1

ใชไอทอยางปลอดภยพวกเราสบายใจ คนไขไดรบความคมครอง

นพ.นวนรรน ธระอมพรพนธ

22 ม.ย. 2558

http://www.slideshare.net/nawanan

2

2546 แพทยศาสตรบณฑต (รามาธบดรนท 33)

อาจารย ภาควชาเวชศาสตรชมชนคณะแพทยศาสตรโรงพยาบาลรามาธบด

ความสนใจ: Health IT, Social Media, Security & Privacy

nawanan.the@mahidol.ac.th

SlideShare.net/Nawanan

Nawanan Theera-Ampornpunt

Line ID: NawananT

แนะน าตว

3

Outline

• ท ำไมเรำตองแครเรอง Security & Privacy?

• Security/Privacy กบขอมลผปวย

• แนวปฏบตดำน Security ของระบบ

• แนวปฏบตดำน Privacy ของขอมล

• รำมำธบด กบ Security/Privacy

4

ท าไมเราตองแครเรอง Security & Privacy?

5

Malware

ตวอยางภยคกคามดาน Security

6

ภย Security กบเมองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

7

ภย Security กบเมองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

8

ภย Security กบเมองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

9

ภย Security กบเมองไทย

https://www.facebook.com/longhackz

10

ภย Security กบเมองไทย

(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/

(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-

to-hollywood

11

ภย Security กบโรงพยาบาล

http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

12

ภย Security กบโรงพยาบาล

http://news.sanook.com/1262964/

13

Confidentiality (ขอมลควำมลบ) Integrity (กำรแกไข/ลบ/เพมขอมลโดยมชอบ) Availability (ระบบลม ใชกำรไมได)

สงทเปนเปาหมายการโจมต: CIA Triad

14

ผลกระทบ/ความเสยหาย

• ควำมลบถกเปดเผย

• ควำมเสยงตอชวต สขภำพ จตใจ กำรเงน และกำรงำนของบคคล

• ระบบลม กำรใหบรกำรมปญหำ

• ภำพลกษณขององคกรเสยหำย

15

แหลงทมาของการโจมต

• Hackers

• Viruses & Malware

• ระบบทมปญหำขอผดพลำด/ชองโหว

• Insiders (บคลำกรทมเจตนำรำย)

• กำรขำดควำมตระหนกของบคลำกร

• ภยพบต

16

ผลกระทบเมอขอมลผปวยรวไหล

http://blogs.absolute.com/blog/data-breaches-cost-6-billion-to-healthcare-industry/

17

Security/Privacy กบขอมลผปวย

18

Security & Privacy

http://en.wikipedia.org/wiki/A._S._Bradford_House

19http://www.aclu.org/ordering-pizza

Privacy ของขอมลสวนบคคล

20

บทความใน JAMA เรวๆ น

JAMA. 2015 Apr 14;313(14).

21

แนวปฏบตดาน Security ของระบบ

22

แนวทางดาน Security

• User Account Security (Password)

• Mobile Security

• Online Security

• E-mail Security

• PC Security

23

User Account SecuritySo, two informaticians

walk into a bar...

The bouncer says,

"What's the password."

One says, "Password?"

The bouncer lets them

in.

Credits: @RossMartin & AMIA (2012)

24

User Account Security

https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png

25

ควำมยำว 8 ตวอกษรขนไป

ควำมซบซอน: 3 ใน 4 กลมตวอกษร Uppercase letters

Lowercase letters

Numbers

Symbols

ไมมควำมหมำย (ปองกน “Dictionary Attacks”)

ไมใช simple patterns (12345678, 11111111)

ไมเกยวกบขอมลสวนตวทคนสนทอำจร (เชน วนเกด ชอคนในครอบครว ชอสตวเลยง)

Passwords

26

Dictionary Attack: เรองเลาจากการเรยน

การ Hack ระบบ ท USA

27

Clear Desk, Clear Screen Policy

http://pixabay.com/en/post-it-sticky-note-note-corner-148282/

28

แลวจะจ า Password ไดยงไง?คดประโยคภำษำองกฤษสก 1 ประโยคประโยคนควรมค ำ 8 ค ำขนไป และควรมตวเลข

หรอสญลกษณพเศษดวย ใชตวอกษรตวแรกของแตละค ำ เปน Password

29

ตวอยางการตง Password

http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/

30

ตวอยางการตง Passwordประโยค:

I love reading all 7 Harry Potter books!

Password:Ilra7HPb!

31

Password Sharing

อยำแชร Passwordกบคนอน

32

Password Expiration

เปลยน Password ทกๆ 3-6 เดอน

33

Keylogger Attack: เรองเลาจากกจกรรมชมรมสมยเปนนกศกษาแพทย

34

Rogue Wi-Fi Router: จอมขโมย Password

ททกคนตองระวง

35

Logout After Use

อยำลม Logout หลงใชงำนเสมอ โดยเฉพำะเครองสำธำรณะ

(หำกไมอยทหนำจอ แมเพยงชวคร ให Lock Screen เสมอ)

36

Mobile Security

https://www.thaicert.or.th/downloads/files/BROCHURE_mobile_malware.png

37

Mobile Securityตง PIN ส ำหรบ Lock Screen เอำไว ไมเกบขอมลส ำคญเอำไว ระวงไมใหสญหำย หำกสญหำยรบแจงระงบ

38

Online (Shopping) Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Online-Shopping-Tips.jpg

ดแลบตรเครดต และขอมลหมำยเลขบตรใหด

ใชเฉพำะกบเวบทเชอถอได สมครบรกำร SMS แจง

เตอนเมอมกำรรดบตร ด statement และ

ตรวจสอบธรกรรมเสมอ

39

E-mail Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

40

E-mail Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

41

E-mail & Online Security (Phishing)

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

42

E-mail & Online Security (Phishing)

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

43

Secure Log-in ส าหรบเวบทส าคญMicrosoft Internet Explorer

44

Secure Log-in ส าหรบเวบทส าคญMozilla Firefox

Google Chrome

45

Phishing E-mail

46

Phishing E-mail

47

Phishing E-mail

48

Phishing E-mail

49

Phishing Web Site

50

Ransomware

51

ลกษณะส าคญทควรสงสย PhishingGrammar หวยแตกตวสะกดผดเยอะพยำยำมอยำงยงใหเปดไฟลแนบ หรอกด link

หรอตอบเมล แตไมคอยใหรำยละเอยดE-mail ทมำจำกคนรจก ไมไดปลอดภยเสมอไป

52

Phishing Attack: เรองเลาจากชวต

ประธานนกเรยนไทยใน Minnesota

53

PC Security, Virus & Malware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg

54

PC Security, Virus & Malware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg

55

File Sharing: เรองเลาจากชวต

นกศกษาแพทยรามาธบด(ทอยากรอยากเหน)

56

Virus/Malware Attack & Windows Update: เรองเลาจากบทบาท

Chief IT Admin รามาธบด(ทตองดแลระบบลม)

57

Back-up Your Data: เรองเลาจากคนงานเยอะ

58

แนวปฏบตดาน Privacy ของขอมล

59

หลกจรยธรรมทเกยวกบ Privacy

• Autonomy (หลกเอกสทธ/ควำมเปนอสระของผปวย)

• Beneficence (หลกกำรรกษำประโยชนสงสดของผปวย)

• Non-maleficence (หลกกำรไมท ำอนตรำยตอผปวย)“First, Do No Harm.”

60

Hippocratic Oath...

What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....

http://en.wikipedia.org/wiki/Hippocratic_Oath

61

กฎหมายทเกยวของกบ Privacy

• พรบ.สขภำพแหงชำต พ.ศ. 2550

• มำตรำ 7 ขอมลดำนสขภำพของบคคล เปนควำมลบสวนบคคล ผใดจะน ำไปเปดเผยในประกำรทนำจะท ำใหบคคลนนเสยหำยไมได เวนแตกำรเปดเผยนนเปนไปตำมควำมประสงคของบคคลนนโดยตรง หรอมกฎหมำยเฉพำะบญญตใหตองเปดเผย แตไมวำในกรณใด ๆ ผใดจะอำศยอ ำนำจหรอสทธตำมกฎหมำยวำดวยขอมลขำวสำรของรำชกำรหรอกฎหมำยอนเพอขอเอกสำรเกยวกบขอมลดำนสขภำพของบคคลทไมใชของตนไมได

62

ประมวลกฎหมายอาญา• มำตรำ 323 ผใดลวงรหรอไดมำซงควำมลบของผอนโดยเหตทเปน

เจำพนกงำนผมหนำท โดยเหตทประกอบอำชพเปนแพทย เภสชกร คนจ ำหนำยยำ นำงผดงครรภ ผพยำบำล...หรอโดยเหตทเปนผชวยในกำรประกอบอำชพนน แลวเปดเผยควำมลบนนในประกำรทนำจะเกดควำมเสยหำยแกผหนงผใด ตองระวำงโทษจ ำคกไมเกนหกเดอน หรอปรบไมเกนหนงพนบำท หรอทงจ ำทงปรบ

• ผรบกำรศกษำอบรมในอำชพดงกลำวในวรรคแรก เปดเผยควำมลบของผอน อนตนไดลวงรหรอไดมำในกำรศกษำอบรมนน ในประกำรทนำจะเกดควำมเสยหำยแกผหนงผใดตองระวำงโทษเชนเดยวกน

63

ค ำประกำศสทธผปวย

• เพอใหความสมพนธระหวางผประกอบวชาชพดานสขภาพกบผปวย ตงอยบนพนฐานของความเขาใจอนดและเปนทไววางใจซงกนและกน แพทยสภา สภาการพยาบาล สภาเภสชกรรม ทนตแพทยสภา คณะกรรมการควบคมการประกอบโรคศลปะ จงไดรวมกนออกประกาศรบรองสทธของผปวยไว ดงตอไปน

1. ผปวยทกคนมสทธพนฐานทจะไดรบบรการดานสขภาพ ตามทบญญตไวในรฐธรรมนญ2. ผปวยมสทธทจะไดรบบรการจากผประกอบวชาชพดานสขภาพโดยไมมการเลอกปฏบต เนองจากความแตกตางดานฐานะ เชอชาต สญชาต ศาสนา สงคม ลทธการเมอง เพศ อาย และ ลกษณะของความเจบปวย3. ผปวยทขอรบบรการดานสขภาพมสทธทจะไดรบทราบขอมลอยางเพยงพอ และเขาใจชดเจน จากผประกอบวชาชพดานสขภาพเพอใหผปวยสามารถเลอกตดสนใจในการยนยอมหรอไมยนยอมใหผประกอบวชาชพดานสขภาพปฏบตตอตน เวนแตเปนการชวยเหลอรบดวนหรอ จ าเปน4. ผปวยทอยในภาวะเสยงอนตรายถงชวต มสทธทจะไดรบการชวยเหลอรบดวนจากผประกอบวชาชพดานสขภาพโดยทนทตามความจ าเปนแกกรณ โดยไมค านงวาผปวยจะรอง ขอความชวยเหลอหรอไม5. ผปวยมสทธทจะไดรบทราบชอ สกล และประเภทของผประกอบวชาชพดานสขภาพทเปน ผใหบรการแกตน6. ผปวยมสทธทจะขอความเหนจากผประกอบวชาชพดานสขภาพอน ทมไดเปนผใหบร การแกตน และมสทธในการขอเปลยนผใหบรการ และสถานบรการได7. ผปวยมสทธทจะไดรบการปกปดขอมลเกยวกบตนเอง จากผประกอบวชาชพดานสขภาพโดยเครงครด เวนแตจะไดรบความยนยอมจากผปวยหรอการปฏบตหนาทตามกฎหมาย8. ผปวยมสทธทจะไดรบทราบขอมลอยางครบถวน ในการตดสนใจเขารวมหรอถอนตวจากการเปนผถกทดลองในการท าวจยของผประกอบวชาชพดานสขภาพ9. ผปวยมสทธทจะไดรบทราบขอมลเกยวกบการรกษาพยาบาลเฉพาะของตนทปรากฏใน เวชระเบยนเมอรองขอ ทงน ขอมลดงกลาวตองไมเปนการละเมดสทธสวนตวของบคคลอน10.บดา มารดา หรอผแทนโดยชอบธรรม อาจใชสทธแทนผปวยทเปนเดกอายยงไมเกน สบแปดปบรบรณ ผบกพรองทางกายหรอจต ซงไมสามารถใชสทธดวยตนเองได

7. ผปวยมสทธทจะไดรบกำรปกปดขอมลเกยวกบตนเอง จำกผประกอบวชำชพดำนสขภำพโดยเครงครด เวนแตจะไดรบควำมยนยอมจำกผปวยหรอกำรปฏบตหนำทตำมกฎหมำย

64http://www.prasong.com/สอสารมวลชน/แพยสภาสอบจรยธรรมหมอต/

Social Media Case Study

65

ขอควำมจรง บน• "อาจารยครบ เมอวาน ผมออก OPD เจอ คณ

... คนไข... ทอาจารยผาไปแลว มา ฉายรงสตอท... ตอนน Happy ด ไมคอยปวด เดนไดสบาย คนไขฝากขอบคณอาจารยอกครง -- อกอยางคนไขชวงนไมคอยสะดวกเลยไมไดไป กทม. บอกวาถาพรอมจะไป Follow-up กบอาจารยครบ"

ขอมลผปวย บน Social Media

66

แนวทางการคมครอง Privacy

• Informed consent

• Privacy culture

• User awareness building & education

• Organizational policy & regulations

67

รามาธบด กบ Security/Privacy

68

http://intranet.mahidol/op/orla/law/index.php/announcement/146-2556/770-social-network

นโยบำยดำน Social Media ของมหำวทยำลยมหดล

69

• ขอความบน Social Network สามารถเขาถงไดโดยสาธารณะ ผเผยแพรตองรบผดชอบ ทงทางสงคมและกฎหมาย และอาจสงผลกระทบตอชอเสยง การท างาน และวชาชพของตน

MU Social Media Policy

70

• บคลากรทางการแพทยหรอผใหบรการสขภาพ– ระวงการใช Social Network ในการปฏสมพนธกบผปวย

– ปฏบตตามจรยธรรมของวชาชพ

– ระวงเรองความเปนสวนตว (Privacy) และความลบของขอมลผปวย

– การเผยแพรขอมล/ภาพผปวย เพอการศกษา ตองขออนญาตผปวยกอนเสมอ และลบขอมลทเปน identifiers ทงหมด (เชน ชอ, HN, ภาพใบหนา หรอ ID อนๆ) ยกเวนผปวยอนญาต (รวมถงกรณการโพสตใน closed groups ดวย)

• ตงคา Privacy Settings ใหเหมาะสม

MU Social Media Policy

71

Line เสยงตอกำรละเมด Privacy ผปวยไดอยำงไร?

• ขอมลใน Line group มคนเหนหลายคน• ขอมลถก capture หรอ forward ไป share ตอได• ขอมล cache ทเกบใน mobile device อาจถกอานได

(เชน ท าอปกรณหาย หรอเผลอวางเอาไว)• ขอมลทสงผาน network ไมไดเขารหส• ขอมลทเกบใน server ของ Line ทางบรษทเขาถงได และ

อาจถก hack ได• มคนเดา Password ได

72

ทำงออกส ำหรบกำร Consult Case ผปวย

• ใชชองทางอนทไมมการเกบ record ขอมล ถาเหมาะสม• หลกเลยงการระบหรอ include ชอ, HN, เลขทเตยง หรอ

ขอมลทระบตวตนผปวยได (รวมทงในภาพ image)• ใช app ทปลอดภยกวา• Limit คนทเขาถง

(เชน ไมคยผาน Line group)• ใชอยางปลอดภย (Password, ดแลอปกรณไวกบตว,

เชค malware ฯลฯ)

73

• ประกาศคณะฯ เรอง นโยบายความปลอดภยสารสนเทศ คณะแพทยศาสตรโรงพยาบาลรามาธบด พ.ศ. 2551

• ประกาศคณะฯ เรอง หลกเกณฑการปฏบตของผไดรบอนญาตใหเขาถงขอมลทางอเลกทรอนกส พ.ศ. 2554

• ประกาศคณะฯ เรอง การขอคดถายส าเนาเวชระเบยนผปวย พ.ศ. 2556

• ประกาศคณะฯ เรอง ขอก าหนดการใชสอสงคมออนไลน ของคณะฯ พ.ศ. 2556

• ประกาศคณะฯ เรอง แนวทางปฏบต การขอบนทกภาพและเสยงในโรงพยาบาลสงกดของคณะฯ พ.ศ. 2557

ระเบยบตำงๆ ของคณะฯ ดำน Information Security

74

คณะกรรมกำรตรวจสอบกำรละเมดสทธผปวยของคณะฯ

75

คณะกรรมกำรตรวจสอบกำรละเมดสทธผปวยของคณะฯ

76

คณะกรรมกำรตรวจสอบกำรละเมดสทธผปวยของคณะฯ

77

Summary of Talk

• ท ำไมเรำตองแครเรอง Security & Privacy?

• Security/Privacy กบขอมลผปวย

• แนวปฏบตดำน Security ของระบบ

• แนวปฏบตดำน Privacy ของขอมล

• รำมำธบด กบ Security/Privacy

78

ใชไอทอยางปลอดภยพวกเราสบายใจ คนไขไดรบความคมครอง

นพ.นวนรรน ธระอมพรพนธ

22 ม.ย. 2558

http://www.slideshare.net/nawanan