Contenu
- 2FA depuis longtemps confiance des régulateurs fédéraux
- Étude: L'authentification à deux facteurs sous-utilisée pour HIPAA
- Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire
- La documentation 2FA est requise
- Le logiciel 2FA n'a pas besoin de conformité HIPAA
- Objectif HIPAA: Atténuation continue des risques
Source: CreativaImages / iStockphoto
À emporter:
Bien qu'une authentification à deux facteurs ne soit pas requise pour HIPAA, elle peut aider à ouvrir la voie à la conformité HIPAA.
Le processus de connexion traditionnel avec un nom d'utilisateur et un mot de passe est insuffisant dans un environnement de données de soins de santé de plus en plus hostile. L'authentification à deux facteurs (2FA) est devenue de plus en plus importante. Bien que la technologie ne soit pas obligatoire en vertu de la loi HIPAA, HIPAA Journal a fait remarquer que c’était une façon intelligente d’agir du point de vue de la conformité, appelant en fait la méthode «le meilleur moyen de respecter les exigences en matière de mot de passe de la HIPAA». (Pour en savoir plus sur 2FA, voir Notions de base de l'authentification à deux facteurs.)
Une chose intéressante à propos de 2FA (parfois étendu à l'authentification multifactorielle, MFA) est qu'il est en place dans de nombreux établissements de soins de santé - mais pour d'autres formes de conformité, y compris les règles de prescription en matière de drogue pour les substances contrôlées et le secteur des cartes de paiement. Norme de sécurité des données (PCI DSS). La première constitue les directives de base à utiliser pour prescrire électroniquement toute substance contrôlée - un ensemble de règles qui est parallèle à la règle de sécurité HIPAA et concerne spécifiquement les garanties technologiques destinées à protéger les informations des patients. Ce dernier est en réalité une réglementation du secteur des cartes de paiement qui régit la protection de toutes les données associées aux paiements par carte afin d’éviter les amendes imposées par les principales sociétés émettrices de cartes de crédit.
Le règlement général de l'UE sur la protection des données met davantage l'accent sur l'inquiétude suscitée par le 2FA dans l'ensemble du secteur, compte tenu de sa surveillance supplémentaire et de ses amendes (et de son applicabilité à toute organisation traitant des données personnelles de particuliers européens).
2FA depuis longtemps confiance des régulateurs fédéraux
L'authentification à deux facteurs est recommandée par le Bureau des droits civils (OCR) du département HHS depuis de nombreuses années. En 2006, le HHS recommandait déjà le 2FA en tant que meilleure pratique pour la conformité à la loi HIPAA, en le désignant comme la première méthode permettant de réduire le risque de vol de mot de passe, ce qui pourrait entraîner la visualisation non autorisée d’ePHI. Dans un document de décembre 2006 intitulé HIPAA Security Guidance, le HHS a suggéré que le risque de vol de mots de passe soit traité selon deux stratégies clés: 2FA, ainsi que la mise en œuvre d'un processus technique pour la création de noms d'utilisateur uniques et l'authentification de l'accès des employés distants.
Étude: L'authentification à deux facteurs sous-utilisée pour HIPAA
Le Bureau du Coordonnateur national pour les technologies de l'information sur la santé (ONC) a exprimé sa préoccupation particulière pour cette technologie dans son "Résumé de données sur le cancer 32" de novembre 2015, qui couvrait les tendances d'adoption du 2FA par les hôpitaux de soins de courte durée à travers le pays. Le rapport indiquait combien de ces institutions avaient la capacité de 2FA (c’est-à-dire le aptitude pour l'utilisateur de l'adopter, par opposition à un exigence pour ça). À ce moment-là, en 2014, il était certainement logique que les régulateurs le poussent, sachant que moins de la moitié du groupe d'étude l'a mise en œuvre, bien que le nombre augmente:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire
Vous ne pouvez pas améliorer vos compétences en programmation lorsque personne ne se soucie de la qualité des logiciels.
● 2013 – 44%
● 2014 – 49%
Certes, le 2FA a été plus largement adopté depuis ce moment-là, mais il n’est pas omniprésent.
La documentation 2FA est requise
Un autre aspect important à noter est le besoin de paperasserie - qui est essentiel si les auditeurs fédéraux enquêtent, tout en respectant les exigences en matière d’analyse des risques, à condition d’inclure cette discussion. La documentation est nécessaire car les règles de mot de passe sont listées comme adressable - un sens (aussi ridicule que cela puisse paraître) pour fournir une justification documentée de l’utilisation de cette meilleure pratique. En d'autres termes, vous n'avez pas à mettre en œuvre 2FA, mais devez expliquer pourquoi si vous le faites.
Le logiciel 2FA n'a pas besoin de conformité HIPAA
L'un des plus gros problèmes de 2FA est qu'il est intrinsèquement inefficace puisqu'il ajoute une étape à un processus. En réalité, toutefois, l'inquiétude que suscite le ralentissement de 2FA des soins de santé a été dissipée dans une large mesure par la montée en puissance des fonctions d'authentification unique et d'intégration LDAP pour l'authentification intégrée entre les systèmes de soins de santé.
Comme indiqué dans l’en-tête, le logiciel 2FA lui-même n’a pas besoin (avec humour, car il est si essentiel à la conformité) de se conformer à la norme HIPAA puisqu’il transmet des codes confidentiels, mais pas de PHI. Bien que vous puissiez choisir des alternatives au lieu d'une authentification à deux facteurs, les stratégies les plus divergentes - outils de gestion de mot de passe et règles de modification fréquente du mot de passe - ne constituent pas un moyen aussi simple de respecter les exigences de mot de passe HIPAA. "Effectivement", a noté HIPAA Journal, "Les entités couvertes ne doivent plus jamais changer de mot de passe" si elles implémentent 2FA. (Pour plus d'informations sur l'authentification, consultez la page Comment les Big Data peuvent-elles sécuriser l'authentification d'utilisateur?)
Objectif HIPAA: Atténuation continue des risques
L'importance d'utiliser des fournisseurs de services d'hébergement et de gestion gérés forts et expérimentés est soulignée par la nécessité d'aller au-delà de 2FA avec une posture conforme complète. C’est parce que 2FA est loin d’être infaillible; Les moyens par lesquels les pirates informatiques peuvent le contourner sont notamment les suivants:
● Un malware "Push-to-Accept" qui frappe les utilisateurs avec "Accept" jusqu'à ce qu'ils cliquent dessus frustrés
● Programmes de récupération de mot de passe à usage unique SMS
● Fraude de la carte SIM via l'ingénierie sociale pour mettre en communication des numéros de téléphone
● Tirer parti des réseaux d'opérateurs mobiles pour l'interception vocale et par SMS
● Efforts visant à convaincre les utilisateurs de cliquer sur de faux liens ou de se connecter à des sites de phishing - en leur transmettant directement leurs informations de connexion.
Mais ne désespérez pas. L'authentification à deux facteurs n'est qu'une des méthodes dont vous avez besoin pour respecter les paramètres de la règle de sécurité et maintenir un écosystème conforme à HIPAA. Toute mesure prise pour mieux protéger les informations doit être considérée comme une mesure d'atténuation des risques, renforçant continuellement vos efforts en matière de confidentialité, de disponibilité et d'intégrité.