Requisiti per la Password HIPAA

L'industria sanitaria affronta una moltitudine di gravi rischi informatici. Infatti, nel 2021 si è registrato un numero record di violazioni di dati sanitari negli Stati Uniti — il portale di notifica delle violazioni del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti elenca almeno 713 incidenti che interessano 45,7 milioni di individui.

Il Health Insurance Portability and Accountability Act (HIPAA) è stato progettato per aiutare le organizzazioni sanitarie a ridurre i rischi per la sicurezza e la privacy delle informazioni sanitarie personali elettroniche (ePHI). In particolare, la Norma di Sicurezza HIPAA include requisiti per le password per aiutare le organizzazioni a minimizzare il rischio di data breach. Questo articolo spiega tali requisiti per le password e fornisce le migliori pratiche per implementarli.

Chi deve conformarsi a HIPAA?

HIPAA si applica a entrambi i seguenti tipi di organizzazioni:

• Entità coperte — Questo gruppo include fornitori di assistenza sanitaria, piani sanitari, centri di compensazione sanitaria e datori di lavoro che hanno accesso alle informazioni sanitarie per scopi assicurativi
• Associati commerciali — Questo gruppo include organizzazioni che gestiscono o conservano registrazioni fisiche dei pazienti o ePHI, per esempio, compagnie di assicurazione e fatturazione mediche, studi legali che si occupano di casi medici, produttori di dispositivi medici e corrieri medici. Include anche fornitori di software e servizi cloud che trattano ePHI.

Identificare se la propria organizzazione è soggetta a HIPAA è molto importante perché le sanzioni per il mancato rispetto della normativa possono variare da $100 a $50.000 per violazione o registrazione, fino a una sanzione massima di $1,5 milioni all'anno per ogni violazione. Inoltre, le violazioni intenzionali dei requisiti normativi HIPAA possono comportare fino a 10 anni di carcere.

Perché HIPAA include requisiti per le password?

HIPAA include requisiti riguardanti le password per una buona ragione: Le password sono le chiavi del tuo ePHI, e una politica delle password conforme a HIPAA può aiutarti a prevenire accessi non autorizzati e accesso ai dati. Infatti, gli attaccanti hanno sviluppato una vasta gamma di tecniche per rubare o decifrare le password, tra cui:

• Attacchi di forza bruta— Gli hacker eseguono programmi che provano varie combinazioni potenziali di ID utente/password fino a trovare quella corretta.
• Attacchi di dizionario— Questa è una forma di attacco di forza bruta che utilizza parole trovate in un dizionario come possibili password.
• Attacchi di spraying delle password — Questo è un altro tipo di attacco brute-force che prende di mira un singolo account, testando più password per cercare di ottenere accesso.
• Attacchi di stuffing delle credenziali — Questi attacchi prendono di mira le persone che utilizzano le stesse password su diversi sistemi e siti web.
• Spidering — Gli hacker raccolgono informazioni su un individuo e poi provano le password create utilizzando quei dati.

Quali sono i requisiti per le password HIPAA?

Le password sono coperte dalle salvaguardie amministrative della Regola di Sicurezza HIPAA. In particolare, §164.308(5D) stabilisce che le organizzazioni devono implementare “procedure per creare, modificare e proteggere le password.” Una salvaguardia tecnica correlata (§164.312(d)) stabilisce che le entità coperte devono avere processi in atto per verificare l'identità di una persona che richiede accesso a informazioni sanitarie elettroniche.

Questa vaghezza sui requisiti delle password è intenzionale: HIPAA è progettata per essere neutrale rispetto alla tecnologia e per riconoscere che le migliori pratiche di sicurezza si evolvono nel tempo per migliorare la resilienza contro tecniche di attacco note.

Quindi, come può la mia organizzazione essere conforme?

Il modo migliore per garantire la conformità alle password HIPAA è costruire la tua politica e le procedure per le password utilizzando un framework appropriato e rispettato. Un'ottima opzione è Pubblicazione Speciale 800-63B dell'Istituto Nazionale degli Standard e della Tecnologia (NIST). Le linee guida fornite sono utili per qualsiasi azienda che desideri migliorare la cybersicurezza, comprese le entità coperte da HIPAA e i partner commerciali.

Le linee guida di base NIST per le password coprono quanto segue:

• Lunghezza — Le password devono essere lunghe tra 8 e 64 caratteri.
• Costruzione — Si incoraggiano frasi lunghe, ma non dovrebbero corrispondere a parole del dizionario.
• Tipi di caratteri — Le organizzazioni possono consentire lettere maiuscole e minuscole, numeri, simboli unici e persino emoticon, ma NON dovrebbero richiedere una miscela di diversi tipi di caratteri.
• Autenticazione multifattoriale — L'accesso a informazioni personali come ePHI dovrebbe richiedere un'autenticazione multifattoriale, come una password più un'impronta digitale o un PIN da un dispositivo esterno.
• Reimposta — Una password dovrebbe essere richiesta per essere reimpostata solo se è stata compromessa o dimenticata.

Quali sono le migliori pratiche per mantenere sicure le password?

Ecco cinque strategie che possono fare una differenza misurabile nella sicurezza delle tue password:

• Aumenta la lunghezza delle tue password. Le password brevi sono estremamente facili da decifrare, ma le password estremamente lunghe sono difficili da ricordare. Il punto ideale, secondo il NIST, è tra 8 e 64 caratteri.
• Consentire agli utenti di copiare e incollare le proprie password da servizi di gestione delle password crittografati. In questo modo, possono scegliere password lunghe più forti senza il fastidio di doverle digitare o la preoccupazione di dimenticarle. Questa migliore pratica aiuta anche a prevenire lacune di sicurezza causate da dipendenti che riutilizzano le password o le scrivono dove altri potrebbero vederle.
• Non consentire suggerimenti per le password. I suggerimenti rendono spesso incredibilmente facile scoprire la password dell'utente: in alcuni casi, i dipendenti utilizzeranno effettivamente la password stessa come suggerimento!
• Consentire alle password di contenere spazi, altri caratteri speciali e persino emoji. Questo aggiunge un ulteriore livello di complessità che aiuta a sconfiggere gli attacchi comuni alle password.
• Controlla le password proposte utilizzando elenchi di password comuni e precedentemente compromesse. Puoi esternalizzare questo compito alla sicurezza

Come può aiutare Netwrix?

Netwrix offre diverse soluzioni specificamente progettate per semplificare e rafforzare la gestione delle password:

• Netwrix Password Policy Enforcer rende facile creare politiche di password forti ma flessibili che migliorano la sicurezza senza danneggiare la produttività degli utenti o gravare sui team di assistenza e IT.
• Netwrix Password Reset consente agli utenti di sbloccare in modo sicuro i propri account e di ripristinare o cambiare le proprie password, direttamente dal proprio browser web. Questa funzionalità di self-service riduce drasticamente la frustrazione degli utenti e le perdite di produttività, riducendo al contempo il volume delle chiamate al servizio di assistenza.

Netwrix fornisce anche soluzioni più complete per la conformità HIPAA. Ti consentono di:

• Esegui regolarmente valutazioni del rischio IT per ridurre la tua superficie di attacco.
• Comprendi esattamente dove si trovano i tuoi dati sensibili in modo da poter dare priorità ai tuoi sforzi di protezione.
• Audita l'attività nei tuoi sistemi on-premises e basati su cloud, e individua e indaga le minacce in tempo per prevenire le violazioni dei daties.
• Riduci il tempo e lo sforzo necessari per prepararti per la conformità HIPAA e rispondi facilmente alle domande degli auditor sul posto.

FAQ

Quali sono i requisiti minimi per la password HIPAA?

I HIPAA password requirements stabiliscono che le organizzazioni soggette devono implementare “procedure per la creazione, la modifica e la protezione delle password”. Non esistono requisiti specifici riguardanti la lunghezza, la complessità o la crittografia delle password. Per garantire la conformità, valuta la creazione di una solida politica sulle password utilizzando un framework di sicurezza consolidato come il NIST.

Quali sono le migliori raccomandazioni per le password HIPAA?

Le attuali migliori pratiche per le password sono dettagliate nella NIST Special Publication 800-63B. Questa pubblicazione gratuita include linee guida sulla lunghezza delle password, composizione, tipi di caratteri, requisiti di reimpostazione e autenticazione multifattore.

Con quale frequenza l'HIPAA richiede che le password vengano cambiate?

Non ci sono requisiti specifici per il cambio della password HIPAA. Le linee guida NIST raccomandano di richiedere il cambio delle password solo se sono state compromesse. Oggi, gli esperti riconoscono che richiedere cambi frequenti di password spesso aumenta in realtà i problemi di sicurezza perché gli utenti ricorrono a strategie come scrivere le loro password o semplicemente aggiungere un numero alla fine della password, lasciando il loro account vulnerabile agli attacchi informatici.

HIPAA richiede l'autenticazione multifattore (MFA)?

HIPAA non fornisce quel livello di dettaglio. Tuttavia, quadri di migliori pratiche come NIST raccomandano l'autenticazione multifattore per proteggere dati sensibili e regolamentati nelle email, nei database e in altri sistemi. Implementare l'MFA come descritto da NIST può ridurre drasticamente il rischio di multe per un'organizzazione che non rispetta HIPAA.

Ci sono requisiti di blocco dell'account in HIPAA?

HIPAA non fornisce quel livello di dettaglio. Tuttavia, una politica delle password conforme a HIPAA comporterebbe il blocco dopo un certo numero di tentativi di accesso falliti per contrastare gli attacchi di indovinamento delle password. Consentire agli utenti di sbloccare i propri account utilizzando una soluzione sicura di self-service password management può consentirti di impostare una soglia bassa per i tentativi di accesso falliti per rafforzare la sicurezza senza aumentare il volume delle chiamate all'helpdesk.