ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ...

1

ใชไอทอยางปลอดภยพวกเราสบายใจ คนไขไดรบความคมครอง

นพ.นวนรรน ธระอมพรพนธ

22 ม.ค. 2559

http://www.slideshare.net/nawanan

2

2546 แพทยศาสตรบณฑต (รามาธบดรนท 33)

2554 Ph.D. (Health Informatics), Univ. of Minnesota

อาจารย ภาควชาเวชศาสตรชมชนคณะแพทยศาสตรโรงพยาบาลรามาธบด

ความสนใจ: Health IT, Social Media, Security & Privacy

nawanan.the@mahidol.ac.th

SlideShare.net/Nawanan

Nawanan Theera-Ampornpunt

Line ID: NawananT

แนะน าตว

3

Outline

• ท ำไมเรำตองแครเรอง Security & Privacy?

• Security/Privacy กบขอมลผปวย

• แนวปฏบตดำน Security ของระบบ

• แนวปฏบตดำน Privacy ของขอมล

• ตวอยำง Security/Privacy ของรำมำธบด

4

ท าไมเราตองแครเรอง Security & Privacy?

5

Malware

ตวอยางภยคกคามดาน Security

6

ภย Security กบเมองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

7

ภย Security กบเมองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

8

ภย Security กบเมองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

9

ภย Security กบเมองไทย

https://www.facebook.com/longhackz

10

ภย Security กบเมองไทย

(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/

(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-

to-hollywood

11

ภย Security กบโรงพยาบาล

http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

12

ภย Security กบโรงพยาบาล

http://news.sanook.com/1262964/

13

Confidentiality (ขอมลควำมลบ) Integrity (กำรแกไข/ลบ/เพมขอมลโดยมชอบ) Availability (ระบบลม ใชกำรไมได)

สงทเปนเปาหมายการโจมต: CIA Triad

14

ผลกระทบ/ความเสยหาย

• ควำมลบถกเปดเผย

• ควำมเสยงตอชวต สขภำพ จตใจ กำรเงน และกำรงำนของบคคล

• ระบบลม กำรใหบรกำรมปญหำ

• ภำพลกษณขององคกรเสยหำย

15

แหลงทมาของการโจมต

• Hackers

• Viruses & Malware

• ระบบทมปญหำขอผดพลำด/ชองโหว

• Insiders (บคลำกรทมเจตนำรำย)

• กำรขำดควำมตระหนกของบคลำกร

• ภยพบต

16

ผลกระทบเมอขอมลผปวยรวไหล

http://blogs.absolute.com/blog/data-breaches-cost-6-billion-to-healthcare-industry/

17

Security/Privacy กบขอมลผปวย

18

Security & Privacy

http://en.wikipedia.org/wiki/A._S._Bradford_House

19http://www.aclu.org/ordering-pizza

Privacy ของขอมลสวนบคคล

20

บทความใน JAMA เรวๆ น

JAMA. 2015 Apr 14;313(14).

21

แนวปฏบตดาน Security ของระบบ

22

แนวทางดาน Security

• User Account Security (Password)

• Mobile Security

• Online Security

• E-mail Security

• PC Security

23

User Account SecuritySo, two informaticians

walk into a bar...

The bouncer says,

"What's the password."

One says, "Password?"

The bouncer lets them

in.

Credits: @RossMartin & AMIA (2012)

24

User Account Security

https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png

25

ควำมยำว 8 ตวอกษรขนไป

ควำมซบซอน: 3 ใน 4 กลมตวอกษร Uppercase letters

Lowercase letters

Numbers

Symbols

ไมมควำมหมำย (ปองกน “Dictionary Attacks”)

ไมใช simple patterns (12345678, 11111111)

ไมเกยวกบขอมลสวนตวทคนสนทอำจร (เชน วนเกด ชอคนในครอบครว ชอสตวเลยง)

Passwords

26

Dictionary Attack: เรองเลาจากการเรยน

การ Hack ระบบ ท USA

27

Clear Desk, Clear Screen Policy

http://pixabay.com/en/post-it-sticky-note-note-corner-148282/

28

แลวจะจ า Password ไดยงไง?คดประโยคภำษำองกฤษสก 1 ประโยคประโยคนควรมค ำ 8 ค ำขนไป และควรมตวเลข

หรอสญลกษณพเศษดวย ใชตวอกษรตวแรกของแตละค ำ เปน Password

29

ตวอยางการตง Password

http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/

30

ตวอยางการตง Passwordประโยค:

I love reading all 7 Harry Potter books!

Password:Ilra7HPb!

31

Password Sharing

อยำแชร Passwordกบคนอน

32

Password Expiration

เปลยน Password ทกๆ 3-6 เดอน

33

Keylogger Attack: เรองเลาจากกจกรรมชมรมสมยเปนนกศกษาแพทย

34

Rogue Wi-Fi Router: จอมขโมย Password

ททกคนตองระวง

35

Logout After Use

อยำลม Logout หลงใชงำนเสมอ โดยเฉพำะเครองสำธำรณะ

(หำกไมอยทหนำจอ แมเพยงชวคร ให Lock Screen เสมอ)

36

Mobile Security

https://www.thaicert.or.th/downloads/files/BROCHURE_mobile_malware.png

37

Mobile Securityตง PIN ส ำหรบ Lock Screen เอำไว ไมเกบขอมลส ำคญเอำไว ระวงไมใหสญหำย หำกสญหำยรบแจงระงบ

38

Online (Shopping) Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Online-Shopping-Tips.jpg

ดแลบตรเครดต และขอมลหมำยเลขบตรใหด

ใชเฉพำะกบเวบทเชอถอได สมครบรกำร SMS แจง

เตอนเมอมกำรรดบตร ด statement และ

ตรวจสอบธรกรรมเสมอ

39

E-mail Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

40

E-mail Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

41

E-mail & Online Security (Phishing)

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

42

E-mail & Online Security (Phishing)

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

43

Secure Log-in ส าหรบเวบทส าคญMicrosoft Internet Explorer

44

Secure Log-in ส าหรบเวบทส าคญMozilla Firefox

Google Chrome

45

Phishing E-mail

46

Phishing E-mail

47

Phishing E-mail

48

Phishing E-mail

49

Phishing Web Site

50

Ransomware

51

ลกษณะส าคญทควรสงสย PhishingGrammar หวยแตกตวสะกดผดเยอะพยำยำมอยำงยงใหเปดไฟลแนบ หรอกด link

หรอตอบเมล แตไมคอยใหรำยละเอยดE-mail ทมำจำกคนรจก ไมไดปลอดภยเสมอไป

52

Phishing Attack: เรองเลาจากชวต

ประธานนกเรยนไทยใน Minnesota

53

PC Security, Virus & Malware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg

54

PC Security, Virus & Malware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg

55

File Sharing: เรองเลาจากชวต

นกศกษาแพทยรามาธบด(ทอยากรอยากเหน)

56

Virus/Malware Attack & Windows Update: เรองเลาจากบทบาท

Chief IT Admin รามาธบด(ทตองดแลระบบลม)

57

Back-up Your Data: เรองเลาจากคนงานเยอะ

58

World Backup Day:March 31 ของทกป

59

แนวปฏบตดาน Privacy ของขอมล

60

หลกจรยธรรมทเกยวกบ Privacy

• Autonomy (หลกเอกสทธ/ควำมเปนอสระของผปวย)

• Beneficence (หลกกำรรกษำประโยชนสงสดของผปวย)

• Non-maleficence (หลกกำรไมท ำอนตรำยตอผปวย)“First, Do No Harm.”

61

Hippocratic Oath...

What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....

http://en.wikipedia.org/wiki/Hippocratic_Oath

62

กฎหมายทเกยวของกบ Privacy

• พรบ.สขภำพแหงชำต พ.ศ. 2550

• มำตรำ 7 ขอมลดำนสขภำพของบคคล เปนควำมลบสวนบคคล ผใดจะน ำไปเปดเผยในประกำรทนำจะท ำใหบคคลนนเสยหำยไมได เวนแตกำรเปดเผยนนเปนไปตำมควำมประสงคของบคคลนนโดยตรง หรอมกฎหมำยเฉพำะบญญตใหตองเปดเผย แตไมวำในกรณใด ๆ ผใดจะอำศยอ ำนำจหรอสทธตำมกฎหมำยวำดวยขอมลขำวสำรของรำชกำรหรอกฎหมำยอนเพอขอเอกสำรเกยวกบขอมลดำนสขภำพของบคคลทไมใชของตนไมได

63

ประมวลกฎหมายอาญา• มำตรำ 323 ผใดลวงรหรอไดมำซงควำมลบของผอนโดยเหตทเปน

เจำพนกงำนผมหนำท โดยเหตทประกอบอำชพเปนแพทย เภสชกร คนจ ำหนำยยำ นำงผดงครรภ ผพยำบำล...หรอโดยเหตทเปนผชวยในกำรประกอบอำชพนน แลวเปดเผยควำมลบนนในประกำรทนำจะเกดควำมเสยหำยแกผหนงผใด ตองระวำงโทษจ ำคกไมเกนหกเดอน หรอปรบไมเกนหนงพนบำท หรอทงจ ำทงปรบ

• ผรบกำรศกษำอบรมในอำชพดงกลำวในวรรคแรก เปดเผยควำมลบของผอน อนตนไดลวงรหรอไดมำในกำรศกษำอบรมนน ในประกำรทนำจะเกดควำมเสยหำยแกผหนงผใดตองระวำงโทษเชนเดยวกน

64

ค ำประกำศสทธและขอพงปฏบตของผปวย

7. ผปวยมสทธไดรบกำรปกปดขอมลของตนเอง เวนแตผปวยจะใหควำมยนยอมหรอเปนกำรปฏบตตำมหนำทของผประกอบวชำชพดำนสขภำพเพอประโยชนโดยตรงของผปวยหรอตำมกฎหมำย

65http://www.prasong.com/สอสารมวลชน/แพยสภาสอบจรยธรรมหมอต/

Social Media Case Study

66

ขอควำมจรง บน• "อาจารยครบ เมอวาน ผมออก OPD เจอ คณ

... คนไข... ทอาจารยผาไปแลว มา ฉายรงสตอท... ตอนน Happy ด ไมคอยปวด เดนไดสบาย คนไขฝากขอบคณอาจารยอกครง -- อกอยางคนไขชวงนไมคอยสะดวกเลยไมไดไป กทม. บอกวาถาพรอมจะไป Follow-up กบอาจารยครบ"

ขอมลผปวย บน Social Media

67

แนวทางการคมครอง Privacy

• Informed consent

• Privacy culture

• User awareness building & education

• Organizational policy & regulations

68

ตวอยาง Security/Privacyของรามาธบด

69

http://intranet.mahidol/op/orla/law/index.php/announcement/146-2556/770-social-network

นโยบำยดำน Social Media ของมหำวทยำลยมหดล

70

• ขอความบน Social Network สามารถเขาถงไดโดยสาธารณะ ผเผยแพรตองรบผดชอบ ทงทางสงคมและกฎหมาย และอาจสงผลกระทบตอชอเสยง การท างาน และวชาชพของตน

MU Social Media Policy

71

• ขอความบน Social Network สามารถเขาถงไดโดยสาธารณะ ผเผยแพรตองรบผดชอบ ทงทางสงคมและกฎหมาย และอาจสงผลกระทบตอชอเสยง การท างาน และวชาชพของตน

• ระมดระวงอยางยง ในการเผยแพรประเดนท Controversial เชน การเมอง ศาสนา

• ไมไดหาม แตใหระวง เพราะอาจสงผลลบตอตนหรอองคกรได

MU Social Network Policy

72

• ความรบผดชอบทางกฎหมาย– ประมวลกฎหมายอาญา ความผดฐานหมนประมาท

– พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร

– ขอบงคบสภาวชาชพ เกยวกบจรยธรรมแหงวชาชพ

– ขอบงคบมหาวทยาลยมหดล วาดวยจรรยาบรรณของบคลากรและนกศกษามหาวทยาลยมหดล

– ขอบงคบมหาวทยาลยมหดล วาดวยวนยนกศกษา

MU Social Network Policy

73

• ไมละเมดทรพยสนทางปญญาของผอน อางถงแหลงทมาเสมอ (Plagiarism = การน าผลงานของคนอนมาน าเสนอเสมอนหนงเปนผลงานของตนเอง)

• แบงแยกเรองสวนตวกบหนาทการงาน/การเรยน

– แยก Account ของหนวยงาน/องคกร ออกจาก Account บคคล

– Facebook Profile (สวนตว) vs. Facebook Page (องคกร/หนวยงาน)

• ในการโพสตทอาจเขาใจผดไดวาเปนความเหนจากมหาวทยาลย/หนวยงาน ใหระบ Disclaimer เสมอวาเปนความเหนสวนตว

• หามเผยแพรขอมล sensitive ทใชภายในมหาวทยาลยกอนไดรบอนญาต

MU Social Network Policy

74

• บคลากรทางการแพทยหรอผใหบรการสขภาพ– ระวงการใช Social Network ในการปฏสมพนธกบผปวย

– ปฏบตตามจรยธรรมของวชาชพ

– ระวงเรองความเปนสวนตว (Privacy) และความลบของขอมลผปวย

– การเผยแพรขอมล/ภาพผปวย เพอการศกษา ตองขออนญาตผปวยกอนเสมอ และลบขอมลทเปน identifiers ทงหมด (เชน ชอ, HN, ภาพใบหนา หรอ ID อนๆ) ยกเวนผปวยอนญาต (รวมถงกรณการโพสตใน closed groups ดวย)

• ตงคา Privacy Settings ใหเหมาะสม

MU Social Media Policy

75

Line เสยงตอกำรละเมด Privacy ผปวยไดอยำงไร?

• ขอมลใน Line group มคนเหนหลายคน• ขอมลถก capture หรอ forward ไป share ตอได• ขอมล cache ทเกบใน mobile device อาจถกอานได

(เชน ท าอปกรณหาย หรอเผลอวางเอาไว)• ขอมลทสงผาน network ไมไดเขารหส• ขอมลทเกบใน server ของ Line ทางบรษทเขาถงได และ

อาจถก hack ได• มคนเดา Password ได

76

ทำงออกส ำหรบกำร Consult Case ผปวย

• ใชชองทางอนทไมมการเกบ record ขอมล ถาเหมาะสม• หลกเลยงการระบหรอ include ชอ, HN, เลขทเตยง หรอ

ขอมลทระบตวตนผปวยได (รวมทงในภาพ image)• ใช app ทปลอดภยกวา• Limit คนทเขาถง

(เชน ไมคยผาน Line group)• ใชอยางปลอดภย (Password, ดแลอปกรณไวกบตว,

เชค malware ฯลฯ)

77

• ประกาศคณะฯ เรอง นโยบายความปลอดภยสารสนเทศ คณะแพทยศาสตรโรงพยาบาลรามาธบด พ.ศ. 2551

• ประกาศคณะฯ เรอง หลกเกณฑการปฏบตของผไดรบอนญาตใหเขาถงขอมลทางอเลกทรอนกส พ.ศ. 2554

• ประกาศคณะฯ เรอง การขอคดถายส าเนาเวชระเบยนผปวย พ.ศ. 2556• ประกาศคณะฯ เรอง ขอก าหนดการใชสอสงคมออนไลน ของคณะฯ พ.ศ.

2556• ประกาศคณะฯ เรอง แนวทางปฏบต การขอบนทกภาพและเสยงใน

โรงพยาบาลสงกดของคณะฯ พ.ศ. 2557• ประกาศคณะฯ เรอง แนวทางปฏบตการใหประวตการรกษาพยาบาล

กรณจ าเปนเรงดวน พ.ศ. 2558• ประกาศคณะฯ เรอง การขอส าเนาเวชระเบยนอเลกทรอนกสทางอเมล

(e-mail) พ.ศ. 2558

ระเบยบตำงๆ ของคณะฯ ดำน Information Security

78

Case Study จากรามาธบด

79

คณะกรรมกำรตรวจสอบกำรละเมดสทธผปวยของคณะฯ

80

คณะกรรมกำรตรวจสอบกำรละเมดสทธผปวยของคณะฯ

81

คณะกรรมกำรตรวจสอบกำรละเมดสทธผปวยของคณะฯ

82

ตวอยาง Security/Privacyของรามาธบด

83

Summary of Talk

• ท ำไมเรำตองแครเรอง Security & Privacy?

• Security/Privacy กบขอมลผปวย

• แนวปฏบตดำน Security ของระบบ

• แนวปฏบตดำน Privacy ของขอมล

• ตวอยำง Security/Privacy ของรำมำธบด

84

ใชไอทอยางปลอดภยพวกเราสบายใจ คนไขไดรบความคมครอง

นพ.นวนรรน ธระอมพรพนธ

22 ม.ค. 2559

http://www.slideshare.net/nawanan