İçerik
- Federal Düzenleyiciler tarafından 2FA Long Trusted
- Çalışma: HIPAA İçin Kullanılan İki Faktörlü Kimlik Doğrulama
- Hata Yok, Stres Yok - Hayatınızı Yok Etmeden Hayat Değiştiren Yazılım Yaratma Adım Adım Kılavuzunuz
- 2FA Belgeleri Gereklidir
- 2FA Yazılımı Kendisinin HIPAA Uyumluluğuna İhtiyacı Yok
- HIPAA Amaç: Devam Eden Risk Azaltma
Kaynak: CreativaImages / iStockphoto
Paket servisi:
HIPAA için iki faktörlü kimlik doğrulama gerekmese de, HIPAA uyumluluğunun önünü açmaya yardımcı olabilir.
Kullanıcı adı ve parola içeren geleneksel oturum açma işlemi, giderek daha fazla düşmanca olan sağlık hizmeti veri ortamında yetersizdir. İki faktörlü kimlik doğrulama (2FA) giderek daha önemli hale geldi. Teknoloji HIPAA kapsamında zorunlu olmasa da, HIPAA Journal, uyumluluk perspektifinden gitmenin akıllı bir yolu olduğunu - aslında yöntemi "HIPAA şifre gerekliliklerine uymanın en iyi yolu" olarak nitelendirdi. (2FA hakkında daha fazla bilgi için bkz. İki Faktörlü Kimlik Doğrulamanın Temelleri.)
2FA ile ilgili ilginç bir şey (bazen çok faktörlü kimlik doğrulamasına genişletilmiş MFA), birçok sağlık kuruluşunda - ancak Uyuşturucu İcra İdareleri Yönetmeli Maddeler Kuralları ve Ödeme Kartı Endüstrisi için Elektronik Reçete Reçetesi de dahil olmak üzere diğer uyum biçimleri için mevcut olmasıdır Veri Güvenliği Standardı (PCI DSS). İlki, elektronik olarak kontrol edilen herhangi bir maddenin reçetelenmesinde kullanılacak temel ilkelerdir - hasta bilgilerini korumak için özellikle teknolojik güvencelerin ele alınmasında HIPAA Güvenlik Kuralına paralel bir kurallar kümesi. Bunlardan ikincisi, başlıca kredi kartı şirketlerinden para cezalarını önlemek için kart ödemeleriyle ilgili verilerin nasıl korunması gerektiğini düzenleyen bir ödeme kartı endüstrisi düzenlemesidir.
AB'nin Genel Veri Koruma Yönetmeliği, 2FA ile ilgili endişeyi, ek gözetimi ve para cezaları (ve Avrupalı bireylerin kişisel verilerini kullanan herhangi bir kuruluşa uygulanabilirliği) göz önüne alındığında, endüstri genelinde daha da yoğunlaştırmaktadır.
Federal Düzenleyiciler tarafından 2FA Long Trusted
HHS Departmanları İnsan Hakları Ofisi (OCR) tarafından uzun yıllardır iki faktörlü kimlik doğrulaması önerilmiştir. 2006'da, HHS zaten 2FA'yı HIPAA uygunluğu için en iyi uygulama olarak önermişti; bu, ePHI'nin yetkisiz olarak görüntülenmesine neden olabilecek şifre hırsızlığı riskini ele alan ilk yöntem olarak adlandırdı. Aralık 2006 tarihli bir belgede, HIPAA Güvenlik Rehberi, HHS, şifre hırsızlığı riskinin iki anahtar stratejiyle ele alınmasını önermiştir: 2FA, ayrıca benzersiz kullanıcı adlarının oluşturulması ve uzaktan çalışan erişiminin doğrulanması için teknik bir sürecin uygulanması.
Çalışma: HIPAA İçin Kullanılan İki Faktörlü Kimlik Doğrulama
Ulusal Sağlık Bilgi Teknolojisi Koordinatörü (ONC), bu teknolojiye olan özel ilgisini, ülke genelindeki akut bakım hastanelerinin 2FA'nın benimseme trendlerini kapsayan Kasım 2015'ten itibaren "ONC Data Brief 32" ile göstermiştir. Rapor, bu kurumların kaç tanesinin 2FA kapasitesine sahip olduğuna dair bir rapor ( kabiliyet Kullanıcının kabul etmesi için gereklilik onun için). Bu noktada, 2014 yılında, çalışma grubunun yarısından daha azının uygulanmış olmasına rağmen, sayılar artmasına rağmen, düzenleyicilerin onu zorladığını kesinlikle anlamıştı:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Hata Yok, Stres Yok - Hayatınızı Yok Etmeden Hayat Değiştiren Yazılım Yaratma Adım Adım Kılavuzunuz
Hiç kimse yazılım kalitesiyle ilgilenmediğinde programlama becerilerinizi geliştiremezsiniz.
● 2013 – 44%
● 2014 – 49%
Elbette, 2FA bu noktadan beri daha yaygın olarak kabul görmüştür - ancak her yerde bulunmaz.
2FA Belgeleri Gereklidir
Unutulmaması gereken bir diğer husus, evrak işlerine duyulan ihtiyaç - bu da federal denetçiler tarafından araştırılmanız ve aynı zamanda bu tartışmayı da dahil etmeniz şartıyla risk analizi gerekliliklerini yerine getirmeniz durumunda kritik önemdedir. Parola kuralları şöyle listelendiğinden dokümantasyon gereklidir. adreslenebilir - Bu en iyi uygulamayı kullanmak için belgelenmiş bir sebep göstermek için anlam (kulağa geldiği kadar saçma). Başka bir deyişle, 2FA uygulamak zorunda değilsiniz, ancak neden yaptığını açıklamalısınız.
2FA Yazılımı Kendisinin HIPAA Uyumluluğuna İhtiyacı Yok
2FA'nın en büyük zorluklarından biri, bir sürece adım attığından beri doğal olarak verimsiz olmasıdır. Aslında, 2FA'nın sağlık hizmetini yavaşlattığı endişesi, sağlık hizmetleri sistemleri arasında entegre kimlik doğrulama için tek oturum açma ve LDAP entegrasyon işlevlerinin artmasıyla büyük ölçüde azaldı.
Başlıkta belirtildiği gibi, 2FA yazılımının kendisi (uyumluluk için kritik öneme sahip olduğu için yeterince komik) yeterli değil, PIN'leri ilettiğinden, ancak PHI iletmediğinden HIPAA uyumlu olması gerekir. İki faktörlü kimlik doğrulama yerine alternatifler seçebilseniz de, üst düzey farklı stratejiler - şifre yönetim araçları ve sık sık şifre değişikliği politikaları - HIPAA şifre gerekliliklerine uymanın kolay bir yolu değildir. HIFAA Journal, "Etkili Bir Şekilde", 2FA'yı uygularlarsa, "Örtülü Varlıkların bir daha asla parola değiştirmesine gerek kalmaz" dedi. (Kimlik doğrulaması hakkında daha fazla bilgi için, Büyük Verilerin Kullanıcı Kimlik Doğrulamasını Ne Kadar Güvende Tutacağına bakın.)
HIPAA Amaç: Devam Eden Risk Azaltma
Güçlü ve deneyimli barındırma ve yönetilen servis sağlayıcıları kullanmanın önemi, kapsamlı bir duruşla 2FA'nın ötesine geçme gereği ile vurgulanmaktadır. Çünkü 2FA yanılmaz olmaktan uzak; bilgisayar korsanlarının etrafından dolaşma yolları şunlardır:
● Kullanıcıları “Kabul et” seçeneğiyle ponpon yapan ve sonunda hayal kırıklığı içinde tıklayana kadar zorla kabul eden kötü amaçlı yazılım
● SMS bir defalık şifre kazıma programları
● Sosyal telefon aracılığıyla bağlantı noktası telefon numaralarına SIM kart sahtekarlığı
● Ses ve SMS müdahalesi için mobil operatör ağlarını kullanma
● Kullanıcıları sahte bağlantıları tıklamaya veya kimlik avı sitelerinde oturum açmaya ikna eden çabalar - giriş bilgilerini doğrudan teslim etme
Ama umutsuzluğa kapılma. İki faktörlü kimlik doğrulama, Güvenlik Kuralı'nın parametrelerini karşılamak ve HIPAA uyumlu bir ekosistemi korumak için gereken yöntemlerden yalnızca bir tanesidir. Bilgiyi daha iyi korumak için atılan adımlar, gizlilik, kullanılabilirlik ve dürüstlük konusundaki çabalarınızı sürekli olarak destekleyen, risk azaltma olarak görülmelidir.