Недавно мы получили это электронное письмо на нашей работе от отдела кадров. Мы работаем в сфере здравоохранения, и наше имя пользователя и пароль связаны со всем, что мы делаем. Мы должны следовать строгим правилам HIPAA.
Не будет ли предоставление нашего имени пользователя и пароля нарушением нашей конфиденциальности? И откуда мы знаем, что наша информация будет храниться в тайне и использоваться правильно? Наша информация может быть использована, чтобы создать впечатление, что мы делали то, чего никогда не делали.
«Мне нужно, чтобы все прислали мне по электронной почте свое имя пользователя и пароль для входа в Windows. Эти пароли будут храниться в закрытой картотеке и не будут переданы никому, кроме генерального директора или главного операционного директора. Спасибо за быстрый ответ. В понедельник после обеда!"
Просьба смехотворна на всех уровнях.
Во-первых, как менеджер/HR закроет вашу электронную почту в шкафу? Вы никогда не отправляете конфиденциальное имя пользователя/пароль по электронной почте. Существует небольшая вероятность того, что это может быть частью фишинговой атаки. В лучшем случае компьютер/ноутбук вашего босса/HR-а является единственной точкой отказа для безопасности всего офиса.
Во-вторых, как этот менеджер/HR будет гарантировать, что никто другой никогда не получит к нему доступ или не войдет под вашим именем?
В-третьих, существует множество способов администрирования Windows, с помощью которых я могу переопределить учетную запись пользователя в домене и войти в его профиль, используя соответствующие процедуры.
Для меня есть только две причины, по которым руководство может попросить об этом:
Они настолько плохо обучены и совершенно некомпетентны в технологиях и процедурах безопасности, что считают, что это «единственный способ» сделать это. Это многое говорит о вашей компании. Либо у вас есть высшее руководство, которое буквально не знает, как управлять организацией, которая обрабатывает конфиденциальные данные, либо они буквально не верят в ваш ИТ-персонал.
Также может случиться так, что ИТ-персонал помешал им делать определенные вещи, а ваш логин позволяет им обойти эти меры безопасности. Некоторые действительно хорошо разработанные приложения не допускали бы автоматический вход в систему, если бы я вошел в ваш профиль, используя аутентификацию домена. Таким образом, нам нужно либо иметь логин/пароль пользователя, либо сбросить пользователя. В любом случае, я не могу реально понять, почему высшему руководству необходимо войти в систему как вы, чтобы сделать что-то без вашего ведома.
(Добавление на основе утерянного комментария автора) - Обычно я бы не заходил так далеко, но автор добавила, что, по ее мнению, их аутсорсинговый отдел ИТ / безопасности знает об электронной почте и согласен с этим. Это верный признак того, что либо они очень непригодны для своей работы (нуждаются в реальной резервной копии), и если они настолько плохи, то они никак не могут придерживаться стандартов HIPAA. Или, что наиболее очевидно, они в сговоре с руководством — используют логины для «гнусных» действий.
Как бы я справился с этим?
Я бы спросил у своего менеджера, зачем им нужны ваши данные. Выразите свою обеспокоенность по поводу конфиденциальности (и правил HIPAA).
Если ваш менеджер настаивает на этом, я бы связался с отделом кадров — они отправили электронное письмо, но начните с вашего менеджера. Велика вероятность того, что он может быть не авторизован (или, увидев проблему с безопасностью, они скажут, что он не авторизован). Вот где это становится грубым. Потому что единственная группа, которая обычно менее технична, чем менеджеры, — это HR (в широком смысле здесь).
Вам нужно будет сообщить о своих опасениях в отдел кадров. Я хотел бы убедиться, что отдел кадров работает с кем-то из вашего ИТ-отдела, чтобы убедиться, что это соответствует правилам безопасности в компании. Если отдел кадров отказывается работать с ИТ-отделами, возможно, вам придется связаться с кем-то непосредственно из этих отделов. Если у вас есть раздел безопасности, я бы начал с них. Если не начинать с начальника ИТ.
Крайним средством является обращение в Службу здравоохранения и социального обеспечения . Вы можете прочитать, что это, вероятно, прямое нарушение их технических гарантий здесь . Если никто в вашей компании не хочет что-либо делать с проблемой безопасности, спросите, не является ли это нарушением, сообщите о своей компании и позвольте им получить информацию.
(И я действительно чувствую, что это отличается от запроса вашего пользователя/пароля, когда вы уходите из компании. Я чувствую, что это может быть оправдано, потому что, если бы они что-то сделали, была бы информация «отметка времени», которая позволила бы вам быть оправданным в правонарушениях. Но пока вы там работаете, это превращается в игру «он сказал/она сказала или где вы были в 10:32 утра 5 января?» И обратите внимание, что с вашим логином я могу легко удаленно войти в компьютер в офисе, в котором вы находитесь. на данный день, как вы.)
Звук, который вы слышите, - это десять тысяч сетевых администраторов, кричащих "НЕТ!" на этом посту.
В лучшем случае это попытка показать, насколько вы доверчивы. Я на самом деле подозреваю, что это так, поскольку в наши дни аудит безопасности проверяет в основном социальные эксплойты.
В худшем случае это признак совершенно неумелого управления (имею в виду основательно, так как за загрязнение окружающей среды этой глупостью должны платить штрафы их родители).
В любом случае, я бы НИКОГДА никому не отправил НИКАКОЙ пароль, который был бы привязан к моей личности.
Я бы переслал это письмо в ваш ИТ-отдел с заголовком: «Очевидно, что ни у кого никогда не возникнет законной необходимости делать это, но я подумал, что это должно быть доведено до вашего сведения как попытка взлома системы безопасности».
Это смехотворный запрос на многих уровнях в среде HIPAA.
Я предполагаю, что они могут попросить об этом, но я подозреваю, что сам по себе запрос является доказательством того, что они не соответствуют требованиям HIPAA. Если вы выполните запрос, то, скорее всего, это нарушение HIPAA. Но если вы выполняете проверенный запрос руководства, то я бы сказал, что нарушение не может быть связано с вами. Если кто-то другой использует вашу учетную запись, вы можете сказать: «Эй, вы заставили меня раскрыть мой пароль». Докажите, что электронная почта или картотека не были скомпрометированы. Вот такая нелепая просьба. Даже кто-то из HR должен знать лучше.
Действуйте осторожно. Вы не сделали ничего плохого. Даже если вы ответите, вы, вероятно, не сделали ничего плохого. Если вы сообщите об этом, вы можете потерять работу или закрыть компанию. Если они не ущерб, то вы можете даже не получить деньги осведомителя. Это не ваша проблема. Не берите стрелы.
Мелисса, ты продолжаешь спрашивать, почему, как будто есть веская причина. Мой ответ таков: как с точки зрения HIPAA, так и с технической точки зрения я не вижу веских причин. Как HR оказался в центре этого, знают только HR, CEO и COO. ИТ-специалист, отвечающий за соответствие требованиям, никогда бы этого не сделал. Опять же, это не ваша проблема. Пусть ИТ обсудит это с HR. Я не вижу разницы между риском и вознаграждением в том, чтобы быть осведомителем.
Это достаточно плохо для любой компании, но для той, которая находится под HIPAA, это совершенно неприемлемо (и, вполне возможно, незаконно). Я бы посоветовал вам получить копию правил HIPAA, найти соответствующие положения о доступе к данным и отправить их обратно.
http://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/securityrulepdf.pdf
Обратите внимание, что есть положение о том, что им разрешено создавать специальные условия для обработки чрезвычайных ситуаций, но оно, похоже, противоречит разделу, в котором говорится, что должна быть возможность проверки того, что человек, вошедший в систему, является человеком, которым он должен быть. Отправляя информацию по электронной почте, вы, вероятно, нарушаете правила, поскольку есть другие люди, которые могут получить доступ к электронным письмам (системные администраторы), помимо человека, которому они отправлены.
Если вы подпадаете под действие закона HIPAA, у вас может быть сотрудник службы безопасности, который отвечает за соблюдение требований закона HIPAA. В этом случае сообщите об этом ему или ей, прежде чем отвечать начальнику. Это может быть лучший человек, чтобы рассказать, насколько это плохая идея.
Я хотел бы проверить документ ИТ-политики вашей компании. Я думаю, очень вероятно, что это особая политика, требующая, чтобы вы не писали по электронной почте и не записывали комбинацию имени пользователя и пароля.
Я бы тогда ответил всем, ссылаясь на правила и отказываясь их соблюдать.
Просто отправьте свое имя пользователя и пароль, а затем измените свой пароль. В любом случае, вы должны менять его каждые несколько месяцев или около того. Если в будущем кто-нибудь спросит, почему вы изменили свой пароль, вы можете сказать: «О, мне несколько раз говорили, что неплохо время от времени менять пароль, я даже не подумал об этом фрагменте». бумага, запертая где-то в шкафу».
В настоящее время я IT-специалист в сфере здравоохранения. Я применяю политику, разработанную и созданную профессионалами в области безопасности. Эти политики структурированы в соответствии с HIPAA. Я могу найти местную политику в отношении всего в этом резюме: http://www.hhs.gov/ocr/privacy/hipaa/understanding/srsummary.html
Некоторые выдержки:
Административные меры безопасности -> Персонал службы безопасности. Застрахованная организация должна назначить сотрудника службы безопасности, ответственного за разработку и реализацию ее политик и процедур безопасности15.
Технические гарантии -> Контроль доступа . Застрахованная организация должна внедрить технические политики и процедуры, позволяющие
only authorized persons
получить доступ к электронной защищенной медицинской информации (e-PHI).24
Пароли должны периодически меняться. Это означает, что физически сохраненные пароли устареют.
Ваши ИТ-специалисты могут управлять вашим паролем и проверять его. Индивидуальное получение паролей намного сложнее, чем автоматизация процесса с помощью административного контроля.
В соответствии с HIPAA у вас должен быть назначенный сотрудник службы безопасности, и вы должны быть обучены основным элементам управления безопасностью. Это будет правильное лицо, чтобы связаться по этому поводу.
В вашей ИТ-группе и группе безопасности должны быть политики с подробным описанием средств управления паролями. Эти политики являются юридическими документами.
Возможность доступа к учетной записи врача или медсестры сама по себе является огромной проблемой. Должен быть предусмотрен контроль « Минимальных необходимых требований ». Ваш генеральный директор или главный операционный директор никогда не должны иметь доступа к информации о пациентах, которая не требуется им для выполнения своих должностных обязанностей. Можно привести множество аргументов и оправданий для отдельных ситуаций, но нельзя привести никаких аргументов в пользу всеобъемлющего доступа ко всем пациентам и сотрудникам.
Наличие пароля сотрудника также позволит вам ненадлежащим образом изменить диаграмму, что является нарушением HIPAA.
Запрашивание пароля всех сотрудников не является нарушением HIPAA из-за проблем, связанных с аудитом безопасности. Однако хранение этой информации легко может быть нарушением.
Наконец, если генеральный/главный операционный директор использовал вашу учетную запись для нарушения HIPAA, вы будете нести ответственность. Если вы участвовали в электронном письме, это может быть использовано для смягчения ответственности. Тем не менее, вы обязаны защищать свой пароль, сознательно разрешая кому-либо доступ к вашей учетной записи так же плохо, как выдавать себя за кого-то.
Что ты должен делать
Не сообщайте свой пароль. Изучите ИТ-политику в отношении паролей и контроля доступа. Сообщите об этом электронном письме своему руководителю, назначенному сотруднику службы безопасности и ИТ-администратору. Если руководство не отреагирует положительно, в вашем учреждении могут быть «анонимные» горячие линии безопасности, на которые вы можете пожаловаться. Кроме того, у вас есть возможность подать жалобу через Министерство здравоохранения и социальных служб США.
К сожалению, если вы пройдете жалобу через свое руководство, вас могут подозрительно уволить.
Вы не должны указывать свое имя пользователя и пароль и отвечать, объясняя, что политика безопасности не позволяет вам предоставлять эту информацию, и это звучит как фишинговое письмо; Напишите команде внутренней безопасности или ИТ-специалисту, чтобы они знали об электронной почте.
Если это законный запрос, и они продолжают настаивать на этом, обратитесь к ним лично, чтобы обсудить и объяснить, почему вы не должны этого делать. Если они все еще настаивают, сообщите об этом лично, а не по электронной почте.
HIPAA требует, чтобы доступ был ограничен теми, кому необходимо знать. Единственный способ, которым одобренная система электронных медицинских карт оценивает необходимость знать, - это кто вошел в систему. HIPAA также требует, чтобы они регистрировали, кто имел доступ к электронным записям и кто их изменил.
В соответствии с HIPAA и правилами электронных медицинских карт каждый поставщик должен иметь уникальный идентификатор, доступ к которому может получить только этот поставщик. Обычно это реализуется комбинацией предмета в руке (удостоверение личности или RFID) и предмета, который вы знаете (пароль), и для проверки предмет, известный многим людям (идентификатор учетной записи). ИТ-отдел может легко найти идентификатор учетной записи. ИТ-отдел, вероятно, может изменить пароль с минимальными хлопотами (но он регистрируется в системе), и если они делают это для неправильного доступа к чему-либо, гораздо проще указать, что ваш пароль был изменен кем-то другим. (Когда вы войдете в систему, вы обнаружите, что ваш пароль не работает, и вам придется сбросить его для вас. Если это произойдет, это предупреждающий знак.)
Согласно сводке правил безопасности HIPAA Министерства здравоохранения и социальных служб (DHHS) , нарушения правил безопасности являются федеральными преступлениями. Согласно странице « Правила правоприменения» , каждый несанкционированный или незаконный доступ наказывается штрафом в размере до 100 долларов США, но не более 25 000 долларов США в год. Если вы позволите кому-то получить ваши учетные данные для входа, и они используют их, и это может быть отслежено до вас, каждый из вас может быть оштрафован. Каждая доступная запись может быть оштрафована за каждый раз, когда к ней обращаются.
Как отмечалось выше, ИТ-специалисты или, по крайней мере, сотрудник службы безопасности электронных медицинских карт могут получить доступ к вашей учетной записи, используя несколько методов, но эти методы, скорее всего, будут зарегистрированы.
Любой законный повод посмотреть записи имеет доступ уже под своей учетной записью. У руководства нет законной причины, если только они не получат одобрение от сотрудника по безопасности электронных медицинских карт (EHRSO), а это означает, что у них должен быть собственный вход в систему.
Физическая запись вашего пароля для целей «Я забыл» также недействительна — EHRSO может сбросить ваш пароль. Возможно, даже ИТ-специалисты смогут сбросить ваш пароль. Если вы пойдете по этому пути, вам следует как можно скорее сменить пароль.
Компетентный EHRSO может даже создать учетную запись статистической выборки, в которой будут показаны записи, но не идентификация пациента, так что даже статистическая выборка не является уважительной причиной.
Поскольку все ваши записи могут быть просмотрены EHRSO или лицом, назначенным ими, а также подтверждены их собственным логином и паролем и, таким образом, должным образом зарегистрированы, просмотр вашей работы не является уважительной причиной.
Отправка пароля по электронной почте всегда плохая идея. Особенно, когда он разрешает доступ, за ненадлежащее использование которого вас могут оштрафовать. Никогда и никому не отправляйте свой пароль по электронной почте, включая себя.
Ваш сотрудник службы безопасности ERH может быть не в курсе. Если да, то у вас большие проблемы с работодателем. Если нет, они могут быть в состоянии мягко сообщить вышестоящим о ситуации.
Если они не примут ответ «нет», как только вы сможете, обратитесь в Управление гражданских прав Министерства здравоохранения и социальных служб (DHSS-OCR). Сообщите им, что вы обеспокоены тем, что ваши учетные данные для входа в систему используются вашим работодателем для получения незаконным доступом руководства к электронным медицинским картам.
Это сделать 3 вещи:
Даже если из этого ничего не выйдет, DHSS-OCR зарегистрирует это, и будущие жалобы других будут иметь больше боеприпасов. Это может занять некоторое время.
Если вам угрожает ваш работодатель, обратитесь в отдел профессионального лицензирования и узнайте, каковы ваши права и обязанности в штате. Также обратите внимание, что сообщения о нарушениях федеральных правил США защищены законами о разоблачениях на федеральном уровне.
Будьте вежливы при общении с администрацией. Даже если они просят что-то незаконное, враждебный или язвительный ответ может быть основанием для увольнения.
Босс «может» делать практически все, даже если это незаконно. На мой взгляд, начальник не может делать только то, что отказываются выполнять его или ее подчиненные.
Вы также можете отказаться выполнять любую просьбу начальника, независимо от того, является ли эта просьба законной, незаконной, разумной или необоснованной. Просьба вашего босса не обязательно должна быть незаконной или какой-то еще, чтобы вы могли отказаться подчиниться.
У меня сложилось впечатление, что ты не думаешь, что то, о чем тебя просит твой босс, нормально. Если вы считаете, что это плохая идея, мой совет — не делайте этого. Или сделать это и тут же начать искать другую работу.
Компания может потребовать полный доступ ко всему, что вы делаете для них или на их оборудовании. Однако спрашивать ваш личный пароль — абсолютно неправильный способ справиться с этим; они должны быть в состоянии установить административное переопределение в любой системе, если они действительно этого хотят.
Если они это сделают, вы должны сотрудничать.
Если они этого не делают, но есть законная чрезвычайная ситуация, требующая доступа, когда вы не можете быть там, вы должны выяснить, какова политика компании — кто должен ее одобрить — и затем изменить свой пароль, как только вы возвращение и/или кризис миновал.
Если кризиса нет, он может подождать, пока вы не доберетесь туда.
Если он находится в серой зоне между ними, получите четкое указание от высшего руководства и/или группы компьютерной безопасности вашей компании. Желательно в письменной форме с подписью.
Моника Челлио
комар
Мэтт Уилко
ИванП
Мелисса
llrs
ЛиндаЖанна
Ник
Павел
Чемби
Раду Мурзеа