การรับรองความถูกต้องแบบสองปัจจัย: ลำดับความสำคัญสูงสุดสำหรับการปฏิบัติตาม HIPAA

วิดีโอ: InterpretAmerica 2020: A Unified Response to Ensure Access to Interpreting Services

เนื้อหา

2FA Long ที่เชื่อถือได้โดย Federal Regulators
การศึกษา: การรับรองความถูกต้องแบบสองปัจจัยใช้สำหรับ HIPAA
ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ
ต้องใช้เอกสาร 2FA
ซอฟต์แวร์ 2FA ไม่จำเป็นต้องได้มาตรฐาน HIPAA
วัตถุประสงค์ HIPAA: การลดความเสี่ยงอย่างต่อเนื่อง

ที่มา: CreativaImages / iStockphoto

Takeaway:

แม้ว่าการรับรองความถูกต้องแบบสองปัจจัยจะไม่จำเป็นสำหรับ HIPAA แต่ก็สามารถช่วยปูทางไปสู่การปฏิบัติตาม HIPAA

กระบวนการล็อกอินแบบดั้งเดิมที่มีชื่อผู้ใช้และรหัสผ่านไม่เพียงพอในสภาพแวดล้อมของข้อมูลด้านการดูแลสุขภาพที่เป็นมิตรมากขึ้น การรับรองความถูกต้องด้วยสองปัจจัย (2FA) มีความสำคัญเพิ่มมากขึ้น ในขณะที่เทคโนโลยีไม่ได้บังคับใช้ภายใต้ HIPAA แต่ HIPAA Journal ระบุว่าเป็นวิธีที่ชาญฉลาดในการดำเนินการจากมุมมองของการปฏิบัติตาม - เรียกวิธีการนี้ว่า "วิธีที่ดีที่สุดในการปฏิบัติตามข้อกำหนดรหัสผ่าน HIPAA" (หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ 2FA โปรดดูข้อมูลพื้นฐานเกี่ยวกับการตรวจสอบสิทธิ์แบบสองปัจจัย)

สิ่งที่น่าสนใจเกี่ยวกับ 2FA (บางครั้งก็ขยายไปสู่การรับรองความถูกต้องด้วยปัจจัยหลายประการคือ MFA) นั้นมีอยู่ในองค์กรด้านการดูแลสุขภาพหลายแห่ง - แต่สำหรับรูปแบบอื่น ๆ ของการปฏิบัติตามรวมถึงการบังคับใช้ยา มาตรฐานความปลอดภัยของข้อมูล (PCI DSS) ก่อนหน้านี้เป็นแนวทางพื้นฐานที่จะใช้ในการกำหนดสารควบคุมใด ๆ ทางอิเล็กทรอนิกส์ - ชุดของกฎที่ขนานกับกฎความปลอดภัย HIPAA ในที่อยู่โดยเฉพาะการป้องกันทางเทคโนโลยีเพื่อปกป้องข้อมูลผู้ป่วย อันที่จริงแล้วเป็นข้อบังคับของอุตสาหกรรมบัตรชำระเงินที่ควบคุมว่าข้อมูลใด ๆ ที่เกี่ยวข้องกับการชำระเงินด้วยบัตรจะต้องได้รับการปกป้องเพื่อหลีกเลี่ยงค่าปรับจาก บริษัท บัตรเครดิตรายใหญ่

ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรปทำให้เกิดความกังวลกับ 2FA เพื่อมุ่งเน้นไปทั่วอุตสาหกรรมเนื่องจากการกำกับดูแลและค่าปรับเพิ่มเติม (และการบังคับใช้กับองค์กรใด ๆ ที่จัดการข้อมูลส่วนบุคคลของชาวยุโรป)

2FA Long ที่เชื่อถือได้โดย Federal Regulators

การรับรองความถูกต้องแบบสองปัจจัยได้รับการแนะนำโดยสำนักงานแผนก HHS สำหรับสิทธิพลเมือง (OCR) เป็นเวลาหลายปี ในปี 2549 HHS ได้แนะนำให้ 2FA เป็นแนวทางปฏิบัติที่ดีที่สุดสำหรับการปฏิบัติตาม HIPAA โดยตั้งชื่อเป็นวิธีแรกในการจัดการกับความเสี่ยงของการขโมยรหัสผ่านซึ่งอาจนำไปสู่การรับชม ePHI โดยไม่ได้รับอนุญาต ในเอกสารฉบับเดือนธันวาคม 2549 HIPAA Security Guidance นั้น HHS เสนอว่าความเสี่ยงจากการโจรกรรมรหัสผ่านนั้นได้รับการแก้ไขด้วยสองกลยุทธ์หลัก: 2FA พร้อมกับการดำเนินการตามกระบวนการทางเทคนิคสำหรับการสร้างชื่อผู้ใช้ที่ไม่ซ้ำใคร

การศึกษา: การรับรองความถูกต้องแบบสองปัจจัยใช้สำหรับ HIPAA

สำนักงานผู้ประสานงานแห่งชาติสำหรับเทคโนโลยีสารสนเทศด้านสุขภาพ (ONC) ได้แสดงความกังวลเฉพาะกับเทคโนโลยีนี้ผ่าน "ONC Data Brief 32" ตั้งแต่เดือนพฤศจิกายน 2558 ซึ่งครอบคลุมแนวโน้มการยอมรับ 2FA ของโรงพยาบาลผู้ป่วยเฉียบพลันทั่วประเทศ รายงานดังกล่าวระบุว่าสถาบันเหล่านี้มีขีดความสามารถเท่าใดสำหรับ 2FA (เช่น ความสามารถ สำหรับผู้ใช้ที่จะนำไปใช้ ความต้องการ สำหรับมัน). ณ จุดนั้นในปี 2014 มันทำให้รู้สึกว่าหน่วยงานกำกับดูแลได้ผลักดันมันเพราะกลุ่มการศึกษาน้อยกว่าครึ่งได้ดำเนินการแม้ว่าจะมีจำนวนเพิ่มขึ้น:

● 2010 – 32%

● 2011 – 35%

● 2012 – 40%

ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ

คุณไม่สามารถพัฒนาทักษะการเขียนโปรแกรมของคุณเมื่อไม่มีใครใส่ใจคุณภาพของซอฟต์แวร์

● 2013 – 44%

● 2014 – 49%

แน่นอนว่า 2FA ได้รับการยอมรับอย่างกว้างขวางมากขึ้นตั้งแต่จุดนั้น - แต่มันก็ไม่แพร่หลาย

ต้องใช้เอกสาร 2FA

อีกแง่มุมที่สำคัญที่ต้องทราบก็คือความจำเป็นในการทำเอกสาร - ซึ่งเป็นสิ่งสำคัญหากคุณต้องได้รับการตรวจสอบจากผู้ตรวจสอบบัญชีของรัฐบาลกลางในขณะที่ปฏิบัติตามข้อกำหนดการวิเคราะห์ความเสี่ยงด้วยเช่นกัน เอกสารเป็นสิ่งจำเป็นเนื่องจากกฎรหัสผ่านจะแสดงรายการเป็น แอดเดรส - ความหมาย (ไร้สาระอย่างที่ควรจะเป็น) เพื่อจัดทำเอกสารเหตุผลในการใช้แนวทางปฏิบัติที่ดีที่สุดนี้ คุณไม่จำเป็นต้องใช้ 2FA แต่ต้องอธิบายว่าทำไมถ้าคุณทำ

ซอฟต์แวร์ 2FA ไม่จำเป็นต้องได้มาตรฐาน HIPAA

หนึ่งในความท้าทายที่ยิ่งใหญ่ที่สุดของ 2FA คือความไร้ประสิทธิภาพตั้งแต่เริ่มขั้นตอนไป อย่างไรก็ตามที่จริงแล้วความกังวลที่ 2FA ชะลอการดูแลสุขภาพนั้นได้รับการจัดสรรเป็นอย่างมากจากการเพิ่มขึ้นของฟังก์ชั่นการลงชื่อเพียงครั้งเดียวและการรวม LDAP สำหรับการตรวจสอบแบบบูรณาการระหว่างระบบการดูแลสุขภาพ

ดังที่ระบุไว้ในส่วนหัวซอฟต์แวร์ 2FA เองไม่ได้ (อย่างมีเหตุผลเพียงพอเนื่องจากมีความสำคัญอย่างยิ่งต่อการปฏิบัติตาม) จำเป็นต้องเป็นไปตามมาตรฐาน HIPAA เนื่องจากส่งรหัส PIN แต่ไม่ใช่ PHI ในขณะที่คุณสามารถเลือกทางเลือกแทนการรับรองความถูกต้องด้วยสองปัจจัยกลยุทธ์แตกต่างด้านบน - เครื่องมือการจัดการรหัสผ่านและนโยบายของการเปลี่ยนรหัสผ่านบ่อยครั้งไม่ใช่วิธีที่ง่ายในการปฏิบัติตามข้อกำหนดรหัสผ่าน HIPAA "อย่างมีประสิทธิภาพ" HIPAA Journal กล่าวว่า "องค์กรที่ได้รับความคุ้มครองไม่จำเป็นต้องเปลี่ยนรหัสผ่านอีกครั้ง" หากใช้ 2FA (สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการตรวจสอบสิทธิ์ตรวจสอบว่า Big Data สามารถรักษาความปลอดภัยให้กับการตรวจสอบผู้ใช้)

วัตถุประสงค์ HIPAA: การลดความเสี่ยงอย่างต่อเนื่อง

ความสำคัญของการใช้โฮสติ้งที่แข็งแกร่งและมีประสบการณ์และผู้ให้บริการที่ได้รับการจัดการนั้นไม่ได้เน้นย้ำถึงความจำเป็นที่จะต้องก้าวข้าม 2FA ด้วยท่าทีที่ครอบคลุม นั่นเป็นเพราะ 2FA นั้นห่างไกลจากความผิดพลาด วิธีที่แฮ็กเกอร์สามารถหลีกเลี่ยงได้ ได้แก่ :

●ผลักดันเพื่อยอมรับมัลแวร์ที่ทำให้ผู้ใช้ "ยอมรับ" ซัดจนในที่สุดพวกเขาคลิกมันด้วยความหงุดหงิด

●โปรแกรมขูดรหัสผ่าน SMS ครั้งเดียว

●การฉ้อโกงซิมการ์ดผ่านวิศวกรรมสังคมเพื่อโอนหมายเลขโทรศัพท์

●ใช้ประโยชน์จากเครือข่ายผู้ให้บริการมือถือสำหรับการสกัดกั้นเสียงและ SMS

●ความพยายามที่โน้มน้าวให้ผู้ใช้คลิกลิงก์ปลอมหรือเข้าสู่เว็บไซต์ฟิชชิ่ง - ส่งรายละเอียดการเข้าสู่ระบบโดยตรง

แต่อย่าสิ้นหวัง การพิสูจน์ตัวตนแบบสองปัจจัยเป็นเพียงหนึ่งในวิธีการที่คุณต้องการเพื่อให้ตรงกับพารามิเตอร์ของกฎความปลอดภัยและรักษาระบบนิเวศที่เป็นไปตามมาตรฐาน HIPAA ขั้นตอนใด ๆ ที่ดำเนินการเพื่อปกป้องข้อมูลที่ดีกว่านั้นควรถูกมองว่าเป็นการลดความเสี่ยง