Υγειονομική περίθαλψη και κίνδυνοι ασφάλειας.
Αυτό που είναι ακόμη πιο ανησυχητικό είναι ότι αυτές οι επιθέσεις στην υγειονομική περίθαλψη είναι πιθανό να αυξηθούν με την επέκταση των απομακρυσμένων και εικονικών υπηρεσιών και την ανάγκη υποστήριξης μεγαλύτερης πρόσβασης και ανταλλαγής ηλεκτρονικών πληροφοριών υγείας σύμφωνα με τον νόμο CURES.
Οι κανονιστικές αλλαγές είναι στον ορίζοντα για τους οργανισμούς υγειονομικής περίθαλψης και φαρμακευτικών προϊόντων. Ο προαναφερθείς νόμος CURES, ένας αναθεωρημένος νόμος HIPAA, EPCS (SUPPORT Act), 21 CFR Part 11, και όλο και περισσότεροι οργανισμοί του κλάδου εισάγουν όλες νέες και πιο αυστηρές απαιτήσεις σχετικά με τους «κατάλληλους» ελέγχους πρόσβασης και τον έλεγχο ταυτότητας. Είναι σαφές ότι οι κωδικοί πρόσβασης δεν είναι πλέον αρκετοί για να συμμορφωθούν με τις νέες κανονιστικές απαιτήσεις.
Προκλήσεις στην υγειονομική περίθαλψη.
Ωστόσο είναι δεδομένο ότι οι οργανισμοί υγειονομικής περίθαλψης αντιμετωπίζουν μοναδικές προκλήσεις όσον αφορά την εφαρμογή ισχυρών λύσεων ελέγχου ταυτότητας. Αυτές οι προκλήσεις περιλαμβάνουν: συστήματα παλαιού τύπου, έξυπνο εξοπλισμό υγείας, συγχωνεύσεις και εξαγορές, BYOD και κοινόχρηστες συσκευές, περιορισμούς κινητής τηλεφωνίας και αύξηση των παρόχων που εργάζονται ως εξωτερικοί συνεργάτες σε συστήματα υγειονομικής περίθαλψης.
Εάν ο οργανισμός υγειονομικής περίθαλψης, έψαχνε να αναπτύξει το MFA για να ελέγξει το πλαίσιο συμμόρφωσης, θα μπορούσε να καλύψει τα κενά στη στρατηγική ελέγχου ταυτότητας με οποιαδήποτε λύση MFA – αλλά μπορεί γρήγορα να συνειδητοποιήσετε ότι δεν είναι αρκετός ο έλεγχος του πλαισίου, διότι δεν είναι όλα τα MFA ισότιμα όταν πρόκειται για ασφάλεια καιστην ευκολία της χρήσςη από τον τελικό χρήστη.
Η έρευνα της Google, του NYU και του UCSD που βασίστηκε σε 350.000 προσπάθειες πειρατείας σε πραγματικό κόσμο αποκάλυψε ότι ένα OTP βασισμένο σε SMS απέκλεισε μόνο το 76% των στοχευμένων επιθέσεων και μια εφαρμογή push απέκλεισε μόνο το 90%.
Ευκολία στην χρήση.
Το 43% των οργανισμών αναφέρουν την εμπειρία χρήστη ως το κορυφαίο εμπόδιο στη χρήση MFA. Οι χρήστες μπορεί να αναλάβουν μακροχρόνιες και πολύπλοκες εμπειρίες ελέγχου ταυτότητας κάθε φορά που συνδέονται σε μια συσκευή ή λογισμικό υγειονομικής περίθαλψης όπως το EHR ή τα κλινικά συστήματα επικοινωνίας. Επιπλέον, ενδέχεται να ζητηθεί από τους παρόχους υγειονομικής περίθαλψης να επαληθεύσουν εκ νέου τον έλεγχο ταυτότητας για να υποστηρίξουν κρίσιμα βήματα ροής εργασίας, όπως η ηλεκτρονική καταγραφή, η παραγγελία ή η προσθήκη υπογραφής με χρονική σφραγίδα.
Ας αναλύσουμε πώς η επιλογή στο MFA μπορεί να επηρεάσει την εμπειρία χρήστη:
Γενικά έξοδα διαχείρισης – Η λύση απαιτεί πολλαπλά βήματα για τον έλεγχο ταυτότητας; Η λύση απαιτεί συνδεσιμότητα κινητής τηλεφωνίας (για λήψη ή δημιουργία κωδικών OTP) ή ειδικό υλικό (συσκευές ανάγνωσης καρτών); Εξετάστε μια λύση που μειώνει το χρόνο ή τα βήματα για τον ασφαλή έλεγχο ταυτότητας για να αυξήσει την παραγωγικότητα και να μειώσει την δυσκολία στην χρήση από τους χρήστες.
Υγιεινή – Λαμβάνει υπόψη η λύση PPE ή του περιβάλλοντα καθαρού δωματίου; Εξετάστε λύσεις που δεν απαιτούν απομάκρυνση, πχ. τα βιομετρικά αποτυπώματα δεν είναι πρακτικά.
Περιορισμένη πρόσβαση – Λειτουργεί η λύση πέρα από τους χώρους της εγκατάστασης του νοσοκομείου; Λειτουργεί η λύση με εξωτερικούς που δεν είναι μόνιμο προσωπικό; Λειτουργεί η λύση σε περιοχές με περιορισμούς κινητής τηλεφωνίας, όπως πχ. τα τηλεφωνικά κέντρα;
Υποστήριξη πληροφορικής – Η λύση εξακολουθεί να αξιοποιεί τον κωδικό πρόσβασης ως τον πρώτο παράγοντα (που συνεχίζει να προσθέτει έως και 1 εκατομμύριο δολάρια κάθε χρόνο σε κόστος υποστήριξης για μεγάλους οργανισμούς); Πώς επηρεάζεται η λύση από την απώλεια ή την κλοπή οποιουδήποτε παράγοντα τέτοιου είδους;
Κατά την αξιολόγηση λύσεων MFA, γνωρίζετε ότι διαφορετικές λύσεις έχουν διαφορετικά οφέλη τόσο για την ασφάλεια όσο και για την εμπειρία του χρήστη. Χωρίς προσεκτική αξιολόγηση και των δύο πλευρών, μπορεί να καταλήξετε σε κάτι που δεν καλύπτει πλήρως τις απαιτήσεις συμμόρφωσης και ασφάλειας και μπορεί να επηρεάσει αρνητικά την εμπειρία του χρήστη.
Ωστόσο, υπάρχει μια λύση που μπορεί να έχει θετικό αντίκτυπο τόσο στην ασφάλεια όσο και στην εμπειρία χρήστη.
Έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης με YubiKey.
Το μέλλον του ελέγχου ταυτότητας στην υγειονομική περίθαλψη δεν περιλαμβάνει την προσθήκη δεύτερου ή τρίτου παράγοντα για την αύξηση της ασφάλειας. Tο μέλλον του ελέγχου ταυτότητας είναι φιλικό προς τον χρήστη, ασφαλής έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης, ο οποίος είναι απλός στην εφαρμογή με το YubiKey. Το YubiKey βοηθά τους οργανισμούς υγειονομικής περίθαλψης να γεφυρώσουν ένα μέλλον χωρίς κωδικό πρόσβασης από την τρέχουσα κατάσταση ελέγχου ταυτότητας τόσο εντός όσο και εκτός του οργανισμού τους, είτε πρόκειται για όνομα χρήστη και κωδικό πρόσβασης είτε για έξυπνη κάρτα ή 2FA για κινητά.
Με το YubiKey, οι χρήστες λαμβάνουν μια πραγματική εμπειρία χωρίς κωδικό πρόσβασης – απλώς συνδέουν το κλειδί ασφαλείας τους στην επιφάνεια εργασίας ή το φορητό υπολογιστή τους και αγγίζουν για έλεγχο ταυτότητας ή ακουμπάνε το κλειδί ασφαλείας τους σε σύγχρονες συσκευές όπως tablet ή τηλέφωνα. Σε αποστειρωμένα περιβάλλοντα το YubiKey μπορεί να συνδυαστεί με φορητό για να αξιοποιήσει την επικοινωνία NFC για μια εμπειρία ελέγχου ταυτότητας χωρίς αφή.
Πηγή: Andy Winiarski / yubico.com