Съдържание
- 2FA Long доверен от федералните регулатори
- Проучване: Двуфакторна автентификация е недостатъчно използвана за HIPAA
- Без грешки, без стрес - Вашето стъпка по стъпка ръководство за създаване на софтуер, променящ живота, без да разрушава живота ви
- Необходима е 2FA документация
- 2FA софтуерът сам по себе си не се нуждае от HIPAA съответствие
- Цел на HIPAA: Текущо намаляване на риска
Източник: CreativaImages / iStockphoto
За вкъщи:
Въпреки че за HIPAA не е необходимо двуфакторно удостоверяване, това може да помогне да се проправи път към съответствието с HIPAA.
Традиционният процес за влизане с потребителско име и парола е недостатъчен във все по-враждебна среда на данни за здравеопазването. Двуфакторната автентификация (2FA) става все по-важна. Въпреки че технологията не е задължителна съгласно HIPAA, журнал HIPAA отбеляза, че това е интелигентен начин да се премине от гледна точка на спазването на изискванията - всъщност нарича методът „най-добрият начин за спазване на изискванията за парола HIPAA“. (За да научите повече за 2FA, вижте Основите на двуфакторната автентификация.)
Интересно за 2FA (понякога разширено в многофакторно удостоверяване, MFA) е, че той е наличен в много здравни организации - но за други форми на спазване, включително Електронното предписание на Администрациите за прилагане на лекарства за правилата за контролирани вещества и индустрията на платежните карти Стандарт за защита на данните (PCI DSS). Първото е основните насоки, които трябва да се използват при предписване на контролирани вещества по електронен път - набор от правила, които са успоредни на правилото за сигурност на HIPAA при конкретно справяне с технологичните гаранции за защита на информацията за пациента. Последното всъщност е регламент за индустрията на разплащателни карти, който урежда как всички данни, свързани с плащанията с карти, трябва да бъдат защитени, за да се избегнат глоби от големите компании за кредитни карти.
Общият регламент на ЕС за защита на данните привлича притесненията от 2FA в още по-голяма насоченост в целия отрасъл, предвид допълнителния му надзор и глоби (и приложимостта му към всяка организация, която обработва лични данни на европейски лица).
2FA Long доверен от федералните регулатори
Двуфакторна автентификация се препоръчва от Службата за граждански права (OCR) на отделите на HHS в продължение на много години. През 2006 г. HHS вече препоръчва 2FA като най-добра практика за спазване на HIPAA, като го нарече като първи метод за справяне с риска от кражба на парола, което от своя страна би могло да доведе до нерегламентирано гледане на ePHI. В документ от декември 2006 г., Ръководство за сигурност на HIPAA, HHS предложи рискът от кражба на парола да бъде адресиран с две ключови стратегии: 2FA, заедно с прилагането на технически процес за създаване на уникални потребителски имена и удостоверяване на отдалечен достъп на служители.
Проучване: Двуфакторна автентификация е недостатъчно използвана за HIPAA
Службата на Националния координатор по здравни информационни технологии (ONC) прояви специфичната си загриженост към тази технология чрез „ONC Data Brief 32“ от ноември 2015 г., който обхвана тенденциите за приемане на 2FA от болниците за остра грижа в цялата страна. Докладът беше за това колко от тези институции са имали способността за 2FA (т.е. способност за потребителя да го приеме, за разлика от a изискване за него). Към този момент през 2014 г. със сигурност има смисъл, че регулаторите го натискат, като се има предвид, че по-малко от половината от проучвателната група го беше приложила, макар че с нарастване на броя:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Без грешки, без стрес - Вашето стъпка по стъпка ръководство за създаване на софтуер, променящ живота, без да разрушава живота ви
Не можете да подобрите уменията си за програмиране, когато никой не се интересува от качеството на софтуера.
● 2013 – 44%
● 2014 – 49%
Със сигурност от тази точка 2FA е по-широко приет - но не е повсеместен.
Необходима е 2FA документация
Друг аспект, който е важно да се отбележи, е необходимостта от документация - което е от решаващо значение, ако в крайна сметка се разследвате от федералните одитори, като същевременно отговаряте на изискванията за анализ на риска, при условие че включите дискусията. Документацията е необходима, тъй като правилата за паролата са посочени като адресируеми - смисъл (колкото и нелепо да звучи) да се предоставят документирани разсъждения за използването на тази най-добра практика. С други думи, не е нужно да прилагате 2FA, но трябва да обясните защо, ако го направите.
2FA софтуерът сам по себе си не се нуждае от HIPAA съответствие
Едно от най-големите предизвикателства с 2FA е, че той по своята същност е неефективен, тъй като добавя стъпка към един процес. Всъщност обаче опасението, че 2FA забавя здравеопазването, в значителна степен се облекчава от скока на функциите за единно влизане и интеграция на LDAP за интегрирано удостоверяване между системите за здравеопазване.
Както е отбелязано в заглавката, самият софтуер 2FA не (достатъчно хумористично, тъй като е толкова критичен за съответствието) трябва да е съвместим с HIPAA, тъй като предава ПИН кодове, но не и PHI. Въпреки че можете да избирате алтернативи вместо двуфакторно удостоверяване, най-важните разнопосочни стратегии - инструменти за управление на пароли и политики на чести промени на паролата - не са толкова лесен начин за спазване на изискванията за парола на HIPAA. "Ефективно", отбелязва HIPAA Journal, "Прикритите организации никога не трябва да сменят парола отново", ако прилагат 2FA. (За повече информация относно удостоверяването проверете как големите данни могат да осигурят автентификация на потребителя.)
Цел на HIPAA: Текущо намаляване на риска
Важността на използването на силни и опитни доставчици на хостинг и управлявани услуги се подчертава от необходимостта да се надхвърли 2FA с цялостна съвместима поза. Това е, защото 2FA далеч не е безпогрешен; начините, по които хакерите могат да го заобиколят, включват следното:
● Push-to accept зловреден софтуер, който зарежда потребителите с „Accept“ s, докато накрая не го щракнат във фрустрация
● SMS еднократни програми за изстъргване на паролата
● Измама със SIM карта чрез социален инженеринг за пристанищни телефонни номера
● Използване на мобилни мобилни оператори за прихващане на глас и SMS
● Усилия, които убеждават потребителите да кликват върху фалшиви връзки или да влизат в фишинг сайтове - предават директно данните им за вход
Но не се отчайвайте. Двуфакторното удостоверяване е само един от методите, от които се нуждаете, за да отговаряте на параметрите на Правилото за сигурност и да поддържате екосистема, съвместима с HIPAA. Всички стъпки, предприети за по-добра защита на информацията, трябва да се разглеждат като смекчаване на риска, като непрекъснато засилват усилията ви за поверителност, наличност и цялостност.