内容
- 2FA受到联邦监管机构的长期信赖
- 研究:HIPAA未充分利用两要素身份验证
- 没有错误,没有压力-在不破坏生活的情况下创建可改变生活的软件的分步指南
- 需要2FA文档
- 2FA软件本身并不需要HIPAA合规性
- HIPAA目标:持续降低风险
资料来源:CreativaImages / iStockphoto
带走:
尽管HIPAA不需要两步验证,但是它可以帮助您为符合HIPAA铺平道路。
在日益敌对的医疗数据环境中,使用用户名和密码的传统登录过程是不够的。两要素身份验证(2FA)变得越来越重要。尽管HIPAA并不强制采用该技术,但《 HIPAA Journal》指出,从合规性角度来看这是一种明智的方法–实际上称该方法为“符合HIPAA密码要求的最佳方法”。 (要了解有关2FA的更多信息,请参阅两要素身份验证的基础。)
关于2FA(有时扩展为多因素身份验证,MFA)的一件有趣的事情是,它在许多医疗保健组织中都已到位-但对于其他形式的合规性,包括药物管制局管制物质电子处方规则和支付卡行业数据安全标准(PCI DSS)。前者是用于以电子方式处方任何受控物质的基本准则,这是一套与HIPAA安全规则平行的规则,专门针对保护患者信息的技术保障。后者实际上是一个支付卡行业法规,该法规管理如何保护与卡支付相关的任何数据,以避免受到主要信用卡公司的罚款。
鉴于《通用数据保护条例》的额外监督和罚款(以及它对处理欧洲个人数据的任何组织的适用性),欧盟《通用数据保护条例》将2FA引起了整个行业的关注。
2FA受到联邦监管机构的长期信赖
HHS部门民权办公室(OCR)多年来一直建议采用两因素身份验证。在2006年,HHS已经建议2FA作为遵守HIPAA的最佳实践,将其命名为解决密码盗窃风险的第一种方法,这又可能导致未授权查看ePHI。在2006年12月的文件《 HIPAA安全指南》中,HHS建议采用两种关键策略来解决密码盗用风险:2FA,以及实施用于创建唯一用户名和对远程员工访问进行身份验证的技术流程。
研究:HIPAA未充分利用两要素身份验证
国家卫生信息技术协调员办公室(ONC)通过其2015年11月发布的“ ONC数据摘要32”表明了对该技术的特殊关注,其中涵盖了全国急诊医院采用2FA的趋势。该报告是关于这些机构中有多少具有2FA的能力(即 能力 供用户采用,而不是 需求 为了它)。到了那时,在2014年,监管机构在推动这一计划无疑是有道理的,尽管研究小组实施的研究不到一半,但这一数字还在上升:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
没有错误,没有压力-在不破坏生活的情况下创建可改变生活的软件的分步指南
当没有人关心软件质量时,您就无法提高编程技能。
● 2013 – 44%
● 2014 – 49%
当然,自那时以来,2FA已被更广泛地采用-但它并非无处不在。
需要2FA文档
需要注意的另一个方面是文书工作的需求-如果您最终要接受联邦审计员的调查,同时又满足风险分析要求(前提是您要进行讨论),则这是至关重要的。由于密码规则列为 可寻址的 –含义(听起来可能很荒谬),以提供使用此最佳实践的书面推理。换句话说,您不必实施2FA,但必须解释为什么这样做。
2FA软件本身并不需要HIPAA合规性
2FA的最大挑战之一是它固有的效率低下,因为它在流程中增加了一步。实际上,尽管如此,很大程度上由于单点登录和用于医疗系统之间集成身份验证的LDAP集成功能的涌现,大大减轻了2FA降低医疗速度的担忧。
如标题中所述,2FA软件本身并不需要(因为它对合规性至关重要),所以它并不需要HIPAA规范,因为它可以发送PIN而不是PHI。尽管您可以选择替代方案来代替两因素身份验证,但要满足HIPAA密码要求,最主要的策略(密码管理工具和频繁更改密码的策略)并不是那么容易的方法。 HIPAA Journal指出:“有效的是,如果它们实施2FA,则不再需要再次更改密码”。 (有关身份验证的更多信息,请查看大数据如何确保用户身份验证。)
HIPAA目标:持续降低风险
由于需要以全面的合规性超越2FA,因此强调了使用强大且经验丰富的托管和托管服务提供商的重要性。那是因为2FA并非万无一失;黑客规避的方法包括:
●即按即接受的恶意软件,使用户遭受“接受”的打击,直到他们最终沮丧地点击它为止
●短信一次性密码抓取程序
●通过社交工程骗取SIM卡以移植电话号码
●利用移动运营商网络进行语音和SMS拦截
●努力说服用户单击虚假链接或登录网络钓鱼站点–直接移交其登录详细信息
但是不要绝望。两因素身份验证只是满足安全规则参数并维护符合HIPAA要求的生态系统所需的方法之一。为更好地保护信息而采取的任何步骤都应被视为减轻风险,不断加强您在机密性,可用性和完整性方面的努力。