Sejarah otentikasi dua faktor di Pangkalan Keamanan HIPAA

Meskipun Undang-Undang Transfer dan Akuntabilitas Asuransi Kesehatan dibuat pada tahun 1996, undang-undang tersebut tidak selalu dimaksudkan untuk mengamankan privasi catatan kesehatan elektronik. Awalnya HIPAA dibuat untuk privasi catatan kesehatan kertas, sebelum HIPAA tidak ada standar keamanan untuk melindungi privasi pasien. Seiring berjalannya waktu, kemajuan teknologi, dan dalam dekade terakhir, kemajuan terbaru dalam teknologi industri perawatan kesehatan telah menciptakan kebutuhan akan cara yang lebih aman dalam menangani rekam medis.

Dengan catatan kesehatan elektronik yang tersedia dan hemat biaya, fasilitas perawatan kesehatan telah beralih ke jenis dokumen ini. Juga dengan peraturan pemerintah yang mewajibkan catatan kesehatan elektronik, standar keamanan telah dibuat dan diterapkan untuk melindungi informasi kesehatan yang dilindungi secara elektronik yang juga dikenal sebagai “aturan keamanan”. Serangkaian peraturan baru ini telah dibuat untuk memastikan privasi informasi medis pasien saat disimpan atau dikirimkan dalam bentuk elektronik.

Otentikasi dua faktor, proses di mana dua faktor otentikasi terpisah digunakan untuk mengidentifikasi pengguna, pada awalnya bukan merupakan bagian penting dari proses keamanan yang ditetapkan dalam Aturan Keamanan HIPAA. Selama bertahun-tahun, jenis otentikasi ini telah berkembang menjadi bagian wajib dari kepatuhan HIPAA.

Itu disebutkan pada Oktober 2003 dalam PDF yang dikeluarkan oleh Institut Nasional Standar dan Teknologi di mana otentikasi multi-faktor disebutkan. Dokumen berjudul “Panduan untuk Memilih Produk Keamanan TI” menyatakan apa yang dimaksud dengan otentikasi tetapi tidak perlu menerapkan jenis keamanan ini. Jelas, karena rekam medis elektronik masih sangat baru dan belum digunakan di semua fasilitas, kebutuhan untuk otentikasi khusus belum dibuat atau ditegakkan.

Kemudian pada bulan April 2006, sebuah dokumen baru dirilis oleh National Institute of Standards and Technology (NIST) berjudul “Electronic Authentication Guide” yang menetapkan 4 tingkat keamanan yang beberapa di antaranya memerlukan proses otentikasi yang kuat. Penggunaan otentikasi dua faktor disebutkan pada tingkat ketiga yang menyatakan perlunya token yang diperlukan. Token ini dapat berupa token ringan/keras atau kata sandi satu kali. Dengan semakin banyak rumah sakit yang menerima catatan kesehatan elektronik, kebutuhan akan pedoman keamanan yang lebih kuat telah muncul.

Meskipun sekarang ada peraturan yang menetapkan persyaratan otentikasi dua faktor, peraturan tersebut tidak jelas dan tidak menyebutkan perlunya kontrol keamanan TI khusus. Setelah peninjauan oleh Kantor Inspektur Jenderal menemukan perlunya kontrol keamanan TI ini, dokumen NIST lama direvisi. “Panduan Otentikasi Elektronik” yang disusun pada Juni 2011 merupakan revisi dari publikasi yang menyatakan dengan lebih jelas perlunya otentikasi dua faktor tertentu termasuk jenis token yang dapat diterima.

Kita dapat melihat meningkatnya kebutuhan akan keamanan di industri perawatan kesehatan meskipun kebutuhan untuk mengatur kepatuhan tidak selalu diperlukan, tetapi dengan segala sesuatu yang berubah dan pedoman kepatuhan mandat pemerintah diberlakukan. Tampaknya juga belum berakhir, dalam draf terbaru dari NIST yang dibuat pada Mei 2011 berjudul “Rekomendasi Cloud Computing” yang secara longgar berbicara tentang otentikasi multifaktor untuk akses cloud. Hal ini menunjukkan bahwa seiring dengan kemajuan teknologi dan semakin banyak cara untuk menyimpan/mengakses data, kebutuhan akan regulasi muncul. Ini terutama benar ketika fasilitas kesehatan semakin menerima dan menggunakan teknologi baru ini.

Leave a Reply

Comment
Name*
Mail*
Website*