Nilalaman
- 2FA Long Pinagkakatiwalaan ng Federal Regulators
- Pag-aaral: Dalawang-Factor na Pagpapatunay na Underused para sa HIPAA
- Walang Mga bug, Walang Stress - Ang Iyong Hakbang sa Hakbang Patnubay sa Paglikha ng Software na Pagbabago ng Buhay nang Walang Pagsira sa Iyong Buhay
- Kinakailangan ng 2 Dokumentasyon
- Hindi Kinakailangan ng 2FA Software ang sarili sa Pagsunod sa HIPAA
- HIPAA Layunin: Patuloy na Pagbabawas sa Panganib
Pinagmulan: CreativaImages / iStockphoto
Takeaway:
Kahit na ang dalawang-factor na pagpapatunay ay hindi kinakailangan para sa HIPAA, makakatulong ito na maipalabas ang daan sa pagsunod sa HIPAA.
Ang tradisyunal na proseso ng pag-login na may isang username at password ay hindi sapat sa isang lalong pagalit na kapaligiran ng data ng pangangalaga sa kalusugan. Ang dalawang-factor na pagpapatunay (2FA) ay naging mas mahalaga. Habang ang teknolohiya ay hindi ipinag-uutos sa ilalim ng HIPAA, ang HIPAA Journal ay nabanggit na ito ay isang matalinong paraan upang pumunta mula sa isang pananaw sa pagsunod, na talagang tinatawag ang pamamaraan na "ang pinakamahusay na paraan upang sumunod sa mga kinakailangan sa password ng HIPAA." (Upang malaman ang higit pa tungkol sa 2FA, tingnan ang Ang Mga Pangunahing Kaalaman ng Dalawahan-Pagpapatunay na Dalubhasa.)
Ang isang kagiliw-giliw na bagay tungkol sa 2FA (kung minsan ay pinalawak sa pagpapatunay ng multi-factor, MFA) ay na ito ay nasa lugar sa maraming mga organisasyon ng pangangalagang pangkalusugan - ngunit para sa iba pang mga form ng pagsunod, kabilang ang mga Drug Enforcement Administrations Electronic Preskripsyon para sa Kinokontrol na Mga Batas sa Pagkontrol at Industriya ng Payment Card Pamantayan ng Data Security (PCI DSS). Ang dating ay ang pangunahing mga patnubay na gagamitin sa pagrereseta ng anumang mga kinokontrol na sangkap na elektroniko - isang hanay ng mga patakaran na kahanay sa HIPAA Security Rule sa partikular na pagtugon sa mga pang-teknolohiyang pananggalang upang maprotektahan ang impormasyon ng pasyente. Ang huli ay talagang regulasyon sa industriya ng pagbabayad ng card ng pamamahala na namamahala kung paano dapat maprotektahan ang anumang data na nauugnay sa mga pagbabayad ng card upang maiwasan ang mga multa mula sa mga pangunahing kumpanya ng credit card.
Ang regulasyon ng Pangkalahatang Data ng Proteksyon ng EU ay nagdudulot ng pag-aalala sa 2FA sa mas malaking pokus sa buong industriya, na binigyan ng karagdagang pangangasiwa at multa (at ang kakayahang magamit sa anumang samahan na humahawak sa mga indibidwal na data ng Europa).
2FA Long Pinagkakatiwalaan ng Federal Regulators
Ang dalawang-factor na pagpapatunay ay inirerekomenda ng HHS Departments Office for Civil Rights (OCR) sa loob ng maraming taon. Noong 2006, inirerekomenda na ng HHS ang 2FA bilang isang pinakamahusay na kasanayan para sa pagsunod sa HIPAA, na pinangalanan ito bilang unang pamamaraan upang matugunan ang peligro ng pagnanakaw ng password na kung saan, maaaring humantong sa hindi awtorisadong pagtingin sa ePHI. Sa isang dokumento noong Disyembre 2006, ang HIPAA Security Guidance, iminungkahi ng HHS na ang panganib ng pagnanakaw ng password ay tinugunan ng dalawang pangunahing mga diskarte: 2FA, kasama ang pagpapatupad ng isang teknikal na proseso para sa paglikha ng mga natatanging mga username at pagpapatunay ng pag-access ng remote na empleyado.
Pag-aaral: Dalawang-Factor na Pagpapatunay na Underused para sa HIPAA
Ang Opisina ng National Coordinator para sa Health Information Technology (ONC) ay nagpakita ng tiyak na pag-aalala sa teknolohiyang ito sa pamamagitan ng "ONC Data Brief 32" mula Nobyembre 2015, na sumasakop sa mga trend ng pag-ampon ng 2FA ng mga ospital ng talamak na pangangalaga sa buong bansa. Ang ulat ay tungkol sa kung gaano sa mga institusyong ito ang may kakayahang 2FA (i.e., ang kakayahan para sa gumagamit na magpatibay nito, taliwas sa isang pangangailangan para rito). Sa puntong iyon, sa 2014, tiyak na naiintindihan nito na ang mga regulator ay itinulak ito, na binibigyan ng mas mababa sa kalahati ng pangkat ng pag-aaral na ipinatupad ito, kahit na may pagtaas ng mga bilang:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Walang Mga bug, Walang Stress - Ang Iyong Hakbang sa Hakbang Patnubay sa Paglikha ng Software na Pagbabago ng Buhay nang Walang Pagsira sa Iyong Buhay
Hindi mo maaaring mapabuti ang iyong mga kasanayan sa pag-programming kapag walang nagmamalasakit sa kalidad ng software.
● 2013 – 44%
● 2014 – 49%
Tiyak, ang 2FA ay mas malawak na pinagtibay mula noong puntong iyon - ngunit hindi ito nasa lahat.
Kinakailangan ng 2 Dokumentasyon
Ang isa pang aspeto na mahalagang tandaan ay ang pangangailangan para sa papeles - na kritikal kung tapusin mo ang pagsisiyasat ng mga pederal na auditor, habang tinutupad ang mga kinakailangan sa pagsusuri sa panganib, sa kondisyon na isama mo ang talakayang iyon. Kinakailangan ang dokumentasyon dahil nakalista ang mga patakaran ng password bilang naa-address - kahulugan (bilang nakakatawa na maaaring tunog) upang magbigay ng dokumentadong pangangatuwiran para sa paggamit ng pinakamahusay na kasanayan na ito. Sa madaling salita, hindi mo kailangang ipatupad ang 2FA, ngunit dapat ipaliwanag kung bakit kung gagawin mo.
Hindi Kinakailangan ng 2FA Software ang sarili sa Pagsunod sa HIPAA
Ang isa sa mga pinakamalaking hamon na may 2FA ay ang likas na hindi epektibo dahil sa pagdaragdag ng isang hakbang sa isang proseso. Sa totoo lang, bagaman, ang pag-aalala na ang 2FA ay nagpapabagal sa pangangalaga sa kalusugan ay naibigay, sa isang mahusay, sa pamamagitan ng pagsulong ng solong pag-sign-on at pag-uugnay sa LDAP para sa pinagsama-samang pagpapatunay sa pagitan ng mga sistema ng pangangalaga sa kalusugan.
Tulad ng nabanggit sa header, ang 2FA software mismo ay hindi (nakakatawa sapat, dahil napakahalaga nito sa pagsunod) ay kailangang maging sumusunod sa HIPAA dahil nagpapadala ito ng mga PIN ngunit hindi sa PHI. Habang maaari kang pumili ng mga kahalili bilang kapalit ng pagpapatunay ng dalawang kadahilanan, nangungunang diskarte sa pamamahala - mga tool sa pamamahala ng password at mga patakaran ng madalas na mga pagbabago sa password - ay hindi madaling paraan upang sumunod sa mga kinakailangan sa password ng HIPAA. "Mabisa," nabanggit na HIPAA Journal, "Ang Saklaw na Mga Entity ay hindi kailangang magbago muli ng isang password" kung ipatupad nila ang 2FA. (Para sa higit pa sa pagpapatunay, tingnan kung Paano Malalaman ng Malaking Data ang Pagpatunay ng User.)
HIPAA Layunin: Patuloy na Pagbabawas sa Panganib
Ang kahalagahan ng paggamit ng malakas at nakaranas ng hosting at pinamamahalaang mga nagbibigay ng serbisyo ay binibigyang diin ng pangangailangan na lumampas sa 2FA na may isang komprehensibong sumusunod na pustura. Thats dahil ang 2FA ay malayo sa hindi pagkakamali; ang mga paraan na maaaring mapasok ng mga hacker dito ang mga sumusunod:
● Push-to-tanggapin ang malware na pumipigil sa mga gumagamit na may "Tanggapin" hanggang sa huli ay mai-click ito sa pagkabigo
● Mga programang pag-scrap ng password sa isang beses na SMS
● Ang pandaraya sa SIM card sa pamamagitan ng social engineering sa mga numero ng telepono
● Pag-agaw ng mga mobile carrier network para sa interception ng boses at SMS
● Mga pagsisikap na makumbinsi ang mga gumagamit na mag-click sa mga maling link o mag-log sa mga site ng phishing - direkta ang pagdala sa kanilang mga detalye sa pag-login
Ngunit huwag mawalan ng pag-asa. Ang dalawang-factor na pagpapatunay ay isa lamang sa mga pamamaraan na kailangan mo sa lugar upang matugunan ang mga parameter ng Security Rule at mapanatili ang isang sumusunod na HIPAA na sumusunod sa ecosystem. Ang anumang mga hakbang na ginawa upang mas mahusay na maprotektahan ang impormasyon ay dapat na nakikita bilang pagbabawas ng peligro, patuloy na bolstering ang iyong mga pagsisikap sa kumpidensyal, pagkakaroon at integridad.