To-faktorautentisering: En topprioritet for HIPAA-overholdelse

Forfatter: Laura McKinney
Oprettelsesdato: 3 April 2021
Opdateringsdato: 26 Juni 2024
Anonim
2. 0 Prioriteter for CISM
Video.: 2. 0 Prioriteter for CISM

Indhold


Kilde: CreativaImages / iStockphoto

Tag væk:

Selvom tofaktorautentisering ikke er påkrævet for HIPAA, kan det hjælpe med at bane vejen for HIPAA-overholdelse.

Den traditionelle login-proces med et brugernavn og en adgangskode er utilstrækkelig i et stadig mere fjendtligt sundhedsdatamiljø. To-faktor-godkendelse (2FA) er blevet stadig vigtigere. Mens teknologien ikke er obligatorisk under HIPAA, bemærkede HIPAA Journal, at det er en smart måde at gå fra et overholdelsesperspektiv - faktisk kalder metoden "den bedste måde at overholde HIPAA-adgangskodekravene." (Se Grundlæggende om tofaktorautentisering for at lære mere om 2FA.)

En interessant ting ved 2FA (sommetider udvidet til multifaktor-godkendelse, MFA) er, at den er på plads i mange sundhedsorganisationer - men for andre former for overholdelse, herunder administrationsmedicinens elektroniske recept til regler for kontrollerede stoffer og betalingskortsektoren Data Security Standard (PCI DSS). Førstnævnte er de grundlæggende retningslinjer, der skal bruges til at ordinere alle kontrollerede stoffer elektronisk - et sæt regler, der er parallelle med HIPAA-sikkerhedsreglen til specifikt at tackle teknologiske sikkerhedsforanstaltninger til beskyttelse af patientinformation. Sidstnævnte er faktisk en regulering af betalingskortbranchen, der styrer, hvordan data, der er forbundet med kortbetalinger, skal beskyttes for at undgå bøder fra de store kreditkortselskaber.


EU's almindelige databeskyttelsesforordning trækker bekymringerne med 2FA i endnu større fokus i hele branchen i betragtning af dens ekstra tilsyn og bøder (og dens anvendelse på enhver organisation, der håndterer europæiske individer personlige data).

2FA længe betroet af føderale lovgivere

To-faktorgodkendelse er blevet anbefalet af HHS-afdelingens kontor for borgerlige rettigheder (OCR) i mange år. I 2006 anbefalede HHS allerede 2FA som en bedste praksis for HIPAA-overholdelse, idet den kaldte den som den første metode til at tackle risikoen for adgangskodstyveri, hvilket igen kan føre til uautoriseret visning af ePHI. I et dokument fra december 2006, HIPAA Security Guidance, foreslog HHS, at risikoen for adgangskodstyveri adresseres med to centrale strategier: 2FA sammen med implementeringen af ​​en teknisk proces til oprettelse af unikke brugernavne og autentificering af ekstern medarbejderadgang.


Undersøgelse: Autentificering af to faktorer underbrugt HIPAA

Kontoret for den nationale koordinator for sundhedsinformationsteknologi (ONC) har vist sin specifikke bekymring med denne teknologi gennem sin "ONC Data Brief 32" fra november 2015, der dækkede adoptionstendenser for 2FA af akutte sygehuse i hele landet. Rapporten handlede om, hvor mange af disse institutioner, der havde kapacitet til 2FA (dvs. evne for brugeren at adoptere den, i modsætning til en krav for det). På det tidspunkt, i 2014, var det bestemt fornuftigt, at regulatorerne skubbede på det, i betragtning af at mindre end halvdelen af ​​studiegruppen havde den implementeret, skønt antallet steg:

● 2010 – 32%

● 2011 – 35%

● 2012 – 40%

Ingen fejl, ingen stress - Din trinvis vejledning til oprettelse af livsændrende software uden at ødelægge dit liv

Du kan ikke forbedre dine programmeringsevner, når ingen er interesseret i softwarekvalitet.

● 2013 – 44%

● 2014 – 49%

Bestemt, 2FA er blevet mere udbredt siden dette punkt - men det er ikke allestedsnærværende.

2FA-dokumentation ER krævet

Et andet aspekt, der er vigtigt at bemærke, er behovet for papirarbejde - hvilket er kritisk, hvis du ender med at blive undersøgt af føderale revisorer, mens du også opfylder kravene til risikoanalyse, forudsat at du inkluderer den diskussion. Dokumentation er nødvendig, da kodeordreglerne er angivet som adresserbare - hvilket betyder (så latterligt som det kan lyde), at give dokumenteret begrundelse for at bruge denne bedste praksis. Med andre ord behøver du ikke at implementere 2FA, men skal forklare hvorfor, hvis du gør det.

2FA-software behøver ikke sig selv HIPAA-overholdelse

En af de største udfordringer med 2FA er, at det er i sagens natur ineffektiv siden sin tilføje et skridt til en proces. Faktisk er bekymringen om, at 2FA bremser sundhedsområdet, meget blevet reduceret af bølgen af ​​single sign-on- og LDAP-integrationsfunktioner til integreret godkendelse mellem sundhedsvæsenets systemer.

Som bemærket i overskriften, behøver 2FA-softwaren i sig selv ikke (humoristisk nok, da den er så kritisk for overholdelse) at være HIPAA-kompatibel, da den transmitterer pinkoder, men ikke PHI. Mens du kan vælge alternativer i stedet for tofaktorautentisering, er de forskellige divergerende strategier - adgangskodeadministrationsværktøjer og politikker med hyppige ændringer af adgangskode - ikke en let måde at imødekomme HIPAA adgangskodekrav. "Effektivt", bemærkede HIPAA Journal, "Dækkede enheder behøver aldrig at ændre en adgangskode igen", hvis de implementerer 2FA. (For mere information om godkendelse, se Hvordan Big Data kan sikre brugerautentificering.)

HIPAA-mål: Løbende risikobegrænsning

Betydningen af ​​at bruge stærke og erfarne hosting- og administrerede tjenesteudbydere understreges af behovet for at gå ud over 2FA med en omfattende kompatibel holdning. Thats fordi 2FA er langt fra ufejlbarlig; måder, som hackere kan omgå det, inkluderer følgende:

● Push-to-accept-malware, der pummelere brugere med “Accepter”, indtil de endelig klikker på det i frustration

● SMS-engangs-skrapningsprogrammer til engangs-SMS

● SIM-kortsvindel via social engineering til portnummer

● Udnyt mobilnetværk til tale- og sms-aflytning

● Indsatsen at overbevise brugerne til at klikke falske links eller log ind phishing-websteder - Overgivelse deres login-oplysninger direkte

Men fortvivl ikke. To-faktor-godkendelse er kun en af ​​de metoder, du har brug for, for at imødekomme parametrene i sikkerhedsreglen og vedligeholde et HIPAA-kompatibelt økosystem. Eventuelle skridt, der træffes for bedre at beskytte oplysninger, skal ses som risikobegrænsning, som kontinuerligt styrker din indsats for fortrolighed, tilgængelighed og integritet.