OneSpan Blog

Conveniência sobre segurança geralmente não é a melhor política

Cibersegurança e autenticação forte
Michael Magrath, 15 de Agosto de 2016

Agora, o NIST diz que a autenticação por SMS é um "não-go"

Esqueceu sua senha? Não tem problema, basta clicar em "redefinir senha" para receber um código único enviado via SMS para o seu celular registrado.  A partir daí, você pode criar uma nova senha para acessar sua conta.

Barato e conveniente? Absolutamente!

Seguro? Talvez.

Bem, para agências federais, “talvez” não seja o mais importante em segurança e segurança. Instituto Nacional de Padrões e Tecnologia declarou na publicação especial DRAFT NIST 800-63-B, "Diretriz de autenticação digital".  A posição do NIST apóia o que profissionais de segurança e hackers sabem há anos: o SMS é inseguro e não é mais adequado como um mecanismo de autenticação forte.

Por quê? As mensagens SMS não são protegidas dos olhos errados ao vê-las, e não há garantia de que elas realmente irão para o destinatário pretendido.

Embora os requisitos do NIST se apliquem às agências federais, na realidade, a indústria tradicionalmente segue o exemplo.  Saúde não é exceção.  Desde 2010, organizações de saúde implantando sistemas eletrônicos prescrição de soluções de substância controlada (EPCS) tiveram que cumprir os requisitos de prova de identidade do NIST e autenticação de dois fatores definidos na Publicação Especial 800-63.

Fora do EPCS, as organizações de assistência médica geralmente implantam soluções de autenticação convenientes e de baixo custo.  Muitas vezes, as organizações de assistência médica dependem de senhas estáticas para proteger seus próprios ativos e informações de saúde protegidas.

Com uma falsa sensação de segurança, muitas organizações de assistência médica implantaram notificações por SMS pensando que aumentaram significativamente a segurança quando na realidade não o fizeram.  Os traficantes de SMS sem alternativas adequadas conversaram com várias frases de efeito, como autenticação "fora da banda" e "intensificação", mas a realidade agora é que o SMS não é um "segundo fator" seguro, como alguns pode ter reivindicado; ataques contra o SMS não são mais teóricos, mas generalizados.

O governo federal e as organizações de saúde têm uma coisa em comum: ambos estão sob ataque constante em uma guerra cibernética interminável. Google "violação da assistência médica" e é fácil ver que a assistência médica está perdendo.  Todo o setor, desde grandes pagadores, hospitais grandes e pequenos, até consultórios médicos individuais, está sob constante ataque e sofreu muitas baixas.

É fundamental que as organizações de saúde atendam às recomendações preliminares do NIST.  Confiar em práticas de segurança obsoletas apenas os torna alvos fáceis.  Adicione SMS à lista que foi dominada por senhas estáticas. À luz do projeto de recomendação do NIST, os recentes anúncio da Social Security Administration de que agora requer autenticação de dois fatores via SMS não poderia ter sido mais inoportuno e me fez rir.  Está claro que as comunicações interagências estão ausentes em Washington. Talvez o Donald ou Hillary abordem isso?

Existem tantas opções acessíveis disponíveis que equilibram segurança e usabilidade que os sistemas de saúde devem tomar medidas e remover senhas e SMS para proteger as informações de saúde confidenciais e protegidas que eles armazenam e acessam.

Para obter mais informações sobre as soluções de segurança VASCO para assistência médica, visite https://www.onespan.com/solutions

assistência médica NIST SMS autenticação SMS
Michael Magrath
Michael Magrath

Michael Magrath é responsável por alinhar o roteiro de solução da OneSpan com padrões e requisitos regulatórios em todo o mundo. Ele é copresidente do Grupo de Trabalho de Implantação do Governo da FIDO Alliance e faz parte do Conselho de Diretores da Associação de Assinatura Eletrônica e Registros (ESRA).

Ir para o topo