Frage:
Ist es für unseren IT-Support-Vertragspartner in Ordnung, ohne Autorisierung zu remote?
Devil's Advocate
2016-05-09 20:50:31 UTC
view on stackexchange narkive permalink

Wir sind ein IT-Unternehmen im Gesundheitswesen. Auf meinem Computer befindet sich PHI. Unser IT-Auftragnehmer fragte mündlich, ob er meinen Drucker per Fernzugriff reparieren könne, also sagte ich sicher. Ich habe erwartet, dass eine Art Aufforderung dies zulässt, aber er war gerade dabei. Eine Form von VNC, denke ich.

Ist das in Ordnung? In Bezug auf HIPAA?

Was höchst fragwürdig sein könnte, ist das Track-Protokoll darüber, welche Zugriffe und Änderungen auf Ihrem Computer durchgeführt wurden.Fragen Sie einfach in diesem Protokoll nach, ob Sie HIPAA-konform sind.
Ich habe keine Ahnung von den HIPAA-Anforderungen, aber beachten Sie, dass die Vermutung Ihres Fragentitels "Remote in ohne Autorisierung" nicht erfüllt ist: Sie haben ihm mündlich eine Autorisierung erteilt.
Das ist ein bisschen pedantisch.Ich könnte die Frage umbenennen: "Ist es in Ordnung, wenn unser IT-Support-Auftragnehmer die Möglichkeit hat, ohne Genehmigung remote zu arbeiten?"
Beachten Sie, dass nur weil Sie diese Person nicht persönlich autorisiert haben, dies nicht bedeutet, dass sie nicht autorisiert wurde.Möglicherweise wurde er am Ende immer noch aufgefordert, Anmeldeinformationen als Autorisierungscode für Ihren PC einzugeben. Mit anderen Worten, nur weil Sie kein Popup erhalten haben, heißt das nicht, dass er dies nicht getan hat.
Numeron ist richtig!Die Frage impliziert, was Sie glauben wollen.Wenn sich die Daten auf Ihrem PC nicht in Ihrem Besitz befinden, kann eine andere Person eine Autorisierung erteilen. Wenn der IT-Mitarbeiter eine formelle Autorisierung für den Zugriff auf Ihren Computer hat und eine mündliche Autorisierung von Ihnen erhält, bedeutet dies, dass er autorisierten Zugriff hat.Ihre Frage sollte lauten: "** Ist es in Ordnung, wenn unser IT-Support-Auftragnehmer die Möglichkeit hat, ohne meine Bestätigung eine Remote-Verbindung herzustellen **"
Sechs antworten:
HopelessN00b
2016-05-10 02:49:56 UTC
view on stackexchange narkive permalink

Sie haben nicht genügend Details angegeben, um dies auf die eine oder andere Weise zu sagen. Die Tatsache, dass Sie keine Authentifizierungsaufforderung gesehen haben, schließt nicht aus, dass es eine gibt.

Die Remotezugriffstools , die ich in meinem Job verwende (die sich auch mit HIPAA befassen) In beiden Fällen muss ich mich mit meinen Anmeldeinformationen für den Domänenadministrator authentifizieren und Benutzer nicht auffordern, die Verbindung zu akzeptieren, da ich sie auf diese Weise konfiguriert habe.

Authentifizierung <> Autorisierung.Ich hätte sensibles Patientenmaterial ansehen können.Ein einfaches "Möchten Sie dem Support erlauben, eine Verbindung herzustellen?"würde eine Chance geben, alles Wichtige zu schließen.Außerdem haben wir hier keine Domain, nichts, gegen das wir uns authentifizieren könnten.Ich finde es auch gut, dass Ihre Rechtfertigung die Konfiguration ist, die Sie eingerichtet haben.Ich habe 15 Jahre für ein großes Gesundheitssystem gearbeitet.Unsere internen Support-Tools haben uns immer dazu aufgefordert.Selbst wenn keine böswillige Absicht vorliegt, möchten wir nicht, dass Helpdesk-Mitarbeiter versehentlich Darmspiegelungsbilder oder ähnliches sehen ...
@Devil'sAdvocate OK.Nichts davon ändert etwas.Er hat mündlich eine Autorisierung von Ihnen erhalten (was Sie nicht hätten tun sollen, wenn Sie in diesem bestimmten Moment tatsächlich vertrauliche Materialien angezeigt hätten), und Sie haben keine Ahnung, welche Authentifizierung hier verwendet wird (ja, domänenlose Computer / Arbeitsgruppencomputer authentifizieren Benutzer), welche Protokollierung oder Überwachung durchgeführt wird oder welches Protokoll oder Programm der Typ für den Fernzugriff verwendet hat.Sie raten nur alles, also nicht genug Informationen, um es zu sagen.
Ich arbeite derzeit für ein Gesundheitssystem, und unsere allgemeinen IT-Mitarbeiter, insbesondere die unserer Gruppe zugewiesene, arbeiten die ganze Zeit über auf Desktops.Sie haben zwei Möglichkeiten, eine gibt mir ein Popup, mit dem ich die Verbindung autorisieren kann, eine nicht.In beiden Fällen habe ich _verbale_ Erlaubnis _ gegeben, bevor die Verbindung hergestellt wird.Egal für wen ich in der Vergangenheit gearbeitet habe, ich schließe immer jedes Fenster, das der Remote-Anschluss nicht sehen soll, PHI oder auf andere Weise (wie * .SE während der Arbeit ...) oder minimiere es zumindest.).
GdD
2016-05-09 21:21:12 UTC
view on stackexchange narkive permalink

Die HIPAA geht nicht auf bestimmte Richtlinien ein. Der Kern davon ist, dass die Organisation über ausreichende Kontrollen verfügen muss, um Daten zu schützen. Eine unaufgeforderte Übernahme aus Sicht der HIPAA ist an sich nichts Falsches, solange andere Kontrollen (Authentifizierung, Autorisierung, Zugriffssteuerungslisten, Zugriffsprotokollierung und -prüfung, Antimalware auf dem Support-PC, rechtliche Vereinbarungen zwischen der Support-Organisation und Ihrer Organisation) etc) vorhanden sind.

Ohne zu wissen, was Ihr Unternehmen in Bezug auf IT-Sicherheitsrichtlinien, -prozesse und -verfahren tut, können Sie dies nicht feststellen.

Ob unaufgeforderte Übernahmen eine gute Sache sind, dann nein, sie sind es nicht. Sie möchten wirklich eine Warnung erhalten, wenn jemand Ihren PC zur Unterstützung übernimmt oder sogar auf Ihren Bildschirm schaut.

Ich bin mit Ihrer Schlusserklärung nicht einverstanden.Der IT-Auftragnehmer hat dies vor der Übernahme mündlich bestätigt.Wenn der Auftragnehmer während seiner Abwesenheit auf den PC zugreifen muss, wer klickt dann auf "Akzeptieren", wenn die Eingabeaufforderung angezeigt wird?Es sei denn natürlich, Sie meinten "nur eine Warnung" ohne Aufforderung oder Bestätigung.
@MonkeyZeus Er hat gefragt, aber die Tatsache, dass es keine Aufforderung gab, bedeutet, dass er nicht fragen musste.Das ist der beängstigende Teil in meinen Büchern.Was, wenn er nicht fragen wollte?Ich hätte keine Möglichkeit zu wissen, dass ich überwacht wurde, geschweige denn, dass ich nicht die einzige Person mit Kontrolle bin.
@corsiKa OP besitzt den Computer nicht und sollte immer so funktionieren, als würden sie überwacht, insbesondere im Gesundheitsbereich.Wenn OP der Ansicht ist, dass seine / ihre Rechte verletzt wurden, sollten sie dies dem oberen Management mitteilen, da sie das letzte Wort darüber haben, was in ihrem Unternehmen zulässig ist oder nicht.
@MonkeyZeus Sicher, Sie sollten immer so arbeiten, als würden Sie überwacht.Wenn sich OP am Computer befindet, ist OP für die Aktionen verantwortlich, die auf dem Computer ausgeführt werden.Wenn jemand anderes handeln kann, ist dies ein Problem, und OP muss sich bewusst sein, dass möglicherweise jemand anderes Daten eingibt.
@MonkeyZeus Ich sehe einen sehr großen Unterschied zwischen der internen IT, die einen Computer ohne Zustimmung des Benutzers übernehmen kann, und der Fähigkeit eines externen Auftragnehmers, dasselbe zu tun.Ersteres ist völlig angemessen, da der Mitarbeiter, der die unaufgeforderte Übernahme vornimmt, für das Unternehmen arbeitet, dem der Computer und die Daten gehören.Letzteres ist meiner Meinung nach ziemlich uncool, da es sich nicht um den Computer oder die Daten des Auftragnehmers handelt.Wir gewähren Auftragnehmern den Mindestzugriff und es ist keine Übernahme von Computern oder Sitzungen ohne Benutzereingriff zulässig. Die Richtlinien können und werden jedoch variieren.
@ToddWilcox stimmte zu, daher meine Aussage "Sie sollten es mit dem oberen Management besprechen".
@ToddWilcox: wieder, ich denke, es hängt von den umgebenden Prozessen / Richtlinien / Verträgen ab.Ein Auftragnehmer kann "für das Unternehmen arbeiten, dem der Computer gehört", obwohl er kein fester Mitarbeiter ist, da er gegenüber seinem Kunden weiterhin eine Verantwortung (möglicherweise eine treuhänderische Verantwortung) hat.Ich weiß nicht, ob die HIPAA etwas über das Hausmeisterpersonal sagt, aber im allgemeinen Geschäftsbetrieb können Sie die Reinigung beauftragen und den Auftragnehmern die Schlüssel geben.Sie müssen nur sicherstellen, dass die Sorgfalt vorhanden ist, die vorhanden wäre, wenn sie intern wäre.
... der Extremfall sind Anwälte und Buchhalter, bei denen ihre Pflicht gegenüber ihrem Mandanten unabhängig von ihren Beschäftigungsvereinbarungen gesetzlich vorgeschrieben ist.Einige Leute ziehen es vor, interne Anwälte zu behalten, aber normalerweise nicht aus dem Grund, dass "Auftragnehmer" -Anwälte, die bei einer Anwaltskanzlei angestellt sind oder Partner einer Anwaltskanzlei sind, "nicht für mich arbeiten", während interne Anwälte dies tun.Wenn Ihre IT-Mitarbeiter Probleme nachts lösen müssen, können Sie ihnen ohne lokale Genehmigung Fernzugriff gewähren, unabhängig davon, ob die IT ausgelagert oder intern ist.Es ist jedoch unklug für sie, diese Leistung während der Bürozeiten zu nutzen, ohne den Benutzer an der Maschine zu informieren.
@corsiKa: "Ich habe keine Möglichkeit zu wissen."ist nicht dasselbe wie "Es gibt keine Möglichkeit zu wissen."
@WillihamTotland Was macht das aus?Die Person, die die Daten eingibt, muss wissen, ob diese eingegebenen Daten von einem anderen Akteur kompromittiert werden können.
@corsiKa Nein, die konforme Organisation muss über geeignete Verfahren verfügen, wie der Zugriff auf Daten kontrolliert wird, wie Änderungen sichergestellt werden und wie Protokolle geführt werden. Dies bedeutet jedoch nicht zwangsläufig, dass die Person, die die Daten eingibt, über alle anderen Parteien informiert werden mussdie Lese- (oder Schreib-) Zugriff auf die Daten haben - der * Patient * hat bestimmte Rechte an diesen Informationen, aber es kann für die Organisation unter bestimmten Umständen durchaus vernünftig sein, Dritten Zugriff zu gewähren und als Richtlinie nicht zu informierendie Person, die (einige) der Daten eingibt.
@Peteris Das ist absurd.Wenn auf meinem Bildschirm ein Fenster geöffnet ist und ich die medizinischen Informationen eines Benutzers eingebe und jemand irgendwo die Möglichkeit hat, die Transaktion zu ändern, die ich durchführen möchte, kann ich die Glaubwürdigkeit der Daten, die ich eingeben möchte, nicht mehr sicherstellen.Ich sage nicht, dass es nicht überwacht werden sollte, aber eine Person, die einen Datensatz eingibt, sollte eine ACID-Operation (Atomic, Consistent, Isolated, Durable) sein.Sicher, jemand anderes hat möglicherweise Schreibzugriff auf diese Daten, aber er sollte keinen Schreibzugriff auf meine Transaktion haben oder Informationen weitergeben, die ich schreibe * als ob sie von mir stammen *.Das ist nicht konform.
@corsiKa Ihre Ideen und Anliegen sind logisch sinnvoll.Es ist jedoch nicht die Realität, die ich erlebt habe.Ich habe für ein Unternehmen gearbeitet, das (ausgelagerte) IT-Dienstleistungen erbracht hat.Nach der Installation der benutzerdefinierten Software können mehrere Remote-Dienste ausgeführt werden, einschließlich der Installation und Ausführung eines VNC-Servers.Es war keine Beteiligung des "Endbenutzers" erforderlich.Auf unseren Computern wurden Protokolle geführt, aus denen hervorgeht, welcher Administrator verbunden war.Ich konnte Bildschirme sehen und Mausklicks und Tastenanschläge eingeben, die das Remote-System akzeptieren würde.Die Software des lokalen Computers würde davon ausgehen, dass dies eine Eingabe des angemeldeten Benutzers ist.Wir haben auch für die Einhaltung von HIPPA geworben
@ToddWilcox Wir wissen eigentlich nicht, dass dies auch ein externer Auftragnehmer ist.OP sagte gerade "IT-Auftragnehmer".Ich war viele, viele Male Auftragnehmer in einem internen IT-Team.Das Unternehmen, für das ich derzeit arbeite, bietet Kunden, von denen einige keine interne IT-Abteilung haben, IT-Infrastruktur und -Dienstleistungen an. Damit sind wir sowohl externe Auftragnehmer als auch die IT-Abteilung für diese Kunden.
TTT
2016-05-11 04:10:50 UTC
view on stackexchange narkive permalink

Verwenden des vom Autor bevorzugten Restatements im Kommentar:

Ist es für unseren IT-Support-Auftragnehmer in Ordnung, ohne Autorisierung remote zuzugreifen?

Unter normalen Umständen Ja.

Lassen Sie uns über die spezifischen Schlüsselwörter sprechen.

Remote : Angenommen, Sie arbeiten nicht von zu Hause aus IT-Administratoren können am Ende des Tages auf Ihrem Stuhl sitzen und sich an Ihren Arbeitsstationen anmelden, Updates installieren und Ihren Computer nach dem Verlassen des Unternehmens neu erstellen. Sie haben bereits vollen Zugriff auf Ihren Computer und können (normalerweise) alles darauf anzeigen. Es ist möglich, dass sie auch Zugriff auf die Unternehmensdatenbanken und Gesundheitsakten haben. Daher können sie während einer Remotesitzung möglicherweise nichts auf Ihrem Bildschirm sehen, auf das sie außerhalb der Remotesitzung nicht bereits Zugriff hätten, wenn sie dies beschlossen hätten Schau es dir an. Wenn dies der Fall ist, kann das Anfordern Ihrer Erlaubnis vor der Übernahme Ihres Computers eher als Höflichkeit denn als gesetzliche Anforderung angesehen werden.

Auftragnehmer : Viele Auftragnehmer arbeiten als eine Erweiterung des Unternehmens und müssen NDAs, HIPAA-Offenlegungen unterzeichnen, an Schulungen teilnehmen und dieselben Regeln und Gesetze in Bezug auf Sicherheit, Datenschutz und Ethik befolgen wie alle Mitarbeiter. Selbst in einer Situation, in der ein Auftragnehmer nicht aufgefordert wurde, etwas zu unterschreiben, würde dies ihm nicht die Erlaubnis erteilen, gegen das Gesetz zu verstoßen.

Hinweis : Diese Aussagen sind Verallgemeinerungen, die für die gelten können Gesundheitsbranche, aber nicht unbedingt für alle Branchen. In der Verteidigungsbranche können Sie beispielsweise einer IT-Person möglicherweise nicht erlauben, ohne Benutzerinteraktion auf eine Maschine zuzugreifen, wenn der Benutzer ein Dokument anzeigt, das über der Freigabestufe der IT-Person liegt. (Dies ist jedoch kein Problem, wenn es dedizierte Räume mit Maschinen gibt, die speziell zum Anzeigen streng geheimer Dokumente dienen.)

Wenn Sie den Text meines Beitrags ignorieren, wird viel Kontext entfernt, und viele Ihrer Annahmen sind falsch.
@DevilsAdvocate: Ich habe die Frage allgemein beantwortet.Ihr spezielles Szenario könnte offensichtlich anders sein, aber ich habe in Ihrer Frage nichts gesehen, was mich zu der Annahme veranlassen würde, dass es definitiv gegen die HIPAA verstößt.Welcher Teil der Frage ist Ihrer Meinung nach relevant, den ich ignoriert habe?
licklake
2016-06-07 13:25:59 UTC
view on stackexchange narkive permalink

Es hängt stark von dem Land ab, in dem Sie leben, da dies eher eine rechtliche Frage ist. In einigen Staaten ist dieser Ansatz rechtlich korrekt, wenn Sie ihn in Ihrem Arbeitsvertrag unterzeichnet haben, andere verbieten diesen Vorgang aus Datenschutzgründen vollständig.

munkeyoto
2016-05-10 00:25:51 UTC
view on stackexchange narkive permalink

Ich bin völlig anderer Meinung als die Antwort, die besagt: " HIPAA kommt nicht zu Einzelheiten der Richtlinie ". Sie werden Ihnen zwar nicht sagen, wie Sie schreiben oder eine Richtlinie erstellen sollen, sie erhalten jedoch SEHR spezifische Anleitungen. Hier sind die unvoreingenommenen Fakten, um Ihre Frage zu beantworten. Die Regeln für die HIPAA-Anforderungen für administrative, physische und technische Schutzmaßnahmen schreiben grundlegende Anforderungen an Sicherheit und Datenschutz vor:

  • Identifizierung und Authentifizierung
  • Prüfungskontrollen

Identifizierung und Authentifizierung

Es ist von grundlegender Bedeutung, dass das IT-Personal der Gesundheitseinrichtung weiß, wer es ist Zugriff auf ihr Netzwerk, ihre Software und ihre Systeme und dass die Person oder Organisation, die Zugriff erhält, diejenige ist, die beansprucht wird. HIPAA, 45 CFR Part 164.312 (d) .3

Ihr Anbieter und Ihre Organisation verletzen die HIPAA-Mandate, da für HIPAA die Verwendung eindeutiger Benutzer-IDs erforderlich ist. Sie haben angegeben, dass er sich ohne Anmeldeinformationen angemeldet hat. Dies beantwortet Ihre Frage, ohne weiter gehen zu müssen, aber wir werden noch weiter gehen.

Audit-Kontrollen

Ein IT-Experte im Gesundheitswesen möchte dies erstellen , speichern und schützen Sie geeignete Protokolldateien aller sicherheitsrelevanten Aktivitäten, die während einer Remotesitzung stattfinden. HIPAA, 45 CFR Part 164.312 (b) .6 Darüber hinaus verlangt die HIPAA von einer abgedeckten Stelle, dass sie „regelmäßig Aufzeichnungen über Aktivitäten des Informationssystems wie Überwachungsprotokolle, Zugriffsberichte und Berichte zur Verfolgung von Sicherheitsvorfällen überprüft“. HIPAA, 45 CFR 164.308 (a) (1) (ii) (D). Nach dem HITECH-Gesetz kann ein Patient bei einem abgedeckten Unternehmen eine Offenlegungsrechnung beantragen, in der er im Wesentlichen fragt, wer meine Gesundheitsinformationen bis zu den letzten drei Jahren angesehen hat. HIPAA, 45 CFR 164.528 (a) und HITECH Act, 13405 (c). … Muss einen Prüfpfad für Anmeldungen und Anmeldeversuche bereitstellen. HIPAA, 45 CFR 164.308 (a) (5) (ii) (C)

Sie haben angegeben, dass ein Anbieter ohne Anmeldeinformationen außerhalb der mündlichen Notizen (die vor Gericht nichts bedeuten) angemeldet ist. Welche Art der Prüfung wurde über Protokolle durchgeführt? Selbst wenn Sie DID ein Protokoll des Ereignisses haben, mit wem werden Sie es verknüpfen?

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Dieses Gespräch wurde [zum Chat verschoben] (http://chat.stackexchange.com/rooms/39655/discussion-on-answer-by-munkeyoto-is-it-okay-for-our-it-support-contractor-zu-re).
Joshua
2016-05-11 00:10:18 UTC
view on stackexchange narkive permalink

Nun, nein. Wenn er ohne Erlaubnis einsteigen kann, kann jeder ohne Erlaubnis einsteigen.

1) Sie haben ihm eine gesetzliche Genehmigung erteilt. Dies ist nicht dasselbe wie eine technische Genehmigung. Wenn ich jemanden anrufen und um Hilfe bitten würde und er es aus der Ferne tun würde und ich nicht weiß, wie er dazu gekommen ist, wäre ich auch nervös.

2) Ihr IT-Support hat wahrscheinlich einige Art des Fernzugriffs bereits eingerichtet. Dies ist aus vielen Gründen praktisch. Hier ist es jedoch am wichtigsten zu wissen, wie es funktioniert .

3) Wenn die RAS-Methode keine Protokolle bereitstellt, entspricht sie nicht der HIPAA.

Ihr 3. Punkt ist gültig, aber ich möchte eine Quelle.
Sie nennen dich richtig.Ich kann das Material, das ich habe, aufgrund der Unternehmensfirewall nicht beziehen.trotzdem ist es genau.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...