Upload
nawanan-theera-ampornpunt
View
84
Download
0
Embed Size (px)
Citation preview
1
ใชไอทอยางปลอดภยพวกเราสบายใจ คนไขไดรบความคมครอง
นพ.นวนรรน ธระอมพรพนธ
5 ส.ค. 2559
http://www.slideshare.net/nawanan
2
2546 แพทยศาสตรบณฑต (รามาธบดรนท 33)
2554 Ph.D. (Health Informatics), Univ. of Minnesota
อาจารย ภาควชาเวชศาสตรชมชนคณะแพทยศาสตรโรงพยาบาลรามาธบด
ความสนใจ: Health IT, Social Media, Security & Privacy
SlideShare.net/Nawanan
Nawanan Theera-Ampornpunt
Line ID: NawananT
แนะน าตว
3
Outline
• ท ำไมเรำตองแครเรอง Security & Privacy?
• Security/Privacy กบขอมลผปวย
• แนวปฏบตดำน Security ของระบบ
• แนวปฏบตดำน Privacy ของขอมล
• รำมำธบด กบ Security/Privacy
• แนวปฏบตดำนกำรใช Social Media ทเหมำะสม
4
ท าไมเราตองแครเรอง Security & Privacy?
5
เรองเลาจากรามาธบด #1: Privacy & Hoax
http://news.sanook.com/1262964/
6
ภย Privacy กบโรงพยาบาล
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm
7
Malware
ตวอยางภยคกคามดาน Security
8
เรองเลาจากรามาธบด #2: Malware
9
ภย Security กบเมองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
10
ภย Security กบเมองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
11
ภย Security กบเมองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
12
ภย Security กบเมองไทย
https://www.facebook.com/longhackz
13
ภย Security กบเมองไทย
(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/
(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-
to-hollywood
14
Confidentiality (ขอมลควำมลบ) Integrity (กำรแกไข/ลบ/เพมขอมลโดยมชอบ) Availability (ระบบลม ใชกำรไมได)
สงทเปนเปาหมายการโจมต: CIA Triad
15
ผลกระทบ/ความเสยหาย
• ควำมลบถกเปดเผย
• ควำมเสยงตอชวต สขภำพ จตใจ กำรเงน และกำรงำนของบคคล
• ระบบลม กำรใหบรกำรมปญหำ
• ภำพลกษณขององคกรเสยหำย
16
แหลงทมาของการโจมต
• Hackers
• Viruses & Malware
• ระบบทมปญหำขอผดพลำด/ชองโหว
• Insiders (บคลำกรทมเจตนำรำย)
• กำรขำดควำมตระหนกของบคลำกร
• ภยพบต
17
เรองเลาจากรามาธบด #3: Privacy
18
Security/Privacy กบขอมลผปวย
19
Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House
20
แนวปฏบตดาน Privacy ของขอมล
21http://www.aclu.org/ordering-pizza
Privacy ของขอมลสวนบคคล
22
เรองเลาจากรามาธบด #4: Privacy
http://pantip.com/topic/35330409/
23
หลกจรยธรรมทเกยวกบ Privacy
• Autonomy (หลกเอกสทธ/ควำมเปนอสระของผปวย)
• Beneficence (หลกกำรรกษำประโยชนสงสดของผปวย)
• Non-maleficence (หลกกำรไมท ำอนตรำยตอผปวย)“First, Do No Harm.”
24
Hippocratic Oath...
What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....
http://en.wikipedia.org/wiki/Hippocratic_Oath
25
กฎหมายทเกยวของกบ Privacy
• พรบ.สขภำพแหงชำต พ.ศ. 2550
• มำตรำ 7 ขอมลดำนสขภำพของบคคล เปนควำมลบสวนบคคล ผใดจะน ำไปเปดเผยในประกำรทนำจะท ำใหบคคลนนเสยหำยไมได เวนแตกำรเปดเผยนนเปนไปตำมควำมประสงคของบคคลนนโดยตรง หรอมกฎหมำยเฉพำะบญญตใหตองเปดเผย แตไมวำในกรณใด ๆ ผใดจะอำศยอ ำนำจหรอสทธตำมกฎหมำยวำดวยขอมลขำวสำรของรำชกำรหรอกฎหมำยอนเพอขอเอกสำรเกยวกบขอมลดำนสขภำพของบคคลทไมใชของตนไมได
26
ประมวลกฎหมายอาญา• มำตรำ 323 ผใดลวงรหรอไดมำซงควำมลบของผอนโดยเหตทเปน
เจำพนกงำนผมหนำท โดยเหตทประกอบอำชพเปนแพทย เภสชกร คนจ ำหนำยยำ นำงผดงครรภ ผพยำบำล...หรอโดยเหตทเปนผชวยในกำรประกอบอำชพนน แลวเปดเผยควำมลบนนในประกำรทนำจะเกดควำมเสยหำยแกผหนงผใด ตองระวำงโทษจ ำคกไมเกนหกเดอน หรอปรบไมเกนหนงพนบำท หรอทงจ ำทงปรบ
• ผรบกำรศกษำอบรมในอำชพดงกลำวในวรรคแรก เปดเผยควำมลบของผอน อนตนไดลวงรหรอไดมำในกำรศกษำอบรมนน ในประกำรทนำจะเกดควำมเสยหำยแกผหนงผใดตองระวำงโทษเชนเดยวกน
27
ค ำประกำศสทธและขอพงปฏบตของผปวย
7. ผปวยมสทธไดรบกำรปกปดขอมลของตนเอง เวนแตผปวยจะใหควำมยนยอมหรอเปนกำรปฏบตตำมหนำทของผประกอบวชำชพดำนสขภำพเพอประโยชนโดยตรงของผปวยหรอตำมกฎหมำย
28
ขอควำมจรง บน• "อาจารยครบ เมอวาน ผมออก OPD เจอ คณ
... คนไข... ทอาจารยผาไปแลว มา ฉายรงสตอท... ตอนน Happy ด ไมคอยปวด เดนไดสบาย คนไขฝากขอบคณอาจารยอกครง -- อกอยางคนไขชวงนไมคอยสะดวกเลยไมไดไป กทม. บอกวาถาพรอมจะไป Follow-up กบอาจารยครบ"
ขอมลผปวย บน Social Media
29
แนวทางการคมครอง Privacy• Informed consent
• Privacy culture
• User awareness building & education
• Organizational policy & regulations Enforcement Ongoing privacy & security assessments,
monitoring, and protection
30
เรองเลาจากรามาธบด #5: Enforcement
Uniform Enforcement:เรองเลาเกยวกบ
ความนารก นาศรทธาของผบรหาร(ทาน ศ. นพ.รชตะ รชตะนาวน)
31
Line เสยงตอกำรละเมด Privacy ผปวยไดอยำงไร?
• ขอมลใน Line group มคนเหนหลายคน• ขอมลถก capture หรอ forward ไป share ตอได• ขอมล cache ทเกบใน mobile device อาจถกอานได
(เชน ท าอปกรณหาย หรอเผลอวางเอาไว)• ขอมลทสงผาน network ไมไดเขารหส• ขอมลทเกบใน server ของ Line ทางบรษทเขาถงได และ
อาจถก hack ได• มคนเดา Password ได
32
ทำงออกส ำหรบกำร Consult Case ผปวย
• ใชชองทางอนทไมมการเกบ record ขอมล ถาเหมาะสม• หลกเลยงการระบหรอ include ชอ, HN, เลขทเตยง หรอ
ขอมลทระบตวตนผปวยได (รวมทงในภาพ image)• ใช app ทปลอดภยกวา• Limit คนทเขาถง
(เชน ไมคยผาน Line group)• ใชอยางปลอดภย (Password, ดแลอปกรณไวกบตว,
เชค malware ฯลฯ)
33
เรองเลาจากรามาธบด #6:
PR Nightmareเหตการณไมจรง ทสรางความ
เสยหาย กลายเปน viral
34
เรองเลาจากรามาธบด #6: PR Nightmare & Response
http://new.khaosod.co.th.khaosod.online/dek3/win.html (อนตรำย! ไมควรเขำเวบน)
ขาวนไมเปนความจรง
35
เรองเลาจากรามาธบด #6: PR Nightmare & Response
36
เรองเลาจากรามาธบด #7: Passwords
Keylogger Attack: เรองเลาจากกจกรรมชมรมสมยเปนนกศกษาแพทย
37
แนวปฏบตดาน Security ของระบบ
38
User Account SecuritySo, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)
39
What’s the Password?
Unknown Internet sources, via
http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737,
via Facebook page “สอนแฮกเวบแบบแมวๆ”
40
User Account Security
https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png
41
ควำมยำว 8 ตวอกษรขนไป
ควำมซบซอน: 3 ใน 4 กลมตวอกษร Uppercase letters
Lowercase letters
Numbers
Symbols
ไมมควำมหมำย (ปองกน “Dictionary Attacks”)
ไมใช simple patterns (12345678, 11111111)
ไมเกยวกบขอมลสวนตวทคนสนทอำจร (เชน วนเกด ชอคนในครอบครว ชอสตวเลยง)
Passwords
42
เรองเลาจากรามาธบด #8: Password ทองงาย (แตก Hack งาย)
Dictionary Attack: เรองเลาจากการเรยน
การ Hack ระบบ ท USA
43
Clear Desk, Clear Screen Policy
http://pixabay.com/en/post-it-sticky-note-note-corner-148282/
44
แลวจะจ า Password ไดยงไง?คดประโยคภำษำองกฤษสก 1 ประโยคประโยคนควรมค ำ 8 ค ำขนไป และควรมตวเลข
หรอสญลกษณพเศษดวย ใชตวอกษรตวแรกของแตละค ำ เปน Password
45
ตวอยางการตง Password
http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/
46
ตวอยางการตง Passwordประโยค:
I love reading all 7 Harry Potter books!
Password:Ilra7HPb!
47
Password Sharing
อยำแชร Passwordกบคนอน
48
Password Expiration
เปลยน Password ทกๆ 3-6 เดอน
49
เรองเลาจากรามาธบด #9: Wi-Fi
Wi-Fi Router เถอน: พวกชอบสรางปญหาให
admin และอาจเปนจอมขโมย Password
50
Logout After Use
อยำลม Logout หลงใชงำนเสมอ โดยเฉพำะเครองสำธำรณะ
(หำกไมอยทหนำจอ แมเพยงชวคร ให Lock Screen เสมอ)
51
Mobile Security
https://www.thaicert.or.th/downloads/files/BROCHURE_mobile_malware.png
52
Mobile Securityตง PIN ส ำหรบ Lock Screen เอำไว ไมเกบขอมลส ำคญเอำไว ระวงไมใหสญหำย หำกสญหำยรบแจงระงบ
53
E-mail Security
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg
54
E-mail Security
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg
55
เรองเลาจากรามาธบด #10: E-mail หลอกลวง
Phishing
56
Phishing E-mail
57
Phishing E-mail
58
Phishing E-mail
59
Phishing E-mail
60
Phishing Web Site
61
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
62
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
63
Secure Log-in ส าหรบเวบทส าคญMicrosoft Internet Explorer
64
Secure Log-in ส าหรบเวบทส าคญMozilla Firefox
Google Chrome
65
ลกษณะส าคญทควรสงสย PhishingGrammar หวยแตกตวสะกดผดเยอะพยำยำมอยำงยงใหเปดไฟลแนบ หรอกด link
หรอตอบเมล แตไมคอยใหรำยละเอยดE-mail ทมำจำกคนรจก ไมไดปลอดภยเสมอไป
66
เรองเลาจากรามาธบด #11: ถก E-mail หลอก
Phishing Attack: เรองเลาจากชวต
ประธานนกเรยนไทยใน Minnesota
67
เรองเลาจากรามาธบด #12: เรยกคาไถ
Ransomware
68
ประกาศเตอนภย Ransomware ในรามาธบด
ขอบคณภำพ Screen Saver จำกฝำยสำรสนเทศ คณะแพทยศำสตรโรงพยำบำลรำมำธบด
69
Ransomware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Ransomware.jpg
70
Ransomware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Ransomware.jpg
71
เครอขายดาน IT ในองคกร
Ramathibodi Computer Emergency Readiness Team
(RamaCERT)
72
PC Security, Virus & Malware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg
73
PC Security, Virus & Malware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg
74
เรองเลาจากรามาธบด #13: แชรไฟล
File Sharing: เรองเลาจากชวต
นกศกษาแพทยรามาธบด(ทอยากรอยากเหน)
75
เรองเลาจากรามาธบด #14: Virus & Patch Updates
Virus/Malware Attack & Windows Update: เรองเลาจากบทบาท
Chief IT Admin รามาธบด(ทตองดแลระบบลม)
76
เรองเลาจากรามาธบด #15: Apple
False Sense of Securityเรองเลาจาก Apple Fanboy
77
เรองเลาจากรามาธบด #16:
Back-up Your Data: เรองเลาจากคนงานเยอะ
78
World Backup Day:March 31 ของทกป
79
รามาธบด กบ Security/Privacy
80
http://intranet.mahidol/op/orla/law/index.php/announcement/146-2556/770-social-network
นโยบำยดำน Social Media ของมหำวทยำลยมหดล
81
• ขอความบน Social Network สามารถเขาถงไดโดยสาธารณะ ผเผยแพรตองรบผดชอบ ทงทางสงคมและกฎหมาย และอาจสงผลกระทบตอชอเสยง การท างาน และวชาชพของตน
MU Social Media Policy
82
• บคลากรทางการแพทยหรอผใหบรการสขภาพ– ระวงการใช Social Network ในการปฏสมพนธกบผปวย
– ปฏบตตามจรยธรรมของวชาชพ
– ระวงเรองความเปนสวนตว (Privacy) และความลบของขอมลผปวย
– การเผยแพรขอมล/ภาพผปวย เพอการศกษา ตองขออนญาตผปวยกอนเสมอ และลบขอมลทเปน identifiers ทงหมด (เชน ชอ, HN, ภาพใบหนา หรอ ID อนๆ) ยกเวนผปวยอนญาต (รวมถงกรณการโพสตใน closed groups ดวย)
• ตงคา Privacy Settings ใหเหมาะสม
MU Social Media Policy
83
• ประกาศคณะฯ เรอง นโยบายความปลอดภยสารสนเทศ คณะแพทยศาสตรโรงพยาบาลรามาธบด พ.ศ. 2551
• ประกาศคณะฯ เรอง หลกเกณฑการปฏบตของผไดรบอนญาตใหเขาถงขอมลทางอเลกทรอนกส พ.ศ. 2554
• ประกาศคณะฯ เรอง การขอคดถายส าเนาเวชระเบยนผปวย พ.ศ. 2556
• ประกาศคณะฯ เรอง ขอก าหนดการใชสอสงคมออนไลน ของคณะฯ พ.ศ. 2556
• ประกาศคณะฯ เรอง แนวทางปฏบต การขอบนทกภาพและเสยงในโรงพยาบาลสงกดของคณะฯ พ.ศ. 2557
ระเบยบตำงๆ ของคณะฯ ดำน Information Security
84
Social Media Case Studies
85
Social Media Case Study #1: พฤตกรรมไมเหมำะสม
Disclaimer (นพ.นวนรรน):น าเสนอเปนกรณศกษาเพอการเรยนร
เรอง Social Media เทานน ไมมเจตนาลบหล ดหมน หรอท าใหผใดองคกรใด หรอวชาชพใดเสยหาย
โปรดใชวจารณญาณในการอานเนอหา
86
Disclaimer (นพ.นวนรรน):น าเสนอเปนกรณศกษาเพอการเรยนร
เรอง Social Media เทานน ไมมเจตนาลบหล ดหมน หรอท าใหผใดองคกรใด หรอวชาชพใดเสยหาย
โปรดใชวจารณญาณในการอานเนอหา
Social Media Case Study #1: พฤตกรรมไมเหมำะสม
87http://news.mthai.com/hot-news/world-news/453842.html
Social Media Case Study #2: Selfie มประเดน
88
http://pantip.com/topic/33678081
https://www.facebook.com/photo.php?fbid=971229119583658&set=a.37957656541558
6.90794.100000897364762&type=1&theater
Social Media Case Study #3: Selfie มประเดน
89http://www.matichon.co.th/news_detail.php?newsid=1429341430
Social Media Case Study #4: ดหมนผปวย
90
Social Media Case Study #5: ละเมดผรบบรกำร
Disclaimer (นพ.นวนรรน): น าเสนอเปนกรณศกษาเพอการเรยนรเรอง Social Media
เทานน ไมมเจตนาดหมน หรอท าใหผใดเสยหาย และไมมเจตนาสรางประเดนทาง
การเมองชอ สญลกษณ หรอเครองหมายของบคคล
หรอองคกรใด เปนเพยงการใหขอมลแวดลอมเพอการท าความเขาใจกรณศกษาเทานน ไมใชการใสความวาผนนกระท าการใด อนจะท าใหผนนเสยชอเสยง ถกดหมน หรอถกเกลยดชง
โปรดใชวจารณญาณในการอานเนอหา
91
http://manager.co.th/Entertainment/Vie
wNews.aspx?NewsID=9580000076405
Social Media Case Study #6: ละเมดผรบบรกำร
92
Social Media Case Study #7: ไมแยก Account
93
Facebook Profile vs. Page vs. Group• ใช Profile ส ำหรบ user แตละคน (แยกคนกน)• ใช Page ส ำหรบกำร PR องคกร/หนวยงำน/ทม/
กลม (สำมำรถตง user คนละคน เปน admin ได โดยแยก account กน)
• ใช Group ส ำหรบกำรสอสำรกนภำยในกลม (ตงระดบ privacy ทเหมำะสมได)
94
Social Media Case Study #8: ไมตรวจสอบขอมล
Disclaimer (นพ.นวนรรน): น าเสนอเปนกรณศกษาเพอการเรยนรเรอง Social Media
เทานน ไมมเจตนาดหมน หรอท าใหผใดเสยหาย
ชอ สญลกษณ หรอเครองหมายของบคคลหรอองคกรใด เปนเพยงการใหขอมลแวดลอมเพอการท าความเขาใจกรณศกษาเทานน ไมใชการใสความวาผนนกระท าการใด อนจะท าใหผนนเสยชอเสยง ถกดหมน หรอถกเกลยดชง
โปรดใชวจารณญาณในการอานเนอหา
95
Social Media Case Study #9: ไมตรวจสอบขอมล
Source: Facebook Page โหดสส V2 อำงองภำพจำกหนำ 7 นสพ.ไทยรฐ วนท 6 พ.ค. 2557 และ http://www.reuters.com/article/2013/10/16/us-philippines-quake-idUSBRE99E01R20131016
96
Social Media Best Practices
https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg
97
Social Media Best Practices
https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg
98
Line Group: Rama IT Enthusiasts
(Open to all Ramathibodi faculty members, staff,
personnel & students)
• ยนดใหผท เขากลมแลว สง Invite ใหเพอนๆ ทสนใจ• ตดตอขอเขากลมไดท
Line ID: NawananT
ตดตามอปเดตความรwww.facebook.com/InformaticsRound
99
Summary of Talk: เรยนรจากเรองเลา
• ท ำไมเรำตองแครเรอง Security & Privacy?
• Security/Privacy กบขอมลผปวย
• แนวปฏบตดำน Security ของระบบ
• แนวปฏบตดำน Privacy ของขอมล
• รำมำธบด กบ Security/Privacy
• แนวปฏบตดำนกำรใช Social Media ทเหมำะสม
100
ใชไอทอยางปลอดภยพวกเราสบายใจ คนไขไดรบความคมครอง
นพ.นวนรรน ธระอมพรพนธ
5 ส.ค. 2559
http://www.slideshare.net/nawanan