Requisitos de senha HIPAA

A indústria da saúde enfrenta uma infinidade de sérios riscos de cibersegurança. De fato, 2021 registrou um número recorde de grandes violações de dados de saúde nos EUA — o portal de notificação de violações do Departamento de Saúde e Serviços Humanos dos EUA lista pelo menos 713 incidentes afetando 45,7 milhões de indivíduos.

A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) foi criada para ajudar organizações de saúde a reduzirem os riscos para a segurança e privacidade das informações eletrônicas de saúde pessoal (ePHI). Em particular, a Regra de Segurança do HIPAA inclui requisitos de senha para ajudar as organizações a minimizar o risco de data breaches. Este artigo explica esses requisitos de senha e fornece as melhores práticas para implementá-los.

Quem precisa cumprir com o HIPAA?

O HIPAA se aplica a ambos os seguintes tipos de organizações:

• Entidades cobertas — Este grupo inclui prestadores de serviços de saúde, planos de saúde, intermediários de processamento de informações de saúde e empregadores que têm acesso a informações de saúde para fins de seguro
• Associados comerciais — Este grupo inclui organizações que lidam ou armazenam registros físicos de pacientes ou ePHI, por exemplo, empresas de seguro e faturamento médico, escritórios de advocacia que tratam de casos médicos, fabricantes de dispositivos médicos e transportadoras médicas. Também inclui provedores de software e serviços em nuvem que lidam com ePHI.

Identificar se sua organização está sujeita ao HIPAA é muito importante, pois as penalidades por não cumprir com a regulamentação podem variar de $100 a $50.000 por violação ou registro, até uma penalidade máxima de $1,5 milhão por ano para cada violação. Além disso, violações intencionais dos requisitos regulatórios do HIPAA podem levar até 10 anos de prisão.

Por que o HIPAA inclui requisitos de senha?

HIPAA inclui requisitos relacionados a senhas por um bom motivo: Senhas são as chaves para o seu ePHI, e uma política de password policy compatível com HIPAA pode ajudar a prevenir logins não autorizados e acesso a dados. Na verdade, atacantes desenvolveram uma ampla variedade de técnicas para roubar ou quebrar senhas, incluindo:

• Ataques de força bruta— Hackers executam programas que testam várias combinações possíveis de ID de usuário/senha até acertarem a correta.
• Ataques de dicionário— Esta é uma forma de ataque de força bruta que utiliza palavras encontradas em um dicionário como possíveis senhas.
• Ataques de password spraying — Este é outro tipo de ataque de força bruta que tem como alvo uma única conta, testando várias senhas para tentar obter acesso.
• Ataques de preenchimento de credenciais — Esses ataques visam pessoas que usam as mesmas senhas em diferentes sistemas e sites.
• Spidering — Hackers coletam informações sobre um indivíduo e depois tentam senhas criadas usando esses dados.

Quais são os requisitos de senha da HIPAA?

As senhas estão cobertas nas salvaguardas administrativas da Regra de Segurança HIPAA. Especificamente, §164.308(5D) afirma que as organizações devem implementar “procedimentos para a criação, alteração e proteção de senhas.” Uma salvaguarda técnica relacionada (§164.312(d)) estipula que as entidades cobertas devem ter processos em vigor para verificar a identidade de uma pessoa que busca acesso a informações de saúde eletrônicas.

Esta imprecisão sobre os requisitos de senha é intencional — HIPAA é projetada para ser neutra em relação à tecnologia e para reconhecer que as melhores práticas de segurança evoluem ao longo do tempo para melhorar a resiliência contra técnicas de ataque conhecidas.

Então, como minha organização pode estar em conformidade?

A melhor maneira de ajudar a garantir a conformidade com as senhas da HIPAA é construir sua política e procedimentos de senha usando uma estrutura apropriada e respeitada. Uma ótima opção é a Special Publication 800-63B do National Institute of Standards and Technology (NIST). As diretrizes que ela oferece são úteis para qualquer empresa que busque melhorar a cibersegurança — incluindo entidades cobertas pela HIPAA e associados comerciais.

As diretrizes básicas da NIST para senhas cobrem o seguinte:

• Comprimento — As senhas devem ter entre 8 e 64 caracteres.
• Construção — São encorajadas frases-senhas longas, mas elas não devem corresponder a palavras de dicionário.
• Tipos de caracteres — As organizações podem permitir letras maiúsculas e minúsculas, números, símbolos únicos e até emoticons, mas NÃO devem exigir uma mistura de diferentes tipos de caracteres.
• Autenticação multifator — O acesso a informações pessoais como ePHI deve exigir autenticação multifator, como uma senha mais uma impressão digital ou PIN de um dispositivo externo.
• Redefinir — Uma senha só deve ser exigida para redefinição se tiver sido comprometida ou esquecida.

Quais as melhores práticas ajudam a manter as senhas seguras?

Aqui estão cinco estratégias que podem fazer uma diferença mensurável na segurança das suas senhas:

• Aumente o comprimento das suas senhas. Senhas curtas são extremamente fáceis de quebrar, mas senhas muito longas são difíceis de lembrar. O ponto ideal, segundo o NIST, está entre 8 e 64 caracteres.
• Permita que os usuários copiem e colem suas senhas de serviços de gerenciamento de senhas criptografados. Assim, eles podem escolher senhas longas e mais fortes sem o incômodo de digitá-las ou a preocupação de esquecê-las. Essa melhor prática também ajuda a prevenir lacunas de segurança causadas por funcionários que reutilizam senhas ou as anotam em locais onde outras pessoas podem vê-las.
• Não permita dicas de senha. As dicas frequentemente tornam extremamente fácil descobrir a senha do usuário — em alguns casos, os funcionários realmente usam a própria senha como dica!
• Permita que as senhas contenham espaços, outros caracteres especiais e até emojis. Isso adiciona outra camada de complexidade que ajuda a derrotar ataques comuns a senhas.
• Verifique as senhas propostas usando listas de senhas comuns e previamente comprometidas. Você pode terceirizar essa tarefa para segurança

Como a Netwrix pode ajudar?

Netwrix oferece várias soluções especificamente projetadas para otimizar e fortalecer o gerenciamento de senhas:

• Netwrix Password Policy Enforcer facilita a criação de políticas de senha fortes, porém flexíveis, que aumentam a segurança sem prejudicar a produtividade do usuário ou sobrecarregar as equipes de suporte e TI.
• Netwrix Password Reset permite que os usuários desbloqueiem suas próprias contas e redefinam ou alterem suas próprias senhas, diretamente do navegador web. Essa funcionalidade de autoatendimento reduz drasticamente a frustração do usuário e as perdas de produtividade, ao mesmo tempo em que diminui significativamente o volume de chamadas para o suporte técnico.

A Netwrix também oferece soluções mais abrangentes solutions for HIPAA compliance. Eles permitem que você:

• Realize avaliações regulares de risco de TI para reduzir sua área de superfície de ataque.
• Entenda exatamente onde seus dados sensíveis estão localizados para que você possa priorizar seus esforços de proteção.
• Audite atividades em seus sistemas locais e baseados na nuvem, e identifique e investigue ameaças a tempo de prevenir violação de dadoses.
• Reduza o tempo e o esforço necessários para se preparar para verificações de conformidade com a HIPAA e responda facilmente às perguntas dos auditores na hora.

FAQ

Quais são os requisitos mínimos de senha do HIPAA?

Os requisitos de senha da HIPAA afirmam que as organizações cobertas devem implementar “procedimentos para a criação, alteração e proteção de senhas”. Não há requisitos específicos sobre o comprimento, complexidade ou criptografia da senha. Para garantir a conformidade, considere criar uma política de senha forte usando um framework de segurança estabelecido como o NIST.

Quais são as melhores recomendações para senhas HIPAA?

As melhores práticas atuais de senha estão detalhadas na NIST Special Publication 800-63B. Esta publicação gratuita inclui orientações sobre comprimento da senha, composição, tipos de caracteres, requisitos de redefinição e autenticação multifator.

Com que frequência o HIPAA exige que as senhas sejam alteradas?

Não existem requisitos específicos de mudança de senha HIPAA. As diretrizes da NIST recomendam exigir a alteração de senhas apenas se estiverem comprometidas. Hoje, os especialistas reconhecem que exigir mudanças frequentes de senha muitas vezes na verdade aumenta os problemas de segurança porque os usuários recorrem a estratégias como anotar suas senhas ou simplesmente incrementar um número no final da senha, deixando sua conta vulnerável a ciberataques.

O HIPAA exige autenticação multifator (MFA)?

A HIPAA não fornece esse nível de detalhe. No entanto, frameworks de melhores práticas como o NIST recomendam autenticação multifator para proteger dados sensíveis e regulamentados em e-mails, bancos de dados e outros sistemas. Implementar MFA conforme delineado pelo NIST pode reduzir drasticamente o risco de multas para organizações por falha no cumprimento da HIPAA.

Existem requisitos de bloqueio de conta na HIPAA?

O HIPAA não fornece esse nível de detalhe. No entanto, uma política de senha compatível com o HIPAA envolveria bloqueio após um determinado número de tentativas de login malsucedidas para impedir ataques de adivinhação de senhas. Permitir que os usuários desbloqueiem suas próprias contas usando uma solução segura de self-service password management solution pode permitir que você defina um limite baixo para tentativas de login malsucedidas para fortalecer a segurança sem aumentar o volume de chamadas para o helpdesk.