Садржај
- 2ФА Дуго поуздано од стране савезних регулатора
- Студија: Двофакторна аутентификација недовољно коришћена за ХИПАА
- Без грешака, без стреса - Ваш корак по корак водич за креирање софтвера за промену живота без да вам уништи живот
- 2ФА документација је обавезна
- 2ФА софтвер сам по себи не треба ХИПАА усаглашеност
- Циљ ХИПАА: У току ублажавање ризика
Извор: ЦреативаИмагес / иСтоцкпхото
Одузети:
Иако двофакторска провјера аутентичности није потребна за ХИПАА, она може помоћи да се отвори пут ка усклађености с ХИПАА.
Традиционални поступак пријаве са корисничким именом и лозинком није довољан у све непријатељскијем здравственом окружењу података. Двофакторна аутентификација (2ФА) постаје све важнија. Иако технологија није обавезна у складу са ХИПАА, часопис ХИПАА Јоурнал напоменуо је да је то паметан начин да се крене из перспективе усаглашености - уствари називајући методу „најбољим начином за усклађивање са захтевима ХИПАА лозинке“. (Да бисте сазнали више о 2ФА, погледајте Основе двофакторске аутентификације.)
Занимљива ствар у вези са 2ФА (понекад се проширује и на мултифакторску аутентификацију, МФА) је да постоји у многим здравственим организацијама - али за друге облике усаглашавања, укључујући електронски рецепт администрација за лекове и електронске рецепте за контролисане супстанце и индустрију платних картица Стандард безбедности података (ПЦИ ДСС). Прва су основне смернице које се користе у електронском прописивању било којих контролисаних супстанци - скуп правила која су паралелна са Правилником о безбедности ХИПАА-е, посебно када се баве технолошким заштитним мерама за заштиту информација о пацијентима. Потоње је у ствари уредба о индустрији платних картица која регулише како било који подаци повезани са плаћањем картицама морају бити заштићени како би се избјегле новчане казне великих компанија.
Општа уредба о заштити података ЕУ-а скреће пажњу са 2ФА на још већи фокус у целој индустрији, с обзиром на њен додатни надзор и новчане казне (и његову применљивост на било коју организацију која рукује личним подацима европских појединаца).
2ФА Дуго поуздано од стране савезних регулатора
Двофакторска аутентификација већ дуги низ година препоручује Служба за грађанска права ХХС-ових одељења (ОЦР). У 2006. години, ХХС је већ препоручио 2ФА као најбољу праксу за поштовање правила ХИПАА, назвавши га првом методом за решавање ризика крађе лозинке која би заузврат могла довести до неовлаштеног прегледа еПХИ-ја. У документу из децембра 2006. године, ХИПАА-овом безбедносном упутству, ХХС је предложио да се ризик од крађе лозинке адресира са две кључне стратегије: 2ФА, заједно са применом техничког поступка за стварање јединствених корисничких имена и аутентификације удаљеног приступа запосленима.
Студија: Двофакторна аутентификација недовољно коришћена за ХИПАА
Канцеларија националног координатора за здравствену информациону технологију (ОНЦ) показала је своју посебну забринутост овом технологијом кроз „ОНЦ дата Бриеф 32“ из новембра 2015. године, који је обухватио трендове усвајања 2ФА од стране болница за акутну негу широм земље. Извештај је говорио о томе колико је ових институција имало способност за 2ФА (тј способност да га корисник усвоји, за разлику од а услов за то). У том тренутку, у 2014. години, сигурно је имало смисла да су га регулаторни органи притискали, с обзиром на то да га је мање од половине истраживачке групе спровело, мада се број повећава:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Без грешака, без стреса - Ваш корак по корак водич за креирање софтвера за промену живота без да вам уништи живот
Не можете побољшати своје вештине програмирања када никога није брига за квалитет софтвера.
● 2013 – 44%
● 2014 – 49%
Дакако, 2ФА је од те тачке шире усвојена - али није свеприсутна.
2ФА документација је обавезна
Други аспект који је важан за напоменути је потреба за папирологијом - што је критично ако на крају будете истраживани од стране савезних ревизора, а истовремено испуњавате захтеве за анализу ризика, под условом да укључите ту расправу. Документација је неопходна јер су правила за лозинку наведена као адресабилно - значење (колико год смешно звучало) да пружи документовано образложење за коришћење ове најбоље праксе. Другим речима, не морате имплементирати 2ФА, али морате објаснити зашто ако то учините.
2ФА софтвер сам по себи не треба ХИПАА усаглашеност
Један од највећих изазова са 2ФА је тај што је он инхерентно неефикасан од свог додавања корака у процес. Заправо, међутим, забринутост да 2ФА успорава здравство била је умањена у великој мери због пораста функција јединствене пријаве и интеграције ЛДАП за интегрисану потврду идентитета између здравствених система.
Као што је наведено у заглављу, 2ФА софтвер сам по себи (довољно шаљиво, с обзиром да је толико критичан за усаглашавање) не мора да буде усклађен са ХИПАА, јер преноси ПИН-ове, али не и ПХИ. Иако можете бирати алтернативе уместо двофакторске аутентификације, врхунске дивергентне стратегије - алати за управљање лозинком и правила честих промена лозинки - нису тако лак начин да се удовоље захтевима ХИПАА лозинке. "Ефективно", приметио је часопис ХИПАА, "Покривени ентитети више никада не морају да мењају лозинку" ако примене 2ФА. (За више информација о аутентификацији погледајте како велики подаци могу обезбедити аутентификацију корисника.)
Циљ ХИПАА: У току ублажавање ризика
Важност употребе снажних и искусних пружатеља услуга хостинга и управљаних услуга наглашава се потребом да се превазиђе 2ФА са свеобухватним компатибилним ставом. То је зато што је 2ФА далеко од непогрешивог; начини на који их хакери могу заобићи укључују сљедеће:
● Притворите да прихватите злонамерни софтвер који пумпа кориснике са „Прихвати“ док их коначно не фрустрирано кликну
● СМС програми за једнократно брисање лозинке
● Превара СИМ картице путем социјалног инжењеринга за пренос бројева телефона
● Коришћење мобилних мобилних мрежа за пресретање гласа и СМС-а
● Напори који убеде кориснике да кликну лажне везе или се пријаве на пхисхинг локације - директно предају своје податке за пријаву
Али не очајавајте. Двофакторна аутентификација је само један од метода које су вам потребне да бисте задовољили параметре правила о сигурности и одржавали екосистем, који је усклађен са ХИПАА. Све кораке предузете за бољу заштиту информација треба схватити као ублажавање ризика, непрестано подстичући ваше напоре на поверљивости, доступности и интегритету.