브렛 맥도웰(Brett McDowell), FIDO 얼라이언스 전무이사
지난 주, Aetna의 최고 보안 책임자 Jim Routh는 월 스트리트 저널에 말했습니다 고객, 파트너 및 직원을 위해 온라인 서비스의 보안과 유용성을 개선하기 위한 조직의 선구적인 노력에 대해 설명합니다. 이러한 노력의 핵심 요소는 다음과 같습니다. FIDO 인증 .
Aetna는 지금 이동할 수 있는 것과 웹 신청을 통하여 그것의 차세대 인증 (NGA) 플랫폼을 밖으로 구르기의 다수 과정에 있다. NGA를 통해 Aetna는 강력한 인증에 대한 두 가지 접근 방식을 통해 의료 접근성을 개선하기 위한 새로운 업계 모범 사례를 구축하고 있습니다. 첫째, 고객의 온라인 계정 자격 증명에 대한 생체 인식과 함께 암호 없는 FIDO 인증을 채택하여 강력하고 피싱할 수 없는 공개 키 암호화를 사용하는 암호 및 일회용 암호와 같은 매우 취약한 “공유 비밀”에 대한 의존도를 줄였습니다.
Routh는 최근 Aetna의 FIDO 채택에 대해 이야기했습니다 : “Aetna는 일관성을 유지하고 전체 인증 프로세스를 단순화하기 위해 생체 인식 정보에 대한 FIDO 표준을 채택했습니다. FIDO는 소비자의 선택이나 장치에 내장된 보안 기능의 영향으로부터 우리를 보호합니다. 이 표준은 인증 프로세스를 애플리케이션 개발자와 분리하므로 이동 통신사, 장치 제조업체 또는 온라인 서비스의 구성에 관계없이 매번 인증할 수 있습니다. 더 중요한 것은 회원의 생체 인식 정보가 장치를 벗어나지 않아 회원의 신원이 보호되고 손상되지 않도록 한다는 것입니다.”
우리는 소비자 선택에 대한 Aetna의 헌신과 단일 제스처, FIDO 기반 생체 인식 인증을 통해 서비스 전반에 걸쳐 보다 통일된 경험을 창출하는 데 박수를 보냅니다. FIDO를 채택하는 것은 또한 Aetna가 피싱, 중간자 및 전통적인 사용자 자격 증명을 수집하기 위하여 수시로 이용된 다른 공격으로부터 그것의 고객, 파트너 및 직원을 보호하는 것을 도울 것이다.
FIDO와 같은 표준 기반의 강력한 인증을 배포하면 보안 및 사용자 경험과 관련하여 조직이 직면한 많은 인증 문제를 해결하는 데 도움이 되지만, 의료 서비스 제공자는 여전히 디바이스 분실 및 도난과 관련된 위험과 씨름해야 합니다. 따라서, Aetna는 NGA 플랫폼의 두번째 핵심 성분 — 지속의, 행동 근거한 증명서 — 증명된 사용자가 세션의 일생 동안 동일한 사람이다는 것을 보증하기 위하여 밖으로 굴리고 있다. 이를 위해 Aetna는 여러 사용자 속성(예: 휴대폰을 들고 있는 방식)을 살펴보고 위험 점수를 할당하여 세션 중에 사용자에게 얼마나 많은 액세스 권한을 부여할지 결정합니다. 세션 중에 높은 위험이 감지되면 Aetna는 해당 장치로부터의 지속적인 접근을 허용하기 전에 사용자에게 추가 정보를 요구할 수 있습니다.
Aetna의 FIDO 인증 및 지속적인 행동 인증 출시는 민감한 의료 데이터에 대한 증가하는 위협에 맞서 싸우는 데 큰 도움이 될 것입니다. 이보다 더 좋은 시기는 없을 것입니다. 2016년에 침해된 모든 침해의 36%와 모든 기록의 44% 가 의료 관련 침해였으며, 계정 탈취 시도는 사상 최고치를 기록했습니다.
Aetna는 과민한 건강 관리 자료의 원격 인증 그리고 접근 관리를 위한 기준을 놓았습니다. 그들은 환자와 제공자가 데이터에 대한 액세스를 개선하는 동시에 해당 데이터의 보호를 개선하는 방식으로 이 작업을 수행했습니다. 전형적인 “윈윈” 상황 우리는 서비스 프로바이더가 달성할 수 있도록 FIDO 표준을 설계했습니다. 이는 혁신적인 솔루션이 필요한 업계에 큰 이정표이지만, 의료 분야에서 FIDO 인증의 시작에 불과합니다. 나는 다른 헬스케어 조직들이 Aetna의 선례를 따르고, Aetna가 그들의 고도로 표적화된 산업 전반에 걸쳐 증가된 환자 기록 접근과 감소된 데이터 침해 측정으로 이끌어 내는 더 편리하고, 더 강력한 인증을 제공하기 위해 배치한 플랫폼을 복제하거나 활용할 것으로 예상합니다.
