ei itse tarvitse HIPAA-vaatimustenmukaisuutta
Yksi suurimmista 2FA: n haasteista on, että se on luonnostaan tehoton, koska se lisää vaiheen prosessiin. Tosiasiallisesti huolta siitä, että 2FA hidastaa terveydenhuoltoa, on tosiasiallisesti lievitetty kertaluonteisten sisäänkirjautumis- ja LDAP-integrointitoimintojen lisääntymisen kautta integroituun todennukseen terveydenhuoltojärjestelmien välillä.
Kuten otsikossa todettiin, 2FA-ohjelmiston itsensä ei tarvitse (humoristisesti tarpeeksi, koska sen noudattaminen on niin kriittistä) olla HIPAA-yhteensopiva, koska se lähettää PIN-koodeja, mutta ei PHI: tä. Vaikka voit valita vaihtoehtoja kaksifaktorisen todennuksen sijasta, huipputasoiset strategiat - salasanan hallintatyökalut ja toistuvat salasanamuutokset - eivät ole yhtä helppo tapa noudattaa HIPAA-salasanavaatimuksia. "Tehokkaasti", huomautti HIPAA-lehti, "Katettujen entiteettien ei koskaan tarvitse vaihtaa salasanaa uudelleen", jos ne toteuttavat 2FA: n. (Lisätietoja autentikoinnista saat kohdasta Kuinka suuret tiedot voivat suojata käyttäjän todennuksen.)
HIPAA-tavoite: Jatkuva riskinhallinta
Vahvan ja kokenut isäntä- ja hallittujen palveluntarjoajien käytön merkitystä korostaa tarve mennä 2FA: n ulkopuolelle kattavalla, yhteensopivalla asennolla. Että koska 2FA on kaukana erehtymättömästä; hakkerit voivat kiertää sen muun muassa seuraavat:
● Työnnä hyväksyttävä haittaohjelma, joka levittää käyttäjiä Hyväksy-painikkeilla, kunnes he lopulta napsauttavat sitä turhautuneena
● Tekstiviestin kertaluonteiset salasanan kaavintaohjelmat
● SIM-kortin petokset sosiaalisen suunnittelun avulla puhelinnumeroiden siirtämiseen
● Matkapuhelinverkkojen hyödyntäminen ääni- ja tekstiviestien sieppaamiseksi
● Pyrkimykset, jotka saavat käyttäjät napsauttamaan vääriä linkkejä tai kirjautumaan kalastelusivustoille - luovuttamalla kirjautumistietonsa suoraan
Mutta älä epätoivo. Kaksikerroinen todennus on vain yksi tarvittavista menetelmistä tietosuojasäännön parametrien täyttämiseksi ja HIPAA-yhteensopivan ekosysteemin ylläpitämiseksi. Kaikkia tietojen suojaamiseksi toteutettavia toimenpiteitä on pidettävä riskinhallintana, joka tukee jatkuvasti luottamuksellisuutta, saatavuutta ja eheyttä.