콘텐츠
- 연방 규제 기관이 신뢰하는 2FA
- 연구 : HIPAA에 사용되는 2 단계 인증
- 버그 없음, 스트레스 없음-인생을 파괴하지 않고 인생을 바꾸는 소프트웨어를 만드는 단계별 가이드
- 2FA 문서가 필요합니다
- 2FA 소프트웨어 자체에는 HIPAA 규정 준수가 필요하지 않습니다
- HIPAA 목표 : 지속적인 위험 완화
출처 : CreativaImages / iStockphoto
테이크 아웃 :
HIPAA에는 2 단계 인증이 필요하지 않지만 HIPAA 준수로 나아가는 데 도움이 될 수 있습니다.
점점 더 적대적인 의료 데이터 환경에서는 사용자 이름과 비밀번호를 사용한 기존 로그인 프로세스로는 충분하지 않습니다. 2 단계 인증 (2FA)이 점차 중요 해지고 있습니다. HIPAA에서는이 기술이 필수는 아니지만 HIPAA Journal은 규정 준수 측면에서 현명한 방법이라고 언급했습니다. 실제로 "HIPAA 암호 요구 사항을 준수하는 가장 좋은 방법"이라고합니다. 2FA에 대한 자세한 내용은 2 단계 인증 기본 사항을 참조하십시오.
2FA (Multi-Factor Authentication, MFA로 확대됨)에 대한 흥미로운 점은 많은 의료 기관에 배치되어 있지만 약물 시행 관리 전자 규제 규정에 대한 전자 처방 규칙 및 지불 카드 산업을 포함한 다른 형태의 규정 준수를위한 것입니다. 데이터 보안 표준 (PCI DSS). 전자는 통제 된 물질을 전자적으로 처방하는 데 사용되는 기본 지침으로, 환자 정보를 보호하기 위해 기술 보호 조치를 구체적으로 다루는 HIPAA 보안 규칙과 유사한 일련의 규칙입니다. 후자는 실제로 주요 신용 카드 회사의 벌금을 피하기 위해 카드 지불과 관련된 모든 데이터를 보호하는 방법을 관리하는 지불 카드 산업 규정입니다.
EU의 일반 데이터 보호 규정 (General Data Protection Regulation)은 추가적인 감독과 벌금 (유럽 개인의 개인 데이터를 취급하는 모든 조직에 적용 가능)을 고려할 때 업계 전반에서 2FA에 대한 관심을 더욱 집중시킵니다.
연방 규제 기관이 신뢰하는 2FA
HHS 민권 국 (OCR)에서 수년간 2 단계 인증을 권장했습니다. 2006 년에 HHS는 HFAAA 준수를위한 모범 사례로 2FA를 이미 추천했으며,이를 통해 암호 도난 위험을 해결하여 ePHI를 무단으로 볼 수있는 첫 번째 방법으로 명명했습니다. HIPAA 보안 지침 (HIPAA Security Guidance) 2006 년 12 월 문서에서 HHS는 암호 도난 위험이 두 가지 주요 전략, 즉 2FA와 고유 한 사용자 이름 생성 및 원격 직원 액세스 인증을위한 기술 프로세스 구현을 통해 해결 될 것을 제안했습니다.
연구 : HIPAA에 사용되는 2 단계 인증
미국 건강 정보 기술 조정자 사무실 (ONC)은 2015 년 11 월의 "ONC Data Brief 32"를 통해이 기술에 대한 특정 관심사를 보여 주었으며, 전국의 급성 치료 병원의 2FA 채택 경향을 다루었습니다. 보고서는 2FA에 대한 역량을 보유한 기관 수에 대해보고했습니다 (예 : 능력 사용자가 그것을 채택하는 대신에 요구 사항 그것을 위해). 이 시점에서 2014 년에는 연구 그룹의 절반 미만이 시행 한 수치를 감안할 때 규제 기관이 규제를 추진하고 있음을 분명히 알 수있었습니다.
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
버그 없음, 스트레스 없음-인생을 파괴하지 않고 인생을 바꾸는 소프트웨어를 만드는 단계별 가이드
아무도 소프트웨어 품질에 신경 쓰지 않으면 프로그래밍 기술을 향상시킬 수 없습니다.
● 2013 – 44%
● 2014 – 49%
확실히, 2FA는 그 시점 이후로 더 널리 채택되었지만 유비쿼터스가 아닙니다.
2FA 문서가 필요합니다
주목해야 할 또 다른 측면은 서류 작업의 필요성입니다. 이는 연방 감사관이 조사를 받고 위험 분석 요구 사항을 충족 시키는데 중요한 이유입니다. 비밀번호 규칙이 다음과 같이 나열되므로 문서가 필요합니다. 주소 지정 가능 –이 모범 사례를 사용하기위한 문서화 된 추론을 제공한다는 의미 (소리 나는 것처럼 들리지만). 다시 말해, 2FA를 구현할 필요는 없지만 그 이유를 설명해야합니다.
2FA 소프트웨어 자체에는 HIPAA 규정 준수가 필요하지 않습니다
2FA의 가장 큰 과제 중 하나는 프로세스에 단계를 추가 한 이후 본질적으로 비효율적이라는 것입니다. 그러나 실제로 2FA가 의료 시스템 간의 통합 인증을위한 싱글 사인온 (SSO) 및 LDAP 통합 기능의 급증으로 인해 의료 서비스 속도 저하에 대한 우려가 크게 완화되었습니다.
헤더에 언급 된 바와 같이, 2FA 소프트웨어 자체는 PHI가 아닌 PIN을 전송하기 때문에 HIPAA를 준수 할 필요가 없습니다. 2 단계 인증 대신에 대안을 선택할 수 있지만 암호 관리 도구 및 암호 변경이 빈번한 정책 인 가장 다양한 전략은 HIPAA 암호 요구 사항을 쉽게 준수 할 수있는 방법이 아닙니다. HIPAA 저널은 "유효한 기업은 2FA를 구현할 경우 암호를 다시 변경할 필요가 없다"고 지적했다. 인증에 대한 자세한 내용은 빅 데이터가 사용자 인증을 보호 할 수있는 방법을 확인하십시오.
HIPAA 목표 : 지속적인 위험 완화
강력하고 숙련 된 호스팅 및 관리 서비스 제공 업체의 중요성은 포괄적 인 준수 상태로 2FA를 뛰어 넘어야한다는 점에서 강조됩니다. 이는 2FA가 완벽한 것이 아니기 때문입니다. 해커가이를 해결할 수있는 방법은 다음과 같습니다.
● 사용자가 불만에 빠질 때까지 클릭 할 때까지 "Accept"로 사용자를 밀어주는 악성 코드
● SMS 일회용 비밀번호 스크래핑 프로그램
● 사회 공학을 통한 SIM 카드 사기로 전화 번호 포팅
● 음성 및 SMS 차단을위한 이동 통신사 네트워크 활용
● 사용자가 가짜 링크를 클릭하거나 피싱 사이트에 로그인하도록 유도하여 로그인 세부 정보를 직접 전달합니다.
그러나 절망하지 마십시오. 2 단계 인증은 보안 규칙의 매개 변수를 충족하고 HIPAA 호환 에코 시스템을 유지하기 위해 필요한 방법 중 하나 일뿐입니다. 정보를 더 잘 보호하기 위해 취한 모든 조치는 위험 완화로 간주되어 기밀, 가용성 및 무결성에 대한 노력을 지속적으로 강화합니다.