Health Insurance Portability and Accountability Act (HIPAA) kräver användning av lösenord eller en motsvarande metod för att säkra konton som har tillgång till elektronisk skyddad hälsoinformation (ePHI). I det här inlägget utforskar vi HIPAA-lösenordskraven för att hjälpa dig att utveckla och implementera en lösenordspolicy för HIPAA-efterlevnad för att minska risken för dataintrång och regulatoriska böter för dem som arbetar med ePHI.
Vilka är HIPAA-lösenordskraven?
HIPAA kräver att en autentiseringsmetod implementeras för att förhindra obehöriga personer från att få tillgång till ePHI och lösenord är den enklaste autentiseringsmetoden att använda. Kostnaden och komplexiteten för att använda alternativa metoder till lösenord innebär att de flesta sjukvårdsorganisationer kommer att fortsätta att förlita sig på lösenord för autentisering under överskådlig framtid.
HIPAA-lösenordskraven beskrivs i detalj i de administrativa säkerhetsåtgärderna i HIPAA-säkerhetsregeln - 45 CFR § 164.308 a(5)(d) - som hänvisar till "Lösenordshantering." Detta är ett adresserbart snarare än ett obligatoriskt skydd som kräver "rutiner för att skapa, ändra och skydda lösenord."
Det är viktigt att förklara skillnaden mellan "adresserbar" och "obligatorisk" i HIPAA-lagstiftningen. Krävs innebär naturligtvis att HIPAA-täckta enheter måste följa standarden. Adresserbar betyder att standarden måste adresseras och inte kan ignoreras. Det betyder att lösenord måste användas för att säkra konton om inte en alternativ åtgärd implementeras som ger en likvärdig skyddsnivå. Användningen av biometrisk autentisering som fingeravtryck, till exempel, skulle också fungera som ett HIPAA-kompatibelt alternativ till lösenord.
Beslutet om att använda lösenord eller en alternativ metod för att säkra konton bör vägledas av en riskanalys. Vilket beslut du än tar bör du dokumentera det tillsammans med motiveringen bakom beslutet.
Relevant blogg: Varför använda en HIPAA-kompatibel lösenordshanterare
Implementera en HIPAA-kompatibel lösenordspolicy
HIPAA-lösenordskraven kräver att täckta enheter och deras affärspartners utvecklar och implementerar en lösenordspolicy. För att uppfylla lösenordskraven i HIPAA-säkerhetsregeln måste en lösenordspolicy för HIPAA-överensstämmelse täcka skapandet av lösenord, krav på HIPAA-lösenordsbyte och skydd av lösenord.
Skapande och hantering av lösenord
HIPAA-lösenordskraven inkluderar inte detaljer om lösenordslängd och komplexitet. Det beror på att bästa praxis förändras över tiden och specifika HIPAA tekniska krav troligen skulle kräva regelbundna laguppdateringar. Istället specificerar HIPAA att bästa praxis för användning av lösenord bör följas.
Erkänd säkerhetspraxis bör följas, såsom de som tillhandahålls av National Institute of Standards and Technology (NIST) i dess speciella publikationer. NIST-lösenordsvägledning ingår i dess Digital Identity Guidelines – Authentication and Lifecycle Management Special Publication (800-63B). En HIPAA-lösenordspolicy bör baseras på de senaste rekommendationerna från NIST.
NIST-riktlinjer rekommenderar att du använder minst 8 tecken för att göra lösenord mindre mottagliga för brute force-attacker, och att använda en komplex och slumpmässig kombination av tecken och siffror, inklusive specialtecken som symboler. Ordboksord bör undvikas, liksom vanliga svaga lösenord – Qwerty123! - till exempel.
Att skapa lösenord som är långa, komplexa och slumpmässiga gör lösenord mycket svårare att gissa, men också mycket svårare att komma ihåg. Som ett resultat tenderar användare att skapa lösenord på ett förutsägbart sätt. Det betyder att även om användningen av komplexa lösenord upprätthålls, kanske lösenorden inte är särskilt starka.
Nuvarande bästa praxis undviker därför att kräva användning av specialtecken, utan låter dem helt enkelt användas. Längre lösenord är bättre och användare uppmuntras att använda lösenfraser snarare än lösenord. En lösenfras består av en längre sträng av helst orelaterade ord, som "tvättbjörn-dörrhandtag-rymdskepp".
NIST rekommenderar inte längre att genomdriva lösenordsändringar, en praxis som också kallas roterande lösenord. "Användare tenderar att välja svagare memorerade hemligheter när de vet att de kommer att behöva ändra dem inom en snar framtid", förklarar NIST. "När dessa förändringar inträffar väljer de ofta en hemlighet som liknar deras gamla, memorerade hemlighet genom att tillämpa en uppsättning vanliga transformationer som att öka ett nummer i lösenordet."
När väl en HIPAA-lösenordspolicy har utvecklats bör den tillämpas och anställda bör utbildas i bästa praxis för lösenordssäkerhet och lösenordscybersäkerhet, som att alltid skapa unika lösenord, aldrig återanvända eller återvinna lösenord och tekniker för att skapa starka lösenord.
HIPAA lösenordsskydd
HIPAA beskriver inte specifika lösenordskrav för att skapa säkra lösenord, så även dessa bör följa bästa praxis för cybersäkerhet. Lösenord ska aldrig lagras i klartext och ska vara krypterade och helst även saltade (användning av unika, slumpmässiga teckensträngar både under överföring och i vila. Detta kommer att göra det mycket svårare för krypteringen att knäckas om lösenordslistor erhålls av obehöriga.
Det är nu allmänt accepterat att organisationer bör implementera HIPAA multi-factor authentication (MFA) för att minska risken i fall där lösenord kan äventyras. Så här fungerar det: även om ett lösenord äventyras, till exempel i en nätfiskeattack, om HIPAA-tvåfaktorsautentisering är aktiverad, kan den skadliga parten inte få tillgång till ditt system med endast lösenordet – de skulle behöva den extra autentisering som tillhandahålls av MFA-enheten för att göra det. På det sättet kan MFA förhindra att även komprometterade lösenord används för att få tillgång till konton som lagrar ePHI.
Överväg att använda en HIPAA-kompatibel lösenordshanterare
Eftersom sjukvårdsorganisationer sannolikt kommer att behöva hantera hundratals eller tusentals lösenord, är det värt att överväga en HIPAA-kompatibel lösenordshanterare som Bitwarden. Bitwarden är en lösenordshanterare i företagsskala med öppen källkod som kan laddas ner till vilken enhet som helst – och nås från var som helst.
Bitwarden gör det enkelt att generera och lagra unika lösenord, skapa användargrupper och övervaka aktivitet via händelse- och granskningsloggar. För större vårdorganisationer stöder Bitwarden API-åtkomst, Directory Sync och anpassade hanteringsroller, plus möjligheten att tillämpa hanteringspolicyer.
Vissa lösenordshanterare hävdar att HIPAA-efterlevnad inte krävs av en lösenordshanterare eftersom data som lagras är krypterad. HIPAA-krypteringskraven anger dock att system som används för att lagra ePHI, även om dessa data är krypterade, måste vara HIPAA-kompatibla. Det är därför Bitwarden har investerat i HIPAA-efterlevnad, certifierad av en tredjepartsrevisor, och uppfyller kraven för att vara en pålitlig affärspartner för alla hälso- och sjukvårdsorganisationer som måste verka enligt HIPAA-reglerna.
Prova Bitwarden gratis för ditt team eller din organisation idag.
__
Redaktörens anmärkning: Den här bloggen publicerades ursprungligen måndagen den 29 mars 2021 och uppdaterades fredagen den 20 maj 2022.