1 มั่นคงปลอดภัยของ ระบบเทคโนโลยี สารสนเทศ (Part 1) นพ.นวนรรน ธีระอัมพรพันธุ์ 2 ก.ค. 2558 http://www.slideshare.net/nawanan
Aug 02, 2015
1
หลักการจัดความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (Part 1)
นพ.นวนรรน ธรีะอัมพรพนัธุ์
2 ก.ค. 2558
http://www.slideshare.net/nawanan
2
Outlineตอนที่ 1 (สัปดาห์นี)้
• ท าไมเราต้องแคร์เรื่อง Security & Privacy?
• Security/Privacy กับข้อมูลผู้ป่วย
• แนวปฏิบัติด้าน Security ของระบบ
ตอนที่ 2 (สัปดาห์หน้า)
• กฎหมายด้าน Security/Privacy
• การใช้ Social Media ด้านสุขภาพ
3
ท าไมเราต้องแคร์เรื่อง Security & Privacy?
4
Malware
ตัวอย่างภัยคุกคามด้าน Security
5
ภัย Security กับเมืองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
6
ภัย Security กับเมืองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
7
ภัย Security กับเมืองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
8
ภัย Security กับเมืองไทย
https://www.facebook.com/longhackz
9
ภัย Security กับเมืองไทย
(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/
(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-
to-hollywood
10
ภัย Security กับโรงพยาบาล
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm
11
ภัย Security กับโรงพยาบาล
http://news.sanook.com/1262964/
12
Confidentiality (ข้อมูลความลับ) Integrity (การแก้ไข/ลบ/เพิ่มข้อมูลโดยมิชอบ) Availability (ระบบล่ม ใช้การไม่ได)้
สิ่งที่เป็นเป้าหมายการโจมตี: CIA Triad
13
ผลกระทบ/ความเสียหาย
• ความลับถูกเปิดเผย
• ความเสี่ยงต่อชีวิต สุขภาพ จิตใจ การเงิน และการงานของบุคคล
• ระบบล่ม การให้บริการมีปัญหา
• ภาพลักษณ์ขององคก์รเสยีหาย
14
แหล่งที่มาของการโจมตี
• Hackers
• Viruses & Malware
• ระบบที่มีปัญหาข้อผิดพลาด/ช่องโหว่
• Insiders (บุคลากรที่มีเจตนาร้าย)
• การขาดความตระหนักของบุคลากร
• ภัยพิบัติ
15
ผลกระทบเมื่อข้อมูลผู้ป่วยรั่วไหล
http://blogs.absolute.com/blog/data-breaches-cost-6-billion-to-healthcare-industry/
16
Security/Privacy กับข้อมูลผู้ป่วย
17
Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House
18http://www.aclu.org/ordering-pizza
Privacy ของข้อมูลส่วนบุคคล
19
บทความใน JAMA เร็วๆ นี้
JAMA. 2015 Apr 14;313(14).
20
แนวปฏิบัติด้าน Security ของระบบ
21
แนวทางด้าน Security
• User Account Security (Password)
• Mobile Security
• Online Security
• E-mail Security
• PC Security
22
User Account SecuritySo, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)
23
User Account Security
https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png
24
ความยาว 8 ตัวอักษรขึ้นไป
ความซับซ้อน: 3 ใน 4 กลุ่มตัวอักษร Uppercase letters
Lowercase letters
Numbers
Symbols
ไม่มีความหมาย (ป้องกัน “Dictionary Attacks”)
ไม่ใช่ simple patterns (12345678, 11111111)
ไม่เกี่ยวกับข้อมูลส่วนตัวที่คนสนิทอาจรู้ (เช่น วันเกิด ชื่อคนในครอบครัว ชื่อสัตว์เลี้ยง)
Passwords
25
Dictionary Attack: เรื่องเล่าจากการเรียน
การ Hack ระบบ ที่ USA
26
Clear Desk, Clear Screen Policy
http://pixabay.com/en/post-it-sticky-note-note-corner-148282/
27
แล้วจะจ า Password ได้ยังไง?คิดประโยคภาษาอังกฤษสัก 1 ประโยคประโยคนี้ควรมีค า 8 ค าขึ้นไป และควรมีตัวเลข
หรือสัญลักษณ์พิเศษด้วย ใช้ตัวอักษรตัวแรกของแต่ละค า เป็น Password
28
ตัวอย่างการตั้ง Password
http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/
29
ตัวอย่างการตั้ง Passwordประโยค:
I love reading all 7 Harry Potter books!
Password:Ilra7HPb!
30
Password Sharing
อย่าแชร์ Passwordกับคนอื่น
31
Password Expiration
เปลี่ยน Password ทุกๆ 3-6 เดือน
32
Keylogger Attack: เรื่องเล่าจากกิจกรรมชมรมสมัยเป็นนักศึกษาแพทย์
33
Rogue Wi-Fi Router: จอมขโมย Password
ที่ทุกคนต้องระวัง
34
Logout After Use
อย่าลืม Logout หลังใช้งานเสมอ โดยเฉพาะเครื่องสาธารณะ
(หากไม่อยู่ที่หน้าจอ แม้เพียงชั่วครู่ ให้ Lock Screen เสมอ)
35
Mobile Security
https://www.thaicert.or.th/downloads/files/BROCHURE_mobile_malware.png
36
Mobile Securityตั้ง PIN ส าหรับ Lock Screen เอาไว้ ไม่เก็บข้อมูลส าคัญเอาไว้ ระวังไม่ให้สูญหาย หากสูญหายรีบแจ้งระงับ
37
Online (Shopping) Security
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Online-Shopping-Tips.jpg
ดูแลบัตรเครดิต และข้อมูลหมายเลขบัตรให้ดี
ใช้เฉพาะกับเว็บที่เชื่อถือได้ สมัครบริการ SMS แจ้ง
เตือนเมื่อมีการรูดบัตร ดู statement และ
ตรวจสอบธุรกรรมเสมอ
38
E-mail Security
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg
39
E-mail Security
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg
40
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
41
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
42
Secure Log-in ส าหรับเว็บที่ส าคัญMicrosoft Internet Explorer
43
Secure Log-in ส าหรับเว็บที่ส าคัญMozilla Firefox
Google Chrome
44
Phishing E-mail
45
Phishing E-mail
46
Phishing E-mail
47
Phishing E-mail
48
Phishing Web Site
49
Ransomware
50
ลักษณะส าคัญที่ควรสงสัย PhishingGrammar ห่วยแตกตัวสะกดผิดเยอะพยายามอย่างยิ่งให้เปิดไฟล์แนบ หรือกด link
หรือตอบเมล แต่ไม่ค่อยให้รายละเอียดE-mail ที่มาจากคนรู้จัก ไม่ได้ปลอดภัยเสมอไป
51
Phishing Attack: เรื่องเล่าจากชีวิต
ประธานนักเรียนไทยใน Minnesota
52
PC Security, Virus & Malware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg
53
PC Security, Virus & Malware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg
54
File Sharing: เรื่องเล่าจากชีวิต
นักศึกษาแพทย์รามาธิบดี(ที่อยากรู้อยากเห็น)
55
Virus/Malware Attack & Windows Update: เรื่องเล่าจากบทบาท
Chief IT Admin รามาธิบดี(ที่ต้องดูแลระบบล่ม)
56
Back-up Your Data: เรื่องเล่าจากคนงานเยอะ
57
สรุป: แนวทางด้าน Security• ท าไมเราต้องแคร์เรื่อง Security & Privacy?
• Security/Privacy กับข้อมูลผู้ป่วย
• แนวปฏิบัติด้าน Security ของระบบ– User Account Security (Password)
– Mobile Security
– Online Security
– E-mail Security
– PC Security
58
สรุปตอนที่ 2 (สัปดาห์หน้า)
• กฎหมายด้าน Security/Privacy
• การใช้ Social Media ด้านสุขภาพ