77
1 ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง นพ.นวนรรน ธีระอัมพรพันธุ9 มิ.. 2558 http://www.slideshare.net/nawanan

Ramathibodi Security & Privacy Training for Health Personnel (June 9, 2015)

Embed Size (px)

Citation preview

1

ใช้ไอทีอย่างปลอดภัยพวกเราสบายใจ

คนไข้ได้รับความคุ้มครอง

นพ.นวนรรน ธีระอัมพรพันธุ์

9 มิ.ย. 2558

http://www.slideshare.net/nawanan

2

2546 แพทยศาสตรบณัฑติ (รามาธบิดรีุน่ที ่33)

อาจารย ์ภาควชิาเวชศาสตรช์ุมชนคณะแพทยศาสตรโ์รงพยาบาลรามาธบิดี

ความสนใจ: Health IT, Social Media, Security & Privacy

[email protected]/Nawanan

Nawanan Theera-Ampornpunt

Line ID: NawananT

แนะนําตัว

3

Outline

• ทําไมเราต้องแคร์เรือ่ง Security & Privacy?

• Security/Privacy กับข้อมูลผู้ป่วย

• แนวปฏิบัติด้าน Security ของระบบ

• แนวปฏิบัติด้าน Privacy ของข้อมูล

• รามาธิบดี กับ Security/Privacy

4

ทําไมเราต้องแคร์

เรื่อง Security & Privacy?

5

Malware

ตัวอย่างภัยคุกคามด้าน Security

6

ภัย Security กับเมืองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

7

ภัย Security กับเมืองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

8

ภัย Security กับเมืองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

9

ภัย Security กับเมืองไทย

https://www.facebook.com/longhackz

10

ภัย Security กับเมืองไทย

(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-to-hollywood

11

ภัย Security กับโรงพยาบาล

http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

12

ภัย Security กับโรงพยาบาล

http://news.sanook.com/1262964/

13

Confidentiality (ข้อมูลความลับ) Integrity (การแก้ไข/ลบ/เพิ่มข้อมูลโดยมิชอบ) Availability (ระบบล่ม ใช้การไม่ได้)

สิ่งที่เป็นเป้าหมายการโจมตี: CIA Triad

14

ผลกระทบ/ความเสียหาย

• ความลับถูกเปิดเผย

• ความเสี่ยงต่อชีวิต สุขภาพ จิตใจ การเงนิ และ

การงานของบุคคล

• ระบบล่ม การให้บริการมีปัญหา

• ภาพลักษณ์ขององค์กรเสียหาย

15

แหล่งที่มาของการโจมตี

• Hackers

• Viruses & Malware

• ระบบที่มีปัญหาข้อผิดพลาด/ช่องโหว่

• Insiders (บุคลากรที่มีเจตนาร้าย)

• การขาดความตระหนักของบุคลากร

• ภัยพิบัติ

16

ผลกระทบเมื่อข้อมูลผู้ป่วยรั่วไหล

http://blogs.absolute.com/blog/data-breaches-cost-6-billion-to-healthcare-industry/

17

Security/Privacy

กับข้อมูลผู้ป่วย

18

Security & Privacy

http://en.wikipedia.org/wiki/A._S._Bradford_House

19http://www.aclu.org/ordering-pizza

Privacy ของข้อมูลส่วนบุคคล

20

บทความใน JAMA เร็วๆ นี้

JAMA. 2015 Apr 14;313(14).

21

แนวปฏิบัติด้าน Security

ของระบบ

22

แนวทางด้าน Security

• User Account Security (Password)

• Mobile Security

• Online Security

• E-mail Security

• PC Security

23

User Account SecuritySo, two informaticianswalk into a bar...

The bouncer says, "What's the password."

One says, "Password?"

The bouncer lets them in.

Credits: @RossMartin & AMIA (2012)

24

User Account Security

https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png

25

ความยาว 8 ตัวอักษรขึ้นไป

ความซับซ้อน: 3 ใน 4 กลุ่มตัวอักษร

Uppercase letters

Lowercase letters

Numbers

Symbols

ไม่มีความหมาย (ป้องกัน “Dictionary Attacks”)

ไม่ใช่ simple patterns (12345678, 11111111)

ไม่เกี่ยวกับข้อมูลส่วนตัวที่คนสนิทอาจรู้ (เช่น วันเกิด

ชื่อคนในครอบครัว ชื่อสัตว์เลี้ยง)

Passwords

26

Dictionary Attack:

เรื่องเล่าจากการเรียน

การ Hack ระบบ ที่ USA

27

Clear Desk, Clear Screen Policy

http://pixabay.com/en/post-it-sticky-note-note-corner-148282/

28

แล้วจะจํา Password ได้ยังไง?

คิดประโยคภาษาอังกฤษสัก 1 ประโยค

ประโยคนี้ควรมีคํา 8 คําขึ้นไป และควรมีตัวเลข

หรือสัญลักษณ์พิเศษด้วย

ใช้ตัวอักษรตัวแรกของแต่ละคํา เป็น Password

29

ตัวอย่างการตั้ง Password

http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/

30

ตัวอย่างการตั้ง Password

ประโยค:

I love reading all 7 Harry Potter books!

Password:

Ilra7HPb!

31

Password Sharing

32

Password Expiration

33

Keylogger Attack:

เรื่องเล่าจากกิจกรรมชมรม

สมัยเป็นนักศึกษาแพทย์

34

Rogue Wi-Fi Router:

จอมขโมย Password

ที่ทุกคนตอ้งระวัง

35

Logout After Use

อย่าลืม Logout หลังใช้งานเสมอ

โดยเฉพาะเครื่องสาธารณะ

(หากไม่อยู่ที่หน้าจอ แม้เพียงชั่วครู่

ให้ Lock Screen เสมอ)

36

Mobile Security

https://www.thaicert.or.th/downloads/files/BROCHURE_mobile_malware.png

37

Mobile Security

ตั้ง PIN สําหรับ Lock Screen เอาไว้

ไม่เก็บข้อมูลสําคัญเอาไว้

ระวังไม่ให้สูญหาย หากสูญหายรีบแจ้งระงับ

38

Online (Shopping) Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Online-Shopping-Tips.jpg

ดูแลบัตรเครดิต และข้อมูล

หมายเลขบัตรให้ดี

ใช้เฉพาะกับเว็บที่เชื่อถือได้

สมัครบริการ SMS แจ้ง

เตือนเมื่อมีการรูดบัตร

ดู statement และ

ตรวจสอบธุรกรรมเสมอ

39

E-mail Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

40

E-mail Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

41

E-mail & Online Security (Phishing)

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

42

E-mail & Online Security (Phishing)

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

43

Secure Log-in สําหรับเว็บที่สําคัญMicrosoft Internet Explorer

44

Secure Log-in สําหรับเว็บที่สําคัญ

Mozilla Firefox

Google Chrome

45

Phishing E-mail

46

Phishing E-mail

47

Phishing E-mail

48

Phishing E-mail

49

Phishing Web Site

50

Ransomware

51

ลักษณะสําคัญที่ควรสงสัย Phishing

Grammar ห่วยแตก

ตัวสะกดผิดเยอะพยายามอย่างยิ่งให้เปิดไฟล์แนบ หรือกด link

หรือตอบเมล แต่ไม่ค่อยให้รายละเอียด

E-mail ที่มาจากคนรู้จัก ไม่ได้ปลอดภัยเสมอไป

52

Phishing Attack:

เรื่องเล่าจากชีวิต

ประธานนักเรียนไทยใน

Minnesota

53

PC Security, Virus & Malware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg

54

PC Security, Virus & Malware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg

55

File Sharing:

เรื่องเล่าจากชีวิต

นักศึกษาแพทย์รามาธิบดี

(ที่อยากรู้อยากเห็น)

56

Virus/Malware Attack &

Windows Update:

เรื่องเล่าจากบทบาท

Chief IT Admin รามาธิบดี

(ที่ต้องดูแลระบบล่ม)

57

แนวปฏิบัติด้าน Privacy

ของข้อมูล

58

หลักจริยธรรมที่เกี่ยวกับ Privacy

• Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)

• Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)

• Non-maleficence (หลักการไม่ทําอันตรายต่อผู้ป่วย)

“First, Do No Harm.”

59

Hippocratic Oath

...

What I may see or hear in the course of

treatment or even outside of the treatment

in regard to the life of men, which on no

account one must spread abroad, I will keep

myself holding such things shameful to be

spoken about.

...http://en.wikipedia.org/wiki/Hippocratic_Oath

60

กฎหมายที่เกี่ยวข้องกับ Privacy

• พรบ.สุขภาพแห่งชาติ พ.ศ. 2550

• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วน

บุคคล ผู้ใดจะนําไปเปิดเผยในประการที่น่าจะทําให้บุคคลนั้น

เสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเปน็ไปตามความประสงค์

ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้อง

เปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอํานาจหรือสิทธิ

ตามกฎหมายว่าด้วยข้อมลูข่าวสารของราชการหรือกฎหมาย

อื่นเพื่อขอเอกสารเกีย่วกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่

ของตนไม่ได้

61

ประมวลกฎหมายอาญา• มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็น

เจ้าพนักงานผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเปน็แพทย์ เภสัชกร

คนจําหน่ายยา นางผดุงครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วย

ในการประกอบอาชีพนั้น แล้วเปิดเผยความลับนั้นในประการที่

น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้องระวางโทษจําคุกไม่เกิน

หกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจําทั้งปรับ

• ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผย

ความลับของผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น

ในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษ

เช่นเดียวกัน

62

คําประกาศสิทธิผู้ป่วย

• เพื่อให้ความสัมพันธ์ระหว่างผู้ประกอบวิชาชีพด้านสุขภาพกับผู้ป่วย ตั้งอยู่บนพื้นฐานของความเข้าใจอันดีและเป็นที่ไว้วางใจซึ่งกันและกัน แพทยสภา สภาการ

พยาบาล สภาเภสัชกรรม ทันตแพทยสภา คณะกรรมการควบคุมการประกอบโรคศิลปะ จึงได้ร่วมกันออกประกาศรับรองสิทธิของผู้ป่วยไว ้ดังต่อไปนี้

1. ผู้ป่วยทุกคนมีสิทธิพื้นฐานที่จะได้รับบริการด้านสุขภาพ ตามที่บัญญตัิไว้ในรัฐธรรมนูญ

2. ผู้ป่วยมีสิทธิที่จะได้รับบริการจากผู้ประกอบวิชาชีพด้านสุขภาพโดยไม่มกีารเลือกปฏิบัติ เนื่องจากความแตกต่างด้านฐานะ เชื้อชาติ สัญชาติ ศาสนา สังคม ลัทธิ

การเมือง เพศ อายุ และ ลักษณะของความเจ็บป่วย

3. ผู้ป่วยที่ขอรับบริการด้านสุขภาพมีสิทธิที่จะได้รับทราบข้อมูลอย่างเพียงพอ และเข้าใจชัดเจน จากผู้ประกอบวิชาชีพด้านสุขภาพเพื่อให้ผู้ป่วยสามารถเลือกตัดสินใจ

ในการยินยอมหรือไม่ยินยอมให้ผู้ประกอบวิชาชีพด้านสุขภาพปฏิบัติต่อตน เว้นแต่เป็นการช่วยเหลือรีบด่วนหรือ จําเป็น

4. ผู้ป่วยที่อยู่ในภาวะเสี่ยงอันตรายถึงชีวิต มีสิทธิที่จะได้รับการช่วยเหลือรีบด่วนจากผู้ประกอบวิชาชีพด้านสุขภาพโดยทันทีตามความจําเป็นแก่กรณี โดยไม่คํานึงว่า

ผู้ป่วยจะร้อง ขอความช่วยเหลือหรือไม่

5. ผู้ป่วยมีสิทธิที่จะได้รับทราบชื่อ สกุล และประเภทของผู้ประกอบวิชาชีพด้านสุขภาพที่เป็น ผู้ให้บริการแก่ตน

6. ผู้ป่วยมีสิทธิที่จะขอความเห็นจากผู้ประกอบวิชาชีพด้านสุขภาพอื่น ที่มิได้เป็นผู้ให้บริ การแก่ตน และมีสิทธิในการขอเปลี่ยนผู้ให้บริการ และสถานบริการได้

7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่จะได้รับความยินยอมจากผู้ป่วยหรือการปฏิบัติหน้าที่

ตามกฎหมาย

8. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลอย่างครบถ้วน ในการตัดสินใจเข้าร่วมหรือถอนตัวจากการเป็นผู้ถูกทดลองในการทําวิจัยของผู้ประกอบวิชาชีพด้านสุขภาพ

9. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลเกี่ยวกับการรักษาพยาบาลเฉพาะของตนที่ปรากฏใน เวชระเบียนเมื่อร้องขอ ทั้งนี้ ข้อมูลดังกล่าวต้องไม่เป็นการละเมิดสิทธิ

ส่วนตัวของบุคคลอื่น

10.บิดา มารดา หรือผู้แทนโดยชอบธรรม อาจใช้สิทธิแทนผู้ป่วยที่เป็นเด็กอายุยังไม่เกิน สิบแปดปีบริบูรณ์ ผู้บกพร่องทางกายหรือจิต ซึ่งไม่สามารถใช้สิทธิด้วยตนเอง

ได้

7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง

จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่

จะได้รับความยินยอมจากผู้ป่วยหรือการปฏิบัติหน้าที่

ตามกฎหมาย

63http://www.prasong.com/สื่อสารมวลชน/แพยสภาสอบจริยธรรมหมอต/

Social Media Case Study

64

ข้อความจริง บน

• "อาจารย์ครบั เมื่อวาน ผมออก OPD เจอ คุณ

... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา ฉายรังสีต่อ

ที่... ตอนนี้ Happy ดี ไม่ค่อยปวด เดินได้สบาย

คนไข้ฝากขอบคุณอาจารย์อีกครัง้ -- อีกอย่าง

คนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม.

บอกว่าถ้าพร้อมจะไป Follow-up กับอาจารย์

ครับ"

ข้อมูลผู้ป่วย บน Social Media

65

แนวทางการคุ้มครอง Privacy

• Informed consent

• Privacy culture

• User awareness building & education

• Organizational policy & regulations

66

รามาธิบดี กับ

Security/Privacy

67

http://intranet.mahidol/op/orla/law/index.php

/announcement/146-2556/770-social-network

นโยบายด้าน Social Media ของมหาวิทยาลัยมหิดล

68

• ข้อความบน Social Network สามารถเข้าถึงได้โดยสาธารณะ

ผู้เผยแพร่ต้องรับผิดชอบ ทั้งทางสังคมและกฎหมาย และอาจ

ส่งผลกระทบต่อชื่อเสียง การทํางาน และวิชาชีพของตน

MU Social Media Policy

69

• บุคลากรทางการแพทย์หรือผู้ให้บริการสุขภาพ

– ระวังการใช้ Social Network ในการปฏิสัมพันธ์กับผู้ปว่ย

– ปฏิบัติตามจริยธรรมของวิชาชีพ

– ระวังเรื่องความเป็นส่วนตัว (Privacy) และความลับของข้อมูล

ผู้ป่วย

– การเผยแพร่ข้อมูล/ภาพผู้ป่วย เพื่อการศึกษา ต้องขออนุญาตผู้ป่วย

ก่อนเสมอ และลบข้อมูลที่เป็น identifiers ทั้งหมด (เช่น ชื่อ, HN,

ภาพใบหน้า หรือ ID อื่นๆ) ยกเว้นผู้ปว่ยอนุญาต (รวมถึงกรณีการ

โพสต์ใน closed groups ด้วย)

• ตั้งค่า Privacy Settings ให้เหมาะสม

MU Social Media Policy

70

Line เสี่ยงต่อการละเมิด Privacy ผู้ป่วยได้อย่างไร?

• ข้อมูลใน Line group มีคนเห็นหลายคน

• ข้อมูลถูก capture หรือ forward ไป share ต่อได้

• ข้อมูล cache ที่เก็บใน mobile device อาจถูกอ่านได้

(เช่น ทําอุปกรณ์หาย หรือเผลอวางเอาไว้)

• ข้อมูลที่ส่งผ่าน network ไม่ได้เข้ารหัส

• ข้อมูลที่เก็บใน server ของ Line ทางบริษัทเข้าถึงได้ และ

อาจถูก hack ได้

• มีคนเดา Password ได้

71

ทางออกสําหรับการ Consult Case ผู้ป่วย

• ใช้ช่องทางอื่นที่ไม่มีการเก็บ record ข้อมูล ถ้าเหมาะสม

• หลีกเลี่ยงการระบุหรือ include ชื่อ, HN, เลขที่เตียง หรือ

ข้อมูลที่ระบุตัวตนผู้ป่วยได้ (รวมทั้งในภาพ image)

• ใช้ app ที่ปลอดภัยกว่า

• Limit คนที่เข้าถึง

(เช่น ไม่คุยผ่าน Line group)

• ใช้อย่างปลอดภัย (Password, ดูแลอุปกรณ์ไว้กับตัว,

เช็ค malware ฯลฯ)

72

• ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551

• ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏบิัติของผู้ได้รับอนุญาตให้เข้าถึงข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554

• ประกาศคณะฯ เรื่อง การขอคัดถ่ายสําเนาเวชระเบียนผู้ปว่ย พ.ศ. 2556

• ประกาศคณะฯ เรื่อง ข้อกําหนดการใช้สื่อสังคมออนไลน์ ของคณะฯ พ.ศ. 2556

• ประกาศคณะฯ เรื่อง แนวทางปฏิบัติ การขอบันทกึภาพและเสียงในโรงพยาบาลสังกัดของคณะฯ พ.ศ. 2557

ระเบียบต่างๆ ของคณะฯ ด้าน Information Security

73

คณะกรรมการตรวจสอบการละเมิดสิทธิผู้ป่วยของคณะฯ

74

คณะกรรมการตรวจสอบการละเมิดสิทธิผู้ป่วยของคณะฯ

75

คณะกรรมการตรวจสอบการละเมิดสิทธิผู้ป่วยของคณะฯ

76

Summary of Talk

• ทําไมเราต้องแคร์เรือ่ง Security & Privacy?

• Security/Privacy กับข้อมูลผู้ป่วย

• แนวปฏิบัติด้าน Security ของระบบ

• แนวปฏิบัติด้าน Privacy ของข้อมูล

• รามาธิบดี กับ Security/Privacy

77

ใช้ไอทีอย่างปลอดภัยพวกเราสบายใจ

คนไข้ได้รับความคุ้มครอง

นพ.นวนรรน ธีระอัมพรพันธุ์

9 มิ.ย. 2558

http://www.slideshare.net/nawanan