תוֹכֶן
- 2FA מהימן על ידי רגולטורים פדרליים
- מחקר: אימות דו-גורמי מנוצל לשימוש ב- HIPAA
- אין באגים, אין מתח - המדריך השלב אחר צעד שלך ליצירת תוכנה לשינוי חיים מבלי להרוס את חייך
- יש צורך בתיעוד 2FA
- תוכנת 2FA אינה עצמה זקוקה לתאימות HIPAA
- מטרת HIPAA: הפחתת סיכונים מתמשכת
מקור: CreativaImages / iStockphoto
להסיר:
אמנם אימות דו-גורמי אינו נדרש עבור HIPAA, אך הוא יכול לסלול את הדרך לתאימות של HIPAA.
תהליך ההתחברות המסורתי עם שם משתמש וסיסמא אינו מספיק בסביבת נתונים רפואית עוינת יותר ויותר. אימות דו-גורמי (2FA) נעשה חשוב יותר ויותר. בעוד שהטכנולוגיה אינה חובה במסגרת HIPAA, כתב העת HIPAA ציין כי זו דרך חכמה לעבור מנקודת מבט של תאימות - למעשה לקרוא לשיטה "הדרך הטובה ביותר לעמוד בדרישות הסיסמא של HIPAA." (למידע נוסף על 2FA, עיינו ביסודות האימות הדו-גורמים.)
דבר מעניין ב- 2FA (לעתים מורחבת לאימות רב-גורמי, MFA) הוא שהוא קיים בארגוני בריאות רבים - אך לגבי צורות אחרות של ציות, כולל רשויות אכיפת תרופות מרשם אלקטרוני לכללי חומרים מבוקרים ותעשיית כרטיסי התשלום. תקן אבטחת מידע (PCI DSS). הראשון הוא ההנחיות הבסיסיות שיש להשתמש בהן ברשמת מרשם של חומרים מבוקרים באופן אלקטרוני - מערכת כללים המקבילה לכלל האבטחה של HIPAA בהתייחסות ספציפית לאמצעי הגנה טכנולוגיים להגנת המידע על המטופלים. האחרון הוא למעשה תקנה בענף כרטיסי התשלום המסדירה כיצד יש להגן על כל מידע הקשור לתשלומי כרטיסים כדי למנוע קנסות מחברות כרטיסי האשראי הגדולות.
תקנת הגנת המידע הכללית של האיחוד האירופי מביאה את הדאגה ל- 2FA למיקוד גדול עוד יותר בכל הענף, נוכח הפיקוח והקנסות הנוספים שלו (ותחולתה על כל ארגון המטפל בנתונים אישיים של אנשים אירופיים).
2FA מהימן על ידי רגולטורים פדרליים
אימות דו-גורמי הומלץ על ידי משרד מחלקות HHS לזכויות האזרח (OCR) מזה שנים רבות. בשנת 2006, ה- HHS כבר המליץ על 2FA כשיטה מומלצת לתאימות HIPAA, וכינה אותה כשיטה ראשונה לטיפול בסיכון לגניבת סיסמאות שעלולה, בתורו, להביא לצפייה בלתי מורשית ב- ePHI. במסמך שפורסם בדצמבר 2006, הנחיות אבטחה של HIPAA, הציעה HHS כי יש לטפל בסיכון לגניבת הסיסמאות בשתי אסטרטגיות עיקריות: 2FA, יחד עם יישום תהליך טכני ליצירת שמות משתמש ייחודיים ואימות גישה של עובדים מרוחקים.
מחקר: אימות דו-גורמי מנוצל לשימוש ב- HIPAA
משרד המתאם הלאומי לטכנולוגיית מידע לבריאות (ONC) הראה את הדאגה הספציפית שלו עם טכנולוגיה זו באמצעות "ONC Data Brief 32" מנובמבר 2015, אשר כיסה את מגמות האימוץ של 2FA על ידי בתי חולים לטיפול חריף ברחבי הארץ. הדו"ח עמד על כמה ממוסדות אלה יש יכולת ל- 2FA (כלומר יכולת כדי שהמשתמש יאמץ אותו, לעומת א דרישה בשביל זה). באותה נקודה, בשנת 2014, בהחלט היה הגיוני שהרגולטורים דוחפים את זה, בהתחשב בכך שפחות ממחצית קבוצת המחקר ביצעה, אם כי במספרים עולה:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
אין באגים, אין מתח - המדריך השלב אחר צעד שלך ליצירת תוכנה לשינוי חיים מבלי להרוס את חייך
אתה לא יכול לשפר את כישורי התכנות שלך כאשר לאף אחד לא אכפת מאיכות התוכנה.
● 2013 – 44%
● 2014 – 49%
בהחלט, 2FA אומצה בצורה רחבה יותר מאז אותה נקודה - אך היא אינה נמצאת בכל מקום.
יש צורך בתיעוד 2FA
היבט נוסף שחשוב לשים לב הוא הצורך בניירת - וזה קריטי אם בסופו של דבר תיחקר על ידי מבקרי הפדרל, תוך מילוי הדרישות לניתוח סיכונים, בתנאי שתכלול דיון זה. תיעוד נחוץ מכיוון שחוקי הסיסמה מופיעים בכינוי ניתן להתייחס אליו - משמעות (מגוחכת ככל שזה נשמע) לספק נימוקים מתועדים לשימוש בשיטה הטובה ביותר הזו. במילים אחרות, אינך צריך ליישם את 2FA, אלא חייב להסביר מדוע אם כן.
תוכנת 2FA אינה עצמה זקוקה לתאימות HIPAA
אחד האתגרים הגדולים ביותר עם 2FA הוא שהוא לא יעיל מטבעו מאז הוספת צעד לתהליך. עם זאת, למעשה, הדאגה לפיה 2A מאטה את שירותי הבריאות הוטלה, במידה רבה, על ידי הגידול בפונקציות כניסה יחידה ו- LDAP לאימות משולב בין מערכות הבריאות.
כפי שצוין בכותרת העליונה, תוכנת 2FA עצמה אינה צריכה (באופן הומוריסטי, מכיוון שהיא כל כך קריטית לציות) להיות תואמת HIPAA מכיוון שהיא משדרת מספרי PIN אך לא PHI. אמנם אתה יכול לבחור חלופות במקום אימות דו-גורמי, אסטרטגיות שונות ומגוונות - כלי ניהול סיסמאות ומדיניות של שינויים בסיסיים בתדירות גבוהה - אינן דרך קלה לעמוד בדרישות הסיסמא של HIPAA. "ביעילות," ציין כתב העת HIPAA, "ישויות מכוסות לעולם אינן צריכות לשנות סיסמה שוב" אם הן מיישמות 2FA. (למידע נוסף על אימות, בדוק כיצד Big Data יכול לאבטח אימות משתמשים.)
מטרת HIPAA: הפחתת סיכונים מתמשכת
חשיבות השימוש בספקי שירותי אירוח ומנוסים חזקים ומנוסים מודגשת על ידי הצורך לחרוג מ- 2FA עם תנוחה מקיפה. זה בגלל ש- 2FA הוא רחוק מלהיות בלתי ניתן לגישור; הדרכים בהן האקרים יכולים לעקוף את זה כוללות את הדברים הבאים:
● לחץ על-מנת לקבל תוכנות זדוניות שמפשטות משתמשים עם "קבל" עד שלבסוף לוחצים עליה בתסכול
● SMS תוכניות גירוד סיסמאות חד פעמיות
● הונאת כרטיסי SIM באמצעות הנדסה חברתית ליציאת מספרי טלפון
● מינוף רשתות ספקים ניידים ליירוט קולי ו SMS
● מאמצים המשכנעים משתמשים ללחוץ על קישורים מזויפים או להיכנס לאתרי דיוג - מסרים ישירות את פרטי הכניסה שלהם
אבל אל תתייאש. אימות דו-גורמי הוא רק אחת מהשיטות הדרושות לך בכדי לעמוד בפרמטרים של כלל האבטחה ולשמירה על מערכת אקולוגית תואמת HIPAA. יש לראות בכל צעדים שננקטו כדי להגן טוב יותר על מידע כמפחית סיכונים, תוך חיזוק מתמיד של המאמצים שלך לסודיות, לזמינות וליושר.