Contenuto
- 2FA fidato a lungo dai regolatori federali
- Studio: autenticazione a due fattori sottoutilizzata per HIPAA
- Nessun bug, nessuno stress: la tua guida passo passo alla creazione di software che ti cambia la vita senza distruggere la tua vita
- È richiesta la documentazione 2FA
- Il software 2FA non necessita di conformità HIPAA
- Obiettivo HIPAA: mitigazione del rischio in corso
Fonte: CreativaImages / iStockphoto
Porta via:
Sebbene l'autenticazione a due fattori non sia richiesta per HIPAA, può aiutare ad aprire la strada alla conformità HIPAA.
Il tradizionale processo di accesso con nome utente e password non è sufficiente in un ambiente di dati sanitari sempre più ostile. L'autenticazione a due fattori (2FA) è diventata sempre più importante. Sebbene la tecnologia non sia obbligatoria in base a HIPAA, il giornale HIPAA ha osservato che è un modo intelligente per andare dal punto di vista della conformità, definendo in realtà il metodo "il modo migliore per conformarsi ai requisiti della password HIPAA". (Per ulteriori informazioni su 2FA, vedere Le basi dell'autenticazione a due fattori.)
Una cosa interessante di 2FA (talvolta estesa all'autenticazione a più fattori, MFA) è che è presente in molte organizzazioni sanitarie, ma per altre forme di conformità, tra cui le Regole elettroniche sulle prescrizioni elettroniche per le sostanze controllate dalle droghe e l'industria delle carte di pagamento Data Security Standard (PCI DSS). Il primo è le linee guida di base da utilizzare per la prescrizione elettronica di qualsiasi sostanza controllata, un insieme di regole che è parallelo alla regola di sicurezza HIPAA nell'affrontare in modo specifico le garanzie tecnologiche per proteggere le informazioni dei pazienti. Quest'ultimo è in realtà un regolamento del settore delle carte di pagamento che regola le modalità di protezione dei dati associati ai pagamenti con carta per evitare multe da parte delle principali società di carte di credito.
Il regolamento generale sulla protezione dei dati dell'UE attira l'attenzione di 2FA su un focus ancora maggiore in tutto il settore, data la sua ulteriore supervisione e multe (e la sua applicabilità a qualsiasi organizzazione che gestisce i dati personali delle persone europee).
2FA fidato a lungo dai regolatori federali
L'autenticazione a due fattori è stata raccomandata dall'Ufficio Dipartimenti HHS per i diritti civili (OCR) per molti anni. Nel 2006, l'HHS stava già raccomandando 2FA come best practice per la conformità HIPAA, nominandolo come il primo metodo per affrontare il rischio di furto di password che potrebbe, a sua volta, portare alla visualizzazione non autorizzata di ePHI. In un documento del dicembre 2006, HIPAA Security Guidance, l'HHS ha suggerito che il rischio di furto di password viene affrontato con due strategie chiave: 2FA, insieme all'implementazione di un processo tecnico per la creazione di nomi utente univoci e l'autenticazione dell'accesso remoto dei dipendenti.
Studio: autenticazione a due fattori sottoutilizzata per HIPAA
L'ufficio del coordinatore nazionale per la tecnologia dell'informazione sanitaria (ONC) ha mostrato la sua specifica preoccupazione per questa tecnologia attraverso il suo "Brief dati ONC 32" di novembre 2015, che ha coperto le tendenze di adozione di 2FA da parte degli ospedali per le cure acute in tutto il paese. Il rapporto era su quante di queste istituzioni avevano la capacità di 2FA (cioè, il capacità per l'utente di adottarlo, al contrario di a Requisiti per questo). A quel punto, nel 2014, aveva certamente senso che i regolatori lo spingessero, dato che meno della metà del gruppo di studio lo aveva implementato, sebbene con numeri in aumento:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Nessun bug, nessuno stress: la tua guida passo passo alla creazione di software che ti cambia la vita senza distruggere la tua vita
Non puoi migliorare le tue capacità di programmazione quando a nessuno importa della qualità del software.
● 2013 – 44%
● 2014 – 49%
Certamente, il 2FA è stato adottato più ampiamente da quel momento, ma non è onnipresente.
È richiesta la documentazione 2FA
Un altro aspetto che è importante notare è la necessità di scartoffie, che è fondamentale se si finisce per essere indagati dai revisori federali, pur soddisfacendo anche i requisiti di analisi del rischio, a condizione che si includa tale discussione. La documentazione è necessaria poiché le regole della password sono elencate come indirizzabile - significato (per quanto ridicolo possa sembrare) fornire un ragionamento documentato sull'uso di questa best practice. In altre parole, non è necessario implementare 2FA, ma è necessario spiegarne il motivo.
Il software 2FA non necessita di conformità HIPAA
Una delle maggiori sfide con 2FA è che è intrinsecamente inefficiente poiché aggiunge un passaggio a un processo. In realtà, tuttavia, la preoccupazione che 2FA rallenta l'assistenza sanitaria è stata in gran parte attenuata dall'ondata di single sign-on e delle funzioni di integrazione LDAP per l'autenticazione integrata tra i sistemi sanitari.
Come notato nell'intestazione, il software 2FA stesso non deve (abbastanza ironicamente, poiché è così critico per la conformità) che deve essere conforme a HIPAA poiché trasmette PIN ma non PHI. Sebbene sia possibile scegliere alternative al posto dell'autenticazione a due fattori, le principali strategie divergenti - strumenti di gestione delle password e politiche di frequenti cambi di password - non sono un modo semplice per soddisfare i requisiti della password HIPAA. "In effetti", ha osservato HIPAA Journal, "Le entità coperte non devono mai più cambiare una password" se implementano 2FA. (Per ulteriori informazioni sull'autenticazione, consulta Come i Big Data possono proteggere l'autenticazione dell'utente.)
Obiettivo HIPAA: mitigazione del rischio in corso
L'importanza di utilizzare fornitori di servizi gestiti e di hosting forti ed esperti è sottolineata dalla necessità di andare oltre 2FA con una postura conforme e completa. Questo perché 2FA è tutt'altro che infallibile; i modi in cui gli hacker possono aggirare includono:
● Il malware push-to-Accept che spinge gli utenti con "Accept" fino a quando finalmente non lo cliccano frustrati
● Programmi di raschiamento password monouso SMS
● Frodi con carte SIM tramite social engineering per il porting dei numeri di telefono
● Sfruttando le reti di telefonia mobile per l'intercettazione vocale e SMS
● Sforzi che convincono gli utenti a fare clic su collegamenti fasulli o ad accedere a siti di phishing, consegnando direttamente i dettagli di accesso
Ma non disperare. L'autenticazione a due fattori è solo uno dei metodi necessari per soddisfare i parametri della regola di sicurezza e mantenere un ecosistema conforme a HIPAA. Qualsiasi misura adottata per proteggere meglio le informazioni dovrebbe essere vista come una mitigazione del rischio, rafforzando continuamente i vostri sforzi in termini di riservatezza, disponibilità e integrità.