1

Information Security & Privacy for Hospital Executives:เรองเลาจากรามาธบด

นพ.นวนรรน ธระอมพรพนธ

28 พ.ค. 2559

http://www.slideshare.net/nawanan

2

2546 แพทยศาสตรบณฑต (รามาธบดรนท 33)

2554 Ph.D. (Health Informatics), Univ. of Minnesota

อาจารย ภาควชาเวชศาสตรชมชนคณะแพทยศาสตรโรงพยาบาลรามาธบด

ความสนใจ: Health IT, Social Media, Security & Privacy

nawanan.the@mahidol.ac.th

SlideShare.net/Nawanan

Nawanan Theera-Ampornpunt

Line ID: NawananT

แนะน าตว

3

Outline

• ท ำไมเรำตองแครเรอง Security & Privacy?

• Security/Privacy กบขอมลผปวย

• แนวปฏบตดำน Security ของระบบ

• แนวปฏบตดำน Privacy ของขอมล

4

ท าไมเราตองแครเรอง Security & Privacy?

5

เรองเลาจากรามาธบด #1: Privacy & Hoax

http://news.sanook.com/1262964/

6

ภย Privacy กบโรงพยาบาล

http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

7

Malware

ตวอยางภยคกคามดาน Security

8

เรองเลาจากรามาธบด #2: Malware

9

ภย Security กบเมองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

10

ภย Security กบเมองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

11

ภย Security กบเมองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

12

ภย Security กบเมองไทย

https://www.facebook.com/longhackz

13

ภย Security กบเมองไทย

(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/

(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-

to-hollywood

14

Confidentiality (ขอมลควำมลบ) Integrity (กำรแกไข/ลบ/เพมขอมลโดยมชอบ) Availability (ระบบลม ใชกำรไมได)

สงทเปนเปาหมายการโจมต: CIA Triad

15

ผลกระทบ/ความเสยหาย

• ควำมลบถกเปดเผย

• ควำมเสยงตอชวต สขภำพ จตใจ กำรเงน และกำรงำนของบคคล

• ระบบลม กำรใหบรกำรมปญหำ

• ภำพลกษณขององคกรเสยหำย

16

แหลงทมาของการโจมต

• Hackers

• Viruses & Malware

• ระบบทมปญหำขอผดพลำด/ชองโหว

• Insiders (บคลำกรทมเจตนำรำย)

• กำรขำดควำมตระหนกของบคลำกร

• ภยพบต

17

เรองเลาจากรามาธบด #3: Privacy

18

Security/Privacy กบขอมลผปวย

19

Security & Privacy

http://en.wikipedia.org/wiki/A._S._Bradford_House

20

แนวปฏบตดาน Privacy ของขอมล

21

หลกจรยธรรมทเกยวกบ Privacy

• Autonomy (หลกเอกสทธ/ควำมเปนอสระของผปวย)

• Beneficence (หลกกำรรกษำประโยชนสงสดของผปวย)

• Non-maleficence (หลกกำรไมท ำอนตรำยตอผปวย)“First, Do No Harm.”

22

Hippocratic Oath...

What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....

http://en.wikipedia.org/wiki/Hippocratic_Oath

23

กฎหมายทเกยวของกบ Privacy

• พรบ.สขภำพแหงชำต พ.ศ. 2550

• มำตรำ 7 ขอมลดำนสขภำพของบคคล เปนควำมลบสวนบคคล ผใดจะน ำไปเปดเผยในประกำรทนำจะท ำใหบคคลนนเสยหำยไมได เวนแตกำรเปดเผยนนเปนไปตำมควำมประสงคของบคคลนนโดยตรง หรอมกฎหมำยเฉพำะบญญตใหตองเปดเผย แตไมวำในกรณใด ๆ ผใดจะอำศยอ ำนำจหรอสทธตำมกฎหมำยวำดวยขอมลขำวสำรของรำชกำรหรอกฎหมำยอนเพอขอเอกสำรเกยวกบขอมลดำนสขภำพของบคคลทไมใชของตนไมได

24

ประมวลกฎหมายอาญา• มำตรำ 323 ผใดลวงรหรอไดมำซงควำมลบของผอนโดยเหตทเปน

เจำพนกงำนผมหนำท โดยเหตทประกอบอำชพเปนแพทย เภสชกร คนจ ำหนำยยำ นำงผดงครรภ ผพยำบำล...หรอโดยเหตทเปนผชวยในกำรประกอบอำชพนน แลวเปดเผยควำมลบนนในประกำรทนำจะเกดควำมเสยหำยแกผหนงผใด ตองระวำงโทษจ ำคกไมเกนหกเดอน หรอปรบไมเกนหนงพนบำท หรอทงจ ำทงปรบ

• ผรบกำรศกษำอบรมในอำชพดงกลำวในวรรคแรก เปดเผยควำมลบของผอน อนตนไดลวงรหรอไดมำในกำรศกษำอบรมนน ในประกำรทนำจะเกดควำมเสยหำยแกผหนงผใดตองระวำงโทษเชนเดยวกน

25

ค ำประกำศสทธและขอพงปฏบตของผปวย

7. ผปวยมสทธไดรบกำรปกปดขอมลของตนเอง เวนแตผปวยจะใหควำมยนยอมหรอเปนกำรปฏบตตำมหนำทของผประกอบวชำชพดำนสขภำพเพอประโยชนโดยตรงของผปวยหรอตำมกฎหมำย

26

ขอควำมจรง บน• "อาจารยครบ เมอวาน ผมออก OPD เจอ คณ

... คนไข... ทอาจารยผาไปแลว มา ฉายรงสตอท... ตอนน Happy ด ไมคอยปวด เดนไดสบาย คนไขฝากขอบคณอาจารยอกครง -- อกอยางคนไขชวงนไมคอยสะดวกเลยไมไดไป กทม. บอกวาถาพรอมจะไป Follow-up กบอาจารยครบ"

ขอมลผปวย บน Social Media

27

แนวทางการคมครอง Privacy• Informed consent

• Privacy culture

• User awareness building & education

• Organizational policy & regulations Enforcement Ongoing privacy & security assessments,

monitoring, and protection

28

Line เสยงตอกำรละเมด Privacy ผปวยไดอยำงไร?

• ขอมลใน Line group มคนเหนหลายคน• ขอมลถก capture หรอ forward ไป share ตอได• ขอมล cache ทเกบใน mobile device อาจถกอานได

(เชน ท าอปกรณหาย หรอเผลอวางเอาไว)• ขอมลทสงผาน network ไมไดเขารหส• ขอมลทเกบใน server ของ Line ทางบรษทเขาถงได และ

อาจถก hack ได• มคนเดา Password ได

29

ทำงออกส ำหรบกำร Consult Case ผปวย

• ใชชองทางอนทไมมการเกบ record ขอมล ถาเหมาะสม• หลกเลยงการระบหรอ include ชอ, HN, เลขทเตยง หรอ

ขอมลทระบตวตนผปวยได (รวมทงในภาพ image)• ใช app ทปลอดภยกวา• Limit คนทเขาถง

(เชน ไมคยผาน Line group)• ใชอยางปลอดภย (Password, ดแลอปกรณไวกบตว,

เชค malware ฯลฯ)

30

เรองเลาจากรามาธบด #4:

PR Nightmareเหตการณไมจรง ทสรางความ

เสยหาย กลายเปน viral

31

เรองเลาจากรามาธบด #5: PR Nightmare & Response

http://new.khaosod.co.th.khaosod.online/dek3/win.html (อนตรำย! ไมควรเขำเวบน)

ขาวนไมเปนความจรง

32

เรองเลาจากรามาธบด #5: PR Nightmare & Response

33

เรองเลาจากรามาธบด #5: Passwords

Keylogger Attack: เรองเลาจากกจกรรมชมรมสมยเปนนกศกษาแพทย

34

แนวปฏบตดาน Security ของระบบ

35

User Account SecuritySo, two informaticians

walk into a bar...

The bouncer says,

"What's the password."

One says, "Password?"

The bouncer lets them

in.

Credits: @RossMartin & AMIA (2012)

36

User Account Security

https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png

37

ควำมยำว 8 ตวอกษรขนไป

ควำมซบซอน: 3 ใน 4 กลมตวอกษร Uppercase letters

Lowercase letters

Numbers

Symbols

ไมมควำมหมำย (ปองกน “Dictionary Attacks”)

ไมใช simple patterns (12345678, 11111111)

ไมเกยวกบขอมลสวนตวทคนสนทอำจร (เชน วนเกด ชอคนในครอบครว ชอสตวเลยง)

Passwords

38

เรองเลาจากรามาธบด #6: Password ทองงาย (แตก Hack งาย)

Dictionary Attack: เรองเลาจากการเรยน

การ Hack ระบบ ท USA

39

Clear Desk, Clear Screen Policy

http://pixabay.com/en/post-it-sticky-note-note-corner-148282/

40

แลวจะจ า Password ไดยงไง?คดประโยคภำษำองกฤษสก 1 ประโยคประโยคนควรมค ำ 8 ค ำขนไป และควรมตวเลข

หรอสญลกษณพเศษดวย ใชตวอกษรตวแรกของแตละค ำ เปน Password

41

ตวอยางการตง Password

http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/

42

ตวอยางการตง Passwordประโยค:

I love reading all 7 Harry Potter books!

Password:Ilra7HPb!

43

Password Sharing

อยำแชร Passwordกบคนอน

44

Password Expiration

เปลยน Password ทกๆ 3-6 เดอน

45

เรองเลาจากรามาธบด #7: Wi-Fi

Wi-Fi Router เถอน: พวกชอบสรางปญหาให

admin และอาจเปนจอมขโมย Password

46

Logout After Use

อยำลม Logout หลงใชงำนเสมอ โดยเฉพำะเครองสำธำรณะ

(หำกไมอยทหนำจอ แมเพยงชวคร ให Lock Screen เสมอ)

47

Mobile Security

https://www.thaicert.or.th/downloads/files/BROCHURE_mobile_malware.png

48

Mobile Securityตง PIN ส ำหรบ Lock Screen เอำไว ไมเกบขอมลส ำคญเอำไว ระวงไมใหสญหำย หำกสญหำยรบแจงระงบ

49

E-mail Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

50

E-mail Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

51

เรองเลาจากรามาธบด #8: E-mail หลอกลวง

Phishing

52

Phishing E-mail

53

Phishing E-mail

54

Phishing E-mail

55

Phishing E-mail

56

Phishing Web Site

57

E-mail & Online Security (Phishing)

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

58

E-mail & Online Security (Phishing)

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

59

Secure Log-in ส าหรบเวบทส าคญMicrosoft Internet Explorer

60

Secure Log-in ส าหรบเวบทส าคญMozilla Firefox

Google Chrome

61

ลกษณะส าคญทควรสงสย PhishingGrammar หวยแตกตวสะกดผดเยอะพยำยำมอยำงยงใหเปดไฟลแนบ หรอกด link

หรอตอบเมล แตไมคอยใหรำยละเอยดE-mail ทมำจำกคนรจก ไมไดปลอดภยเสมอไป

62

เรองเลาจากรามาธบด #9: ถก E-mail หลอก

Phishing Attack: เรองเลาจากชวต

ประธานนกเรยนไทยใน Minnesota

63

เรองเลาจากรามาธบด #10: เรยกคาไถ

Ransomware

64

Ransomware

65

ประกาศเตอนภย Ransomware ในรามาธบด

ขอบคณภำพ Screen Saver จำกฝำยสำรสนเทศ คณะแพทยศำสตรโรงพยำบำลรำมำธบด

66

เครอขายดาน IT ในองคกร

Ramathibodi Computer Emergency Readiness Team

(RamaCERT)

67

PC Security, Virus & Malware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg

68

PC Security, Virus & Malware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg

69

เรองเลาจากรามาธบด #11: แชรไฟล

File Sharing: เรองเลาจากชวต

นกศกษาแพทยรามาธบด(ทอยากรอยากเหน)

70

เรองเลาจากรามาธบด #12: Virus & Patch Updates

Virus/Malware Attack & Windows Update: เรองเลาจากบทบาท

Chief IT Admin รามาธบด(ทตองดแลระบบลม)

71

เรองเลาจากรามาธบด #13:

Back-up Your Data: เรองเลาจากคนงานเยอะ

72

World Backup Day:March 31 ของทกป

73

แนวทางการ Approach Information Security ขององคกรอยางเปนระบบ

74

Alice

Simplified Attack Scenarios

Server Bob

Eve/Mallory

75

Alice

Simplified Attack Scenarios

Server Bob

- Physical access to client computer

- Electronic access (password)

- Tricking user into doing something

(malware, phishing & social

engineering)

Eve/Mallory

76

Alice

Simplified Attack Scenarios

Server Bob

- Intercepting (eavesdropping or

“sniffing”) data in transit

- Modifying data (“Man-in-the-middle”

attacks)

- “Replay” attacks

Eve/Mallory

77

Alice

Simplified Attack Scenarios

Server Bob

- Unauthorized access to servers through

- Physical means

- User accounts & privileges

- Attacks through software vulnerabilities

- Attacks using protocol weaknesses

- DoS / DDoS attacks

Eve/Mallory

78

Alice

Safeguarding Against Attacks

Server Bob

Administrative Security

- Security & privacy policy

- Governance of security risk management & response

- Uniform enforcement of policy & monitoring

- Disaster recovery planning (DRP) & Business continuity

planning/management (BCP/BCM)

- Legal obligations, requirements & disclaimers

79

Alice

Safeguarding Against Attacks

Server Bob

Physical Security

- Protecting physical access of clients & servers- Locks & chains, locked rooms, security cameras

- Mobile device security

- Secure storage & secure disposition of storage devices

80

Alice

Safeguarding Against Attacks

Server Bob

User Security

- User account management

- Strong p/w policy (length, complexity, expiry, no meaning)

- Principle of Least Privilege

- “Clear desk, clear screen policy”

- Audit trails

- Education, awareness building & policy enforcement

- Alerts & education about phishing & social engineering

81

Alice

Safeguarding Against Attacks

Server Bob

System Security

- Antivirus, antispyware, personal firewall, intrusion

detection/prevention system (IDS/IPS), log files, monitoring

- Updates, patches, fixes of operating system vulnerabilities &

application vulnerabilities

- Redundancy (avoid “Single Point of Failure”)

- Honeypots

82

Alice

Safeguarding Against Attacks

Server Bob

Software Security

- Software (clients & servers) that is secure by design

- Software testing against failures, bugs, invalid inputs,

performance issues & attacks

- Updates to patch vulnerabilities

83

Alice

Safeguarding Against Attacks

Server Bob

Network Security

- Access control (physical & electronic) to network devices

- Use of secure network protocols if possible

- Data encryption during transit if possible

- Bandwidth monitoring & control

84

Alice

Safeguarding Against Attacks

Server Bob

Database Security

- Access control to databases & storage devices

- Encryption of data stored in databases if necessary

- Secure destruction of data after use

- Access control to queries/reports

- Security features of database management systems (DBMS)

85

Social Media Case Studies

86

Social Media Case Study #1: พฤตกรรมไมเหมำะสม

Disclaimer (นพ.นวนรรน):น าเสนอเปนกรณศกษาเพอการเรยนร

เรอง Social Media เทานน ไมมเจตนาลบหล ดหมน หรอท าใหผใดองคกรใด หรอวชาชพใดเสยหาย

โปรดใชวจารณญาณในการอานเนอหา

87

Disclaimer (นพ.นวนรรน):น าเสนอเปนกรณศกษาเพอการเรยนร

เรอง Social Media เทานน ไมมเจตนาลบหล ดหมน หรอท าใหผใดองคกรใด หรอวชาชพใดเสยหาย

โปรดใชวจารณญาณในการอานเนอหา

Social Media Case Study #1: พฤตกรรมไมเหมำะสม

88http://news.mthai.com/hot-news/world-news/453842.html

Social Media Case Study #2: Selfie มประเดน

89

http://pantip.com/topic/33678081

https://www.facebook.com/photo.php?fbid=971229119583658&set=a.37957656541558

6.90794.100000897364762&type=1&theater

Social Media Case Study #3: Selfie มประเดน

90http://www.matichon.co.th/news_detail.php?newsid=1429341430

Social Media Case Study #4: ดหมนผปวย

91

Social Media Case Study #5: ละเมดผรบบรกำร

Disclaimer (นพ.นวนรรน): น าเสนอเปนกรณศกษาเพอการเรยนรเรอง Social Media

เทานน ไมมเจตนาดหมน หรอท าใหผใดเสยหาย และไมมเจตนาสรางประเดนทาง

การเมองชอ สญลกษณ หรอเครองหมายของบคคล

หรอองคกรใด เปนเพยงการใหขอมลแวดลอมเพอการท าความเขาใจกรณศกษาเทานน ไมใชการใสความวาผนนกระท าการใด อนจะท าใหผนนเสยชอเสยง ถกดหมน หรอถกเกลยดชง

โปรดใชวจารณญาณในการอานเนอหา

92

http://manager.co.th/Entertainment/Vie

wNews.aspx?NewsID=9580000076405

Social Media Case Study #6: ละเมดผรบบรกำร

93

Social Media Case Study #7: ไมแยก Account

94

Social Media Case Study #8: ไมตรวจสอบขอมล

Disclaimer (นพ.นวนรรน): น าเสนอเปนกรณศกษาเพอการเรยนรเรอง Social Media

เทานน ไมมเจตนาดหมน หรอท าใหผใดเสยหาย

ชอ สญลกษณ หรอเครองหมายของบคคลหรอองคกรใด เปนเพยงการใหขอมลแวดลอมเพอการท าความเขาใจกรณศกษาเทานน ไมใชการใสความวาผนนกระท าการใด อนจะท าใหผนนเสยชอเสยง ถกดหมน หรอถกเกลยดชง

โปรดใชวจารณญาณในการอานเนอหา

95

Social Media Case Study #9: ไมตรวจสอบขอมล

Source: Facebook Page โหดสส V2 อำงองภำพจำกหนำ 7 นสพ.ไทยรฐ วนท 6 พ.ค. 2557 และ http://www.reuters.com/article/2013/10/16/us-philippines-quake-idUSBRE99E01R20131016

96

Summary of Talk: เรยนรจากเรองเลา

• ท ำไมเรำตองแครเรอง Security & Privacy?

• Security/Privacy กบขอมลผปวย

• แนวปฏบตดำน Security ของระบบ

• แนวปฏบตดำน Privacy ของขอมล

• แนวปฏบตดำนกำรใช Social Media ทเหมำะสม

97

Information Security & Privacy for Hospital Executives:เรองเลาจากรามาธบด

นพ.นวนรรน ธระอมพรพนธ

28 พ.ค. 2559

http://www.slideshare.net/nawanan