Hasło jest naruszone, gdy wycieknie w wyniku naruszenia danych i zostanie udostępnione w dark webie, umożliwiając innym uzyskanie nieautoryzowanego dostępu do kont online. Ryzyko to wynika
Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) to amerykańska ustawa stworzona w celu ustanowienia krajowych standardów prywatności i bezpieczeństwa w celu zapewnienia ochrony prywatności informacji zdrowotnych pacjentów i zapobiegania naruszeniom danych. Wszystkie organizacje związane z opieką zdrowotną, w tym firmy ubezpieczeniowe i partnerzy biznesowi, podlegają przepisom HIPAA, co oznacza, że muszą spełniać wymogi zgodności z HIPAA.
W sekcji HIPAA dotyczącej świadomości bezpieczeństwa i szkoleń ustawa HIPAA stanowi, że organizacje są zobowiązane do posiadania „procedur tworzenia, zmiany i ochrony haseł”. Menedżer haseł pomaga zapewnić zgodność organizacji z ustawą HIPAA poprzez generowanie silnych haseł oraz ich bezpieczne przechowywanie w zaszyfrowanym magazynie.
Czytaj dalej, aby dowiedzieć się więcej o wymaganiach ustawy HIPAA dotyczących haseł oraz o tym, jak menedżer haseł może pomóc je spełnić.
Wymagania ustawy HIPAA dotyczące haseł
Chociaż ustawa HIPAA nie wymaga używania menedżera haseł, nakazuje, aby zarządzanie hasłami było częścią planu zgodności z ustawą HIPAA. Oto praktyki w zakresie bezpieczeństwa danych uwierzytelniających, które są zgodne z wytycznymi National Institute of Standards and Technology (NIST) dotyczącymi wymagań ustawy HIPAA w zakresie haseł.
- Złożoność haseł: Ustawa HIPAA nie ma określonych wymagań dotyczących złożoności haseł, jednak NIST zaleca, aby pracownicy rozumieli, jak tworzyć silne, unikalne hasła i jak je zabezpieczać.
- Rotacja haseł: Ustawa HIPPA nie wymaga obecnie zmiany haseł, a NIST odradza regularną zmianę haseł przez pracowników. NIST zachęca jednak do natychmiastowej zmiany haseł, jeśli zostały one naruszone.
- Uwierzytelnianie wieloskładnikowe (MFA): NIST zaleca włączenie MFA, gdy tylko jest ono dostępne.
- Udostępnianie haseł: Ustawa HIPAA nie odnosi się konkretnie do udostępniania haseł, jednak NIST zdecydowanie zaleca zakazanie użytkownikom udostępniania haseł do systemów i danych, które zawierają przechowywane elektronicznie, chronione informacje zdrowotne (ePHI).
- Monitorowanie i rejestrowanie: Administratorzy IT powinni monitorować aktywność logowania użytkowników, aby mieć pewność, że użytkownicy nie próbują uzyskać dostępu do rekordów lub systemów niezwiązanych z ich obowiązkami służbowymi.
- Offboarding: Organizacje powinny wdrożyć procedury offboardingu, aby natychmiast wyłączyć hasła użytkowników i dostęp do PHI, gdy opuszczają oni firmę lub zmieniają stanowisko. NIST zaleca posiadanie różnych procedur dla pracowników, którzy odchodzą dobrowolnie i dla tych, którzy zostali zwolnieni przymusowo.
Zalety korzystania z menedżera haseł w celu zapewnienia zgodności z ustawą HIPAA
Oto niektóre z zalet korzystania z menedżera haseł w celu zapewnienia zgodności z ustawą HIPAA.
Tworzenie silnych haseł
Jedną z trudności, z którą boryka się wiele osób, jest tworzenie silnych haseł do różnych kont. Zmagania te często prowadzą do używania słabych haseł, które są łatwe do odgadnięcia przez cyberprzestępców. Czasami użytkownicy używają tego samego hasła do wielu kont, narażając kilka kont na ryzyko, jeśli tylko jedno zostanie naruszone. Ponieważ menedżery haseł pomagają w tworzeniu silnych haseł, użytkownicy nie muszą martwić się o samodzielne tworzenie silnych haseł. Ponadto organizacje mogą zagwarantować, że każdy z pracowników używa silnych haseł w celu ochrony organizacyjnych kont i poufnych danych.
Uwierzytelnianie wieloskładnikowe (MFA)
Dopilnowanie, aby użytkownicy włączyli MFA dla każdego dostępnego konta może być trudne i chociaż jest to wymagane w celu zapewnienia zgodności z ustawą HIPAA, wielu użytkowników nadal go nie włącza. Dzięki menedżerowi haseł administratorzy IT mogą wymusić stosowanie uwierzytelniania wieloskładnikowego dla każdego konta. Niektóre menedżery haseł, takie jak Keeper®, mogą również przechowywać kody MFA w bezpiecznym magazynie cyfrowym, co upraszcza proces logowania do witryn i systemów z włączoną funkcją MFA.
Kontrola dostępu oparta na rolach (RBAC)
Niektóre z najlepszych menedżerów haseł umożliwiają administratorom IT konfigurowanie i egzekwowanie kontroli dostępu opartej na rolach. Dzięki RBAC administratorzy IT mogą łatwo dostosowywać poziomy dostępu i wyłączać konta, gdy użytkownicy opuszczają organizację lub zmieniają obowiązki służbowe. RBAC nie tylko zwiększa bezpieczeństwo i spełnia wymagania zgodności z ustawą HIPAA, ale także pomaga obniżyć wydatki i koszty administracyjne.
Bezpieczne przechowywanie
Najlepsze menedżery haseł mogą przechowywać więcej niż tylko hasła, w tym klucze dostępu, pliki i dokumenty. Wszystkie dane przechowywane w menedżerze haseł typu zero-knowledge jest szyfrowane w spoczynku i podczas przesyłania, co gwarantuje, że dostęp do nich mają tylko autoryzowani użytkownicy. Chroni to dane przed dostaniem się w ręce cyberprzestępców i spełnia wymóg zgodności z ustawą HIPAA polegający na przyznawaniu dostępu tylko osobom, które mają odpowiednie prawa dostępu.
Na co należy zwrócić uwagę przy wyborze menedżera haseł zgodnym z ustawą HIPAA?
Nie wszystkie menedżery haseł są takie same. Oto, czego Twoja organizacja powinna wymagać od menedżera haseł zgodnego z ustawą HIPAA:
Silne szyfrowanie
Menedżer haseł jest tak silny, jak szyfrowanie, które oferuje. Menedżer haseł, który wybierzesz do ochrony swojej organizacji, powinien być menedżerem typu zero trust i zero knowledge, co gwarantuje, że tylko upoważnione osoby mają dostęp do magazynu, a szyfrowanie i deszyfrowanie zawsze odbywa się lokalnie na urządzeniu użytkownika. Ponadto menedżer haseł powinien również chronić dane za pomocą 256-bitowego szyfrowania AES i kryptografii krzywej eliptycznej (ECC), co jest uważane za najbardziej niezawodne szyfrowanie w branży cyberbezpieczeństwa.
Obsługa 2FA
Wybrany menedżer haseł powinien również obsługiwać uwierzytelnianie dwuskładnikowe (2FA). Włączenie 2FA na koncie menedżera haseł gwarantuje, że będzie ono chronione dodatkową warstwą zabezpieczeń, co zapobiega nieautoryzowanemu dostępowi. Menedżer haseł powinien oferować następujące opcje 2FA:
- Uwierzytelnianie SSO
- Sprzętowe klucze bezpieczeństwa FIDO2 WebAuthn
- Klucze dostępu
- Uwierzytelnianie biometryczne (np. FaceID, Touch ID, Windows Hello).
Automatyczne przydzielanie poczty e-mail
Dzięki automatycznemu dostarczaniu poczty e-mail magazyny haseł mogą być dostarczane tysiącom użytkowników z dopasowaniem domeny do adresów e-mail. Ułatwia to dużym organizacjom wdrażanie menedżera haseł wśród pracowników.
Wybierz Keeper jako menedżera haseł zgodnego z ustawą HIPAA
Menedżer haseł taki jak Keeper może pomóc Twojej organizacji w spełnieniu wymogów ustawy HIPAA dotyczących haseł poprzez generowanie silnych haseł, egzekwowanie i włączanie uwierzytelniania wieloskładnikowego, wdrażanie kontroli dostępu opartej na rolach i zapewnianie bezpiecznego przechowywania. Ponieważ Keeper nigdy nie ma dostępu do danych użytkowników, umowa o współpracy biznesowej (BAA) nie jest wymagana do zapewnienia zgodności z ustawą HIPAA.
Chcesz chronić swoją organizację opieki zdrowotnej przed naruszeniami danych związanych z hasłami i zapewnić zgodność z ustawą HIPAA? Już dziś rozpocznij korzystanie z bezpłatnej 14-dniowej wersji próbnej rozwiązania Keeper dla firm.