Tvåfaktorsautentisering: högsta prioritet för HIPAA efterlevnad

Författare: Laura McKinney
Skapelsedatum: 3 April 2021
Uppdatera Datum: 26 Juni 2024
Anonim
Tvåfaktorsautentisering: högsta prioritet för HIPAA efterlevnad - Teknologi
Tvåfaktorsautentisering: högsta prioritet för HIPAA efterlevnad - Teknologi

Innehåll


Källa: CreativaImages / iStockphoto

Hämtmat:

Även om tvåfaktorautentisering inte krävs för HIPAA, kan det hjälpa till att bana vägen för HIPAA-efterlevnad.

Den traditionella inloggningsprocessen med ett användarnamn och lösenord är otillräcklig i en allt mer fientlig sjukvårdsdatamiljö. Tvåfaktorautentisering (2FA) har blivit allt viktigare. Medan tekniken inte är obligatorisk enligt HIPAA, HIPAA Journal noteras att det är ett smart sätt att gå från en övervakningsperspektiv - "det bästa sättet att uppfylla HIPAA lösenordskrav" faktiskt anropa metoden (Om du vill veta mer om 2FA se Grunderna i tvåfaktorsautentisering.)

En intressant sak med 2FA (ibland utvidgad till multifaktor-autentisering, MFA) är att det finns på många hälso- och sjukvårdsorganisationer - men för andra former av efterlevnad, inklusive administrationsmedicinens administrativa läkemedel för receptbelagda ämnen och betalkortsbranschen Data Security Standard (PCI DSS). Det förstnämnda är de grundläggande riktlinjerna som ska användas vid förskrivning av kontrollerade ämnen elektroniskt - en uppsättning regler som är parallella med HIPAAs säkerhetsregel för att specifikt hantera tekniska skyddsåtgärder för att skydda patientinformation. Det senare är faktiskt ett betalkort reglering industri som styr hur alla uppgifter i samband med kortbetalningar måste skyddas för att undvika böter från de stora kreditkortsföretagen.


EUS allmän uppgiftsskyddsförordning drar oro 2FA i ännu större fokus i hela branschen, med tanke på dess extra tillsyn och böter (och dess tillämpning till någon organisation som hanterar europeiska individer personuppgifter).

2FA Lång Trusted av federala regulatorer

Tvåfaktorsautentisering har rekommenderats av HHS: s avdelningskontor för medborgerliga rättigheter (OCR) i många år. År 2006 var HHS redan rekommendera 2FA som en bästa praxis för HIPAA efterlevnad, namnge det som den första metoden för att hantera risken för lösenordsstöld som kan i sin tur leda till att obehöriga visning av Ephi. I ett dokument från december 2006, HIPAA Security Guidance, föreslog HHS att lösenordsstöldrisken adresseras med två nyckelstrategier: 2FA, tillsammans med implementeringen av en teknisk process för att skapa unika användarnamn och autentisering av åtkomst till anställda på distans.


Studie: tvåfaktorsautentisering underutnyttjad för HIPAA

Kontoret av den nationella samordnaren för Health Information Technology (ONC) har visat sin specifika problem med denna teknik genom sin "ONC Data Brief 32" från och med november 2015 som omfattade adoptions trender i 2FA av akut-vård sjukhus runt om i landet. Rapporten var på hur många av dessa institutioner hade kapacitet för 2FA (dvs. förmåga för användaren att anta den, i motsats till en krav för det). Vid denna tidpunkt, 2014, är det verkligen gjort meningen att tillsynsmyndigheterna drev det, med tanke på att mindre än hälften av undersökningsgruppen hade det genomförs, även med siffror stigande:

● 2010 – 32%

● 2011 – 35%

● 2012 – 40%

Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv

Du kan inte förbättra dina programmeringsfärdigheter när ingen bryr sig om mjukvarukvalitet.

● 2013 – 44%

● 2014 – 49%

Visst har 2FA antagits mer omfattande sedan den punkten - men det är inte allestädes närvarande.

2FA-dokumentation krävs

En annan aspekt som är viktigt att notera är behovet av pappersarbete - vilket är avgörande om du hamnar utredd av federala revisorer, samtidigt som du uppfyller riskanalyskraven, förutsatt att du inkluderar den diskussionen. Dokumentation är nödvändig eftersom lösenordsreglerna listas som adresserbar - mening (så löjligt som det kan låta) för att ge dokumenterade resonemang för att använda denna bästa praxis. Med andra ord, du behöver inte implementera 2FA, utan måste förklara varför om du gör det.

2FA-programvara behöver inte HIPAA-överensstämmelse

En av de största utmaningarna med 2FA är att det i sig är ineffektivt eftersom det lägger till ett steg i en process. Men faktiskt har oroen för att 2FA bromsar hälso- och sjukvården till stor del försvagats av en kraftig ökning av single sign-on- och LDAP-integrationsfunktioner för integrerad autentisering mellan sjukvårdssystem.

Som nämnts i rubriken behöver inte 2FA-programvaran i sig (humoristiskt nog, eftersom den är så kritisk för efterlevnad) vara HIPAA-kompatibel eftersom den överför PIN-koder men inte PHI. Medan du kan välja alternativ i stället för tvåfaktorautentisering, är de olikaste avvikande strategierna - lösenordshanteringsverktyg och policyer för ofta lösenordsändringar - inte ett lika enkelt sätt att uppfylla HIPAA-lösenordskraven. "Effektivt", konstaterade HIPAA Journal, "Täckta enheter behöver aldrig ändra ett lösenord igen" om de implementerar 2FA. (Mer information om autentisering finns i Hur Big Data kan säkerställa användarautentisering.)

HIPAA Mål: Pågående riskreducering

Vikten av att använda starka och erfarna värdleverantörer och hanterade tjänsteleverantörer understryks av behovet att gå utöver 2FA med en omfattande kompatibel hållning. Det är därför att 2FA är långt ifrån ofelbar; sätt som hackare kan komma runt det inkluderar följande:

● Push-to-accept malware som pummels användare med "Acceptera" tills de äntligen klickar på det i frustration

● SMS engångs-lösenordsskrapningsprogram

● SIM-kortbedrägeri via socialteknik för att hamna telefonnummer

● Utnyttja mobiloperatörsnätverk för röst- och SMS-avlyssning

● Insatser som övertygar användare att klicka på falska länkar eller logga in på phishing-webbplatser - överlämna sina inloggningsuppgifter direkt

Men förtvivla inte. Tvåfaktorautentisering är bara en av de metoder du behöver för att uppfylla parametrarna i säkerhetsregeln och upprätthålla ett HIPAA-kompatibelt ekosystem. Alla åtgärder som vidtas för att bättre skydda information bör ses som riskreducerande och ständigt stärka dina ansträngningar för konfidentialitet, tillgänglighet och integritet.