Pytanie:
Czy dział HR / szef może wymagać nazwy użytkownika i hasła?
Melissa
2015-05-13 23:18:05 UTC
view on stackexchange narkive permalink

Niedawno otrzymaliśmy tę wiadomość e-mail w naszej pracy z działu HR. Pracujemy w branży medycznej, a nasza nazwa użytkownika i hasło są powiązane ze wszystkim, co robimy. Musimy przestrzegać surowych wytycznych HIPAA.

Czy podanie naszej nazwy użytkownika i hasła nie naruszałoby naszej prywatności? A skąd wiemy, że nasze informacje będą przechowywane w tajemnicy i prawidłowo wykorzystywane? Nasze informacje mogą posłużyć do pokazania, że ​​zrobiliśmy rzeczy, których nigdy nie robiliśmy.

„Chcę, aby wszyscy przesłali mi Twoją nazwę użytkownika i hasło do logowania w systemie Windows. Te hasła będą przechowywane w zamkniętej szafce na dokumenty i nie udostępniane nikomu poza dyrektorem generalnym lub dyrektorem operacyjnym. Dziękujemy za szybką odpowiedź. Miłego poniedziałkowego popołudnia! ”

Wiem, że to sprawia, że ​​wszyscy się kulimy. Wyłudzanie informacji? Naprawdę złe zasady IT? Po prostu niechlujstwo? Nadużycie? Rażąca głupota? Wszystkie ważne rzeczy, ale nie tutaj. Ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/23751/discussion-on-question-by-melissa-can-hr-boss-require-your-username-and-password) .
powiązane: [Nasz audytor bezpieczeństwa jest idiotą. Jak mam mu podać potrzebne informacje?] (Http://serverfault.com/q/293217)
Aby Twoje hasło było zgodne z ustawą HIPAA, musiałoby zostać zmienione w określonym czasie (zwykle 3 miesiące), co spowodowałoby, że po tym okresie wszystkie hasła użytkowników w szafie stałyby się bezużyteczne. Możesz oczywiście wysłać hasło e-mailem, a następnie natychmiast je zmienić!
@gnat Dzięki za ten link. Po prostu się pośmiałem.
W takim razie nie, na początku nie jesteśmy zgodni z ustawą HIPAA. Nawet jeśli mamy być. Przez całe dwa lata tu jestem hasło zostało raz zmienione.
Co to jest HIPAA? Czy ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych?
@Llopis tak. Oznacza to, że każdy podmiot w USA, który zajmuje się informacjami / dokumentacją zdrowotną innych osób, ma bardzo, bardzo surowe przepisy dotyczące bezpieczeństwa i prywatności, których musi przestrzegać.
Myślę, że tytuł tego pytania jest nieco mylący.
Jest fajna historia o fizyku Richardzie Feynmanie, który z łatwością odblokowuje _zamknięte szafki_ w laboratorium broni jądrowej w Los Alamos. Może cię bardzo oświecić w temacie zamkniętych szafek (wszystko inne jest bardzo dobrze opisane w odpowiedziach). Tytuł książki brzmi: „Z pewnością żartujesz, panie Feynman”.
Powiedz nam, proszę, wynik tej sytuacji, jestem pewien, że wszyscy (szczególnie administratorzy sieci) nie możemy się doczekać!
Odpowiadałbym swoją nazwą użytkownika i losowym hasłem, które wymyśliłem na miejscu ... tylko po to, żeby zobaczyć, co się stanie :)
Jedenaście odpowiedzi:
#1
+165
blankip
2015-05-14 00:01:02 UTC
view on stackexchange narkive permalink

Prośba jest absurdalna na każdym poziomie.

Po pierwsze, w jaki sposób menedżer / HR zamknie Twoją pocztę e-mail w szafce? Nigdy nie wysyłasz wrażliwej nazwy użytkownika / hasła przez e-mail. Istnieje niewielka szansa, że ​​może to być częścią ataku phishingowego. W najlepszym razie komputer / laptop twojego szefa / działu kadr jest pojedynczym punktem awarii dla bezpieczeństwa w całym biurze.

Po drugie, w jaki sposób ten kierownik / dział HR zapewni, że nikt inny nigdy nie będzie miał do niego dostępu lub potencjalnie zalogować się jako ty?

Po trzecie, w przypadku administracji Windows istnieje wiele sposobów, w jakie mogę zastąpić konto domeny użytkownika i zalogować się do jego profilu przy użyciu odpowiednich procedur.

Według mnie są tylko dwa powody, dla których kierownictwo mogłoby o to prosić:

  • Są tak niewłaściwie przeszkoleni i całkowicie nieumiejętni w zakresie technologii i procedur bezpieczeństwa, że ​​uważają że jest to jedyny sposób, w jaki można to zrobić. To wiele mówi o Twojej firmie. Albo masz kierownictwo wyższego szczebla, które dosłownie nie ma pojęcia, jak prowadzić organizację, która obsługuje poufne dane, albo dosłownie nie wierzy w Twój personel IT / techniczny.

  • Może się również zdarzyć, że personel IT / techniczny uniemożliwił im wykonywanie pewnych czynności, a posiadanie Twojego loginu pozwoli im ominąć te środki bezpieczeństwa. Niektóre naprawdę dobrze zaprojektowane aplikacje nie pozwalałyby na automatyczne logowanie, gdybym zalogował się do twojego profilu przy użyciu uwierzytelniania domeny. Musielibyśmy więc albo mieć login / hasło użytkownika, albo zresetować użytkownika. Tak czy inaczej, nie mogę zrozumieć, dlaczego kierownictwo wyższego szczebla miałoby się zalogować jako Ty, aby zrobić coś bez Twojej wiedzy.

  • (Dodanie tego na podstawie komentarza zagubionego autora) - normalnie nie posunąłbym się tak daleko, ale autorka dodała, że ​​uważa, że ​​ich dział IT / bezpieczeństwa, którego outsourcuje, wie o e-mailu i zgadza się z tym. Jest to pewny znak, że albo są bardzo niezdolni do swojej pracy (potrzebują jej do prawdziwej kopii zapasowej), a jeśli są tak źli, nie ma możliwości, aby przestrzegali standardów HIPAA. Lub też, co najbardziej oczywiste, są w zmowie z kierownictwem - używają loginów do wykonywania „nikczemnych” praktyk.

Jak mam sobie z tym poradzić?

Chciałbym zapytać mojego przełożonego, dlaczego potrzebuje twoich danych. Wyraź swoje obawy dotyczące prywatności (i przepisów HIPAA).

Jeśli przełożony cię w tej sprawie naciska, skontaktuję się z działem HR - wysłali wiadomość e-mail, ale zaczną od kierownika. Duża szansa, że ​​może nie być autoryzowany (lub gdy zobaczą problem z bezpieczeństwem, powiedzą, że nie został autoryzowany). Tutaj robi się ciężko. Ponieważ jedyną grupą, która jest zwykle mniej techniczna niż menedżerowie, jest HR (mówiąc ogólnie).

Będziesz musiał przedstawić swoje obawy działowi HR. Upewnię się, że dział HR współpracuje z kimś z Twojego działu IT / technologii, aby upewnić się, że spełnia to praktyki bezpieczeństwa w firmie. Jeśli dział HR odmówi współpracy z działami IT / Tech, może być konieczne skontaktowanie się z kimś bezpośrednio w tych działach. Jeśli masz sekcję bezpieczeństwa, zacząłbym od nich. Jeśli nie, zacznij od szefa IT.

Ostatecznością jest skontaktowanie się z Służbą Zdrowia i Opieki Społecznej . Możesz przeczytać, że jest to prawdopodobnie bezpośrednie naruszenie ich technicznych zabezpieczeń tutaj . Jeśli nikt w Twojej firmie nie chce nic robić w sprawie bezpieczeństwa, to zapytaj, czy jest to naruszenie, zgłoś swoją firmę i pozwól mu się kształcić.

(I wydaje mi się, że różni się to od proszenia o użytkownika / przepustkę, gdy odchodzisz z firmy. Uważam, że może to być uzasadnione, ponieważ gdyby coś zrobili, pojawiłyby się informacje o „sygnaturze czasowej”, które pozwoliłyby Ci odzyskać wykroczeń. Ale kiedy jesteś tam zatrudniony, staje się to grą, w którą powiedział / powiedział lub gdzie byłeś o 10:32 5 stycznia? I pamiętaj, że za pomocą twojego loginu mogę zdalnie zalogować się do komputera łatwo w biurze, w którym jesteś w danym dniu.)

Komentarze nie służą do rozszerzonej dyskusji; ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/23752/discussion-on-answer-by-blankip-can-hr-boss-require-your-username-and-password) .
+1 Za zgłoszenie swojej firmy. HIPAA to nie żart (w porządku, więc może tak jest).
+1 Za zaoszczędzenie 20 minut zajęłoby mi powiedzenie prawie tego samego.
Nie chciałbym nawet wysłać mojej daty urodzenia e-mailem. W większości przypadków poczta e-mail jest całkowicie niezabezpieczona. Z wyjątkiem sytuacji, gdy używasz dobrego szyfrowania lub korzystasz z firmowej sieci do przesyłania danych. Nie mogę też uwierzyć, że Departament żąda tak ważnych informacji pocztą elektroniczną bez osobistego stawiennictwa. Prawdopodobnie mają już dostęp do wszystkich danych, ponieważ mają dostęp do działu IT.
Jeśli chodzi o nazwę użytkownika / hasło przy wyjściu, powiedziałbym im, aby zresetowali hasło.
#2
+72
Wesley Long
2015-05-13 23:48:18 UTC
view on stackexchange narkive permalink

Dźwięk, który słyszysz, to dziesięć tysięcy administratorów sieci krzyczących „NIE!” w tym poście.

W najlepszym przypadku jest to próba sprawdzenia, jak łatwo jesteś naiwny. Podejrzewałbym, że tak właśnie jest, ponieważ w dzisiejszych czasach audyt bezpieczeństwa testuje głównie exploity społecznościowe.

W najgorszym przypadku jest to oznaka całkowicie nieudolnego zarządzania (mam na myśli sumiennie, bo ich rodzice powinni płacić grzywny za zanieczyszczenie środowiska tą głupotą).

W każdym przypadku, NIGDY nie wysłałbym nikomu ŻADNEGO hasła związanego z moją tożsamością.

Przekazałbym tę wiadomość e-mail do Twojego działu IT z nagłówkiem: „Oczywiście nikt nigdy nie miałby uzasadnionej potrzeby, aby to zrobić, ale pomyślałem, że należy to zwrócić uwagę jako próba wykorzystania luk w zabezpieczeniach. ”

Wiemy na pewno, że ten e-mail nie jest oszustwem. Że jest to prawdziwy e-mail z naszego działu HR. Ale kiedy coś zostanie zrobione w systemie, którego używamy, jest na zawsze powiązane z naszą nazwą.
„Wiemy na pewno, że ten e-mail nie jest oszustwem”. - * Wiem * na pewno, że jest to albo nikczemne, albo głupie bez powodu. Nie mogę ci powiedzieć, który, ale nie zgodziłbym się z żadnym. Nadal wysłałbym to również do twojej grupy IT / bezpieczeństwa. Naprawdę, mam nadzieję, że to audyt przeprowadzony dla HIPPA i nie mówię mi, że moje karty zdrowia są w rękach tak głupich ludzi.
Och, to jest to źle zarządzane! Ale nie martw się, moja nazwa użytkownika i hasło są nadal bezpieczne ...
Tak, nawet jeśli jest to „prawnie” dział HR żądający tych informacji, zapewniam DArN PEWNOŚĆ, że szef IT został o tym poinformowany.
Zapobieganie tego rodzaju głupocie może być wystarczającym powodem, aby niektórzy życzliwi kosmici pożyczyli swój wehikuł czasu, tylko ten jeden raz ... :-)
@Melissa: a skąd pewność, że wiadomość e-mail jest legalna? Czy jest podpisany cyfrowo? Jeśli jest to tylko adres, to powinieneś dowiedzieć się, jak łatwo jest sfałszować adres e-mail lub go przeterminować.
Ponieważ pani, która wysłała e-maila do naszego "HR", to żart, chce wiedzieć, dlaczego nie odpowiedziałem ...
Moja firma tak naprawdę okresowo przeprowadza wewnętrzne testy phishingowe, takie jak ten, aby upewnić się, że wszyscy jesteśmy w naszej grze A. Odpowiedz jej słowami „To naruszenie ustawy HIPAA” i zobacz, czy powie „Gratulacje!” Myślę, że perspektywa jest ponura na podstawie twojego komentarza, ale warto spróbować i na pewno poruszy pulę we właściwym kierunku.
Liczba krzyczących administratorów sieci, która właśnie wzrosła o kolejny rząd wielkości lub dwa, teraz, gdy to pytanie znajduje się na liście gorących pytań.
Mogę potwierdzić, wymamrotałem „nie” pod nosem.
Dostałem już „prawdziwe” od administratorów Windows.Okazuje się, że istnieje oprogramowanie tak głupie, że maluje administratora w kącie.
#3
+69
paparazzo
2015-05-14 00:16:09 UTC
view on stackexchange narkive permalink

To absurdalna prośba na tak wielu poziomach w środowisku HIPAA.

  • Nie należy pytać w pierwszej kolejności
  • Nie należy wysyłać e-maili
  • Nie należy przechowywać tego w szafce na pliki
  • To jest logowaniem do systemu Windows
    Jeśli masz logowanie lokalne, a nie domenę, nie widzę w ogóle, w jaki sposób byłbyś w ogóle zgodny z ustawą HIPAA.
    W domenie administrator domeny może zablokować konto lub zmienić hasło.
    Jeśli administrator domeny zmieni Twoje hasło, to jest to, co jest rejestrowane - istnieje dowód, że zmiana hasła nie została przez Ciebie wykonana.
    Jeśli nie kontroluje dzisiaj Twojego hasła, to nie wiem, jak są zgodne z HIPAA.
    W rzeczywistości, jeśli nie jesteś w domenie, urządzenia nie są uwierzytelniane i nie są one zgodne z HIPAA.

Sądzę, że mogą o to poprosić, ale podejrzewam, że sama prośba jest dowodem, że nie są one zgodne z ustawą HIPAA. Jeśli zastosujesz się do żądania, prawdopodobnie będzie to naruszenie ustawy HIPAA. Ale jeśli spełniasz zweryfikowane żądanie od kierownictwa, powiedziałbym, że naruszenie nie jest czymś, co można przypiąć do ciebie. Jeśli ktoś inny korzysta z Twojego konta, możesz powiedzieć „hej, kazałeś mi ujawnić moje hasło”. Udowodnij, że poczta elektroniczna lub katalog plików nie zostały naruszone. To taka śmieszna prośba. Nawet ktoś z działu HR powinien wiedzieć lepiej.

Ostrożnie. Nie zrobiłeś nic złego. Nawet jeśli odpowiesz, prawdopodobnie nie zrobiłeś nic złego. Jeśli zagwizdasz, możesz stracić pracę lub zamknąć firmę. Jeśli nie są to szkody, możesz nawet nie dostać żadnego informatora o pieniądzach. To nie jest twój problem. Nie bierz strzał.

Melisso, ciągle pytasz dlaczego, tak jakby był ważny powód. Odpowiadam, że zarówno z punktu widzenia HIPAA, jak i technicznego, nie widzę żadnego uzasadnionego powodu. Sposób, w jaki dział HR znalazł się w środku tego wszystkiego, wie tylko HR, dyrektor generalny i dyrektor operacyjny. Osoba IT odpowiedzialna za zgodność nigdy by tego nie zrobiła. Znowu to nie jest twój problem. Niech IT zajmie się tym z HR. Nie widzę ryzyka kontra nagrody w byciu informatorem.

Podoba mi się, że martwisz się uwierzytelnianiem urządzeń, a my wciąż jesteśmy w szoku z powodu „Szafki na pliki”. Masz duszę administratora bezpieczeństwa, prawda? +1
@WesleyLong Jestem teraz programistą, ale we wczesnych dniach HIPPA robiłem zgodność z HIPPA. Nie ma możliwości, abyś był zgodny z logowaniem lokalnym. Wyłączyłbym logowanie lokalne. Istnieje rodzaj ataku, który polega na nakłonieniu komputera do lokalnego logowania.
Ech, ja też zostałem zlekceważony. Tak też zrobił @Ghost. Prawdopodobnie przez kogoś, kto ma system bezpieczeństwa szafek na dokumenty siedzący obok biurka. Zawsze myślę, że jeśli kogoś nie zdenerwowałeś, nie powiedziałeś nic użytecznego.
Czy to HIPPA czy HIPAA?
@mkennedy - Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych HIPAA. ... aa i widzę, że pomyliłem się w jednym z moich komentarzy.
@WesleyLong Próbowałem delikatnie szturchnąć autora odpowiedzi (i innych ... Ze względu na moją niską reputację, wszelkie zmiany, które wprowadzę, i tak trafią do kolejki recenzji!
@Blam - Gdybym był audytorem bezpieczeństwa, zdecydowanie zbadałbym logowanie do systemu Windows i do domeny, ale założę się, że większość nie rozumie różnicy. To tylko „Jak loguję się do systemu Windows”. To musi być domena, biorąc pod uwagę, że OP twierdzi, że uwierzytelnia się w swoich aplikacjach przy użyciu tych samych poświadczeń. Dużo wnioskuję, ale myślę, że o to chodzi.
Przepraszamy, pisownia poprawiona! @Blam, nie, sam tego nie rozumiem. Wygenerowali dla nas naszą nazwę użytkownika i hasło, kiedy i tak zaczęliśmy tu pracować. Następnie kazali nam wejść i zmienić hasło. Dlaczego więc teraz mieliby ponownie prosić o podanie naszego hasła?
@Melissa Nie wiem, dlaczego pytają. Odpowiadam, że nie ma sensu, żeby o to pytali.
@WesleyLong Jeśli są zgodne z HIPPA, to ktoś musi wiedzieć, co się dzieje. Większość ludzi nie zna różnicy. Jedynymi osobami, które muszą znać różnicę, są administrator sieci. Zgadzam się, że zdecydowanie brzmi, jakby mieli domenę. W najlepszym przypadku mogą mieć nadzieję, że przestrzegają zaleceń, a HR wstrzykuje sobie coś, czego nie powinien.
Najlepsza odpowiedź, to nie jest twój problem, a robienie sceny, eskalacja, bycie sarkastycznym nie przyniesie nic dobrego, a zgłoszenie firmy to po prostu zły ruch w karierze. Będziesz mieć możliwość zaprzeczenia wszelkim problemom z logowaniem, a jeśli nadal się martwisz, możesz po prostu zmienić hasło.
Osobiście? -1 za nie sugerowanie sygnalizowania nieprawidłowości. Twoja poufność jest prawnie chroniona w przypadku zgłoszenia naruszenia i pod warunkiem, że nie ogłaszasz faktu „Hej, zgłosiłem firmę ahaha”, nie ma żadnego prawdopodobnego powodu, dla którego ktoś miałby dowiedzieć się, że to ty.
@Anoplexian Osobiście uważam, że jesteś pełen kupy, a twoja -1 jest dla mnie komplementem.
#4
+37
HLGEM
2015-05-14 00:20:13 UTC
view on stackexchange narkive permalink

Jest to wystarczająco złe w każdej firmie, ale dla takiej, która podlega ustawie HIPAA, jest to całkowicie niedopuszczalne (i prawdopodobnie nielegalne). Proponuję otrzymać kopię przepisów HIPAA, znaleźć odpowiednie klauzule dotyczące dostępu do danych i zamiast tego odesłać je.

http://www.hhs.gov/ocr/privacy/hipaa /administrative/securityrule/securityrulepdf.pdf

Należy pamiętać, że istnieje postanowienie, że mogą oni wprowadzać specjalne przepisy dotyczące postępowania w sytuacjach awaryjnych, ale wydaje się, że jest to sprzeczne z sekcją, w której stwierdza się, że musi można było zweryfikować, czy osoba zalogowana jest osobą, którą ma być. Wysyłając informacje pocztą e-mail, prawdopodobnie naruszasz zasady, ponieważ istnieją inne osoby, które mają dostęp do wiadomości e-mail (administratorzy systemu) poza osobą, do której są wysyłane.

Jeśli podlegasz ustawie HIPAA, możesz mieć pracownika ochrony, który jest odpowiedzialny za zapewnienie przestrzegania przepisów HIPAA, jeśli tak, poinformuj go o tym przed udzieleniem odpowiedzi szefowi. To może być najlepsza osoba, która powie, jak zły to jest pomysł.

#5
+9
Jack Aidley
2015-05-14 14:11:34 UTC
view on stackexchange narkive permalink

Chciałbym sprawdzić dokument dotyczący polityki informatycznej Twojej firmy. Myślę, że jest bardzo prawdopodobne, że jest to szczególna polityka, która wymaga, abyś nie wysyłał e-maili ani nie zapisywał kombinacji nazwy użytkownika i hasła.

Następnie odpowiem wszystkim powołującym się na rozporządzenie i odmawiającym przestrzegania.

#6
+5
Todd Wilcox
2015-05-14 01:34:37 UTC
view on stackexchange narkive permalink

Po prostu wyślij swoją nazwę użytkownika i hasło, a następnie zmień hasło. W każdym razie powinieneś być zobowiązany do zmiany go co kilka miesięcy. Jeśli w przyszłości ktoś zapyta, dlaczego zmieniłeś hasło, możesz powiedzieć „Och, kilka razy mówiono mi, że od czasu do czasu warto zmieniać hasło, nawet nie pomyślałem o tym papier zamknięty gdzieś w szafce ”.

«Zgodnie z naszą wewnętrzną polityką ** musimy ** natychmiast zmienić hasło, jeśli _ podejrzewamy_, że ktoś inny może je znać. Tak więc, kierując się taką zasadą, przystąpiłem do zmiany go dokładnie ... 1 sekundę po wysłaniu Ci e-maila. » Zabawne jest to, że nie mogą wiedzieć, czy wysyłasz hasło, czy śmieci, chyba że spróbują go użyć. Które podobno nie zamierzają używać.
Skróć proces - wyślij wcześniej używane hasło. Następnie, gdy zapytają: „Czy zmieniłeś hasło po wysłaniu?” możesz szczerze i prosto odpowiedzieć „Nie”. :-)
#7
+4
Nathan Goings
2015-05-16 03:58:43 UTC
view on stackexchange narkive permalink

Obecnie jestem informatykiem w branży opieki zdrowotnej. Egzekwuję politykę, która została zaprojektowana i stworzona przez specjalistów ds. Bezpieczeństwa. Zasady te mają strukturę HIPAA. Mogę znaleźć lokalne zasady dotyczące wszystkiego w tym podsumowaniu: http://www.hhs.gov/ocr/privacy/hipaa/understanding/srsummary.html

Niektóre fragmenty:

Zabezpieczenia administracyjne -> Personel ochrony. Podmiot objęty ubezpieczeniem musi wyznaczyć pracownika ds. bezpieczeństwa, który jest odpowiedzialny za opracowanie i wdrożenie jego polityk i procedur bezpieczeństwa .15

Zabezpieczenia techniczne -> Kontrola dostępu . Podmiot objęty ubezpieczeniem musi wdrożyć techniczne zasady i procedury, które umożliwiają tylko upoważnionym osobom dostęp do elektronicznych chronionych informacji zdrowotnych (e-PHI) .24

Uwagi dotyczące haseł

Hasła należy okresowo zmieniać. Oznacza to, że hasła przechowywane fizycznie staną się przestarzałe.

Twoi specjaliści IT będą mieli możliwość zarządzania hasłem i jego kontroli. Indywidualne pobieranie haseł jest o wiele trudniejsze niż automatyzacja procesu za pomocą kontroli administracyjnych.


Zagadnienia dotyczące polityki

Zgodnie z ustawą HIPAA, powinieneś mieć wyznaczonego szefa ochrony i być przeszkolony w zakresie podstawowych kontrole bezpieczeństwa. To byłaby właściwa osoba, z którą można się skontaktować w tej sprawie.

Twoja grupa IT i grupa bezpieczeństwa powinny mieć zasady szczegółowo kontrolujące hasła. Te zasady są dokumentami prawnymi.


Kwestie dotyczące prywatności / HIPAA

Możliwość dostępu do konta lekarza lub pielęgniarki jest sama w sobie ogromnym problemem. Kontrole muszą istnieć w celu „ minimalnych niezbędnych wymagań”. Twój dyrektor generalny lub dyrektor operacyjny nigdy nie powinien mieć dostępu do informacji o pacjencie, których nie potrzebuje ich obowiązki zawodowe. Można by argumentować i usprawiedliwiać indywidualne sytuacje, ale nie można argumentować za kompleksowym dostępem do wszystkich pacjentów i pracowników.

Posiadanie hasła pracownika umożliwiłoby również niewłaściwą zmianę wykresu, to jest naruszenie ustawy HIPAA.

Pytanie wszystkich pracowników o hasło nie jest naruszeniem ustawy HIPAA ze względu na obawy związane z audytem bezpieczeństwa. Jednak przechowywanie tych informacji może z łatwością stanowić naruszenie.

Wreszcie, jeśli dyrektor generalny / dyrektor operacyjny użył Twojego konta do naruszenia ustawy HIPAA, ponosisz odpowiedzialność. Jeśli uczestniczyłeś w e-mailu, może to zostać wykorzystane do złagodzenia części odpowiedzialności. Masz jednak obowiązek chronić swoje hasło, ponieważ świadome zezwolenie komuś na dostęp do Twojego konta jest tak samo złe, jak podszywanie się pod kogoś.


Co powinieneś zrobić

Nie podaj swoje hasło. Przejrzyj politykę IT dotyczącą haseł i kontroli dostępu. Zgłoś wiadomość e-mail swojemu przełożonemu, wyznaczonemu szefowi ochrony i administratorowi IT. Jeśli kierownictwo nie zareaguje pozytywnie, w Twojej placówce mogą istnieć „anonimowe” linie bezpieczeństwa, do których możesz złożyć skargę. Masz również możliwość złożenia skargi za pośrednictwem U.S. Departament Zdrowia i Opieki Społecznej

Niestety, przyjmując skargę do swojego kierownictwa, możesz podejrzanie zakończyć pracę.

#8
+2
UnhandledExcepSean
2015-05-13 23:47:25 UTC
view on stackexchange narkive permalink

Nie należy podawać swojej nazwy użytkownika i hasła oraz odpowiadać, wyjaśniając, że polityka bezpieczeństwa uniemożliwia podanie tych informacji i brzmi to jak wiadomość phishingowa; Powiadom wewnętrzny zespół ds. Bezpieczeństwa lub zespół IT, aby poinformować ich o krążącej wiadomości e-mail.

Jeśli jest to uzasadnione żądanie i dalej naciskają na tę sprawę, skontaktuj się z nimi osobiście, aby omówić i wyjaśnić, dlaczego nie należy tego robić. t. Jeśli nadal nalegają, podaj je osobiście, a nie e-mailem.

Wiemy na pewno, że ten e-mail nie jest oszustwem. Że jest to prawdziwy e-mail z naszego działu HR. Ale kiedy coś zostanie zrobione w systemie, którego używamy, jest na zawsze powiązane z naszą nazwą.
Nie zgadzam się z twoim ostatnim zdaniem, jeśli będą nalegać na dalsze poruszanie się po łańcuchu w firmie i jeśli nadal będą nalegać, zdecyduj, czy skontaktujesz się z HIPPA, jak wspomniał blankip, zrezygnuj, czy jedno i drugie. W żadnym wypadku nie wolno nikomu ujawniać swoich osobistych danych uwierzytelniających.
@Namfuak Mam podejście praktyczne. W rzeczywistości nikt nie powie prezesowi nie. A biorąc pod uwagę możliwość zachowania pracy lub udostępnienia nam Twojego konta w naszym systemie (nieważne, że mogliby zmienić dane za kulisami wszystko, co chcą, aby wyglądało na to, że ktoś coś zrobił), kto wyjdzie? Firma nie zrobiła nic nielegalnego; powyższy link HIPAA nie mówi, że pracodawca nie może mieć dostępu do hasła i konta pracownika.
#9
+2
aramis
2015-05-18 11:51:17 UTC
view on stackexchange narkive permalink

Po prostu powiedz nie

Zgodnie z ustawą HIPAA dostęp powinien być ograniczony do osób, które muszą to wiedzieć. Jedynym sposobem, w jaki zatwierdzony system elektronicznej dokumentacji medycznej musi wiedzieć, jest to, kto jest zalogowany. HIPAA wymaga również, aby logowali się, kto uzyskał dostęp do dokumentacji elektronicznej i kto je zmienił.

Ze względu na ustawę HIPAA i elektroniczne reguł dotyczących dokumentacji medycznej, każdy dostawca powinien mieć niepowtarzalny identyfikator, do którego tylko on ma dostęp. Jest to zwykle realizowane przez połączenie przedmiotu w ręku (dowód osobisty lub RFID) i przedmiotu, który znasz (hasło), a do weryfikacji, przedmiotu, który zna wiele osób (identyfikator konta). Dział IT może łatwo sprawdzić identyfikator konta. Dział IT prawdopodobnie może zmienić hasło przy minimalnym wysiłku (ale zostaje zalogowany w systemie), a jeśli zrobi to, aby uzyskać dostęp do pewnych rzeczy, znacznie łatwiej będzie wskazać, że Twoje hasło zostało zmienione przez kogoś innego. (Kiedy się zalogujesz, odkryjesz, że hasło nie powiodło się i będziesz musiał je zresetować. Jeśli tak się stanie, jest to znak ostrzegawczy.)

Według Departamentu Zdrowia i Ochrony Ludności Services '(DHHS) Podsumowanie reguły bezpieczeństwa HIPAA, naruszenia zasad bezpieczeństwa to przestępstwa federalne. Zgodnie ze stroną Reguła egzekwowania, każdy nieautoryzowany lub nielegalny dostęp podlega karze w wysokości do 100 USD, maksymalnie 25 000 USD rocznie. Jeśli pozwolisz komuś mieć swoje dane logowania, a on ich użyje i będzie można go odszukać, każdy z was może zostać ukarany grzywną. Każdy rekord, do którego uzyskano dostęp, może zostać ukarany grzywną za każdym razem, gdy jest dostępny.

Brak ważnego powodu

Jak wspomniano powyżej, informatycy lub przynajmniej urzędnik ds. Bezpieczeństwa elektronicznej dokumentacji medycznej mogą uzyskać dostęp do twojego konto przy użyciu kilku metod, ale te metody prawdopodobnie zostaną zarejestrowane.

Każdy uzasadniony powód, aby przeglądać rekordy, ma już dostęp w ramach własnego konta. Kierownictwo nie ma uzasadnionego powodu, chyba że uzyska zgodę urzędnika ds. Bezpieczeństwa elektronicznej dokumentacji medycznej (EHRSO), a to oznacza, że ​​powinni mieć własne dane logowania.

Fizyczny zapis Twojego hasła do „ Zapomniałem, „cele są również nieważne - EHRSO może zresetować Twoje hasło. Być może nawet IT może zresetować Twoje hasło. Jeśli pójdziesz tą drogą, jak najszybciej powinieneś zmienić swoje hasło.

Kompetentny EHRSO może nawet utworzyć konto do pobierania próbek statystycznych, które pokazuje numery rekordów, ale nie identyfikuje pacjenta, więc nawet pobieranie próbek statystycznych nie jest to ważny powód.

Ponieważ wszystkie twoje zapisy mogą być przeglądane przez EHRSO lub osobę przez niego wyznaczoną i uwierzytelniane własnym loginem i hasłem, a tym samym prawidłowo rejestrowane, przeglądanie twojej pracy nie jest ważny powód.

Hasło pocztą e-mail

Wysyłanie hasła pocztą elektroniczną jest zawsze złym pomysłem. Zwłaszcza, gdy umożliwia dostęp, za który możesz zostać ukarany grzywną za niewłaściwe użycie. Nigdy nie wysyłaj swojego hasła do nikogo, w tym do siebie.

Zgłoś to do ERHSO

Twój inspektor bezpieczeństwa ERH może nie być na bieżąco. Jeśli tak, to masz duży problem z pracodawcą. Jeśli nie, mogą być w stanie delikatnie poinformować przełożonych o sytuacji.

Zgłoś się do DHHS

Jeśli nie przyjmą odpowiedzi „nie”, jak tylko jesteś w stanie, skontaktuj się z Biurem Praw Obywatelskich Departamentu Zdrowia i Opieki Społecznej (DHSS-OCR). Poinformuj ich, że masz obawy, że Twoje dane logowania są wykorzystywane przez pracodawcę w celu uzyskania bezprawnego dostępu kierownictwa do elektronicznej dokumentacji medycznej.

Ma to na celu wykonanie trzech czynności:

  1. Chroń siebie zarówno przed pracodawcą, jak i DHSS-OCR
  2. Chroń prawa obywatelskie swoich pacjentów.
  3. Poinformuj swojego pracodawcę o tym, co może, a czego nie może robić zgodnie z prawem.

Nawet jeśli nic z tego nie wyjdzie, jest to rejestrowane przez DHSS-OCR, a przyszłe skargi innych osób będą miały więcej amunicji. To może chwilę potrwać.

Jeśli pracodawca grozi Ci, skontaktuj się z wydziałem licencjonowania zawodowego i dowiedz się, jakie są Twoje prawa i obowiązki. Należy również pamiętać, że zgłaszanie naruszeń przepisów federalnych Stanów Zjednoczonych jest chronione przez przepisy dotyczące sygnalistów na poziomie federalnym.

Uprzejmie, ale stanowczo

Zachowaj grzeczność w kontaktach z administracją. Nawet jeśli proszą o coś nielegalnego, wroga lub zjadliwa odpowiedź może być podstawą do rozwiązania umowy.

#10
+1
Jason Swett
2015-05-14 01:26:24 UTC
view on stackexchange narkive permalink

Szef „może” zrobić prawie wszystko, nawet jeśli jest to nielegalne. Widzę, że jedyne rzeczy, których szef nie może zrobić, to rzeczy, których pracownicy odmawiają przestrzegania.

Możesz także odmówić zrobienia wszystkiego, o co poprosi szef niezależnie od tego, czy żądanie to jest zgodne z prawem, niezgodne z prawem, rozsądne czy nieuzasadnione. Prośba twojego szefa nie musi być nielegalna ani czegokolwiek innego, abyś odmówił wykonania.

Odnoszę wrażenie, że nie sądzisz, że to, o co prosi cię szef, jest w porządku. Jeśli uważasz, że to zły pomysł, radzę tego nie robić. Lub zrób to i od razu zacznij szukać innej pracy.

Odmawiam tego ze względu na moją prywatność i bezpieczeństwo prywatności klientów, których widziałem w moim biurze. W tym tygodniu aplikowałem już na 4 oferty :)
Ładny! Dobra robota.
Niestety nie masz żadnych praw do prywatności na maszynie dostarczonej przez firmę. Masz politykę bezpieczeństwa firmy.
#11
+1
keshlam
2015-05-15 06:18:30 UTC
view on stackexchange narkive permalink

Firma może wymagać pełnego dostępu do wszystkiego, co robisz dla niej lub na jej sprzęcie. Jednak zapytanie o osobiste hasło jest absolutnie złym sposobem radzenia sobie z tym; powinni być w stanie ustawić nadpisanie administracyjne w dowolnym systemie, jeśli naprawdę tego chcą.

Jeśli to zrobią, powinieneś współpracować.

Jeśli tego nie zrobią, ale istnieje uzasadniony wypadek biznesowy, który wymaga dostępu, gdy nie możesz tam być, powinieneś dowiedzieć się, jaka jest polityka firmy - kto musiałby to zatwierdzić - a następnie zmień swoje hasło, gdy tylko wrócisz i / lub kryzys minie.

Jeśli nie ma kryzysu, może poczekać, aż się tam dostaniesz.

Jeśli znajduje się między nimi w szarej strefie, uzyskaj wyraźne wskazówki od kierownictwa wyższego szczebla i / lub zespół ds. bezpieczeństwa komputerowego firmy. Najlepiej na piśmie zamiast podpisu.

w każdej ćwiartce kompetentny informatyk o niewielkiej wiedzy powinien wiedzieć, jak uzyskać dostęp do danych z konta administratora, jeśli zajdzie taka potrzeba. Nigdy nie powinno być uzasadnionej sytuacji awaryjnej wymagającej od użytkownika przekazania hasła. Częściej niż hasło użytkownika nie jest używane do celów zdarzeń podlegających audytowi (takich jak dostęp do danych pacjenta lub ich modyfikacja), w przypadku gdy zostanie zastosowana jakakolwiek forma nadpisania administratora, która również może pozostać kontrolowana. brak szarej strefy. w najlepszym wypadku jego niekompetencja, aw najgorszym złośliwość.
Niekompetencja się zgodziła. Istnieje prawdopodobieństwo, że ci ludzie nie byli wystarczająco poinformowani, aby zorganizować dostęp administratora przed przekazaniem OP maszyny. Ale poza sytuacją awaryjną, _ o to_ powinni prosić ... a na miejscu OP, to właśnie im dałbym, po upewnieniu się, że różni się od mojego hasła i po sprawdzeniu polityki firmy, aby dowiedzieć się, ta osoba powinna mieć w ogóle dostęp do mojego komputera. Oczywiście wadą dostępu administratora jest to, że można narobić strasznego bałaganu w maszynie, jeśli nie jest to ostrożne, ale za to odpowiada każdy, kto loguje się w ten sposób.
Chodzi bardziej o dzienniki audytów niż cokolwiek innego, zwłaszcza jeśli chodzi o dane pacjentów. Jasne, administrator może wejść i narobić bałaganu, ale administrator nie może podpisać niczego, jak ktokolwiek inny, to niebezpieczne, to naprawdę złe. Koniec dnia, jeśli wydarzy się coś złego, na przykład zmiana danych lub wyciek danych, gdy dzienniki zostaną sprawdzone, a administrator zostanie rozproszony w wielu dokumentach pacjentów, co może zdjąć osobistą odpowiedzialność z plakatu, jeśli jest to tylko nazwa plakatu Po wszystkich dziennikach nie mają absolutnie żadnego regresu. Sprawdź glp i cfr 21 w odniesieniu do podpisów cyfrowych.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...