Inhoud
- 2FA Long Trusted by Federal Regulators
- Studie: tweefactorauthenticatie onderbenut voor HIPAA
- Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
- 2FA-documentatie is vereist
- 2FA Software heeft zelf geen HIPAA-compliance nodig
- HIPAA Doelstelling: voortdurende risicobeperking
Bron: CreativaImages / iStockphoto
Afhaal:
Hoewel tweefactorauthenticatie niet vereist is voor HIPAA, kan het helpen de weg vrij te maken voor HIPAA-naleving.
Het traditionele inlogproces met een gebruikersnaam en wachtwoord is onvoldoende in een steeds vijandiger wordende zorgomgeving. Twee-factor authenticatie (2FA) is steeds belangrijker geworden. Hoewel de technologie niet verplicht is onder HIPAA, merkte HIPAA Journal op dat het een slimme manier is om vanuit een compliance-perspectief te gaan - in feite de methode "de beste manier om te voldoen aan de HIPAA-wachtwoordvereisten" noemt. (Zie De basisbeginselen van tweefactorauthenticatie voor meer informatie over 2FA.)
Een interessant ding over 2FA (soms uitgebreid naar multi-factor authenticatie, MFA) is dat het bij veel organisaties in de gezondheidszorg bestaat - maar voor andere vormen van naleving, waaronder de elektronische voorschriften voor geneesmiddelenhandhavingsinstanties voor regels voor gereguleerde stoffen en de betaalkaartindustrie Data Security Standard (PCI DSS). De eerste is de basisrichtlijn die moet worden gebruikt bij het elektronisch voorschrijven van gereguleerde stoffen - een set regels die parallel loopt aan de HIPAA-beveiligingsregel bij het specifiek aanpakken van technologische waarborgen om patiëntinformatie te beschermen. Dit laatste is eigenlijk een verordening voor de betaalkaartindustrie die bepaalt hoe gegevens die verband houden met kaartbetalingen moeten worden beschermd om boetes van de grote creditcardbedrijven te voorkomen.
De algemene verordening gegevensbescherming van de EU vestigt de bezorgdheid bij 2FA op een nog grotere focus in de hele industrie, gezien haar extra toezicht en boetes (en de toepasbaarheid op elke organisatie die persoonlijke gegevens van Europese personen verwerkt).
2FA Long Trusted by Federal Regulators
Tweefactorauthenticatie wordt al jaren aanbevolen door het HHS-afdelingsbureau voor burgerrechten (OCR). In 2006 beval de HHS 2FA al aan als een beste praktijk voor HIPAA-naleving, en noemde het de eerste methode om het risico van wachtwoorddiefstal aan te pakken, wat op zijn beurt zou kunnen leiden tot het ongeautoriseerd bekijken van ePHI. In een document van december 2006, HIPAA Security Guidance, suggereerde de HHS dat het wachtwoorddiefstalrisico wordt aangepakt met twee belangrijke strategieën: 2FA, samen met de implementatie van een technisch proces voor het maken van unieke gebruikersnamen en authenticatie van externe toegang voor werknemers.
Studie: tweefactorauthenticatie onderbenut voor HIPAA
Het bureau van de nationale coördinator voor gezondheidsinformatietechnologie (ONC) heeft zijn specifieke bezorgdheid over deze technologie getoond via zijn "ONC Data Brief 32" uit november 2015, die de adoptietrends van 2FA door ziekenhuizen in het hele land omvatte. Het rapport ging over hoeveel van deze instellingen de mogelijkheid hadden voor 2FA (d.w.z. de geschiktheid voor de gebruiker om het over te nemen, in tegenstelling tot een eis ervoor). Op dat moment, in 2014, was het zeker logisch dat de toezichthouders het pushten, gezien het feit dat minder dan de helft van de onderzoeksgroep het had geïmplementeerd, hoewel het aantal toenam:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
U kunt uw programmeervaardigheden niet verbeteren als niemand om softwarekwaliteit geeft.
● 2013 – 44%
● 2014 – 49%
Sindsdien is 2FA op grotere schaal toegepast - maar het is niet alomtegenwoordig.
2FA-documentatie is vereist
Een ander aspect dat belangrijk is om op te merken, is de behoefte aan papierwerk - wat van cruciaal belang is als je uiteindelijk door federale auditors wordt onderzocht, maar ook voldoet aan de vereisten voor risicoanalyse, op voorwaarde dat je die discussie meeneemt. Documentatie is nodig omdat de wachtwoordregels worden vermeld als adresseerbare - wat betekent (hoe belachelijk het ook klinkt) om een gedocumenteerde redenering te geven voor het gebruik van deze best practice. Met andere woorden, u hoeft 2FA niet te implementeren, maar moet uitleggen waarom, als u dat doet.
2FA Software heeft zelf geen HIPAA-compliance nodig
Een van de grootste uitdagingen met 2FA is dat het inherent inefficiënt is omdat het een stap toevoegt aan een proces. De bezorgdheid dat 2FA de gezondheidszorg vertraagt, is in feite grotendeels weggenomen door de toename van eenmalige aanmelding en LDAP-integratiefuncties voor geïntegreerde authenticatie tussen gezondheidszorgsystemen.
Zoals opgemerkt in de kop, hoeft 2FA-software zelf (humoristisch genoeg, omdat het zo kritisch is voor compliance) niet HIPAA-compliant te zijn, omdat het PIN-codes verzendt maar geen PHI. Hoewel u alternatieven kunt kiezen in plaats van tweefactorauthenticatie, zijn de meest uiteenlopende strategieën - hulpmiddelen voor wachtwoordbeheer en beleid voor frequente wachtwoordwijzigingen - niet zo eenvoudig om te voldoen aan de HIPAA-wachtwoordvereisten. "Effectief", merkte HIPAA Journal op, "Gedekte entiteiten hoeven nooit meer een wachtwoord te wijzigen" als ze 2FA implementeren. (Ga voor meer informatie over authenticatie naar hoe Big Data de gebruikersauthenticatie kan beveiligen.)
HIPAA Doelstelling: voortdurende risicobeperking
Het belang van het gebruik van sterke en ervaren hosting- en beheerde serviceproviders wordt onderstreept door de noodzaak om verder te gaan dan 2FA met een uitgebreide, conforme houding. Dat komt omdat 2FA verre van onfeilbaar is; manieren waarop hackers het kunnen omzeilen zijn onder meer:
● Push-to-accept-malware die gebruikers duwt met "Accept" totdat ze er uiteindelijk gefrustreerd op klikken
● SMS eenmalige programma's voor wachtwoordschrapen
● SIM-kaartfraude via social engineering naar poorttelefoonnummers
● Gebruikmaken van mobiele carrier-netwerken voor spraak- en sms-onderschepping
● Inspanningen die gebruikers overtuigen om op nep-links te klikken of in te loggen op phishing-sites - hun inloggegevens rechtstreeks over te dragen
Maar wanhoop niet. Tweefactorauthenticatie is slechts een van de methoden die u nodig hebt om aan de parameters van de beveiligingsregel te voldoen en een HIPAA-compatibel ecosysteem te onderhouden. Alle stappen die worden ondernomen om informatie beter te beschermen, moeten worden gezien als risicobeperking, waardoor uw inspanningen op het gebied van vertrouwelijkheid, beschikbaarheid en integriteit voortdurend worden versterkt.