Va bene che il nostro fornitore di supporto IT effettui il remote-in senza autorizzazione?

24

Siamo una società di informatica sanitaria. La mia macchina ha PHI su di esso. Il nostro appaltatore IT ha chiesto verbalmente se fosse in grado di riparare da remoto la mia stampante, così ho detto che era sicuro. Mi aspettavo una sorta di prompt per permetterlo, ma era solo dentro. Qualche forma di VNC credo.

Va bene? Riguardo a HIPAA?

    
posta Scott Beeson 09.05.2016 - 17:50
fonte

6 risposte

28

L'HIPAA non raggiunge le specifiche della politica, la sostanza è che quell'organizzazione deve disporre di controlli sufficienti per proteggere i dati. Non c'è nulla di intrinsecamente sbagliato in un'acquisizione improvvisata da una prospettiva HIPAA, purché gli altri controlli (autenticazione, autorizzazione, elenchi di controllo accessi, registrazione e controllo degli accessi, antimalware sul PC di supporto, accordi legali tra l'organizzazione di supporto e la tua organizzazione, ecc) sono a posto.

Quindi, senza sapere che cosa la tua organizzazione ha in termini di politiche, processi e procedure di sicurezza IT, non c'è modo di dirlo.

Per quanto riguarda il fatto che gli acquisti spontanei siano una buona cosa allora no, non lo sono. Vuoi davvero avere un avvertimento quando qualcuno sta prendendo il tuo PC per il supporto, o anche guardando il tuo schermo.

    
risposta data 09.05.2016 - 18:21
fonte
56

In realtà non hai fornito abbastanza dettagli da dire in un modo o nell'altro. Il fatto che tu non abbia visto una richiesta di autenticazione non ci impedisce di esserlo.

Gli strumenti di accesso remoto I utilizzati nel mio lavoro (che si occupa anche di HIPAA) richiedono entrambi l'autenticazione con le credenziali di amministratore del mio dominio e non richiedono agli utenti di accettare la connessione, perché ho li ho configurati in questo modo.

    
risposta data 09.05.2016 - 23:49
fonte
1

Utilizzare la restatement preferita dell'autore nel commento:

Is it okay for our IT support contractor to have the ability to remote in without authorization?

In circostanze normali, Sì.

Parliamo delle parole chiave specifiche.

Remote : Supponendo che non lavori da casa, ricorda che gli amministratori IT possono sedersi sulla sedia alla fine della giornata e accedere alle workstation, installare gli aggiornamenti e ri-visualizzare il computer dopo aver lasciato l'azienda. Hanno già pieno accesso al tuo computer e possono (in genere) vedere tutto su di esso. È possibile che abbiano accesso anche ai database aziendali e alle cartelle cliniche e quindi probabilmente non c'è nulla che possano vedere sullo schermo durante una sessione remota a cui non avrebbero già accesso al di fuori della sessione remota, se hanno deciso di farlo. vederlo. In tal caso, chiedere il permesso prima di assumere il controllo del computer potrebbe essere considerato più una cortesia, piuttosto che un requisito legale.

Contraente : Molti appaltatori lavorano come un'estensione dell'azienda, e devono firmare le comunicazioni di NDA, HIPAA, partecipare alla formazione e seguire le stesse regole e leggi in materia di sicurezza, privacy ed etica che tutti i dipendenti fanno. Anche in una situazione in cui a un contraente non è stato chiesto di firmare alcunché, ciò non garantirebbe loro il permesso di violare la legge.

Nota : queste dichiarazioni sono generalizzazioni che possono essere applicate all'industria sanitaria, ma non si applicano necessariamente a tutti i settori. Ad esempio nel settore della difesa non è possibile consentire a una persona IT di eseguire il remoto su una macchina senza interazione dell'utente nel caso in cui l'utente stia visualizzando un documento che si trova al di sopra del livello di autorizzazione della persona IT. (Anche se questo non è un problema se ci sono sale dedicate con macchine specifiche per la visualizzazione di documenti top secret.)

    
risposta data 11.05.2016 - 01:10
fonte
0

Dipende strongmente dal paese in cui vivi, in quanto si tratta più di una questione legale. In alcuni stati questo approccio è legalmente corretto se l'hai firmato nel tuo contratto di lavoro, altri vietano questa procedura completamente a causa della politica sulla privacy.

    
risposta data 07.06.2016 - 10:25
fonte
-3

Non sono affatto d'accordo con la risposta che afferma: " HIPAA non arriva alle specifiche della politica ". Mentre non ti diranno come scrivere o creare una politica, entrano in una guida MOLTO specifica. Ecco i fatti imparziali, per rispondere alla tua domanda. Le regole sui requisiti HIPAA delle garanzie amministrative, fisiche e tecniche impongono requisiti di base per la sicurezza e la privacy sono le seguenti:

  • Identificazione e autenticazione
  • Controlli di controllo

Identificazione e autenticazione

It is fundamental that healthcare facility IT personnel know who is accessing their network, software, and systems, and that the person or entity gaining access is the one claimed. HIPAA, 45 CFR Part 164.312(d).3

Il tuo fornitore e la tua organizzazione violano i mandati HIPAA, poiché HIPAA richiede l'uso di ID utente univoci. Hai dichiarato di aver effettuato l'accesso senza credenziali. Questo risponde alla tua domanda senza bisogno di andare oltre, ma più avanti andremo.

Controlli di controllo

A healthcare IT professional will want to create, store, and protect appropriate log files of all security sensitive activities that take place during a remote session. HIPAA, 45 CFR Part 164.312(b).6 In addition, HIPAA requires a covered entity “to regularly review records of information system activity, such as audit logs, access reports, and security incident tracking reports.” HIPAA, 45 CFR 164.308 (a)(1)(ii)(D). Under the HITECH Act, a patient can request a disclosure accounting from a covered entity basically asking “who has viewed my health information” for up to the prior 3 years. HIPAA, 45 CFR 164.528(a) and HITECH Act, 13405(c). … must provide an audit trail of logins and logon attempts. HIPAA, 45 CFR 164.308(a)(5)(ii)(C)

Hai affermato che un fornitore ha effettuato il login senza credenziali, al di fuori delle note verbali (il che non significa nulla in un tribunale) che tipo di controllo è stato fatto tramite i log? Anche se DID hai un log dell'evento, con chi lo assocerai?

    
risposta data 09.05.2016 - 21:25
fonte
-3

Bene, no. Se può entrare senza autorizzazione di chiunque possa entrare senza autorizzazione. Tuttavia,

1) Gli hai fornito l'autorizzazione legale. Questa non è la stessa cosa dell'autorizzazione tecnica. Se avessi chiamato qualcuno e chiesto aiuto e lui fosse andato via e l'avessi fatto da remoto, e non so come è arrivato a farlo, anch'io sarei nervoso.

2) Il supporto IT probabilmente ha già una sorta di accesso remoto già configurato. Questo è conveniente per molte ragioni. Qui è più importante sapere come funziona però.

3) Se il metodo di accesso remoto non fornisce registri, non soddisfa HIPAA.

    
risposta data 10.05.2016 - 21:10
fonte

Leggi altre domande sui tag