Requisiti della password HIPAA

L'industria sanitaria si trova di fronte a una pletora di gravi rischi per la sicurezza informatica. Infatti, il 2021 ha registrato un numero record di gravi violazioni dei dati sanitari negli Stati Uniti — il portale di notifica delle violazioni del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti elenca almeno 713 incidenti che colpiscono 45,7 milioni di individui.

Il Health Insurance Portability and Accountability Act (HIPAA) è stato progettato per aiutare le organizzazioni sanitarie a ridurre i rischi per la sicurezza e la privacy delle informazioni sanitarie personali elettroniche (ePHI). In particolare, la Norma di Sicurezza HIPAA include requisiti per le password per aiutare le organizzazioni a minimizzare il rischio di data breach. Questo articolo spiega tali requisiti per le password e fornisce le migliori pratiche per implementarli.

Chi deve conformarsi all'HIPAA?

HIPAA si applica ai seguenti due tipi di organizzazioni:

• Entità coperte — Questo gruppo include fornitori di assistenza sanitaria, piani sanitari, centri di elaborazione dati sanitari e datori di lavoro che hanno accesso a informazioni sanitarie per scopi assicurativi
• Associati commerciali — Questo gruppo include organizzazioni che gestiscono o conservano registrazioni fisiche dei pazienti o ePHI, per esempio, compagnie di assicurazione e fatturazione mediche, studi legali che si occupano di casi medici, produttori di dispositivi medici e corrieri medici. Include anche fornitori di software e servizi cloud che trattano ePHI.

È molto importante identificare se la tua organizzazione è soggetta a HIPAA perché le sanzioni per il mancato rispetto del regolamento possono variare da $100 a $50.000 per violazione o record, fino a una pena massima di $1,5 milioni all'anno per ogni violazione. Inoltre, le violazioni intenzionali dei requisiti normativi di HIPAA possono portare fino a 10 anni di carcere.

Perché l'HIPAA include requisiti per le password?

HIPAA include requisiti riguardanti le password per un buon motivo: le password sono le chiavi per il tuo ePHI, e una password policy conforme a HIPAA può aiutarti a prevenire accessi e accessi ai dati non autorizzati. Infatti, gli aggressori hanno sviluppato una vasta gamma di tecniche per rubare o decifrare le password, tra cui:

• Attacchi brute-force— Gli hacker eseguono programmi che provano varie combinazioni di ID utente/password fino a quando non trovano quella corretta.
• Attacchi di dizionario— Si tratta di una forma di attacco brute-force che utilizza parole trovate in un dizionario come possibili password.
• Attacchi di password spraying — Questo è un altro tipo di attacco brute-force che prende di mira un singolo account, testando più password per cercare di ottenere l'accesso.
• Attacchi di credential stuffing — Questi attacchi prendono di mira le persone che utilizzano le stesse password su sistemi e siti web diversi.
• Spidering — I pirati informatici raccolgono informazioni su un individuo e poi provano password create utilizzando tali dati.

Quali sono i requisiti per le password HIPAA?

Le password sono incluse nelle misure di salvaguardia amministrative della HIPAA Security Rule. In particolare, §164.308(5D) afferma che le organizzazioni devono implementare “procedure per la creazione, la modifica e la protezione delle password.” Una misura tecnica correlata (§164.312(d)) stabilisce che le entità coperte devono avere processi in atto per verificare l'identità di una persona che cerca accesso alle informazioni sanitarie elettroniche.

Questa ambiguità sui requisiti delle password è intenzionale — HIPAA è progettata per essere neutrale rispetto alla tecnologia e per riconoscere che le migliori pratiche di sicurezza si evolvono nel tempo per migliorare la resilienza contro le tecniche di attacco note.

Quindi, come può la mia organizzazione essere conforme?

Il modo migliore per garantire la conformità delle password HIPAA è costruire la propria politica e procedure delle password utilizzando un framework appropriato e rispettato. Un'ottima opzione è la Special Publication 800-63B dell'Istituto Nazionale degli Standard e della Tecnologia (NIST). Le linee guida che fornisce sono utili per qualsiasi azienda che cerca di migliorare la cybersecurity — inclusi gli enti coperti da HIPAA e i loro associati.

Le linee guida NIST di base per le password coprono quanto segue:

• Lunghezza — Le password dovrebbero essere tra 8 e 64 caratteri.
• Costruzione — Si consiglia l'uso di frasi d'accesso lunghe, ma non devono corrispondere a parole di dizionario.
• Tipi di caratteri — Le organizzazioni possono permettere lettere maiuscole e minuscole, numeri, simboli unici e persino emoticon, ma NON dovrebbero richiedere una combinazione di diversi tipi di caratteri.
• Autenticazione multifattore — L'accesso a informazioni personali come ePHI dovrebbe richiedere un'autenticazione multifattore, come una password più un'impronta digitale o un PIN da un dispositivo esterno.
• Reimpostazione — Una password dovrebbe essere richiesta di essere reimpostata solo se è stata compromessa o dimenticata.

Quali sono le migliori pratiche per mantenere le password sicure?

Ecco cinque strategie che possono fare la differenza nella sicurezza delle vostre password:

• Aumentate la lunghezza delle vostre password. Le password corte sono estremamente facili da decifrare, ma quelle molto lunghe sono difficili da ricordare. Il punto ottimale, secondo il NIST, è tra 8 e 64 caratteri.
• Consenti agli utenti di copiare e incollare le loro password dai servizi di gestione delle password crittografati. In questo modo, possono scegliere password lunghe e più sicure senza il fastidio di doverle digitare o la preoccupazione di dimenticarle. Questa migliore pratica aiuta anche a prevenire le lacune di sicurezza causate dai dipendenti che riutilizzano le password o le scrivono dove altri potrebbero vederle.
• Non consentire suggerimenti per la password. I suggerimenti spesso rendono notevolmente facile indovinare la password dell'utente — in alcuni casi, i dipendenti useranno la password stessa come suggerimento!
• Consenti alle password di contenere spazi, altri caratteri speciali e persino emoji. Questo aggiunge un ulteriore livello di complessità che aiuta a sconfiggere gli attacchi alle password comuni.
• Esamina le password proposte utilizzando elenchi di password comuni e precedentemente compromesse. Puoi affidare questo compito alla sicurezza

Come può Netwrix aiutare?

Netwrix offre diverse soluzioni specificamente progettate per semplificare e rafforzare la gestione delle password:

• Netwrix Password Policy Enforcer rende semplice creare politiche per le password forti ma flessibili che migliorano la sicurezza senza compromettere la produttività degli utenti o gravare sui team di assistenza e IT.
• Netwrix Password Reset consente agli utenti di sbloccare in sicurezza i propri account e di reimpostare o cambiare le proprie password direttamente dal proprio browser web. Questa funzionalità self-service riduce notevolmente la frustrazione degli utenti e le perdite di produttività, diminuendo al contempo il volume di chiamate al helpdesk.

Netwrix offre anche soluzioni più complete per la conformità HIPAA. Ti consentono di:

• Eseguire regolari valutazioni del rischio IT per ridurre la superficie di attacco.
• Comprendi esattamente dove si trovano i tuoi dati sensibili per poter dare priorità ai tuoi sforzi di protezione.
• Verifica le attività sui tuoi sistemi on-premises e basati su cloud, e individua e indaga sulle minacce in tempo per prevenire la violazione dei dati.
• Riduci il tempo e lo sforzo necessari per prepararsi ai controlli per la conformità HIPAA e rispondi facilmente alle domande degli ispettori sul momento.

FAQ

Quali sono i requisiti minimi per la password HIPAA?

I HIPAA password requirements stabiliscono che le organizzazioni soggette devono implementare “procedure per la creazione, la modifica e la protezione delle password”. Non esistono requisiti specifici riguardanti la lunghezza, la complessità o la crittografia delle password. Per garantire la conformità, valuta la creazione di una solida politica sulle password utilizzando un framework di sicurezza consolidato come il NIST.

Quali sono le migliori raccomandazioni per le password HIPAA?

Le attuali migliori pratiche per le password sono dettagliate nella NIST Special Publication 800-63B. Questa pubblicazione gratuita include linee guida sulla lunghezza delle password, composizione, tipi di caratteri, requisiti di reimpostazione e autenticazione multifattore.

Con quale frequenza l'HIPAA richiede che le password vengano cambiate?

Non ci sono requisiti specifici per il cambio della password HIPAA. Le linee guida NIST raccomandano di richiedere il cambio delle password solo se sono state compromesse. Oggi, gli esperti riconoscono che richiedere cambi frequenti di password spesso aumenta in realtà i problemi di sicurezza perché gli utenti ricorrono a strategie come scrivere le loro password o semplicemente aggiungere un numero alla fine della password, lasciando il loro account vulnerabile agli attacchi informatici.

HIPAA richiede l'autenticazione multifattore (MFA)?

HIPAA non fornisce quel livello di dettaglio. Tuttavia, quadri di migliori pratiche come NIST raccomandano l'autenticazione multifattore per proteggere dati sensibili e regolamentati nelle email, nei database e in altri sistemi. Implementare l'MFA come descritto da NIST può ridurre drasticamente il rischio di multe per un'organizzazione che non rispetta HIPAA.

Ci sono requisiti di blocco dell'account in HIPAA?

HIPAA non fornisce quel livello di dettaglio. Tuttavia, una politica delle password conforme a HIPAA comporterebbe il blocco dopo un certo numero di tentativi di accesso falliti per contrastare gli attacchi di indovinamento delle password. Consentire agli utenti di sbloccare i propri account utilizzando una soluzione sicura di self-service password management può consentirti di impostare una soglia bassa per i tentativi di accesso falliti per rafforzare la sicurezza senza aumentare il volume delle chiamate all'helpdesk.