Introduction to Security & Privacy (For Suan Dusit Teaching)

1

หลักการจัดความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (Part 1)

นพ.นวนรรน ธรีะอัมพรพนัธุ์

2 ก.ค. 2558

http://www.slideshare.net/nawanan

2

Outlineตอนที่ 1 (สัปดาห์นี)้

• ท าไมเราต้องแคร์เรื่อง Security & Privacy?

• Security/Privacy กับข้อมูลผู้ป่วย

• แนวปฏิบัติด้าน Security ของระบบ

ตอนที่ 2 (สัปดาห์หน้า)

• กฎหมายด้าน Security/Privacy

• การใช้ Social Media ด้านสุขภาพ

3

ท าไมเราต้องแคร์เรื่อง Security & Privacy?

4

Malware

ตัวอย่างภัยคุกคามด้าน Security

5

ภัย Security กับเมืองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

6

ภัย Security กับเมืองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

7

ภัย Security กับเมืองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

8

ภัย Security กับเมืองไทย

https://www.facebook.com/longhackz

9

ภัย Security กับเมืองไทย

(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/

(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-

to-hollywood

10

ภัย Security กับโรงพยาบาล

http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

11

ภัย Security กับโรงพยาบาล

http://news.sanook.com/1262964/

12

Confidentiality (ข้อมูลความลับ) Integrity (การแก้ไข/ลบ/เพิ่มข้อมูลโดยมิชอบ) Availability (ระบบล่ม ใช้การไม่ได)้

สิ่งที่เป็นเป้าหมายการโจมตี: CIA Triad

13

ผลกระทบ/ความเสียหาย

• ความลับถูกเปิดเผย

• ความเสี่ยงต่อชีวิต สุขภาพ จิตใจ การเงิน และการงานของบุคคล

• ระบบล่ม การให้บริการมีปัญหา

• ภาพลักษณ์ขององคก์รเสยีหาย

14

แหล่งที่มาของการโจมตี

• Hackers

• Viruses & Malware

• ระบบที่มีปัญหาข้อผิดพลาด/ช่องโหว่

• Insiders (บุคลากรที่มีเจตนาร้าย)

• การขาดความตระหนักของบุคลากร

• ภัยพิบัติ

15

ผลกระทบเมื่อข้อมูลผู้ป่วยรั่วไหล

http://blogs.absolute.com/blog/data-breaches-cost-6-billion-to-healthcare-industry/

16

Security/Privacy กับข้อมูลผู้ป่วย

17

Security & Privacy

http://en.wikipedia.org/wiki/A._S._Bradford_House

18http://www.aclu.org/ordering-pizza

Privacy ของข้อมูลส่วนบุคคล

19

บทความใน JAMA เร็วๆ นี้

JAMA. 2015 Apr 14;313(14).

20

แนวปฏิบัติด้าน Security ของระบบ

21

แนวทางด้าน Security

• User Account Security (Password)

• Mobile Security

• Online Security

• E-mail Security

• PC Security

22

User Account SecuritySo, two informaticians

walk into a bar...

The bouncer says,

"What's the password."

One says, "Password?"

The bouncer lets them

in.

Credits: @RossMartin & AMIA (2012)

23

User Account Security

https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png

24

ความยาว 8 ตัวอักษรขึ้นไป

ความซับซ้อน: 3 ใน 4 กลุ่มตัวอักษร Uppercase letters

Lowercase letters

Numbers

Symbols

ไม่มีความหมาย (ป้องกัน “Dictionary Attacks”)

ไม่ใช่ simple patterns (12345678, 11111111)

ไม่เกี่ยวกับข้อมูลส่วนตัวที่คนสนิทอาจรู้ (เช่น วันเกิด ชื่อคนในครอบครัว ชื่อสัตว์เลี้ยง)

Passwords

25

Dictionary Attack: เรื่องเล่าจากการเรียน

การ Hack ระบบ ที่ USA

26

Clear Desk, Clear Screen Policy

http://pixabay.com/en/post-it-sticky-note-note-corner-148282/

27

แล้วจะจ า Password ได้ยังไง?คิดประโยคภาษาอังกฤษสัก 1 ประโยคประโยคนี้ควรมีค า 8 ค าขึ้นไป และควรมีตัวเลข

หรือสัญลักษณ์พิเศษด้วย ใช้ตัวอักษรตัวแรกของแต่ละค า เป็น Password

28

ตัวอย่างการตั้ง Password

http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/

29

ตัวอย่างการตั้ง Passwordประโยค:

I love reading all 7 Harry Potter books!

Password:Ilra7HPb!

30

Password Sharing

อย่าแชร์ Passwordกับคนอื่น

31

Password Expiration

เปลี่ยน Password ทุกๆ 3-6 เดือน

32

Keylogger Attack: เรื่องเล่าจากกิจกรรมชมรมสมัยเป็นนักศึกษาแพทย์

33

Rogue Wi-Fi Router: จอมขโมย Password

ที่ทุกคนต้องระวัง

34

Logout After Use

อย่าลืม Logout หลังใช้งานเสมอ โดยเฉพาะเครื่องสาธารณะ

(หากไม่อยู่ที่หน้าจอ แม้เพียงชั่วครู่ ให้ Lock Screen เสมอ)

35

Mobile Security

https://www.thaicert.or.th/downloads/files/BROCHURE_mobile_malware.png

36

Mobile Securityตั้ง PIN ส าหรับ Lock Screen เอาไว้ ไม่เก็บข้อมูลส าคัญเอาไว้ ระวังไม่ให้สูญหาย หากสูญหายรีบแจ้งระงับ

37

Online (Shopping) Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Online-Shopping-Tips.jpg

ดูแลบัตรเครดิต และข้อมูลหมายเลขบัตรให้ดี

ใช้เฉพาะกับเว็บที่เชื่อถือได้ สมัครบริการ SMS แจ้ง

เตือนเมื่อมีการรูดบัตร ดู statement และ

ตรวจสอบธุรกรรมเสมอ

38

E-mail Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

39

E-mail Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

40

E-mail & Online Security (Phishing)

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

41

E-mail & Online Security (Phishing)

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

42

Secure Log-in ส าหรับเว็บที่ส าคัญMicrosoft Internet Explorer

43

Secure Log-in ส าหรับเว็บที่ส าคัญMozilla Firefox

Google Chrome

44

Phishing E-mail

45

Phishing E-mail

46

Phishing E-mail

47

Phishing E-mail

48

Phishing Web Site

49

Ransomware

50

ลักษณะส าคัญที่ควรสงสัย PhishingGrammar ห่วยแตกตัวสะกดผิดเยอะพยายามอย่างยิ่งให้เปิดไฟล์แนบ หรือกด link

หรือตอบเมล แต่ไม่ค่อยให้รายละเอียดE-mail ที่มาจากคนรู้จัก ไม่ได้ปลอดภัยเสมอไป

51

Phishing Attack: เรื่องเล่าจากชีวิต

ประธานนักเรียนไทยใน Minnesota

52

PC Security, Virus & Malware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg

53

PC Security, Virus & Malware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg

54

File Sharing: เรื่องเล่าจากชีวิต

นักศึกษาแพทย์รามาธิบดี(ที่อยากรู้อยากเห็น)

55

Virus/Malware Attack & Windows Update: เรื่องเล่าจากบทบาท

Chief IT Admin รามาธิบดี(ที่ต้องดูแลระบบล่ม)

56

Back-up Your Data: เรื่องเล่าจากคนงานเยอะ

57

สรุป: แนวทางด้าน Security• ท าไมเราต้องแคร์เรื่อง Security & Privacy?

• Security/Privacy กับข้อมูลผู้ป่วย

• แนวปฏิบัติด้าน Security ของระบบ– User Account Security (Password)

– Mobile Security

– Online Security

– E-mail Security

– PC Security

58

สรุปตอนที่ 2 (สัปดาห์หน้า)

• กฎหมายด้าน Security/Privacy

• การใช้ Social Media ด้านสุขภาพ