概述

客户

Aetna 是一家领先的医疗保健组织,为约 3790 万人提供服务。

挑战

为 Aetna 的在线服务客户、合作伙伴和员工提供更好的身份验证。 医疗保健组织必须保护受保护的健康信息 (PHI),以确保遵守 HIPAA 和 HITECH 等医疗保健法规,并避免因数据泄露而导致的代价高昂的罚款和诉讼。

解决 方案

Aetna 已采用 FIDO 标准进行用户身份验证,使用生物识别技术来验证客户及其下一代身份验证流程(基于行为的安全性,可在用户在 Aetna 移动应用程序上的整个在线会话中对其进行身份验证)。

结果

  • 在应用程序使用后的两周内,Aetna 就能够为用户的行为设定基线。
  • Aetna 正在使用行为数据来帮助保护用户,将其输入 FIDO NGA 风险引擎,该引擎持续输入数据,然后最终将其丢弃。 风险引擎受到六层安全控制的保护。

FIDO解决方案

Aetna 需要将用户身份验证集成到整体体验中,以简化参与,同时向客户、合作伙伴和员工发出强烈的信息,即他们的数据是安全的。 Aetna 很自豪能够将 FIDO 标准用于用户身份验证、生物识别和下一代身份验证。

FIDO提供

FIDO 联盟的规范和认证支持基于硬件、移动和生物识别的身份验证器的可互操作生态系统,可与许多应用程序和网站一起使用。 该生态系统使企业和服务提供商能够部署强大的身份验证解决方案,以减少对密码的依赖,并防止网络钓鱼、中间人和使用被盗密码的重放攻击。

“FIDO联盟基于开放标准开发用户身份验证,因此像Aetna这样的公司可以采用最好的现代技术,而不受限制。FIDO联盟执行董事Brett McDowell说,“基于标准的架构可以随着市场的发展而发展,运行成本更低,并降低运行和维护报废系统的风险。

细节

挑战

医疗保健组织正在寻求发展用户身份验证,以应对风险和威胁的新时代。 网络犯罪分子高度重视医疗保健数据,因为它提供了丰富的个人、财务和医疗数据,可用于多种类型的欺诈,包括保险索赔、健康储蓄账户、灵活储蓄账户等。

医疗保健组织必须保护受保护的健康信息 (PHI),以确保遵守 HIPAA 和 HITECH 等医疗保健法规,并避免因数据泄露而导致的代价高昂的罚款和诉讼。

医疗保健安全领导者还希望避免帐户接管,即网络犯罪分子使用个人人口统计信息绕过密码重置功能。 在包括 Anthem、Equifax、Yahoo 等在内的几次重大数据泄露事件之后,网络犯罪分子能够收集丰富的配置文件,他们可以使用这些配置文件来大规模冒充用户。 “现实情况是,该行业正在获得越来越多的账户接管尝试,”Aetna的Jim Routh说,他是医疗保健公司的首席安全官(CSO)。 “二进制身份验证 [using passwords] 今天已经过时了。”

在医疗保健行业创建防网络钓鱼安全性

解决方案:Routh 希望找到一种更好的方法来验证使用 Aetna 在线服务的客户、合作伙伴和员工。 该公司正在其移动和网络平台上推出下一代身份验证 (NGA),采取两阶段方法来提高其在线服务的安全性和可用性。

首先,Aetna采用FIDO标准进行用户身份验证,使用生物识别技术而不是密码来验证客户。 生物识别功能正在迅速发展,Aetna 希望在跨软件和设备使用标准界面的同时为消费者提供选择。 此外,与非基于标准的架构相比,基于标准的架构的运行成本更低。

FIDO 身份验证面向未来并简化用户身份验证

“Aetna 采用了生物识别信息的 FIDO 标准,以创建一致性并简化整个身份验证过程,”Routh 说。 “FIDO使我们免受消费者选择或设备内置安全功能的影响。该标准将身份验证过程与应用程序开发人员分开,因此无论移动运营商、设备制造商或在线服务的配置如何,我们都可以每次进行身份验证。更重要的是,会员的生物识别信息永远不会离开他或她的设备,确保会员的身份受到保护和不受损害。

开发基于开放标准的用户身份验证也是“面向未来”的解决方案,因此像 Aetna 这样的公司可以采用最好的现代技术,而不会被供应商的专有产品所束缚。

基于标准的架构可以随着市场的发展和扩展,运行成本低于专有架构,还可以降低操作系统和维护的风险。

Aetna 在联机会话期间使用多达 60 种行为对用户进行身份验证

在该计划的第二阶段,Aetna推出了其下一代身份验证流程:基于行为的安全性,该安全性在用户在Aetna Mobile应用程序上的在线会话中对用户进行身份验证。 Aetna 会持续审查 30 到 60 种不同的行为,例如位置、访问时间、指纹和击键样式,以确保用户保持不变。 因此,例如,如果一个人将手机交给朋友,该应用程序将识别新用户并要求进行另一种形式的身份验证。

使用 FIDO 设定安全新标准

FIDO 标准支持将行为数据连续输入到 NGA 风险引擎中。 Aetna 花了一到两周的时间来设置用户行为基线。 Aetna仅将行为数据用于帮助保护用户,将其输入风险引擎,然后最终将其丢弃。 风险引擎受到六层安全控制的保护。

Aetna 深知,用户身份验证可以成为整体体验的一部分,简化参与,同时向客户、合作伙伴和员工发出强烈的信息,即 Aetna 认真对待保护他们的数据。 许多分析师表示,卓越的信息风险管理能力和实践(包括多因素身份验证)可以帮助公司在不断遭到黑客攻击和数据泄露的时代脱颖而出。

“我们有机会提高安全性,同时通过消除记住密码的需要,显着改善 Aetna 加入消费者的方式,”Routh 说。