विषय
- फेडरल रेगुलेटर द्वारा 2FA लॉन्ग ट्रस्टेड
- अध्ययन: HIPAA के लिए दो-कारक प्रमाणीकरण का दुरुपयोग
- नो बग्स, नो स्ट्रेस - योर स्टेप बाय स्टेप गाइड बाय स्टेप गाइड टू लाइफ-चेंजिंग सॉफ्टवेर विदाउट योर लाइफ
- 2FA प्रलेखन आवश्यक है
- 2FA सॉफ्टवेयर HIPAA अनुपालन की आवश्यकता नहीं है
- HIPAA उद्देश्य: जोखिम से गुजरना
स्रोत: CreativaImages / iStockphoto
ले जाओ:
हालांकि HIPAA के लिए दो-कारक प्रमाणीकरण की आवश्यकता नहीं है, यह HIPAA अनुपालन का मार्ग प्रशस्त करने में मदद कर सकता है।
उपयोगकर्ता नाम और पासवर्ड के साथ पारंपरिक लॉगिन प्रक्रिया एक तेजी से शत्रुतापूर्ण स्वास्थ्य सेवा डेटा वातावरण में अपर्याप्त है। दो-कारक प्रमाणीकरण (2FA) तेजी से महत्वपूर्ण हो गया है। जबकि HIPAA के तहत प्रौद्योगिकी अनिवार्य नहीं है, HIPAA जर्नल ने कहा कि यह अनुपालन परिप्रेक्ष्य से जाने का एक स्मार्ट तरीका है - वास्तव में "HIPAA पासवर्ड आवश्यकताओं का अनुपालन करने का सबसे अच्छा तरीका" विधि कह रहा है। (2FA के बारे में अधिक जानने के लिए, द-बेसिक ऑफ़ टू-फैक्टर ऑथेंटिकेशन देखें।)
2FA (कभी-कभी मल्टी-फैक्टर ऑथेंटिकेशन, MFA में विस्तारित) के बारे में एक दिलचस्प बात यह है कि यह कई हेल्थकेयर संगठनों में है - लेकिन अनुपालन के अन्य रूपों के लिए, ड्रग एन्फोर्समेंट एडमिनिस्ट्रेशन्स इलेक्ट्रॉनिक प्रिस्क्रिप्शन फॉर कंट्रोल्ड सब्सटेंस रूल्स और पेमेंट इंडस्ट्री इंडस्ट्री डेटा सुरक्षा मानक (PCI DSS)। पूर्व में किसी भी नियंत्रित पदार्थों को इलेक्ट्रॉनिक रूप से निर्धारित करने के लिए इस्तेमाल किया जाने वाला मूल दिशानिर्देश है - नियमों का एक सेट जो विशेष रूप से तकनीकी सुरक्षा उपायों को संबोधित करते हुए रोगी की जानकारी की सुरक्षा के लिए HIPAA सुरक्षा नियम के समानांतर है। उत्तरार्द्ध वास्तव में एक भुगतान कार्ड उद्योग विनियमन है जो यह बताता है कि प्रमुख क्रेडिट कार्ड कंपनियों से जुर्माना से बचने के लिए कार्ड भुगतान से जुड़े किसी भी डेटा को कैसे संरक्षित किया जाना चाहिए।
ईयूएस जनरल डेटा प्रोटेक्शन रेगुलेशन 2FA के साथ पूरे उद्योग में और भी अधिक फोकस में चिंता पैदा करता है, इसके अतिरिक्त निरीक्षण और जुर्माना (और यूरोपीय व्यक्तियों के व्यक्तिगत डेटा को संभालने वाले किसी भी संगठन के लिए इसकी प्रयोज्यता) को देखते हुए।
फेडरल रेगुलेटर द्वारा 2FA लॉन्ग ट्रस्टेड
HHS विभागों कार्यालय ने नागरिक अधिकारों (OCR) के लिए कई वर्षों से दो-कारक प्रमाणीकरण की सिफारिश की है। 2006 में, HHS पहले से ही HFA के अनुपालन के लिए एक सर्वोत्तम अभ्यास के रूप में 2FA की सिफारिश कर रहा था, यह पासवर्ड चोरी के जोखिम को दूर करने के लिए पहली विधि के रूप में नामकरण, जो बदले में, ePHI के अनधिकृत देखने के लिए नेतृत्व कर सकता था। दिसंबर 2006 के एक दस्तावेज में, HIPAA सिक्योरिटी गाइडेंस, HHS ने सुझाव दिया कि पासवर्ड की चोरी के जोखिम को दो प्रमुख रणनीतियों: 2FA के साथ संबोधित किया जाता है, साथ ही अद्वितीय उपयोगकर्ता नाम के निर्माण के लिए एक तकनीकी प्रक्रिया के कार्यान्वयन और दूरस्थ कर्मचारी पहुंच के प्रमाणीकरण के साथ।
अध्ययन: HIPAA के लिए दो-कारक प्रमाणीकरण का दुरुपयोग
स्वास्थ्य सूचना प्रौद्योगिकी (ONC) के राष्ट्रीय समन्वयक के कार्यालय ने नवंबर 2015 से अपने "ONC डेटा ब्रीफ 32" के माध्यम से इस तकनीक के साथ अपनी विशिष्ट चिंता दिखाई है, जिसने देश भर के तीव्र देखभाल अस्पतालों द्वारा 2FA को अपनाने के रुझान को कवर किया है। रिपोर्ट इस बात पर थी कि इनमें से कितने संस्थानों में 2FA (यानी,) की क्षमता थी क्षमता उपयोगकर्ता के लिए इसे अपनाने के लिए, के रूप में एक का विरोध किया आवश्यकता इसके लिए)। उस समय, 2014 में, यह निश्चित रूप से समझ में आया कि नियामक इसे आगे बढ़ा रहे थे, यह देखते हुए कि आधे से भी कम अध्ययन समूह ने इसे लागू किया था, हालांकि संख्या बढ़ने के साथ:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
नो बग्स, नो स्ट्रेस - योर स्टेप बाय स्टेप गाइड बाय स्टेप गाइड टू लाइफ-चेंजिंग सॉफ्टवेर विदाउट योर लाइफ
जब कोई भी सॉफ़्टवेयर गुणवत्ता की परवाह नहीं करता है तो आप अपने प्रोग्रामिंग कौशल में सुधार कर सकते हैं।
● 2013 – 44%
● 2014 – 49%
निश्चित रूप से, 2FA को उस बिंदु से अधिक व्यापक रूप से अपनाया गया है - लेकिन यह सर्वव्यापी नहीं है।
2FA प्रलेखन आवश्यक है
एक अन्य पहलू जो नोट करना महत्वपूर्ण है, कागजी कार्रवाई की आवश्यकता है - जो महत्वपूर्ण है यदि आप संघीय लेखा परीक्षकों द्वारा जांच कर रहे हैं, जबकि जोखिम विश्लेषण आवश्यकताओं को भी पूरा करते हैं, बशर्ते कि आप उस चर्चा को शामिल करें। पासवर्ड नियमों के रूप में सूचीबद्ध होने के बाद से प्रलेखन आवश्यक है पता - अर्थ (इस तरह से हास्यास्पद लग सकता है) इस सर्वोत्तम अभ्यास का उपयोग करने के लिए प्रलेखित तर्क प्रदान करने के लिए। दूसरे शब्दों में, आपको 2FA लागू करने की आवश्यकता नहीं है, लेकिन यह स्पष्ट करना चाहिए कि यदि आप ऐसा क्यों करते हैं।
2FA सॉफ्टवेयर HIPAA अनुपालन की आवश्यकता नहीं है
2FA के साथ सबसे बड़ी चुनौतियों में से एक यह है कि यह एक प्रक्रिया में एक कदम जोड़ने के बाद से स्वाभाविक रूप से अक्षम है। वास्तव में, हालांकि, चिंता यह है कि 2FA स्वास्थ्य सेवा को धीमा कर देती है, स्वास्थ्य देखभाल प्रणालियों के बीच एकीकृत प्रमाणीकरण के लिए एकल साइन-ऑन और एलडीएपी एकीकरण कार्यों के उछाल से, बहुत हद तक।
जैसा कि हेडर में उल्लेख किया गया है, 2FA सॉफ़्टवेयर स्वयं (विनोदी रूप से पर्याप्त नहीं है, क्योंकि इसके अनुपालन के लिए महत्वपूर्ण है) को HIPAA-अनुरूप होने की आवश्यकता है क्योंकि यह पिन नहीं बल्कि PHI प्रसारित करता है। यद्यपि आप दो-कारक प्रमाणीकरण के बदले विकल्प चुन सकते हैं, शीर्ष विचलन रणनीतियों - पासवर्ड प्रबंधन उपकरण और लगातार पासवर्ड परिवर्तनों की नीतियां - HIPAA पासवर्ड आवश्यकताओं का पालन करने का एक आसान तरीका नहीं है। "प्रभावी रूप से," HIPAA जर्नल ने उल्लेख किया, "कवर की गई संस्थाओं को फिर से पासवर्ड बदलने की आवश्यकता नहीं है" यदि वे 2FA लागू करते हैं। (प्रमाणीकरण पर अधिक जानकारी के लिए, देखें कि कितना बड़ा डेटा उपयोगकर्ता प्रमाणीकरण सुरक्षित कर सकता है।)
HIPAA उद्देश्य: जोखिम से गुजरना
मजबूत और अनुभवी होस्टिंग और प्रबंधित सेवा प्रदाताओं का उपयोग करने का महत्व एक व्यापक अनुपालन मुद्रा के साथ 2FA से आगे जाने की आवश्यकता से कम नहीं है। Thats क्योंकि 2FA अचूक से दूर है; जिस तरीके से हैकर्स इसे प्राप्त कर सकते हैं, उसमें निम्नलिखित शामिल हैं:
● पुश-टू-स्वीकार मैलवेयर जो उपयोगकर्ताओं को "स्वीकार" करते हैं, जब तक कि वे अंततः इसे निराशा में क्लिक नहीं करते
● एसएमएस वन-टाइम पासवर्ड स्क्रैपिंग प्रोग्राम
फोन नंबर पोर्ट करने के लिए सोशल इंजीनियरिंग के माध्यम से सिम कार्ड धोखाधड़ी
● आवाज और एसएमएस अवरोधन के लिए मोबाइल वाहक नेटवर्क का लाभ उठाना
● ऐसे प्रयास जो उपयोगकर्ताओं को फर्जी लिंक पर क्लिक करने या फ़िशिंग साइटों में प्रवेश करने के लिए मना करते हैं - सीधे उनके लॉगिन विवरण सौंपते हैं
लेकिन निराशा न करें। सुरक्षा नियम के मापदंडों को पूरा करने और HIPAA- अनुपालन पारिस्थितिकी तंत्र को बनाए रखने के लिए दो-कारक प्रमाणीकरण आपके लिए आवश्यक तरीकों में से एक है। सूचना की बेहतर सुरक्षा के लिए उठाए गए किसी भी कदम को जोखिम न्यूनीकरण के रूप में देखा जाना चाहिए, जो लगातार आपके प्रयासों को गोपनीयता, उपलब्धता और अखंडता पर निर्भर करता है।