Spørsmål:
Er det greit at vår IT-supportentreprenør fjernkontrollerer uten autorisasjon?
Devil's Advocate
2016-05-09 20:50:31 UTC
view on stackexchange narkive permalink

Vi er et helsevesenets IT-selskap. Maskinen min har PHI på den. IT-entreprenøren spurte verbalt om han kunne komme inn for å fikse skriveren min, så jeg sa sikkert. Jeg forventet en slags melding om å tillate det, men han var nettopp i. Noen form for VNC antar jeg.

Er dette greit? Med hensyn til HIPAA?

Det som kan være svært tvilsomt er sporloggen over hvilke tilganger og endringer som ble utført på datamaskinen din.Bare spør denne loggen for å sjekke om du er HIPAA-kompatibel.
Jeg har ingen anelse om HIPAA-krav, men merk at formodningen om spørsmålstittelen din "fjernkontroll uten autorisasjon" ikke er oppfylt: Du ga ham autorisasjon muntlig.
Det er litt pedantisk.Jeg kunne gi nytt navn til spørsmålet "Er det greit at vår IT-supportentreprenør har muligheten til å fjernkontrollere uten autorisasjon?"
Vær oppmerksom på at bare fordi du ikke personlig autoriserte denne personen, betyr det ikke at han ikke var autorisert.Han kan fortsatt ha blitt bedt om å legge inn legitimasjon på slutten som autorisasjonskode for PCen din. Med andre ord, bare fordi du ikke fikk en popup, betyr det ikke at han ikke gjorde det.
Numeron har rett!Slik spørsmålet står, innebærer det hva du vil tro.Hvis dataene på PC-en din ikke er i ditt eie, har noen andre muligheten til å gi autorisasjon, hvis IT-fyren har en formell autorisasjon til å få tilgang til datamaskinen din og får en muntlig autorisasjon fra deg, det betyr at han har autorisert tilgang.Spørsmålet ditt bør være "** Er det ok hvis IT-supportentreprenøren vår har muligheten til å fjernkontrollere uten min bekreftelse **"
Seks svar:
HopelessN00b
2016-05-10 02:49:56 UTC
view on stackexchange narkive permalink

Du har faktisk ikke gitt nok detaljer til å si det ene eller det andre. Det at du ikke så en autentiseringsprompt, utelukker ikke at det kan være en.

Fjerntilgangsverktøyene Jeg bruker i jobben min (som også omhandler HIPAA) begge krever at jeg godkjenner med domeneadministratorlegitimasjonen min og ikke ber brukerne om å godta forbindelsen, fordi jeg har konfigurert dem på den måten.

Autentisering <> Autorisasjon.Jeg kunne ha sett på sensitivt pasientmateriale.En enkel "Vil du tillate støtte å koble til?"vil gi en sjanse til å lukke alt viktig.Vi har heller ikke noe domene her, ingenting å autentisere mot.Jeg liker også at rettferdiggjørelsen din er konfigurasjonen du setter opp.Jeg jobbet i et stort helsesystem i 15 år.Våre interne støtteverktøy ba oss alltid.Selv om det ikke er noen ondsinnet hensikt, vil vi ikke at helpdesk-ansatte ved et uhell ser bilder fra koloskopi eller noe ...
@Devil'sAdvocate OK.Ingenting av det endrer noe.Han fikk autorisasjon muntlig fra deg (noe du ikke burde ha gjort hvis du faktisk så på sensitivt materiale akkurat det øyeblikket), og du aner ikke hva autentisering som brukes her (ja, domeneløse / arbeidsgruppedatamaskiner autentiserer brukere), hvilken logging eller revisjon som blir gjort, eller til og med hvilken protokoll eller program fyren brukte for ekstern tilgang.Du gjetter bare på alt, så ikke nok informasjon til å si.
Jeg jobber for tiden for et helsevesen, og våre generelle IT-gutter, og spesielt den som er tildelt gruppen vår, fjernes til stasjonære maskiner hele tiden.De har to muligheter for å gjøre det, det ene gir meg en popup som lar meg autorisere tilkoblingen, en ikke.I begge tilfeller har jeg gitt _ verbal_ tillatelse _ før tilkoblingen ble gjort.Uansett _ hvem_ jeg har jobbet for tidligere, lukker jeg, eller i det minste, noe vindu som jeg ikke vil at fjernkontakten skal se på, PHI eller på annen måte (som * .SE mens du er på jobb) ...).
GdD
2016-05-09 21:21:12 UTC
view on stackexchange narkive permalink

HIPAA kommer ikke til detaljene i politikken, men innholdet i det er at organisasjonen må ha tilstrekkelig kontroll for å beskytte data. Det er ingenting galt med en uhørt overtakelse fra et HIPAA-perspektiv, så lenge andre kontroller (godkjenning, autorisasjon, tilgangskontrollister, tilgangslogging og revisjon, antimalware på støtte-PC-en, juridiske avtaler på plass mellom støtteorganisasjonen og organisasjonen din, etc) er på plass.

Så uten å vite hva organisasjonen din har i veien for policyer, prosesser og prosedyrer for IT-sikkerhet, er det ingen måte å fortelle.

Når det gjelder hvorvidt uforbeholdne overtakelser er en god ting, så er de ikke det. Du vil virkelig ha en advarsel når noen tar over PCen din for støtte, eller til og med ser på skjermen.

Jeg er uenig i avslutningsuttalelsen din.IT-entreprenøren bekreftet muntlig før han overtok.Også, hvis entreprenøren trenger å komme inn på PC-en mens brukeren er borte, hvem vil da klikke "godta" når ledeteksten kommer opp?Med mindre du selvfølgelig mente "bare en advarsel" uten spørsmål eller bekreftelse.
@MonkeyZeus Han spurte, men det faktum at det ikke var noe raskt, betyr at han ikke trengte å spørre.Det er den skumle delen i bøkene mine.Hva om han valgte å ikke spørre?Jeg hadde ingen måte å vite at jeg ble overvåket, langt mindre at jeg kanskje ikke er den eneste personen med kontroll.
@corsiKa OP eier ikke datamaskinen og skal alltid fungere som om de ** blir ** overvåket, spesielt innen helseområdet.Hvis OP føler at hans / hennes rettigheter er blitt krenket, bør de ta det opp med øverste ledelse, siden de vil ha det siste ordet når det gjelder hva som er tillatt i deres selskap eller ikke.
@MonkeyZeus Visst, du bør alltid fungere som om du blir overvåket.Imidlertid, når OP er ved datamaskinen, er OP ansvarlig for handlingene som finner sted på den.Hvis noen andre kan handle, er det et problem, og OP må være klar over at noen andre kan legge inn data.
@MonkeyZeus Jeg ser en veldig stor forskjell mellom at intern IT kan overta en datamaskin uten brukergodkjenning kontra at en ekstern entreprenør kan gjøre det samme.Førstnevnte er helt hensiktsmessig siden den ansatte som utfører den uanmodede overtakelsen, fungerer for enheten som eier datamaskinen og dataene.Sistnevnte er ganske ukjent etter min mening fordi det ikke er entreprenørens datamaskin eller data.Vi gir entreprenører minimumsadgang, og det er ingen overtakelse av datamaskiner eller økter tillatt uten brukerinnblanding, men retningslinjene kan og vil variere.
@ToddWilcox Avtalt, derav min uttalelse om "de burde ta det opp med øvre ledelse".
@ToddWilcox: igjen, jeg tror det avhenger av den omkringliggende prosessen / policyen / kontraktene.En entreprenør kan "jobbe for enheten som eier datamaskinen", til tross for at de ikke er fast ansatt, fordi de fremdeles har et ansvar (potensielt et forvaltningsansvar) overfor klienten.Jeg vet ikke om HIPAA sier noe om vaktmestertjeneste, men generelt kan du trekke rengjøring og gi entreprenørene nøkler.Du må bare sørge for at flid er på plass som ville være der hvis den var internt.
... ekstreme tilfeller er advokater og regnskapsførere der deres plikt overfor klienten er lovbestemt, uavhengig av arbeidsforholdet.Noen mennesker foretrekker å ha interne advokater, men vanligvis ikke av den grunn at "entreprenøradvokater, ansatt av eller partnere i et advokatfirma," ikke jobber for meg ", mens interne advokater gjør det.Hvis IT-personene dine trenger å løse problemer om natten, kan du godt gi dem ekstern tilgang uten lokal godkjenning, enten IT er kontrakt eller internt.Men det er uklokt for dem å bruke den kraften i kontortiden uten å informere brukeren på maskinen.
@corsiKa: "Jeg har ingen måte å vite."er ikke det samme som "Det er ingen måte å vite."
@WillihamTotland Hva betyr det noe?Personen som skriver inn dataene har en forpliktelse til å vite om de oppgitte dataene kan bli kompromittert av en annen aktør.
@corsiKa nei, den kompatible organisasjonen må ha passende prosedyrer for hvordan tilgang til data blir kontrollert, hvordan modifikasjon er sikret og hvordan logger føres, men det betyr ikke nødvendigvis at personen som skriver inn dataene må holdes informert om alle andre partersom har lest (eller skrevet) tilgang til dataene - * pasienten * har visse rettigheter til den informasjonen, men det kan være ganske rimelig for organisasjonen i noen tilfeller å gi noe tilgang til tredjeparter og som en policy ikke informerepersonen som skriver inn (noen av) dataene.
@Peteris Det er latterlig.Hvis jeg har et vindu oppe på skjermen, og jeg oppgir medisinsk informasjon til en bruker, og noen et sted har muligheten til å endre transaksjonen jeg er i ferd med å utføre, kan jeg ikke lenger sikre troverdigheten til dataene jeg skal legge inn.Jeg sier ikke at det ikke skal overvåkes, men en person som skriver inn en datapost, bør være en ACID (Atomic, Consistent, Isolated, Durable) -operasjon.Sikker på at noen andre kan ha skrivetilgang til disse dataene, men de skal ikke ha skrivetilgang til transaksjonen min eller gi fra meg informasjonen jeg skriver * som om den kom fra meg *.Det er ikke i samsvar.
@corsiKa Dine ideer og bekymringer gir deg logisk mening.Det er imidlertid ikke virkeligheten jeg har opplevd.Jeg jobbet for et selskap som leverte (outsourcet) IT-tjenester.Etter å ha installert tilpasset programvare, kan vi utføre flere eksterne tjenester, inkludert installasjon og kjøring av en VNC-server.Ingen "sluttbruker" -engasjement var nødvendig.Logger, som viser hvilken administrator som var koblet til, ble oppbevart på maskinene våre.Jeg kunne se skjermer og legge inn museklikk og tastetrykk, som det eksterne systemet ville godta.Programvaren til den lokale maskinen antar at dette er inngang fra den påloggede brukeren.Vi annonserte også HIPPA-overholdelse
@ToddWilcox Vi vet faktisk ikke at dette heller er en ekstern entreprenør.OP sa bare "IT-entreprenør".Jeg har vært en entreprenør i et internt IT-team mange, mange ganger.For den saks skyld tilbyr selskapet jeg for øyeblikket jobber med IT-infrastruktur og tjenester til klienter, hvorav noen ikke har en intern IT-avdeling, noe som gjør oss til både eksterne entreprenører og IT-avdelingen for disse klientene.
TTT
2016-05-11 04:10:50 UTC
view on stackexchange narkive permalink

Bruker forfatterens foretrukne omtale i kommentaren:

Er det greit at vår IT-supportentreprenør har muligheten til å fjernkontrollere uten autorisasjon?

Under normale omstendigheter, Ja.

La oss snakke om de spesifikke stikkordene.

Fjernkontroll : Forutsatt at du ikke jobber hjemmefra, husk at IT-administratorer kan sitte i stolen din på slutten av dagen og logge på arbeidsstasjonene dine, installere oppdateringer og ta bilder av datamaskinen på nytt etter at du forlater selskapet. De har allerede full tilgang til datamaskinen din og kan (vanligvis) se alt på den. Det er mulig at de også har tilgang til firmadatabaser og helseposter, og det er sannsynligvis ikke noe de kunne se på skjermen din under en ekstern økt som de ikke allerede ville ha tilgang til utenfor den eksterne økten, hvis de bestemte seg for å se det. Hvis det er tilfelle, kan det å tenke på mer tillatelse, snarere enn å være lovlig, be om tillatelse før du tar over datamaskinen.

Entreprenør : Mange entreprenører jobber som en utvidelse av selskapet, og må signere NDA, HIPAA-avsløringer, delta på opplæring og følge de samme reglene og lovene angående sikkerhet, personvern og etikk som alle ansatte gjør. Selv i en situasjon der en entreprenør ikke ble bedt om å signere noe, ville det ikke gi dem tillatelse til å bryte loven.

Merk : disse uttalelsene er generaliseringer som kan gjelde for helseindustrien, men gjelder ikke nødvendigvis alle bransjer. For eksempel i forsvarsindustrien tillater du kanskje ikke en IT-person å fjernkontrollere inn i en maskin uten brukerinteraksjon i tilfelle brukeren ser på et dokument som ligger over IT-personens klareringsnivå. (Selv om dette ikke er et problem hvis det er dedikerte rom med maskiner spesielt for visning av topphemmelige dokumenter.)

Å ignorere innholdet i innlegget mitt fjerner mye sammenheng og mange av antagelsene dine er feil.
@DevilsAdvocate: Jeg har svart på spørsmålet generelt.Spesielt ditt scenario kan åpenbart være annerledes enn det, men jeg så ikke noe i spørsmålet ditt som ville få meg til å tro at det definitivt er i strid med HIPAA.Hvilken del av spørsmålet synes du er relevant som jeg ignorerte?
licklake
2016-06-07 13:25:59 UTC
view on stackexchange narkive permalink

Det avhenger sterkt av landet du bor i, da dette mer er et juridisk spørsmål. I noen stater er denne tilnærmingen juridisk korrekt hvis du signerte den i arbeidsavtalen din, andre forbyr denne fremgangsmåten fullstendig på grunn av personvernregler.

munkeyoto
2016-05-10 00:25:51 UTC
view on stackexchange narkive permalink

Jeg er helt uenig i svaret og sier: " HIPAA kommer ikke til detaljene i politikken ". Selv om de ikke vil fortelle deg hvordan du skal skrive, eller lage en policy, kommer de inn i VELDIG spesifikk veiledning. Her er upartiske fakta for å svare på spørsmålet ditt. Reglene om HIPAA-krav administrative, fysiske og tekniske garantier gir grunnleggende krav til sikkerhet og personvern:

  • Identifikasjon og autentisering
  • Revisjonskontroll

Identifikasjon og autentisering

Det er grunnleggende at IT-personell i helsevesenet vet hvem som er få tilgang til nettverket, programvaren og systemene deres, og at personen eller enheten som får tilgang er den som hevdes. HIPAA, 45 CFR del 164.312 (d) .3

Din leverandør og organisasjonen din bryter HIPAA-mandatene, siden HIPAA krever bruk av unike bruker-IDer. Du uttalte at han logget inn uten legitimasjon. Dette svarer på spørsmålet ditt uten å trenge å gå lenger, men videre skal vi gå.

Revisjonskontroll

En helsepersonell vil ønske å lage , lagre og beskytte passende loggfiler for alle sikkerhetsfølsomme aktiviteter som finner sted under en ekstern økt. HIPAA, 45 CFR del 164.312 (b) .6 I tillegg krever HIPAA at en dekket enhet "regelmessig gjennomgår poster over informasjonssystemets aktivitet, for eksempel revisjonslogger, tilgangsrapporter og sikkerhetshendelsessporingsrapporter." HIPAA, 45 CFR 164,308 (a) (1) (ii) (D). I henhold til HITECH-loven kan en pasient be om en regnskapsføring fra en dekket enhet som i utgangspunktet spør "hvem som har sett på helseinformasjonen min" i opptil de tre foregående årene. HIPAA, 45 CFR 164.528 (a) og HITECH Act, 13405 (c). ... må gi et revisjonsspor av pålogginger og påloggingsforsøk. HIPAA, 45 CFR 164.308 (a) (5) (ii) (C)

Du uttalte at en leverandør som var logget på uten legitimasjon, utenfor verbale notater (som ikke betyr noe i en domstol) hva slags revisjon ble gjort via logger? Selv om du HAR har en logg over hendelsen, hvem skal du knytte den til?

Kommentarer er ikke for utvidet diskusjon;denne samtalen er [flyttet til chat] (http://chat.stackexchange.com/rooms/39655/discussion-on-answer-by-munkeyoto-is-it-okay-for-our-it-support-contractor-to-re).
Joshua
2016-05-11 00:10:18 UTC
view on stackexchange narkive permalink

Vel, nei. Hvis han kan komme inn uten autorisasjon enn noen kan komme inn uten autorisasjon. Imidlertid

1) Du ga ham lovlig autorisasjon. Dette er ikke det samme som teknisk autorisasjon. Hvis jeg ringte noen opp og ba om hjelp og han opp og gjorde det eksternt, og jeg ikke vet hvordan han kom inn for å gjøre det, ville jeg også være nervøs.

2) Din IT-støtte har sannsynligvis noe slags ekstern tilgang allerede konfigurert. Dette er praktisk av mange grunner. Her er det viktigst å vite hvordan det fungerer skjønt.

3) Hvis metoden for ekstern tilgang ikke gir logger, tilfredsstiller den ikke HIPAA.

Det tredje punktet ditt er gyldig, men jeg ønsker en kilde.
De navngir deg riktig.Jeg kan ikke hente materialet jeg har, fordi bedriftens brannmur;likevel er det nøyaktig.


Denne spørsmålet ble automatisk oversatt fra engelsk.Det opprinnelige innholdet er tilgjengelig på stackexchange, som vi takker for cc by-sa 3.0-lisensen den distribueres under.
Loading...