NIST và HIPAA : Và Sự Kết Nối Trong Vấn Đề Mật Khẩu

[nguyen tran tuong vinh] Trong bài này chúng ta sẽ tìm hiểu tổng quan về NIST cùng với HIPPA và mối tương quan của 2 tiêu chuẩn hay khung hướng dẫn này trong vấn đề quản lý mật khẩu. Cùng với đó là cách thức quản lý mật khâu tuân thủ cả 2 yêu cầu với Secops Password Auditor, một ứng dụng miễn phí nhưng rất mạnh mẽ.

Khi xử lý dữ liệu người dùng, điều cần thiết là các bạn phải thiết kế các chính sách mật khẩu của mình xung quanh việc tuân thủ. Các chính sách này được định nghĩa bởi cả bên trong (daonh nghệp hay tổ chức) và bên ngoài (như PCI-DSS).

Trong khi các công ty duy trì các tiêu chuẩn mật khẩu của riêng họ, các lực lượng bên ngoài như HIPAA và NIST có ảnh hưởng rất lớn. Các tác động được xác định bởi ngành và cơ sở hạ tầng tương ứng của mỗi tổ chức. Vậy làm sao để các bộ phận CNTT duy trì tuân thủ cả NIST và HIPAA?

Chúng ta sẽ thảo luận về từng biện pháp tuân thủ và tầm quan trọng của nó trong bài viết này.

Tuân thủ NIST là gì?

Được xây dựng bởi Viện Tiêu chuẩn và Công nghệ Quốc gia, tuân thủ NIST nhằm mục đích củng cố các hệ thống của liên bang chống lại các cuộc tấn công mạng. Mặc dù cơ quan này không hoạt động theo quy định, nhưng nó  một phần của Bộ Thương mại Hoa Kỳ, có nhiều ảnh hưởng đối với các cơ quan chính phủ và các nhà thầu của họ.

Ví dụ: hướng dẫn của NIST giúp các cơ quan thỏa mãn các yêu cầu của Đạo luật Quản lý An ninh Thông tin Liên bang (FISMA). NIST là công cụ tạo ra các Tiêu chuẩn Xử lý Thông tin Liên bang ( FIPS ) tuân thủ FISMA. Không điều nào trong số này có thể thực hiện nếu không có Khung an ninh mạng NIST.

Framework phác thảo mô tả các bước và các phương pháp mà quy trình xử lý dữ liệu nên tuân theo.

Kiểm soát liên quan đến những điều sau :

  • Quyền truy cập phải dựa trên xác thực cho các máy trạm cục bộ, cơ sở dữ liệu, trang web và dịch vụ web
  • Kiểm tra các sự kiện (audit) thay đổi mật khẩu, đăng nhập không thành công và truy cập không thành công liên quan đến thông tin đăng nhập Xác minh danh tính cá nhân (PIV), thông tin đăng nhập của bên thứ ba hoặc hành động của quản trị viên
  • Nhóm các tài khoản (đặc quyền được chia sẻ) và tài khoản cá nhân
  • Mật khẩu, mã thông báo truy cập, sinh trắc học và xác thực đa yếu tố (MFA)
  • Mã hóa và băm mật khẩu
  • Độ dài mật khẩu tối thiểu, độ phức tạp và thời gian xác thực

Đáng chú ý, quản trị viên tuân thủ các tiêu chuẩn NIST có thể xác định các chính sách mật khẩu cần thiết để thực thi độ dài tối thiểu và các yêu cầu lọc mật khẩu bị rò rỉ. Chính sách mật khẩu cũng có thể bao gồm việc chặn thay thế ký tự thông thường và các mẫu xây dựng mật khẩu có thể dự đoán được khác, chẳng hạn như thay đổi mật khẩu bằng cách chỉ thêm số hoặc ký hiệu vào cuối.

NIST khuyến khích loại bỏ việc hết hạn và phức tạp của mật khẩu – nhưng điều này cần được cân nhắc với các nghĩa vụ quy định của tổ chức; ví dụ, PCI-DSS và HITRUS-CFS yêu cầu những thứ này.

Đánh giá thường xuyên hoặc xác định các mật khẩu bị xâm phạm là rất quan trọng. Các tổ chức có thể sử dụng các công cụ tự động để xác định và thực thi thay đổi khi được phát hiện liên tục.

Việc tuân thủ Khung bảo mật không gian mạng của NIST là một bước đệm tuyệt vời để đảm bảo an ninh mạnh mẽ. Tuy nhiên, cơ quan này cảnh báo rằng các hướng dẫn của NIST KHÔNG tạo ra các hệ thống không thể xuyên thủng. Không có khuôn khổ nào là hoàn hảo.

Tuân thủ HIPAA là gì?

Thông tin sức khỏe cá nhân thuộc phạm vi độ nhạy cao. Những hồ sơ này là bí mật và chứa thông tin cá nhân, do đó cơ sở dữ liệu và kho dữ liệu phải sử dụng các biện pháp bảo vệ mạnh mẽ. Cũng có một lập luận rằng các chính sách mật khẩu tồn tại để bảo vệ phẩm giá của bệnh nhân.

Tính bảo mật của bệnh nhân-bác sĩ và mối quan hệ giữa nhà cung cấp và bệnh nhân là rất quan trọng để duy trì sự riêng tư trong toàn cảnh chăm sóc sức khỏe. Tuy nhiên, nhiều bệnh nhân thậm chí không có nhận thức đúng đắn về các nhà cung cấp dịch vụ chăm sóc sức khỏe. Vào năm 2016, Black Book tiết lộ rằng 87% bệnh nhân giấu một số thông tin sức khỏe từ các nhà cung cấp “đáng tin cậy”.

Bạn có thể thấy điều này sẽ đi đến đâu. Dữ liệu y tế cá nhân là rất cá nhân, người khác rất khó để đạt được sự tin tưởng do nhiều yếu tố phức tạp nội tâm của mỗi cá nhân. Hiện tượng đó càng được khuếch đại trong thời đại kỹ thuật số của chúng ta, nơi mà việc truy cập từ xa và chia sẻ hồ sơ điện tử trở nên phổ biến.

Một số lĩnh vực cần quan tâm khác:

  • Thông tin tài chính của bệnh nhân
  • Truy cập cổng thông tin bệnh nhân
  • Thông tin cá nhân được gửi như một phần của hồ sơ trực tuyến

Bảo vệ thông qua tuân thủ mật khẩu

Ngày nay, có quá nhiều thông tin được thu thập đến nỗi bản thân bệnh nhân cảm thấy khó khăn trong việc sàng lọc. Các nhà cung cấp hiểu biết về công nghệ được giao trách nhiệm bảo vệ dữ liệu này và giúp cho (các) cá nhân phù hợp có thể truy cập được . Đây là nơi mà Đạo luật về trách nhiệm giải trình và cung cấp bảo hiểm y tế (HIPAA) bước vào.

Đầu tiên, HIPAA đưa ra ba loại tiêu chuẩn mà các tổ chức phải đáp ứng:

  1. Tiêu chuẩn kỹ thuật – mô tả các biện pháp bảo vệ cần thiết để bảo vệ và duy trì cơ sở hạ tầng lưu trữ thông tin sức khỏe điện tử cá nhân
  2. Tiêu chuẩn vật lý – mô tả cách các cơ sở bằng “gạch và vữa” phải được bảo vệ cả bên trong và bên ngoài
  3. Các tiêu chuẩn hành chính – mô tả các nỗ lực kiểm soát và duy trì cần thiết từ phía các nhân viên trong việc duy trì tính bảo mật của thông tin sức khỏe cá nhân

Trọng tâm tự nhiên của chúng ta là các tiêu chuẩn kỹ thuật và quản trị — tiêu chuẩn đầu tiên bao gồm các hệ thống hoặc cơ sở dữ liệu trực tuyến lưu trữ dữ liệu có độ nhạy cảm cao. Các tiêu chuẩn quản trị đòi hỏi vai trò của nhân viên trong việc ra lệnh quản lý mật khẩu và ủy quyền truy cập. Điều đó trông như thế nào trong chính sách mật khẩu?

Lưu ý rằng các nguyên tắc HIPAA và NIST không loại trừ lẫn nhau. Việc tuân theo các quy tắc này sẽ giúp bạn tuân thủ cả HIPAA và NIST:

  • Yêu cầu mật khẩu phải có độ dài từ 8 ký tự trở lên (thậm chí lên đến 64 đối với một số dữ liệu)
  • Không cung cấp gợi ý mật khẩu cho người dùng
  • Khuyến khích tạo các mật khẩu có thể nhớ, không phải những mật khẩu khó hiểu đến nổi phải lưu trữ vào hồ sơ
  • Kiểm tra mật khẩu theo danh sách mật khẩu bị cấm hoặc từ điển của mật khẩu bị xâm phạm

Những hướng dẫn này rất quan trọng.  Vì các nhà cung cấp có thể rất nhỏ hay rất lớn (hệ thống y tế, nhà cung cấp bảo hiểm), nên cần có các chính sách mật khẩu duy nhất.

Tuân thủ NIST và HIPAA tốt hơn với các thông số kỹ thuật

Các công cụ bên ngoài có thể cung cấp nhiều trợ giúp khi tạo các chính sách tuân thủ mật khẩu. Chúng tôi đề xuất hai công cụ: Specops Password Auditor và Specops Password Policy . Các ứng dụng này tự động hóa nhiều quy trình quan trọng đối với bảo mật mật khẩu liên tục.

Password Auditor là một công cụ miễn phí cung cấp ba lợi ích chính: báo cáo mật khẩu, kiểm tra tài khoản Active Directory và tuân thủ các tiêu chuẩn. Kiểm toán viên hay các chuyên gia bảo mật hệ thống sẽ quét môi trường của bạn để đảm bảo rằng các chính sách mật khẩu chung và chi tiết thúc đẩy mật khẩu an toàn. Các báo cáo cũng cung cấp thông tin nêu bật các điểm yếu và các tài khoản có vấn đề — đơn giản hóa việc khắc phục. Những báo cáo này còn so sánh các chính sách của bạn với những chính sách do NIST thúc đẩy.

Password Auditor cũng sẽ cho bạn thấy hệ thống của bạn chống lại các cuộc tấn công chống lại các cuộc tấn công như thế nào. Bạn cũng có thể xem các miền và tài khoản tương ứng của chúng. Mật khẩu dễ bị tổn thương được xác định nếu chúng khớp với những mật khẩu được tìm thấy trong danh sách mật khẩu bị vi phạm của chúng tôi.

Trong khi đó, Chính sách mật khẩu cung cấp các lợi ích tương tự với mức độ chi tiết cao hơn. Về cơ bản, bạn có thể thực hiện những việc sau: chặn mật khẩu yếu, tạo chính sách mật khẩu tuân thủ và entropy mật khẩu mục tiêu. Công cụ này cho phép bạn mang từ điển mật khẩu của riêng mình và kết hợp danh sách Specops gồm 2 tỷ mật khẩu bị vi phạm.

Specops thực hiện công việc nặng nhọc — tự động chấp nhận mật khẩu (và thậm chí cả các cụm từ) trong khi từ chối mật khẩu không tuân thủ. Thực thi các yêu cầu về độ dài, độ phức tạp và ký tự của mật khẩu của riêng bạn. Cuối cùng, các công cụ tuân thủ sẽ cho bạn biết các chính sách hiện tại của bạn so với các chính sách tuân thủ ngành như thế nào. Chính sách mật khẩu cung cấp tính năng tạo mẫu và phân tích để bảo vệ dữ liệu do công ty nắm giữ trước các phương pháp tấn công mạng phổ biến.

NIST và HIPAA tuân thủ các chính sách mật khẩu mạnh. Rất may, quy trình tuân thủ không quá phức tạp.

THN/ Security365 : Nguyen Tran Tuong Vinh

Các học viên lớp CEH và CHFI cần thực hành ứng dụng Specops Password Auditor trên các môi trường cá nhân, doanh nghiệp trên các máy chủ standalone hay member và cả quản trị vùng để hiểu, nắm vững kỹ năng và có thể áp dụng thực tế.

Để tải công cụ hãy vào trang web https://specopssoft.com/thank-you-for-signing-up-specops-password-auditor/ đăng kí với tài khoản email @hackermuxam.edu.vn hay @antoanthongtin.edu.vn để tải tool và nhận license qua email, file này có dạng

https://specopssoft.com/product/specops-password-auditor/

[SPA License]
CustomerName=Full License
LicenseType=Trial
ValidTo=20220112
LicenseKey=F017-8DB8-E6B2-7E0D-1AD5

Hướng dẫn sử dụng

Comments