Inhalt
- 2FA Long Trusted von Federal Regulators
- Studie: Zwei-Faktor-Authentifizierung für HIPAA nicht ausreichend genutzt
- Keine Bugs, kein Stress - Ihre schrittweise Anleitung zur Erstellung lebensverändernder Software, ohne Ihr Leben zu zerstören
- 2FA-Dokumentation ist erforderlich
- 2FA-Software benötigt selbst keine HIPAA-Konformität
- HIPAA-Ziel: Laufende Risikominderung
Quelle: CreativaImages / iStockphoto
Wegbringen:
Obwohl für HIPAA keine Zwei-Faktor-Authentifizierung erforderlich ist, kann dies den Weg zur HIPAA-Konformität ebnen.
Der herkömmliche Anmeldevorgang mit Benutzername und Kennwort ist in einer zunehmend feindseligen Gesundheitsdatenumgebung unzureichend. Die Zwei-Faktor-Authentifizierung (2FA) gewinnt zunehmend an Bedeutung. Während die Technologie unter HIPAA nicht obligatorisch ist, stellt das HIPAA-Journal fest, dass dies aus Compliance-Sicht eine clevere Methode ist. Tatsächlich wird die Methode als "die beste Methode zur Einhaltung der HIPAA-Passwortanforderungen" bezeichnet. (Weitere Informationen zu 2FA finden Sie unter Grundlagen der Zwei-Faktor-Authentifizierung.)
Ein interessantes Merkmal von 2FA (manchmal erweitert um die Multi-Faktor-Authentifizierung, MFA) ist, dass es bei vielen Gesundheitsorganisationen eingesetzt wird - aber auch für andere Arten der Einhaltung, einschließlich der Vorschriften für die elektronische Verschreibung von Arzneimitteln für kontrollierte Substanzen und der Zahlungskartenindustrie Datensicherheitsstandard (PCI DSS). Ersteres sind die grundlegenden Richtlinien für die elektronische Verschreibung geregelter Substanzen - ein Regelwerk, das parallel zur HIPAA-Sicherheitsregel für die gezielte Berücksichtigung technischer Sicherheitsvorkehrungen zum Schutz von Patienteninformationen gilt. Letzteres ist eigentlich eine Vorschrift der Kreditkartenbranche, die regelt, wie Daten im Zusammenhang mit Kartenzahlungen geschützt werden müssen, um Bußgelder der großen Kreditkartenunternehmen zu vermeiden.
Die EU-Datenschutz-Grundverordnung rückt das Anliegen von 2FA in der gesamten Branche in den Vordergrund, da sie zusätzliche Aufsicht und Geldbußen vorsieht (und auf jede Organisation anwendbar ist, die mit personenbezogenen Daten europäischer Personen umgeht).
2FA Long Trusted von Federal Regulators
Die Zwei-Faktor-Authentifizierung wird seit vielen Jahren vom Amt für Bürgerrechte (OCR) der HHS empfohlen. Im Jahr 2006 empfahl die HHS bereits 2FA als Best Practice für die Einhaltung der HIPAA und nannte es die erste Methode, um dem Risiko des Passwortdiebstahls entgegenzuwirken, der wiederum zur unbefugten Anzeige von ePHI führen könnte. In einem Dokument im Dezember 2006, HIPAA Security Guidance, schlug der HHS vor, dem Risiko des Passwortdiebstahls mit zwei Schlüsselstrategien entgegenzutreten: 2FA sowie die Implementierung eines technischen Prozesses zur Erstellung eindeutiger Benutzernamen und zur Authentifizierung des Remote-Mitarbeiterzugriffs.
Studie: Zwei-Faktor-Authentifizierung für HIPAA nicht ausreichend genutzt
Das Büro des Nationalen Koordinators für Gesundheitsinformationstechnologie (ONC) hat in seinem "ONC Data Brief 32" vom November 2015 seine besondere Besorgnis über diese Technologie zum Ausdruck gebracht, in dem die Einführungstrends von 2FA in Akutkrankenhäusern im ganzen Land behandelt wurden. Der Bericht befasste sich mit der Frage, wie viele dieser Institute 2FA - fähig waren (d. H Fähigkeit für den Benutzer zu übernehmen, im Gegensatz zu a Anforderung dafür). Zu diesem Zeitpunkt, im Jahr 2014, machte es sicherlich Sinn, dass die Aufsichtsbehörden dies forcierten, da weniger als die Hälfte der Studiengruppe dies umsetzten, obwohl die Zahlen stiegen:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Keine Bugs, kein Stress - Ihre schrittweise Anleitung zur Erstellung lebensverändernder Software, ohne Ihr Leben zu zerstören
Sie können Ihre Programmierkenntnisse nicht verbessern, wenn sich niemand um die Softwarequalität kümmert.
● 2013 – 44%
● 2014 – 49%
Zweifellos wurde 2FA seit diesem Zeitpunkt in größerem Umfang übernommen - aber es ist nicht allgegenwärtig.
2FA-Dokumentation ist erforderlich
Ein weiterer wichtiger Aspekt ist die Notwendigkeit von Papierkram. Dies ist wichtig, wenn Sie von Wirtschaftsprüfern des Bundes untersucht werden und gleichzeitig die Anforderungen für die Risikoanalyse erfüllen möchten, sofern Sie diese Diskussion einbeziehen. Dokumentation ist erforderlich, da die Passwortregeln als aufgeführt sind adressierbar - Sinn (so lächerlich es auch klingen mag), dokumentierte Gründe für die Verwendung dieser bewährten Methode zu liefern. Mit anderen Worten, Sie müssen 2FA nicht implementieren, sondern müssen erklären, warum, wenn Sie dies tun.
2FA-Software benötigt selbst keine HIPAA-Konformität
Eine der größten Herausforderungen bei 2FA ist, dass es von Natur aus ineffizient ist, da es einem Prozess einen Schritt hinzufügt. Tatsächlich wurde die Besorgnis, dass 2FA das Gesundheitswesen verlangsamt, durch die Zunahme von Single-Sign-On- und LDAP-Integrationsfunktionen für die integrierte Authentifizierung zwischen Gesundheitssystemen in hohem Maße beseitigt.
Wie im Header erwähnt, muss die 2FA-Software selbst nicht (humorvoll genug, da dies für die Konformität so wichtig ist) HIPAA-konform sein, da sie PINs überträgt, jedoch keine PHI. Obwohl Sie anstelle der Zwei-Faktor-Authentifizierung Alternativen auswählen können, sind häufig abweichende Strategien - Kennwortverwaltungstools und Richtlinien für häufige Kennwortänderungen - nicht so einfach, um die HIPAA-Kennwortanforderungen zu erfüllen. "Effektiv", so das HIPAA-Journal, "müssen vertraglich abgedeckte Unternehmen bei der Implementierung von 2FA kein Kennwort mehr ändern". (Weitere Informationen zur Authentifizierung finden Sie unter Wie Big Data die Benutzerauthentifizierung sichern kann.)
HIPAA-Ziel: Laufende Risikominderung
Die Bedeutung eines starken und erfahrenen Hosting- und Managed-Service-Providers wird durch die Notwendigkeit unterstrichen, über 2FA hinaus eine umfassende, konforme Haltung einzunehmen. Das liegt daran, dass 2FA alles andere als unfehlbar ist. Möglichkeiten, mit denen Hacker umgehen können, sind:
● Push-to-Accept-Malware, mit der Benutzer mit "Accept" -Eingaben geschlagen werden, bis sie schließlich frustriert darauf klicken
● SMS-Einmal-Passwort-Scraping-Programme
● Betrug mit SIM-Karten über Social Engineering, um Telefonnummern zu portieren
● Nutzung von Mobilfunknetzen für das Abfangen von Sprache und SMS
● Bemühungen, die Benutzer dazu verleiten, auf gefälschte Links zu klicken oder sich auf Phishing-Sites anzumelden - indem sie ihre Anmeldedaten direkt weitergeben
Aber verzweifle nicht. Die Zwei-Faktor-Authentifizierung ist nur eine der Methoden, die Sie benötigen, um die Parameter der Sicherheitsregel zu erfüllen und ein HIPAA-konformes Ökosystem zu erhalten. Alle Schritte, die zum besseren Schutz von Informationen unternommen werden, sollten als Risikominderung angesehen werden und Ihre Bemühungen um Vertraulichkeit, Verfügbarkeit und Integrität kontinuierlich verstärken.