![InterpretAmerica 2020: A Unified Response to Ensure Access to Interpreting Services](https://i.ytimg.com/vi/V05ikEe6n20/hqdefault.jpg)
เนื้อหา
- 2FA Long ที่เชื่อถือได้โดย Federal Regulators
- การศึกษา: การรับรองความถูกต้องแบบสองปัจจัยใช้สำหรับ HIPAA
- ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ
- ต้องใช้เอกสาร 2FA
- ซอฟต์แวร์ 2FA ไม่จำเป็นต้องได้มาตรฐาน HIPAA
- วัตถุประสงค์ HIPAA: การลดความเสี่ยงอย่างต่อเนื่อง
ที่มา: CreativaImages / iStockphoto
Takeaway:
แม้ว่าการรับรองความถูกต้องแบบสองปัจจัยจะไม่จำเป็นสำหรับ HIPAA แต่ก็สามารถช่วยปูทางไปสู่การปฏิบัติตาม HIPAA
กระบวนการล็อกอินแบบดั้งเดิมที่มีชื่อผู้ใช้และรหัสผ่านไม่เพียงพอในสภาพแวดล้อมของข้อมูลด้านการดูแลสุขภาพที่เป็นมิตรมากขึ้น การรับรองความถูกต้องด้วยสองปัจจัย (2FA) มีความสำคัญเพิ่มมากขึ้น ในขณะที่เทคโนโลยีไม่ได้บังคับใช้ภายใต้ HIPAA แต่ HIPAA Journal ระบุว่าเป็นวิธีที่ชาญฉลาดในการดำเนินการจากมุมมองของการปฏิบัติตาม - เรียกวิธีการนี้ว่า "วิธีที่ดีที่สุดในการปฏิบัติตามข้อกำหนดรหัสผ่าน HIPAA" (หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ 2FA โปรดดูข้อมูลพื้นฐานเกี่ยวกับการตรวจสอบสิทธิ์แบบสองปัจจัย)
สิ่งที่น่าสนใจเกี่ยวกับ 2FA (บางครั้งก็ขยายไปสู่การรับรองความถูกต้องด้วยปัจจัยหลายประการคือ MFA) นั้นมีอยู่ในองค์กรด้านการดูแลสุขภาพหลายแห่ง - แต่สำหรับรูปแบบอื่น ๆ ของการปฏิบัติตามรวมถึงการบังคับใช้ยา มาตรฐานความปลอดภัยของข้อมูล (PCI DSS) ก่อนหน้านี้เป็นแนวทางพื้นฐานที่จะใช้ในการกำหนดสารควบคุมใด ๆ ทางอิเล็กทรอนิกส์ - ชุดของกฎที่ขนานกับกฎความปลอดภัย HIPAA ในที่อยู่โดยเฉพาะการป้องกันทางเทคโนโลยีเพื่อปกป้องข้อมูลผู้ป่วย อันที่จริงแล้วเป็นข้อบังคับของอุตสาหกรรมบัตรชำระเงินที่ควบคุมว่าข้อมูลใด ๆ ที่เกี่ยวข้องกับการชำระเงินด้วยบัตรจะต้องได้รับการปกป้องเพื่อหลีกเลี่ยงค่าปรับจาก บริษัท บัตรเครดิตรายใหญ่
ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรปทำให้เกิดความกังวลกับ 2FA เพื่อมุ่งเน้นไปทั่วอุตสาหกรรมเนื่องจากการกำกับดูแลและค่าปรับเพิ่มเติม (และการบังคับใช้กับองค์กรใด ๆ ที่จัดการข้อมูลส่วนบุคคลของชาวยุโรป)
2FA Long ที่เชื่อถือได้โดย Federal Regulators
การรับรองความถูกต้องแบบสองปัจจัยได้รับการแนะนำโดยสำนักงานแผนก HHS สำหรับสิทธิพลเมือง (OCR) เป็นเวลาหลายปี ในปี 2549 HHS ได้แนะนำให้ 2FA เป็นแนวทางปฏิบัติที่ดีที่สุดสำหรับการปฏิบัติตาม HIPAA โดยตั้งชื่อเป็นวิธีแรกในการจัดการกับความเสี่ยงของการขโมยรหัสผ่านซึ่งอาจนำไปสู่การรับชม ePHI โดยไม่ได้รับอนุญาต ในเอกสารฉบับเดือนธันวาคม 2549 HIPAA Security Guidance นั้น HHS เสนอว่าความเสี่ยงจากการโจรกรรมรหัสผ่านนั้นได้รับการแก้ไขด้วยสองกลยุทธ์หลัก: 2FA พร้อมกับการดำเนินการตามกระบวนการทางเทคนิคสำหรับการสร้างชื่อผู้ใช้ที่ไม่ซ้ำใคร
การศึกษา: การรับรองความถูกต้องแบบสองปัจจัยใช้สำหรับ HIPAA
สำนักงานผู้ประสานงานแห่งชาติสำหรับเทคโนโลยีสารสนเทศด้านสุขภาพ (ONC) ได้แสดงความกังวลเฉพาะกับเทคโนโลยีนี้ผ่าน "ONC Data Brief 32" ตั้งแต่เดือนพฤศจิกายน 2558 ซึ่งครอบคลุมแนวโน้มการยอมรับ 2FA ของโรงพยาบาลผู้ป่วยเฉียบพลันทั่วประเทศ รายงานดังกล่าวระบุว่าสถาบันเหล่านี้มีขีดความสามารถเท่าใดสำหรับ 2FA (เช่น ความสามารถ สำหรับผู้ใช้ที่จะนำไปใช้ ความต้องการ สำหรับมัน). ณ จุดนั้นในปี 2014 มันทำให้รู้สึกว่าหน่วยงานกำกับดูแลได้ผลักดันมันเพราะกลุ่มการศึกษาน้อยกว่าครึ่งได้ดำเนินการแม้ว่าจะมีจำนวนเพิ่มขึ้น:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ
คุณไม่สามารถพัฒนาทักษะการเขียนโปรแกรมของคุณเมื่อไม่มีใครใส่ใจคุณภาพของซอฟต์แวร์
● 2013 – 44%
● 2014 – 49%
แน่นอนว่า 2FA ได้รับการยอมรับอย่างกว้างขวางมากขึ้นตั้งแต่จุดนั้น - แต่มันก็ไม่แพร่หลาย
ต้องใช้เอกสาร 2FA
อีกแง่มุมที่สำคัญที่ต้องทราบก็คือความจำเป็นในการทำเอกสาร - ซึ่งเป็นสิ่งสำคัญหากคุณต้องได้รับการตรวจสอบจากผู้ตรวจสอบบัญชีของรัฐบาลกลางในขณะที่ปฏิบัติตามข้อกำหนดการวิเคราะห์ความเสี่ยงด้วยเช่นกัน เอกสารเป็นสิ่งจำเป็นเนื่องจากกฎรหัสผ่านจะแสดงรายการเป็น แอดเดรส - ความหมาย (ไร้สาระอย่างที่ควรจะเป็น) เพื่อจัดทำเอกสารเหตุผลในการใช้แนวทางปฏิบัติที่ดีที่สุดนี้ คุณไม่จำเป็นต้องใช้ 2FA แต่ต้องอธิบายว่าทำไมถ้าคุณทำ
ซอฟต์แวร์ 2FA ไม่จำเป็นต้องได้มาตรฐาน HIPAA
หนึ่งในความท้าทายที่ยิ่งใหญ่ที่สุดของ 2FA คือความไร้ประสิทธิภาพตั้งแต่เริ่มขั้นตอนไป อย่างไรก็ตามที่จริงแล้วความกังวลที่ 2FA ชะลอการดูแลสุขภาพนั้นได้รับการจัดสรรเป็นอย่างมากจากการเพิ่มขึ้นของฟังก์ชั่นการลงชื่อเพียงครั้งเดียวและการรวม LDAP สำหรับการตรวจสอบแบบบูรณาการระหว่างระบบการดูแลสุขภาพ
ดังที่ระบุไว้ในส่วนหัวซอฟต์แวร์ 2FA เองไม่ได้ (อย่างมีเหตุผลเพียงพอเนื่องจากมีความสำคัญอย่างยิ่งต่อการปฏิบัติตาม) จำเป็นต้องเป็นไปตามมาตรฐาน HIPAA เนื่องจากส่งรหัส PIN แต่ไม่ใช่ PHI ในขณะที่คุณสามารถเลือกทางเลือกแทนการรับรองความถูกต้องด้วยสองปัจจัยกลยุทธ์แตกต่างด้านบน - เครื่องมือการจัดการรหัสผ่านและนโยบายของการเปลี่ยนรหัสผ่านบ่อยครั้งไม่ใช่วิธีที่ง่ายในการปฏิบัติตามข้อกำหนดรหัสผ่าน HIPAA "อย่างมีประสิทธิภาพ" HIPAA Journal กล่าวว่า "องค์กรที่ได้รับความคุ้มครองไม่จำเป็นต้องเปลี่ยนรหัสผ่านอีกครั้ง" หากใช้ 2FA (สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการตรวจสอบสิทธิ์ตรวจสอบว่า Big Data สามารถรักษาความปลอดภัยให้กับการตรวจสอบผู้ใช้)
วัตถุประสงค์ HIPAA: การลดความเสี่ยงอย่างต่อเนื่อง
ความสำคัญของการใช้โฮสติ้งที่แข็งแกร่งและมีประสบการณ์และผู้ให้บริการที่ได้รับการจัดการนั้นไม่ได้เน้นย้ำถึงความจำเป็นที่จะต้องก้าวข้าม 2FA ด้วยท่าทีที่ครอบคลุม นั่นเป็นเพราะ 2FA นั้นห่างไกลจากความผิดพลาด วิธีที่แฮ็กเกอร์สามารถหลีกเลี่ยงได้ ได้แก่ :
●ผลักดันเพื่อยอมรับมัลแวร์ที่ทำให้ผู้ใช้ "ยอมรับ" ซัดจนในที่สุดพวกเขาคลิกมันด้วยความหงุดหงิด
●โปรแกรมขูดรหัสผ่าน SMS ครั้งเดียว
●การฉ้อโกงซิมการ์ดผ่านวิศวกรรมสังคมเพื่อโอนหมายเลขโทรศัพท์
●ใช้ประโยชน์จากเครือข่ายผู้ให้บริการมือถือสำหรับการสกัดกั้นเสียงและ SMS
●ความพยายามที่โน้มน้าวให้ผู้ใช้คลิกลิงก์ปลอมหรือเข้าสู่เว็บไซต์ฟิชชิ่ง - ส่งรายละเอียดการเข้าสู่ระบบโดยตรง
แต่อย่าสิ้นหวัง การพิสูจน์ตัวตนแบบสองปัจจัยเป็นเพียงหนึ่งในวิธีการที่คุณต้องการเพื่อให้ตรงกับพารามิเตอร์ของกฎความปลอดภัยและรักษาระบบนิเวศที่เป็นไปตามมาตรฐาน HIPAA ขั้นตอนใด ๆ ที่ดำเนินการเพื่อปกป้องข้อมูลที่ดีกว่านั้นควรถูกมองว่าเป็นการลดความเสี่ยง