1 Information Security & Privacy for Hospital Executives: เรื่องเล่าจากรามาธิบดี นพ.นวนรรน ธีระอัมพรพันธุ์ 28 พ.ค. 2559 http://www.slideshare.net/nawanan
Jan 18, 2017
1
Information Security & Privacy for Hospital Executives:เรองเลาจากรามาธบด
นพ.นวนรรน ธระอมพรพนธ
28 พ.ค. 2559
http://www.slideshare.net/nawanan
2
2546 แพทยศาสตรบณฑต (รามาธบดรนท 33)
2554 Ph.D. (Health Informatics), Univ. of Minnesota
อาจารย ภาควชาเวชศาสตรชมชนคณะแพทยศาสตรโรงพยาบาลรามาธบด
ความสนใจ: Health IT, Social Media, Security & Privacy
SlideShare.net/Nawanan
Nawanan Theera-Ampornpunt
Line ID: NawananT
แนะน าตว
3
Outline
• ท ำไมเรำตองแครเรอง Security & Privacy?
• Security/Privacy กบขอมลผปวย
• แนวปฏบตดำน Security ของระบบ
• แนวปฏบตดำน Privacy ของขอมล
9
ภย Security กบเมองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
10
ภย Security กบเมองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
11
ภย Security กบเมองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
13
ภย Security กบเมองไทย
(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/
(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-
to-hollywood
14
Confidentiality (ขอมลควำมลบ) Integrity (กำรแกไข/ลบ/เพมขอมลโดยมชอบ) Availability (ระบบลม ใชกำรไมได)
สงทเปนเปาหมายการโจมต: CIA Triad
15
ผลกระทบ/ความเสยหาย
• ควำมลบถกเปดเผย
• ควำมเสยงตอชวต สขภำพ จตใจ กำรเงน และกำรงำนของบคคล
• ระบบลม กำรใหบรกำรมปญหำ
• ภำพลกษณขององคกรเสยหำย
16
แหลงทมาของการโจมต
• Hackers
• Viruses & Malware
• ระบบทมปญหำขอผดพลำด/ชองโหว
• Insiders (บคลำกรทมเจตนำรำย)
• กำรขำดควำมตระหนกของบคลำกร
• ภยพบต
21
หลกจรยธรรมทเกยวกบ Privacy
• Autonomy (หลกเอกสทธ/ควำมเปนอสระของผปวย)
• Beneficence (หลกกำรรกษำประโยชนสงสดของผปวย)
• Non-maleficence (หลกกำรไมท ำอนตรำยตอผปวย)“First, Do No Harm.”
22
Hippocratic Oath...
What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....
http://en.wikipedia.org/wiki/Hippocratic_Oath
23
กฎหมายทเกยวของกบ Privacy
• พรบ.สขภำพแหงชำต พ.ศ. 2550
• มำตรำ 7 ขอมลดำนสขภำพของบคคล เปนควำมลบสวนบคคล ผใดจะน ำไปเปดเผยในประกำรทนำจะท ำใหบคคลนนเสยหำยไมได เวนแตกำรเปดเผยนนเปนไปตำมควำมประสงคของบคคลนนโดยตรง หรอมกฎหมำยเฉพำะบญญตใหตองเปดเผย แตไมวำในกรณใด ๆ ผใดจะอำศยอ ำนำจหรอสทธตำมกฎหมำยวำดวยขอมลขำวสำรของรำชกำรหรอกฎหมำยอนเพอขอเอกสำรเกยวกบขอมลดำนสขภำพของบคคลทไมใชของตนไมได
24
ประมวลกฎหมายอาญา• มำตรำ 323 ผใดลวงรหรอไดมำซงควำมลบของผอนโดยเหตทเปน
เจำพนกงำนผมหนำท โดยเหตทประกอบอำชพเปนแพทย เภสชกร คนจ ำหนำยยำ นำงผดงครรภ ผพยำบำล...หรอโดยเหตทเปนผชวยในกำรประกอบอำชพนน แลวเปดเผยควำมลบนนในประกำรทนำจะเกดควำมเสยหำยแกผหนงผใด ตองระวำงโทษจ ำคกไมเกนหกเดอน หรอปรบไมเกนหนงพนบำท หรอทงจ ำทงปรบ
• ผรบกำรศกษำอบรมในอำชพดงกลำวในวรรคแรก เปดเผยควำมลบของผอน อนตนไดลวงรหรอไดมำในกำรศกษำอบรมนน ในประกำรทนำจะเกดควำมเสยหำยแกผหนงผใดตองระวำงโทษเชนเดยวกน
25
ค ำประกำศสทธและขอพงปฏบตของผปวย
7. ผปวยมสทธไดรบกำรปกปดขอมลของตนเอง เวนแตผปวยจะใหควำมยนยอมหรอเปนกำรปฏบตตำมหนำทของผประกอบวชำชพดำนสขภำพเพอประโยชนโดยตรงของผปวยหรอตำมกฎหมำย
26
ขอควำมจรง บน• "อาจารยครบ เมอวาน ผมออก OPD เจอ คณ
... คนไข... ทอาจารยผาไปแลว มา ฉายรงสตอท... ตอนน Happy ด ไมคอยปวด เดนไดสบาย คนไขฝากขอบคณอาจารยอกครง -- อกอยางคนไขชวงนไมคอยสะดวกเลยไมไดไป กทม. บอกวาถาพรอมจะไป Follow-up กบอาจารยครบ"
ขอมลผปวย บน Social Media
27
แนวทางการคมครอง Privacy• Informed consent
• Privacy culture
• User awareness building & education
• Organizational policy & regulations Enforcement Ongoing privacy & security assessments,
monitoring, and protection
28
Line เสยงตอกำรละเมด Privacy ผปวยไดอยำงไร?
• ขอมลใน Line group มคนเหนหลายคน• ขอมลถก capture หรอ forward ไป share ตอได• ขอมล cache ทเกบใน mobile device อาจถกอานได
(เชน ท าอปกรณหาย หรอเผลอวางเอาไว)• ขอมลทสงผาน network ไมไดเขารหส• ขอมลทเกบใน server ของ Line ทางบรษทเขาถงได และ
อาจถก hack ได• มคนเดา Password ได
29
ทำงออกส ำหรบกำร Consult Case ผปวย
• ใชชองทางอนทไมมการเกบ record ขอมล ถาเหมาะสม• หลกเลยงการระบหรอ include ชอ, HN, เลขทเตยง หรอ
ขอมลทระบตวตนผปวยได (รวมทงในภาพ image)• ใช app ทปลอดภยกวา• Limit คนทเขาถง
(เชน ไมคยผาน Line group)• ใชอยางปลอดภย (Password, ดแลอปกรณไวกบตว,
เชค malware ฯลฯ)
31
เรองเลาจากรามาธบด #5: PR Nightmare & Response
http://new.khaosod.co.th.khaosod.online/dek3/win.html (อนตรำย! ไมควรเขำเวบน)
ขาวนไมเปนความจรง
35
User Account SecuritySo, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)
37
ควำมยำว 8 ตวอกษรขนไป
ควำมซบซอน: 3 ใน 4 กลมตวอกษร Uppercase letters
Lowercase letters
Numbers
Symbols
ไมมควำมหมำย (ปองกน “Dictionary Attacks”)
ไมใช simple patterns (12345678, 11111111)
ไมเกยวกบขอมลสวนตวทคนสนทอำจร (เชน วนเกด ชอคนในครอบครว ชอสตวเลยง)
Passwords
38
เรองเลาจากรามาธบด #6: Password ทองงาย (แตก Hack งาย)
Dictionary Attack: เรองเลาจากการเรยน
การ Hack ระบบ ท USA
40
แลวจะจ า Password ไดยงไง?คดประโยคภำษำองกฤษสก 1 ประโยคประโยคนควรมค ำ 8 ค ำขนไป และควรมตวเลข
หรอสญลกษณพเศษดวย ใชตวอกษรตวแรกของแตละค ำ เปน Password
41
ตวอยางการตง Password
http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/
46
Logout After Use
อยำลม Logout หลงใชงำนเสมอ โดยเฉพำะเครองสำธำรณะ
(หำกไมอยทหนำจอ แมเพยงชวคร ให Lock Screen เสมอ)
48
Mobile Securityตง PIN ส ำหรบ Lock Screen เอำไว ไมเกบขอมลส ำคญเอำไว ระวงไมใหสญหำย หำกสญหำยรบแจงระงบ
57
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
58
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
61
ลกษณะส าคญทควรสงสย PhishingGrammar หวยแตกตวสะกดผดเยอะพยำยำมอยำงยงใหเปดไฟลแนบ หรอกด link
หรอตอบเมล แตไมคอยใหรำยละเอยดE-mail ทมำจำกคนรจก ไมไดปลอดภยเสมอไป
65
ประกาศเตอนภย Ransomware ในรามาธบด
ขอบคณภำพ Screen Saver จำกฝำยสำรสนเทศ คณะแพทยศำสตรโรงพยำบำลรำมำธบด
67
PC Security, Virus & Malware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg
68
PC Security, Virus & Malware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg
70
เรองเลาจากรามาธบด #12: Virus & Patch Updates
Virus/Malware Attack & Windows Update: เรองเลาจากบทบาท
Chief IT Admin รามาธบด(ทตองดแลระบบลม)
75
Alice
Simplified Attack Scenarios
Server Bob
- Physical access to client computer
- Electronic access (password)
- Tricking user into doing something
(malware, phishing & social
engineering)
Eve/Mallory
76
Alice
Simplified Attack Scenarios
Server Bob
- Intercepting (eavesdropping or
“sniffing”) data in transit
- Modifying data (“Man-in-the-middle”
attacks)
- “Replay” attacks
Eve/Mallory
77
Alice
Simplified Attack Scenarios
Server Bob
- Unauthorized access to servers through
- Physical means
- User accounts & privileges
- Attacks through software vulnerabilities
- Attacks using protocol weaknesses
- DoS / DDoS attacks
Eve/Mallory
78
Alice
Safeguarding Against Attacks
Server Bob
Administrative Security
- Security & privacy policy
- Governance of security risk management & response
- Uniform enforcement of policy & monitoring
- Disaster recovery planning (DRP) & Business continuity
planning/management (BCP/BCM)
- Legal obligations, requirements & disclaimers
79
Alice
Safeguarding Against Attacks
Server Bob
Physical Security
- Protecting physical access of clients & servers- Locks & chains, locked rooms, security cameras
- Mobile device security
- Secure storage & secure disposition of storage devices
80
Alice
Safeguarding Against Attacks
Server Bob
User Security
- User account management
- Strong p/w policy (length, complexity, expiry, no meaning)
- Principle of Least Privilege
- “Clear desk, clear screen policy”
- Audit trails
- Education, awareness building & policy enforcement
- Alerts & education about phishing & social engineering
81
Alice
Safeguarding Against Attacks
Server Bob
System Security
- Antivirus, antispyware, personal firewall, intrusion
detection/prevention system (IDS/IPS), log files, monitoring
- Updates, patches, fixes of operating system vulnerabilities &
application vulnerabilities
- Redundancy (avoid “Single Point of Failure”)
- Honeypots
82
Alice
Safeguarding Against Attacks
Server Bob
Software Security
- Software (clients & servers) that is secure by design
- Software testing against failures, bugs, invalid inputs,
performance issues & attacks
- Updates to patch vulnerabilities
83
Alice
Safeguarding Against Attacks
Server Bob
Network Security
- Access control (physical & electronic) to network devices
- Use of secure network protocols if possible
- Data encryption during transit if possible
- Bandwidth monitoring & control
84
Alice
Safeguarding Against Attacks
Server Bob
Database Security
- Access control to databases & storage devices
- Encryption of data stored in databases if necessary
- Secure destruction of data after use
- Access control to queries/reports
- Security features of database management systems (DBMS)
86
Social Media Case Study #1: พฤตกรรมไมเหมำะสม
Disclaimer (นพ.นวนรรน):น าเสนอเปนกรณศกษาเพอการเรยนร
เรอง Social Media เทานน ไมมเจตนาลบหล ดหมน หรอท าใหผใดองคกรใด หรอวชาชพใดเสยหาย
โปรดใชวจารณญาณในการอานเนอหา
87
Disclaimer (นพ.นวนรรน):น าเสนอเปนกรณศกษาเพอการเรยนร
เรอง Social Media เทานน ไมมเจตนาลบหล ดหมน หรอท าใหผใดองคกรใด หรอวชาชพใดเสยหาย
โปรดใชวจารณญาณในการอานเนอหา
Social Media Case Study #1: พฤตกรรมไมเหมำะสม
89
http://pantip.com/topic/33678081
https://www.facebook.com/photo.php?fbid=971229119583658&set=a.37957656541558
6.90794.100000897364762&type=1&theater
Social Media Case Study #3: Selfie มประเดน
91
Social Media Case Study #5: ละเมดผรบบรกำร
Disclaimer (นพ.นวนรรน): น าเสนอเปนกรณศกษาเพอการเรยนรเรอง Social Media
เทานน ไมมเจตนาดหมน หรอท าใหผใดเสยหาย และไมมเจตนาสรางประเดนทาง
การเมองชอ สญลกษณ หรอเครองหมายของบคคล
หรอองคกรใด เปนเพยงการใหขอมลแวดลอมเพอการท าความเขาใจกรณศกษาเทานน ไมใชการใสความวาผนนกระท าการใด อนจะท าใหผนนเสยชอเสยง ถกดหมน หรอถกเกลยดชง
โปรดใชวจารณญาณในการอานเนอหา
92
http://manager.co.th/Entertainment/Vie
wNews.aspx?NewsID=9580000076405
Social Media Case Study #6: ละเมดผรบบรกำร
94
Social Media Case Study #8: ไมตรวจสอบขอมล
Disclaimer (นพ.นวนรรน): น าเสนอเปนกรณศกษาเพอการเรยนรเรอง Social Media
เทานน ไมมเจตนาดหมน หรอท าใหผใดเสยหาย
ชอ สญลกษณ หรอเครองหมายของบคคลหรอองคกรใด เปนเพยงการใหขอมลแวดลอมเพอการท าความเขาใจกรณศกษาเทานน ไมใชการใสความวาผนนกระท าการใด อนจะท าใหผนนเสยชอเสยง ถกดหมน หรอถกเกลยดชง
โปรดใชวจารณญาณในการอานเนอหา
95
Social Media Case Study #9: ไมตรวจสอบขอมล
Source: Facebook Page โหดสส V2 อำงองภำพจำกหนำ 7 นสพ.ไทยรฐ วนท 6 พ.ค. 2557 และ http://www.reuters.com/article/2013/10/16/us-philippines-quake-idUSBRE99E01R20131016
96
Summary of Talk: เรยนรจากเรองเลา
• ท ำไมเรำตองแครเรอง Security & Privacy?
• Security/Privacy กบขอมลผปวย
• แนวปฏบตดำน Security ของระบบ
• แนวปฏบตดำน Privacy ของขอมล
• แนวปฏบตดำนกำรใช Social Media ทเหมำะสม