Fakt oder Falsch: Sind Kennwörter für die IT-Sicherheit in der Gesundheit immer noch zuverlässig?

Kennwörter sind die am häufigsten verwendete Methode, um den Zugriff auf elektronische Assets zu sichern. Dies ist jedoch der Fall Sicherheit ist nur so gut wie Menschen, die Passwörter erstellen und verwenden. Passwort wie 1234, Passwort oder Admin allzu allgemein und leicht zu erraten. Nachdem ein Kennwort (komplex oder nicht) durch das Teilen oder Stehlen beeinträchtigt wurde, bietet es außerdem keinerlei Sicherheit.

Healthcare verfügt über einzigartige Merkmale, die die Verwaltung der Passwortsicherheit schwieriger machen. Darüber hinaus steigt das Risiko, dass die Benutzerkonten gefährdet werden, vor allem deshalb, weil Social-Engineering- und Phishing-Angriffe für Angreifer konsistente Ergebnisse liefern. Es ist eine Herausforderung, Methoden zu implementieren, um die Fähigkeit eines Benutzers zu reduzieren, Sicherheit zu vermeiden und gleichzeitig eine schnelle und effiziente Wartung zu ermöglichen. Wir sind vielleicht nie perfekt, aber wir können es besser machen.

Tatsache: Gesundheitsexperten teilen häufig Anmeldeinformationen

Eine im Jahr 2017 bei Healthcare Informatics Research veröffentlichte Studie konzentriert sich auf den Austausch von Vertrauen in die Gesundheitsversorgung 100 Prozent der 45 medizinischen Bewohner Die Befragten verwendeten zuvor mit ihrer Erlaubnis andere professionelle Zugangsdaten. Darüber hinaus gab rund die Hälfte aller Krankenschwestern an, ihre Zeugnisse zu teilen.

Überraschend, weil dies IT-Experten und der Informationssicherheit passieren kann, ist das Teilen von Kennwörtern in Gesundheitsdiensten weit verbreitet. Warum? Es gibt eine Reihe von Gründen, aber am häufigsten wird angeführt, dass Zeit in der Intensivmedizin das Wichtigste ist und dass die Eingabe eines separaten Benutzerkontos wertvolle Zeit für Patienten in Anspruch nehmen kann. Darüber hinaus geben Gesundheitsdienstleister an, unter ihrer eigenen Benutzer-ID nicht immer einen ausreichenden Zugang zu haben, um die erforderlichen Funktionen auszuführen.

Ziel ist es, die Sicherheit zu verbessern (die Kontenfreigabe zu reduzieren oder zu eliminieren) und den erforderlichen Zugriff schnell und effektiv zu erhöhen. Die Richtlinie allein wird das Verhalten nicht ändern. Die Implementierung der Multifaktor-Authentifizierung in Kombination durch Bereitstellung eines schnelleren Zugriffs (z. B. Einzelzugriff basierend auf Annäherung oder ID-Kennzeichen für Radiofrequenz) kann dieses Problem lösen.

Fehler: Kennwörter sind sicher, wenn sie kompliziert sind oder häufig geändert werden

Mehr als 80 Prozent von allen Datenverletzungen mit einem schwachen oder gestohlenen Passwort. Offensichtlich Passwörter sind kein zuverlässiger Sicherheitsmechanismus mehr. Was geteilt oder gestohlen wird (durch Phishing, Social Engineering oder brutale Angriffe), ist die Wurzel der meisten Verstöße. Wenn ein Angreifer komplexer wird, reichen die Kennwörter nicht mehr aus, um das System zu schützen.

Die meisten Menschen in klinischen Umgebungen möchten sich im Umgang mit Passwörtern nicht allzu viel Mühe geben, daher folgen sie dem Weg des geringsten Widerstands – sie bilden die einfachsten Passwörter, die sie vermeiden können. Das Erzwingen von Komplexitätsanforderungen wie Länge, Verwendung von Sonderzeichen und Eindeutigkeit im Vergleich zu früheren Kennwörtern kann hilfreich sein, aber Benutzer schreiben in der Regel auch ihre Kennwörter. Und wie bereits erwähnt, teilen Angehörige der Gesundheitsberufe auch freiwillig und aktiv das Vertrauen.

Tatsache: Die Multifaktor-Authentifizierung ist die derzeit sicherste Methode

Die Multifactor-Authentifizierung kombiniert zwei oder mehr unabhängige Variablen: Etwas, das Sie kennen, etwas, das Sie haben, und etwas, das Sie haben. Häufig handelt es sich dabei um ein Passwort oder eine Passphrase (etwas, das Sie kennen) und ein Smartphone oder einen USB-Stick (etwas, das Sie besitzen) sowie biometrische Daten wie das Scannen von Iris oder Fingerabdruck (etwas, das Sie haben). Die meisten Banken haben die Authentifizierung mit mehreren Faktoren implementiert, um den Online-Zugriff auf Finanzkonten zu ermöglichen, und viele andere Industrien haben begonnen, dies zu tun.

Im Jahr 2017 veröffentlichte das Nationale Institut für Standards und Technologie die neuesten Richtlinien für Passwörter. NIST umreißt Richtlinien zur Sicherung digitaler Identitäten und legt drei Garantien fest. Stufe 1 ist die niedrigste Stufe und muss nur ausgewählt werden, wenn das gefährdete Konto nur minimale oder gar keine Auswirkungen hat. Stufe 2 ist mittlere Stufe und Stufe 3 ist oberste Stufe. Dies gilt für die vertraulichsten Daten und muss die Verwendung einer verschlüsselten Anwendung erfordern, die einen einmaligen Passcode auf einem Smartphone oder FOB bereitstellt, der sicher mit dem Server kommuniziert, der den Zugriff bereitstellt. Dadurch wird das Kennwort in ein Gateway gesenkt, in dem eine zusätzliche Authentifizierung ausgelöst wird. Wenn das Passwort gefährdet ist, können zusätzliche Faktoren nicht beeinträchtigt werden, und das Konto bleibt geschützt.

In den meisten Organisationen wird die Zwei-Faktor-Authentifizierung verwendet, da dadurch die Möglichkeit von Spoofing, Hacking und Abhören reduziert wird.

Die häufig verwendete Methode ist das Senden von Code per SMS an registrierte Geräte. Obwohl Textnachrichten abgefangen werden können, sind sie relativ selten und daher ziemlich sicher. Der Ansatz von NIST Level 3 besteht darin, sichere Anwendungen zu verwenden und auf Geräten zu installieren, die die Kommunikation zwischen Servern und Geräten über verschlüsselte Kanäle aufrechterhalten. Viele Anwendungen auf dem Markt tun dies.

Biometrie wird heute allgemein verwendet, um ein Smartphone mit Fingerabdrücken zu öffnen oder einen Computer mit Gesichtserkennung einzugeben. Obwohl dies bei den Verbrauchern beliebt ist, sind sie im Gesundheitswesen schwieriger. Endbenutzer tragen häufig Masken und Brillen (die eine Gesichtserkennung unmöglich machen) oder Handschuhe (die Reibung durch Fingerabdrücke verhindern). Darüber hinaus haben sie häufig keine Hände, um auf Textnachrichten oder Push-Benachrichtigungen auf ihrem Mobiltelefon zu reagieren.

Biometrie birgt auch andere Risiken: Sie können nicht geändert werden. Die Gefahr des Scannens von Iris oder gestohlenen Fingerabdrücken besteht in der Möglichkeit der Entwicklung. Einige Befürworter der Privatsphäre sind besorgt über die Verwendung biometrischer Daten. Dessen ungeachtet entwickelt sich seine Verwendung als ethisches Problem, das diskutiert wird.

Der Artikel oben stammt ursprünglich aus: : HealthTech

Leave a Reply

Your email address will not be published. Required fields are marked *

*