Tweefactorauthenticatie (2FA), ook bekend als multifactorauthenticatie (MFA), is voor bedrijven eenvoudig genoeg om in te voeren. Deze kleine maatregel kan de veiligheid van uw organisatie echter aanzienlijk verhogen en cyberaanvallen in het algemeen ontmoedigen.
Vooral de gezondheidszorg, een sector die met grote databases met gevoelige medische gegevens werkt, moet twee- en multifactoridentificatie omarmen om zowel cliënten, patiënten, leveranciers als werknemers te beschermen.
Uit een recente studie van Microsoft is gebleken dat tweefactorauthenticatie een succespercentage van 99,9% heeft bij het blokkeren van geautomatiseerde cyberaanvallen, de meest voorkomende soort aanval. Helaas maakt slechts 11% van de organisaties daadwerkelijk gebruik van MFA.
Het spreekwoord zegt immers: voorkomen is beter dan genezen.
In dit artikel bespreken we waarom tweefactorauthenticatie zo'n hoog succespercentage heeft bij het beschermen van organisaties tegen cybercriminelen. We zullen het ook hebben over hoe u veilig een systeem voor tweefactorauthenticatie kunt invoeren binnen uw eigen gezondheidszorgorganisatie.
De gezondheidszorg en data
Het aantal gevallen van cybercriminaliteit binnen de gezondheidszorg neemt toe. Volgens Health IT Security is de gezondheidszorg goed voor 79% van alle gemelde gegevensinbreuken als gevolg van hacking, en het aantal aanvallen op zorgverleners en -organisaties neemt in totaal met 45% toe.
Een deel van deze stijging is te wijten aan de coronapandemie. Cybercriminelen en opportunisten herkennen een goede gelegenheid wanneer ze er een zien, en spelen snel in op de angsten van de mensen door phishing-e-mails – of valse e-mails met links vol virussen – naar zo veel mogelijk e-mailaccounts te sturen.
“Een cross-site request forgery-aanval doet zich voor wanneer een slachtoffer een verzoek doet waarbij gebruik wordt gemaakt van zijn bereidwillige autorisatie- of authenticatiesleutels", aldus cyberbeveiligingsexpert Mark Preston van Cloud Defense. “De aanvaller in kwestie kan zich dan voordoen als de gebruiker en zich toegang verschaffen tot gevoelige informatie.”
Het lijkt misschien moeilijk te geloven dat personen zo vaak hun autorisatie of authenticatie voor hun gezondheidszorgaccounts in gevaar brengen. Angst kan er echter voor zorgen dat patiënten eerder toegeven aan verzoeken om hun inloggegevens, vooral wanneer die ogenschijnlijk van een betrouwbare bron komen, zoals een zorgverlener.
De ernst van de dreiging wordt nog vergroot door de recente maatregelen van het ministerie van Volksgezondheid en Sociale Diensten, die tot doel hebben de gegevens te consolideren om gezondheidsorganisaties en hun mogelijkheden om met elkaar samen te werken, gegevens te delen en contacten te traceren, te verbeteren. Het opbouwen van een grotere en gemakkelijker te gebruiken database is ideaal voor elke moderne samenleving, maar het vergroot ook de speelruimte voor hackers.
Tweefactorauthenticatie maakt aanvallen tegen organisaties in de gezondheidszorg veel moeilijker, omdat een hacker zowel toegang moet hebben tot het wachtwoord als tot een speciale code of symbool dat naar de telefoon van de gebruiker wordt gestuurd om toegang te krijgen tot de account. Dit soort verbeterde cyberbeveiliging kan van cruciaal belang zijn voor sectoren die met vertrouwelijke gegevens te maken hebben, vooral gezien het huidige klimaat dat geleid heeft tot een dramatische toename van hackingincidenten in de gezondheidszorg.
De voordelen van tweefactorauthenticatie
Het belangrijkste voordeel van tweefactorverificatie zit in de term zelf: de toegang tot een account is afhankelijk van twee variabelen, wat te vergelijken is met twee sleutels nodig hebben om een huis binnen te gaan. De beveiliging is dus dubbel zo sterk.
Tweefactorauthenticatie is doelbewust ontworpen om het risico van gecompromitteerde gebruikersgegevens te verminderen. Eigenlijk is het proces in theorie heel eenvoudig. De meeste mensen gebruiken dit soort veiligheidsmaatregelen al op de een of andere manier.
Wanneer bijvoorbeeld een debetkaart in de geldautomaat wordt ingevoerd, voert de gebruiker een pincode in voor een tweede stap van identiteitscontrole. Een andere veelvoorkomende praktijk is dat een gebruiker op een website inlogt met zijn wachtwoord, maar een numerieke code moet verifiëren die naar zijn mobiele toestel wordt gestuurd om toegang te krijgen tot zijn account.
Voor tweefactorauthenticatie wordt doorgaans het volgende gebruikt:
- Iets dat u weet (zoals een wachtwoord, antwoorden op beveiligingsvragen of een pincode)
- Iets wat u heeft (zoals een smartcard of token)
- Iets wat u bent (zoals uw biometrische gegevens, zoals vingerafdrukken of gezichtsscans)
Eenvoudige implementatie van tweefactorauthenticatie
Tweefactorauthenticatie verbetert de veiligheid en de workflow, maar heeft de perceptie omslachtig of tijdrovend te zijn, wat niet altijd het geval is. Deze methode om gebruikers te beschermen mag nooit frustrerend zijn, de workflow belemmeren of barrières opwerpen voor een uitstekende patiëntenzorg.
Een geïntegreerde authenticatieworkflow is ideaal voor een gezondheidszorgomgeving, wat betekent dat als men eenmaal toegang heeft gekregen tot een systeem, er niet opnieuw wachtwoorden en codes hoeven te worden gebruikt voor verschillende taken. Natuurlijk moeten de gebruikers na een bepaalde ingestelde tijd automatisch uitgelogd worden en moeten ze zich opnieuw aanmelden.
Alle cyberbeveiligingsmaatregelen moeten voldoen aan de hoogste normen voor de regulering van de zorg, zoals de DEA-voorschriften voor elektronische recepten voor gecontroleerde medicijnen. Toch moet een systeem voor tweefactorauthenticatie speciaal voor de gezondheidszorg en zijn unieke workflowvereisten worden gebouwd.
IT-professionals moeten in staat zijn de altijd op de loer liggende gevaren van cybercriminaliteit duidelijk te communiceren, vergezeld van relevante statistieken. Opleiding en bewustmaking van de werknemers inzake cyberbeveiliging is immers een van de sterkste preventieve maatregelen die een organisatie kan nemen tegen hacking. Wanneer werknemers en patiënten het risico begrijpen, zullen ze eerder persoonlijk de verantwoordelijkheid nemen om dit te beperken.
Patiënten, artsen en werknemers moeten inzien hoe wijdverbreid cybercriminaliteit en inbreuken op gegevens momenteel zijn. Ze moeten begrijpen welke rol ze spelen in de waarschijnlijkheid dat cybercriminaliteit in de toekomst toeneemt, zodat ze verbeterde maatregelen op het gebied van cyberbeveiliging naar waarde kunnen schatten.
Voor iemand die niet vertrouwd is met technologie kan tweefactorauthenticatie immers een onnodige belemmering lijken die de patiënten verhindert de best mogelijke, meest efficiënte medische zorg te krijgen.
Het is belangrijk dat alle veiligheidsmaatregelen die uw organisatie neemt, gepaard gaan met het nodige zelfbewustzijn en de nodige kennis van cyberbeveiliging om uw werknemers en patiënten in staat te stellen hun gegevens veilig te bewaren.
Conclusie
Een cultuur van cyberbeveiliging opbouwen is de grootste preventieve maatregel die u kunt nemen om inbreuken op gegevens en cyberaanvallen te voorkomen. Wanneer men het belang van deze cyberbeveiligingsmaatregelen probeert over te brengen, helpt het om de talrijke recente inbreuken te illustreren die de gezondheidszorg hebben geschaad, en de negatieve gevolgen die deze incidenten hebben voor de werknemers en de patiënten zelf.
Maar wat echt van vitaal belang is, is dat de implementatie van cyberbeveiligingsmaatregelen wordt gezien als een samenwerking tussen IT en medewerkers, om samen te werken aan een veiliger en beter beveiligde gezondheidszorgomgeving. De zorg voor patiënten en cliënten neemt vele vormen aan, en het is belangrijk te onthouden dat de veiligheid van hun gegevens en toestellen daar één van is.
Opmerking: Dit blogartikel is geschreven door een gastauteur om onze lezers een gevarieerder aanbod te kunnen geven. De meningen die in dit artikel van de gastauteur worden geuit, zijn uitsluitend die van de auteur en komen niet noodzakelijk overeen met die van GlobalSign.
