Isi
- 2FA Lama Dipercaya oleh Regulator Federal
- Studi: Otentikasi Dua Faktor Kurang Digunakan untuk HIPAA
- Tanpa Bug, Tanpa Stres - Panduan Langkah Demi Langkah Anda untuk Membuat Perangkat Lunak yang Mengubah Hidup Tanpa Menghancurkan Kehidupan Anda
- Diperlukan Dokumentasi 2FA
- Perangkat Lunak 2FA Tidak Sendiri Membutuhkan Kepatuhan HIPAA
- HIPAA Tujuan: Mitigasi Risiko Berkelanjutan
Sumber: CreativaImages / iStockphoto
Bawa pulang:
Meskipun otentikasi dua faktor tidak diperlukan untuk HIPAA, ini dapat membantu membuka jalan menuju kepatuhan HIPAA.
Proses masuk tradisional dengan nama pengguna dan kata sandi tidak cukup dalam lingkungan data kesehatan yang semakin tidak bersahabat. Otentikasi dua faktor (2FA) menjadi semakin penting. Meskipun teknologi ini tidak wajib di bawah HIPAA, HIPAA Journal mencatat bahwa ini adalah cara cerdas untuk beralih dari perspektif kepatuhan - sebenarnya menyebut metode ini "cara terbaik untuk mematuhi persyaratan kata sandi HIPAA." (Untuk mempelajari lebih lanjut tentang 2FA, lihat Dasar-dasar Otentikasi Dua-Faktor.)
Suatu hal yang menarik tentang 2FA (kadang-kadang diperluas ke otentikasi multi-faktor, MFA) adalah bahwa hal itu ada di banyak organisasi layanan kesehatan - tetapi untuk bentuk kepatuhan lainnya, termasuk Administrasi Penegakan Narkoba Resep Elektronik untuk Aturan Zat Terkendali dan Industri Kartu Pembayaran Standar Keamanan Data (PCI DSS). Yang pertama adalah pedoman dasar untuk digunakan dalam meresepkan zat yang dikendalikan secara elektronik - seperangkat aturan yang paralel dengan Peraturan Keamanan HIPAA dalam menangani perlindungan teknologi secara khusus untuk melindungi informasi pasien. Yang terakhir ini sebenarnya adalah peraturan industri kartu pembayaran yang mengatur bagaimana setiap data yang terkait dengan pembayaran kartu harus dilindungi untuk menghindari denda dari perusahaan kartu kredit utama.
Peraturan Perlindungan Data Umum UE menarik perhatian dengan 2FA menjadi fokus yang lebih besar di seluruh industri, mengingat pengawasan dan denda tambahan (dan penerapannya pada organisasi yang menangani data pribadi individu Eropa).
2FA Lama Dipercaya oleh Regulator Federal
Otentikasi dua faktor telah direkomendasikan oleh Kantor Departemen HHS untuk Hak Sipil (OCR) selama bertahun-tahun. Pada tahun 2006, HHS telah merekomendasikan 2FA sebagai praktik terbaik untuk kepatuhan HIPAA, menamainya sebagai metode pertama untuk mengatasi risiko pencurian kata sandi yang dapat, pada gilirannya, mengarah pada tampilan ePHI yang tidak sah. Dalam dokumen Desember 2006, HIPAA Security Guidance, HHS menyarankan bahwa risiko pencurian kata sandi ditangani dengan dua strategi utama: 2FA, bersama dengan penerapan proses teknis untuk pembuatan nama pengguna yang unik dan otentikasi akses karyawan jarak jauh.
Studi: Otentikasi Dua Faktor Kurang Digunakan untuk HIPAA
Kantor Koordinator Nasional untuk Teknologi Informasi Kesehatan (ONC) telah menunjukkan perhatian khusus dengan teknologi ini melalui "ONC Data Brief 32" dari November 2015, yang mencakup tren adopsi 2FA oleh rumah sakit perawatan akut di seluruh negeri. Laporannya adalah tentang berapa banyak dari lembaga-lembaga ini yang memiliki kemampuan untuk 2FA (mis., The kemampuan bagi pengguna untuk mengadopsinya, sebagai lawan dari a kebutuhan untuk itu). Pada titik itu, pada tahun 2014, tentu masuk akal bahwa regulator mendorongnya, mengingat bahwa kurang dari setengah kelompok studi telah menerapkannya, meskipun dengan jumlah yang meningkat:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Tanpa Bug, Tanpa Stres - Panduan Langkah Demi Langkah Anda untuk Membuat Perangkat Lunak yang Mengubah Hidup Tanpa Menghancurkan Kehidupan Anda
Anda tidak dapat meningkatkan keterampilan pemrograman Anda ketika tidak ada yang peduli dengan kualitas perangkat lunak.
● 2013 – 44%
● 2014 – 49%
Tentu saja, 2FA telah lebih banyak diadopsi sejak saat itu - tetapi tidak ada di mana-mana.
Diperlukan Dokumentasi 2FA
Aspek lain yang penting untuk diperhatikan adalah perlunya dokumen - yang penting jika Anda akhirnya diselidiki oleh auditor federal, sementara juga memenuhi persyaratan analisis risiko, asalkan Anda memasukkan diskusi itu. Dokumentasi diperlukan karena aturan kata sandi terdaftar sebagai dialamatkan - Berarti (sama kedengarannya kedengarannya) untuk memberikan alasan yang terdokumentasi untuk menggunakan praktik terbaik ini. Dengan kata lain, Anda tidak harus menerapkan 2FA, tetapi harus menjelaskan alasannya jika Anda melakukannya.
Perangkat Lunak 2FA Tidak Sendiri Membutuhkan Kepatuhan HIPAA
Salah satu tantangan terbesar dengan 2FA adalah bahwa hal itu secara inheren tidak efisien karena menambahkan langkah ke proses. Sebenarnya, kekhawatiran bahwa 2FA memperlambat layanan kesehatan telah dihilangkan, sebagian besar, oleh lonjakan fungsi masuk tunggal dan fungsi LDAP untuk otentikasi terintegrasi antara sistem perawatan kesehatan.
Seperti disebutkan dalam header, perangkat lunak 2FA itu sendiri tidak (cukup lucu, karena sangat penting untuk kepatuhan) harus sesuai dengan HIPAA karena mengirimkan PIN tetapi bukan PHI. Meskipun Anda dapat memilih alternatif sebagai pengganti otentikasi dua faktor, strategi divergen teratas - alat manajemen kata sandi dan kebijakan perubahan kata sandi yang sering - bukanlah cara yang mudah untuk mematuhi persyaratan kata sandi HIPAA. "Secara efektif," kata HIPAA Journal, "Entitas Tertutup tidak perlu mengubah kata sandi lagi" jika mereka menerapkan 2FA. (Untuk lebih lanjut tentang otentikasi, lihat Bagaimana Big Data Dapat Mengamankan Otentikasi Pengguna.)
HIPAA Tujuan: Mitigasi Risiko Berkelanjutan
Pentingnya menggunakan hosting yang kuat dan berpengalaman serta penyedia layanan terkelola digarisbawahi oleh kebutuhan untuk melampaui 2FA dengan postur komprehensif yang komprehensif. Itu karena 2FA jauh dari sempurna; cara yang bisa digunakan peretas untuk mengatasinya adalah sebagai berikut:
● Push-to-accept malware yang menghantam pengguna dengan "Terima" sampai mereka akhirnya mengkliknya dengan frustrasi
● Program pengikisan kata sandi SMS satu kali
● Penipuan kartu SIM melalui rekayasa sosial ke nomor telepon port
● Memanfaatkan jaringan operator seluler untuk intersepsi suara dan SMS
● Upaya yang meyakinkan pengguna untuk mengklik tautan palsu atau masuk ke situs phishing - menyerahkan rincian login mereka secara langsung
Tapi jangan putus asa. Otentikasi dua faktor hanyalah salah satu metode yang Anda perlukan untuk memenuhi parameter Aturan Keamanan dan mempertahankan ekosistem yang sesuai dengan HIPAA. Setiap langkah yang diambil untuk melindungi informasi dengan lebih baik harus dilihat sebagai mitigasi risiko, terus-menerus memperkuat upaya Anda pada kerahasiaan, ketersediaan, dan integritas.