NộI Dung
- 2FA được tin cậy bởi các cơ quan quản lý liên bang
- Nghiên cứu: Xác thực hai yếu tố được sử dụng cho HIPAA
- Không lỗi, không căng thẳng - Hướng dẫn từng bước của bạn để tạo ra phần mềm thay đổi cuộc sống mà không phá hủy cuộc sống của bạn
- Tài liệu 2FA là bắt buộc
- Phần mềm 2FA không cần chính nó tuân thủ HIPAA
- Mục tiêu của HIPAA: Giảm thiểu rủi ro đang diễn ra
Nguồn: CreativaImages / iStockphoto
Lấy đi:
Mặc dù xác thực hai yếu tố là không bắt buộc đối với HIPAA, nhưng nó có thể giúp mở đường cho việc tuân thủ HIPAA.
Quá trình đăng nhập truyền thống với tên người dùng và mật khẩu là không đủ trong môi trường dữ liệu chăm sóc sức khỏe ngày càng thù địch. Xác thực hai yếu tố (2FA) ngày càng trở nên quan trọng. Mặc dù công nghệ không bắt buộc theo HIPAA, Tạp chí HIPAA lưu ý rằng đó là một cách thông minh để đi từ góc độ tuân thủ - thực sự gọi phương thức này là "cách tốt nhất để tuân thủ các yêu cầu mật khẩu của HIPAA." (Để tìm hiểu thêm về 2FA, hãy xem Khái niệm cơ bản về xác thực hai yếu tố.)
Một điều thú vị về 2FA (đôi khi được mở rộng thành xác thực đa yếu tố, MFA) là nó được áp dụng tại nhiều tổ chức chăm sóc sức khỏe - nhưng đối với các hình thức tuân thủ khác, bao gồm Quy định về Quản lý Thực thi Ma túy cho Quy tắc Kiểm soát Chất ma túy và Công nghiệp Thẻ Thanh toán Tiêu chuẩn bảo mật dữ liệu (PCI DSS). Nguyên tắc cơ bản là các hướng dẫn cơ bản được sử dụng trong việc kê đơn bất kỳ chất được kiểm soát nào bằng điện tử - một bộ quy tắc song song với Quy tắc bảo mật HIPAA trong việc giải quyết cụ thể các biện pháp bảo vệ công nghệ để bảo vệ thông tin của bệnh nhân. Cái sau thực sự là một quy định của ngành thẻ thanh toán chi phối mọi dữ liệu liên quan đến thanh toán thẻ phải được bảo vệ như thế nào để tránh bị phạt từ các công ty thẻ tín dụng lớn.
Quy định bảo vệ dữ liệu chung của EU khiến mối quan tâm của 2FA trở nên tập trung hơn nữa trong toàn ngành, nhờ có sự giám sát và phạt tiền bổ sung (và khả năng áp dụng đối với bất kỳ tổ chức nào xử lý dữ liệu cá nhân của châu Âu).
2FA được tin cậy bởi các cơ quan quản lý liên bang
Xác thực hai yếu tố đã được Văn phòng các quyền dân sự (OCR) của HHS khuyến nghị trong nhiều năm. Vào năm 2006, HHS đã khuyến nghị 2FA là cách thực hành tốt nhất để tuân thủ HIPAA, đặt tên nó là phương pháp đầu tiên để giải quyết nguy cơ bị đánh cắp mật khẩu, dẫn đến việc xem ePHI trái phép. Trong một tài liệu tháng 12 năm 2006, Hướng dẫn bảo mật HIPAA, HHS đề xuất rằng rủi ro đánh cắp mật khẩu được giải quyết bằng hai chiến lược chính: 2FA, cùng với việc thực hiện quy trình kỹ thuật để tạo tên người dùng duy nhất và xác thực quyền truy cập của nhân viên từ xa.
Nghiên cứu: Xác thực hai yếu tố được sử dụng cho HIPAA
Văn phòng Điều phối viên Quốc gia về Công nghệ Thông tin Y tế (ONC) đã cho thấy mối quan tâm cụ thể của mình với công nghệ này thông qua "Tóm tắt dữ liệu ONC 32" từ tháng 11 năm 2015, bao gồm các xu hướng áp dụng 2FA của các bệnh viện chăm sóc cấp tính trên cả nước. Báo cáo là về việc có bao nhiêu trong số các tổ chức này có khả năng cho 2FA (tức là, khả năng cho người dùng chấp nhận nó, trái ngược với yêu cầu cho nó). Vào thời điểm đó, vào năm 2014, chắc chắn có ý nghĩa rằng các cơ quan quản lý đã thúc đẩy nó, với điều kiện là chưa đến một nửa nhóm nghiên cứu đã thực hiện, mặc dù với số lượng tăng:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Không lỗi, không căng thẳng - Hướng dẫn từng bước của bạn để tạo ra phần mềm thay đổi cuộc sống mà không phá hủy cuộc sống của bạn
Bạn không thể cải thiện kỹ năng lập trình của mình khi không ai quan tâm đến chất lượng phần mềm.
● 2013 – 44%
● 2014 – 49%
Chắc chắn, 2FA đã được áp dụng rộng rãi hơn kể từ thời điểm đó - nhưng nó không phổ biến.
Tài liệu 2FA là bắt buộc
Một khía cạnh quan trọng khác cần lưu ý là nhu cầu về giấy tờ - điều rất quan trọng nếu cuối cùng bạn bị điều tra viên liên bang điều tra, đồng thời đáp ứng các yêu cầu phân tích rủi ro, miễn là bạn bao gồm cuộc thảo luận đó. Tài liệu là cần thiết vì các quy tắc mật khẩu được liệt kê là địa chỉ - có nghĩa là (vô lý như nó có vẻ) để cung cấp lý do tài liệu cho việc sử dụng thực hành tốt nhất này. Nói cách khác, bạn không phải thực hiện 2FA, nhưng phải giải thích tại sao nếu bạn làm như vậy.
Phần mềm 2FA không cần chính nó tuân thủ HIPAA
Một trong những thách thức lớn nhất với 2FA là nó vốn không hiệu quả kể từ khi thêm một bước vào quy trình. Tuy nhiên, trên thực tế, mối lo ngại rằng 2FA làm chậm việc chăm sóc sức khỏe đã bị xóa tan, bởi sự gia tăng của các chức năng tích hợp đăng nhập và LDAP để xác thực tích hợp giữa các hệ thống chăm sóc sức khỏe.
Như đã lưu ý trong tiêu đề, bản thân phần mềm 2FA không (đủ hài hước, vì nó rất quan trọng để tuân thủ) cần phải tuân thủ HIPAA vì nó truyền mã PIN chứ không phải PHI. Mặc dù bạn có thể chọn các lựa chọn thay thế cho xác thực hai yếu tố, các chiến lược khác nhau hàng đầu - công cụ quản lý mật khẩu và chính sách thay đổi mật khẩu thường xuyên - không phải là cách dễ dàng để tuân thủ các yêu cầu mật khẩu HIPAA. "Hiệu quả", Tạp chí HIPAA lưu ý, "Các thực thể được bảo hiểm không bao giờ cần phải thay đổi mật khẩu một lần nữa" nếu họ thực hiện 2FA. (Để biết thêm về xác thực, hãy xem Làm thế nào dữ liệu lớn có thể bảo mật xác thực người dùng.)
Mục tiêu của HIPAA: Giảm thiểu rủi ro đang diễn ra
Tầm quan trọng của việc sử dụng các nhà cung cấp dịch vụ lưu trữ và quản lý mạnh mẽ và có kinh nghiệm được nhấn mạnh bởi sự cần thiết phải vượt ra ngoài 2FA với một tư thế tuân thủ toàn diện. Đó là bởi vì 2FA là không thể sai lầm; những cách mà tin tặc có thể khắc phục được bao gồm:
● Phần mềm độc hại được chấp nhận để đánh bại người dùng bằng cách chấp nhận cho đến khi họ cuối cùng nhấp vào nó trong sự thất vọng
● SMS chương trình cạo mật khẩu một lần
● Lừa đảo thẻ SIM qua kỹ thuật xã hội để chuyển số điện thoại
● Tận dụng các mạng di động để chặn thoại và SMS
● Nỗ lực thuyết phục người dùng nhấp vào liên kết không có thật hoặc đăng nhập vào các trang web lừa đảo - bàn giao trực tiếp chi tiết đăng nhập của họ
Nhưng đừng tuyệt vọng. Xác thực hai yếu tố chỉ là một trong những phương pháp bạn cần để đáp ứng các tham số của Quy tắc bảo mật và duy trì hệ sinh thái tuân thủ HIPAA. Bất kỳ bước nào được thực hiện để bảo vệ thông tin tốt hơn nên được coi là giảm thiểu rủi ro, liên tục củng cố các nỗ lực của bạn về bảo mật, tính sẵn sàng và tính toàn vẹn.