1 ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง นพ.นวนรรน ธีระอัมพรพันธุ์ 22 ม.ค. 2559 http://www.slideshare.net/nawanan
1
ใชไอทอยางปลอดภยพวกเราสบายใจ คนไขไดรบความคมครอง
นพ.นวนรรน ธระอมพรพนธ
22 ม.ค. 2559
http://www.slideshare.net/nawanan
2
2546 แพทยศาสตรบณฑต (รามาธบดรนท 33)
2554 Ph.D. (Health Informatics), Univ. of Minnesota
อาจารย ภาควชาเวชศาสตรชมชนคณะแพทยศาสตรโรงพยาบาลรามาธบด
ความสนใจ: Health IT, Social Media, Security & Privacy
SlideShare.net/Nawanan
Nawanan Theera-Ampornpunt
Line ID: NawananT
แนะน าตว
3
Outline
• ท ำไมเรำตองแครเรอง Security & Privacy?
• Security/Privacy กบขอมลผปวย
• แนวปฏบตดำน Security ของระบบ
• แนวปฏบตดำน Privacy ของขอมล
• ตวอยำง Security/Privacy ของรำมำธบด
4
ท าไมเราตองแครเรอง Security & Privacy?
5
Malware
ตวอยางภยคกคามดาน Security
6
ภย Security กบเมองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
7
ภย Security กบเมองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
8
ภย Security กบเมองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
9
ภย Security กบเมองไทย
https://www.facebook.com/longhackz
10
ภย Security กบเมองไทย
(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/
(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-
to-hollywood
11
ภย Security กบโรงพยาบาล
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm
12
ภย Security กบโรงพยาบาล
http://news.sanook.com/1262964/
13
Confidentiality (ขอมลควำมลบ) Integrity (กำรแกไข/ลบ/เพมขอมลโดยมชอบ) Availability (ระบบลม ใชกำรไมได)
สงทเปนเปาหมายการโจมต: CIA Triad
14
ผลกระทบ/ความเสยหาย
• ควำมลบถกเปดเผย
• ควำมเสยงตอชวต สขภำพ จตใจ กำรเงน และกำรงำนของบคคล
• ระบบลม กำรใหบรกำรมปญหำ
• ภำพลกษณขององคกรเสยหำย
15
แหลงทมาของการโจมต
• Hackers
• Viruses & Malware
• ระบบทมปญหำขอผดพลำด/ชองโหว
• Insiders (บคลำกรทมเจตนำรำย)
• กำรขำดควำมตระหนกของบคลำกร
• ภยพบต
16
ผลกระทบเมอขอมลผปวยรวไหล
http://blogs.absolute.com/blog/data-breaches-cost-6-billion-to-healthcare-industry/
17
Security/Privacy กบขอมลผปวย
18
Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House
19http://www.aclu.org/ordering-pizza
Privacy ของขอมลสวนบคคล
20
บทความใน JAMA เรวๆ น
JAMA. 2015 Apr 14;313(14).
21
แนวปฏบตดาน Security ของระบบ
22
แนวทางดาน Security
• User Account Security (Password)
• Mobile Security
• Online Security
• E-mail Security
• PC Security
23
User Account SecuritySo, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)
24
User Account Security
https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png
25
ควำมยำว 8 ตวอกษรขนไป
ควำมซบซอน: 3 ใน 4 กลมตวอกษร Uppercase letters
Lowercase letters
Numbers
Symbols
ไมมควำมหมำย (ปองกน “Dictionary Attacks”)
ไมใช simple patterns (12345678, 11111111)
ไมเกยวกบขอมลสวนตวทคนสนทอำจร (เชน วนเกด ชอคนในครอบครว ชอสตวเลยง)
Passwords
26
Dictionary Attack: เรองเลาจากการเรยน
การ Hack ระบบ ท USA
27
Clear Desk, Clear Screen Policy
http://pixabay.com/en/post-it-sticky-note-note-corner-148282/
28
แลวจะจ า Password ไดยงไง?คดประโยคภำษำองกฤษสก 1 ประโยคประโยคนควรมค ำ 8 ค ำขนไป และควรมตวเลข
หรอสญลกษณพเศษดวย ใชตวอกษรตวแรกของแตละค ำ เปน Password
29
ตวอยางการตง Password
http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/
30
ตวอยางการตง Passwordประโยค:
I love reading all 7 Harry Potter books!
Password:Ilra7HPb!
31
Password Sharing
อยำแชร Passwordกบคนอน
32
Password Expiration
เปลยน Password ทกๆ 3-6 เดอน
33
Keylogger Attack: เรองเลาจากกจกรรมชมรมสมยเปนนกศกษาแพทย
34
Rogue Wi-Fi Router: จอมขโมย Password
ททกคนตองระวง
35
Logout After Use
อยำลม Logout หลงใชงำนเสมอ โดยเฉพำะเครองสำธำรณะ
(หำกไมอยทหนำจอ แมเพยงชวคร ให Lock Screen เสมอ)
36
Mobile Security
https://www.thaicert.or.th/downloads/files/BROCHURE_mobile_malware.png
37
Mobile Securityตง PIN ส ำหรบ Lock Screen เอำไว ไมเกบขอมลส ำคญเอำไว ระวงไมใหสญหำย หำกสญหำยรบแจงระงบ
38
Online (Shopping) Security
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Online-Shopping-Tips.jpg
ดแลบตรเครดต และขอมลหมำยเลขบตรใหด
ใชเฉพำะกบเวบทเชอถอได สมครบรกำร SMS แจง
เตอนเมอมกำรรดบตร ด statement และ
ตรวจสอบธรกรรมเสมอ
39
E-mail Security
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg
40
E-mail Security
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg
41
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
42
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
43
Secure Log-in ส าหรบเวบทส าคญMicrosoft Internet Explorer
44
Secure Log-in ส าหรบเวบทส าคญMozilla Firefox
Google Chrome
45
Phishing E-mail
46
Phishing E-mail
47
Phishing E-mail
48
Phishing E-mail
49
Phishing Web Site
50
Ransomware
51
ลกษณะส าคญทควรสงสย PhishingGrammar หวยแตกตวสะกดผดเยอะพยำยำมอยำงยงใหเปดไฟลแนบ หรอกด link
หรอตอบเมล แตไมคอยใหรำยละเอยดE-mail ทมำจำกคนรจก ไมไดปลอดภยเสมอไป
52
Phishing Attack: เรองเลาจากชวต
ประธานนกเรยนไทยใน Minnesota
53
PC Security, Virus & Malware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg
54
PC Security, Virus & Malware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg
55
File Sharing: เรองเลาจากชวต
นกศกษาแพทยรามาธบด(ทอยากรอยากเหน)
56
Virus/Malware Attack & Windows Update: เรองเลาจากบทบาท
Chief IT Admin รามาธบด(ทตองดแลระบบลม)
57
Back-up Your Data: เรองเลาจากคนงานเยอะ
58
World Backup Day:March 31 ของทกป
59
แนวปฏบตดาน Privacy ของขอมล
60
หลกจรยธรรมทเกยวกบ Privacy
• Autonomy (หลกเอกสทธ/ควำมเปนอสระของผปวย)
• Beneficence (หลกกำรรกษำประโยชนสงสดของผปวย)
• Non-maleficence (หลกกำรไมท ำอนตรำยตอผปวย)“First, Do No Harm.”
61
Hippocratic Oath...
What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....
http://en.wikipedia.org/wiki/Hippocratic_Oath
62
กฎหมายทเกยวของกบ Privacy
• พรบ.สขภำพแหงชำต พ.ศ. 2550
• มำตรำ 7 ขอมลดำนสขภำพของบคคล เปนควำมลบสวนบคคล ผใดจะน ำไปเปดเผยในประกำรทนำจะท ำใหบคคลนนเสยหำยไมได เวนแตกำรเปดเผยนนเปนไปตำมควำมประสงคของบคคลนนโดยตรง หรอมกฎหมำยเฉพำะบญญตใหตองเปดเผย แตไมวำในกรณใด ๆ ผใดจะอำศยอ ำนำจหรอสทธตำมกฎหมำยวำดวยขอมลขำวสำรของรำชกำรหรอกฎหมำยอนเพอขอเอกสำรเกยวกบขอมลดำนสขภำพของบคคลทไมใชของตนไมได
63
ประมวลกฎหมายอาญา• มำตรำ 323 ผใดลวงรหรอไดมำซงควำมลบของผอนโดยเหตทเปน
เจำพนกงำนผมหนำท โดยเหตทประกอบอำชพเปนแพทย เภสชกร คนจ ำหนำยยำ นำงผดงครรภ ผพยำบำล...หรอโดยเหตทเปนผชวยในกำรประกอบอำชพนน แลวเปดเผยควำมลบนนในประกำรทนำจะเกดควำมเสยหำยแกผหนงผใด ตองระวำงโทษจ ำคกไมเกนหกเดอน หรอปรบไมเกนหนงพนบำท หรอทงจ ำทงปรบ
• ผรบกำรศกษำอบรมในอำชพดงกลำวในวรรคแรก เปดเผยควำมลบของผอน อนตนไดลวงรหรอไดมำในกำรศกษำอบรมนน ในประกำรทนำจะเกดควำมเสยหำยแกผหนงผใดตองระวำงโทษเชนเดยวกน
64
ค ำประกำศสทธและขอพงปฏบตของผปวย
7. ผปวยมสทธไดรบกำรปกปดขอมลของตนเอง เวนแตผปวยจะใหควำมยนยอมหรอเปนกำรปฏบตตำมหนำทของผประกอบวชำชพดำนสขภำพเพอประโยชนโดยตรงของผปวยหรอตำมกฎหมำย
65http://www.prasong.com/สอสารมวลชน/แพยสภาสอบจรยธรรมหมอต/
Social Media Case Study
66
ขอควำมจรง บน• "อาจารยครบ เมอวาน ผมออก OPD เจอ คณ
... คนไข... ทอาจารยผาไปแลว มา ฉายรงสตอท... ตอนน Happy ด ไมคอยปวด เดนไดสบาย คนไขฝากขอบคณอาจารยอกครง -- อกอยางคนไขชวงนไมคอยสะดวกเลยไมไดไป กทม. บอกวาถาพรอมจะไป Follow-up กบอาจารยครบ"
ขอมลผปวย บน Social Media
67
แนวทางการคมครอง Privacy
• Informed consent
• Privacy culture
• User awareness building & education
• Organizational policy & regulations
68
ตวอยาง Security/Privacyของรามาธบด
69
http://intranet.mahidol/op/orla/law/index.php/announcement/146-2556/770-social-network
นโยบำยดำน Social Media ของมหำวทยำลยมหดล
70
• ขอความบน Social Network สามารถเขาถงไดโดยสาธารณะ ผเผยแพรตองรบผดชอบ ทงทางสงคมและกฎหมาย และอาจสงผลกระทบตอชอเสยง การท างาน และวชาชพของตน
MU Social Media Policy
71
• ขอความบน Social Network สามารถเขาถงไดโดยสาธารณะ ผเผยแพรตองรบผดชอบ ทงทางสงคมและกฎหมาย และอาจสงผลกระทบตอชอเสยง การท างาน และวชาชพของตน
• ระมดระวงอยางยง ในการเผยแพรประเดนท Controversial เชน การเมอง ศาสนา
• ไมไดหาม แตใหระวง เพราะอาจสงผลลบตอตนหรอองคกรได
MU Social Network Policy
72
• ความรบผดชอบทางกฎหมาย– ประมวลกฎหมายอาญา ความผดฐานหมนประมาท
– พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร
– ขอบงคบสภาวชาชพ เกยวกบจรยธรรมแหงวชาชพ
– ขอบงคบมหาวทยาลยมหดล วาดวยจรรยาบรรณของบคลากรและนกศกษามหาวทยาลยมหดล
– ขอบงคบมหาวทยาลยมหดล วาดวยวนยนกศกษา
MU Social Network Policy
73
• ไมละเมดทรพยสนทางปญญาของผอน อางถงแหลงทมาเสมอ (Plagiarism = การน าผลงานของคนอนมาน าเสนอเสมอนหนงเปนผลงานของตนเอง)
• แบงแยกเรองสวนตวกบหนาทการงาน/การเรยน
– แยก Account ของหนวยงาน/องคกร ออกจาก Account บคคล
– Facebook Profile (สวนตว) vs. Facebook Page (องคกร/หนวยงาน)
• ในการโพสตทอาจเขาใจผดไดวาเปนความเหนจากมหาวทยาลย/หนวยงาน ใหระบ Disclaimer เสมอวาเปนความเหนสวนตว
• หามเผยแพรขอมล sensitive ทใชภายในมหาวทยาลยกอนไดรบอนญาต
MU Social Network Policy
74
• บคลากรทางการแพทยหรอผใหบรการสขภาพ– ระวงการใช Social Network ในการปฏสมพนธกบผปวย
– ปฏบตตามจรยธรรมของวชาชพ
– ระวงเรองความเปนสวนตว (Privacy) และความลบของขอมลผปวย
– การเผยแพรขอมล/ภาพผปวย เพอการศกษา ตองขออนญาตผปวยกอนเสมอ และลบขอมลทเปน identifiers ทงหมด (เชน ชอ, HN, ภาพใบหนา หรอ ID อนๆ) ยกเวนผปวยอนญาต (รวมถงกรณการโพสตใน closed groups ดวย)
• ตงคา Privacy Settings ใหเหมาะสม
MU Social Media Policy
75
Line เสยงตอกำรละเมด Privacy ผปวยไดอยำงไร?
• ขอมลใน Line group มคนเหนหลายคน• ขอมลถก capture หรอ forward ไป share ตอได• ขอมล cache ทเกบใน mobile device อาจถกอานได
(เชน ท าอปกรณหาย หรอเผลอวางเอาไว)• ขอมลทสงผาน network ไมไดเขารหส• ขอมลทเกบใน server ของ Line ทางบรษทเขาถงได และ
อาจถก hack ได• มคนเดา Password ได
76
ทำงออกส ำหรบกำร Consult Case ผปวย
• ใชชองทางอนทไมมการเกบ record ขอมล ถาเหมาะสม• หลกเลยงการระบหรอ include ชอ, HN, เลขทเตยง หรอ
ขอมลทระบตวตนผปวยได (รวมทงในภาพ image)• ใช app ทปลอดภยกวา• Limit คนทเขาถง
(เชน ไมคยผาน Line group)• ใชอยางปลอดภย (Password, ดแลอปกรณไวกบตว,
เชค malware ฯลฯ)
77
• ประกาศคณะฯ เรอง นโยบายความปลอดภยสารสนเทศ คณะแพทยศาสตรโรงพยาบาลรามาธบด พ.ศ. 2551
• ประกาศคณะฯ เรอง หลกเกณฑการปฏบตของผไดรบอนญาตใหเขาถงขอมลทางอเลกทรอนกส พ.ศ. 2554
• ประกาศคณะฯ เรอง การขอคดถายส าเนาเวชระเบยนผปวย พ.ศ. 2556• ประกาศคณะฯ เรอง ขอก าหนดการใชสอสงคมออนไลน ของคณะฯ พ.ศ.
2556• ประกาศคณะฯ เรอง แนวทางปฏบต การขอบนทกภาพและเสยงใน
โรงพยาบาลสงกดของคณะฯ พ.ศ. 2557• ประกาศคณะฯ เรอง แนวทางปฏบตการใหประวตการรกษาพยาบาล
กรณจ าเปนเรงดวน พ.ศ. 2558• ประกาศคณะฯ เรอง การขอส าเนาเวชระเบยนอเลกทรอนกสทางอเมล
(e-mail) พ.ศ. 2558
ระเบยบตำงๆ ของคณะฯ ดำน Information Security
78
Case Study จากรามาธบด
79
คณะกรรมกำรตรวจสอบกำรละเมดสทธผปวยของคณะฯ
80
คณะกรรมกำรตรวจสอบกำรละเมดสทธผปวยของคณะฯ
81
คณะกรรมกำรตรวจสอบกำรละเมดสทธผปวยของคณะฯ
82
ตวอยาง Security/Privacyของรามาธบด
83
Summary of Talk
• ท ำไมเรำตองแครเรอง Security & Privacy?
• Security/Privacy กบขอมลผปวย
• แนวปฏบตดำน Security ของระบบ
• แนวปฏบตดำน Privacy ของขอมล
• ตวอยำง Security/Privacy ของรำมำธบด
84
ใชไอทอยางปลอดภยพวกเราสบายใจ คนไขไดรบความคมครอง
นพ.นวนรรน ธระอมพรพนธ
22 ม.ค. 2559
http://www.slideshare.net/nawanan