Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Health Information
Privacy & Security
Nawanan Theera-Ampornpunt, M.D., Ph.D.
Faculty of Medicine Ramathibodi Hospital
Mahi...
 Introduction to Information Privacy & Security
 Protecting Information Privacy & Security
 User Security
 Software Se...
Introduction to
Information Privacy &
Security
Malware
Threats to Information Security
(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/
(Bottom) http://www....
http://news.sanook.com/1262964/
Privacy Threats in Thai Health Care
Privacy Threats in Thai Health Care
Privacy Threats in Thai Health Care
https://www.blognone.com/node/79473
http://www.aclu.org/ordering-pizza
Privacy Protections: Why?
Sources of the Threats
 Hackers
 Viruses & Malware
 Poorly-designed systems
 Insiders (Employees)
 People’s ignorance...
 Information risks
 Unauthorized access & disclosure of confidential information
 Unauthorized addition, deletion, or m...
Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House
Privacy & Security
 Privacy: “The ability of an individual or group
to seclude themselves or information about
themselves and thereby reveal...
Information Security
 Confidentiality
 Integrity
 Availability
Examples of Confidentiality Risks
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm
Examples of Integrity Risks
http://www.wired.com/threatlevel/2010/03/source-code-hacks/
http://en.wikipedia.org/wiki/Opera...
Examples of Integrity Risks
http://news.softpedia.com/news/700-000-InMotion-Websites-Hacked-by-TiGER-M-TE-223607.shtml
Web...
Examples of Availability Risks
http://en.wikipedia.org/wiki/Blaster_worm
Viruses/worms that led to instability &
system re...
Examples of Availability Risks
http://en.wikipedia.org/wiki/Ariane_5_Flight_501
Ariane 5 Flight 501 Rocket Launch Failure
...
บทความใน JAMA เร็วๆ นี้
JAMA. 2015 Apr 14;313(14).
Interesting Resources
 http://en.wikipedia.org/wiki/List_of_software_bugs
 http://en.wikipedia.org/wiki/Notable_computer...
Protecting Information
Privacy & Security
 Attack
 An attempt to breach system security
 Threat
 A scenario that can harm a system
 Vulnerability
 The “hole” ...
 Identify some possible means an
attacker could use to conduct a
security attack
Class Exercise
Alice
Simplified Attack Scenarios
Server Bob
Eve/Mallory
Alice
Simplified Attack Scenarios
Server Bob
- Physical access to client computer
- Electronic access (password)
- Trickin...
Alice
Simplified Attack Scenarios
Server Bob
- Intercepting (eavesdropping or
“sniffing”) data in transit
- Modifying data...
Alice
Simplified Attack Scenarios
Server Bob
- Unauthorized access to servers through
- Physical means
- User accounts & p...
Alice
Simplified Attack Scenarios
Server Bob
Other & newer forms of
attacks possible
Eve/Mallory
Alice
Safeguarding Against Attacks
Server Bob
Administrative Security
- Security & privacy policy
- Governance of security...
Alice
Safeguarding Against Attacks
Server Bob
Physical Security
- Protecting physical access of clients & servers
- Locks ...
Alice
Safeguarding Against Attacks
Server Bob
User Security
- User account management
- Strong p/w policy (length, complex...
Alice
Safeguarding Against Attacks
Server Bob
System Security
- Antivirus, antispyware, personal firewall, intrusion
detec...
Alice
Safeguarding Against Attacks
Server Bob
Software Security
- Software (clients & servers) that is secure by design
- ...
Alice
Safeguarding Against Attacks
Server Bob
Network Security
- Access control (physical & electronic) to network devices...
Alice
Safeguarding Against Attacks
Server Bob
Database Security
- Access control to databases & storage devices
- Encrypti...
Privacy Safeguards
Image: http://www.nurseweek.com/news/images/privacy.jpg
 Security safeguards
 Informed consent
 Priv...
User Security
https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png
 Access control
 Selective restriction of access to the system
 Role-based access control
 Access control based on the...
 Identification
 Identifying who you are
 Usually done by user IDs or some other unique codes
 Authentication
 Confir...
 Nonrepudiation
 Proving integrity, origin, & performer of an
activity without the person’s ability to refute
his action...
 Multiple-Factor Authentication
 Two-Factor Authentication
 Use of multiple means (“factors”) for authentication
 Type...
Need for Strong Password Policy
So, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One say...
Recommended Password Policy
 Length
 8 characters or more (to slow down brute-force attacks)
 Complexity (to slow down ...
Recommended Password Policy
 Expiration (to make brute-force attacks not possible)
 6-8 months
 Decreasing over time be...
{
Dictionary Attack:
A story from a
computer security course
Clear Desk, Clear Screen Policy
http://pixabay.com/en/post-it-sticky-note-note-corner-148282/
Techniques to Remember Passwords
 http://www.wikihow.com/Create-a-Password-You-Can-
Remember
 Note that some of the tech...
{
Keylogger Attack:
A story from
a medical student’s life
{
Rogue Wi-Fi Router:
A Silent
Password Stealer
Mobile Security
https://www.thaicert.or.th/downloads/files/BROCHURE_mobile_malware.png
E-mail Security
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg
E-mail Security
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
Phishing
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
Phishing
Microsoft Internet Explorer
Secure Web Browsing
Mozilla Firefox
Google Chrome
Secure Web Browsing
Phishing E-mail
Phishing E-mail
Phishing E-mail
Phishing E-mail
 Poor grammar
 Lots of typos
 Trying very hard to convince you to open
attachment, click on link, or reply without
enou...
 Don’t be too trusting of people
 Always be suspicious & alert
 An e-mail with your friend’s name & info doesn’t have
t...
Ransomware
Ransomware
Software Security
 Most common reason for security bugs is
invalid programming assumptions that
attackers will look for
 Weak input checki...
 Consider a log-in form on a web page
Example of Weak Input Checking:
SQL Injection
 Source code would look
something li...
 Defense in Depth
 Multiple layers of security defense are placed
throughout a system to provide redundancy
in the event...
 Modular design
 Check error conditions on return values
 Validate inputs (whitelist vs. blacklist)
 Avoid infinite lo...
Cryptography
 Goal: provide a secure channel between Alice & Bob
 A secure channel
 Leaks no information about its contents
 Delive...
 Use of keys to convert plaintext into
ciphertext
 Secret keys only Alice & Bob know
 History: Caesar’s cipher, substit...
Encryption Using Secret Key
(Symmetric Cryptography)
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Secur...
 What if no shared secret exists?
 Public-key cryptography
 Each publishes public key publicly
 Each keep secret key s...
Public-Key Cryptography
(Asymmetric Cryptography)
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security...
Digital Signatures
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
Alic...
Malware
 Malicious software - Any code with intentional,
undesirable side effects
 Virus
 Worm
 Trojan
 Spyware
 Logic Bomb/...
 Virus
 Propagating malware that requires user action
to propagate
 Infects executable files, data files with
executabl...
 Spyware
 Trojan that spies for & steals personal
information
 Logic Bomb/Time Bomb
 Malware that triggers under certa...
 Rogue Antispyware (Ransomware)
 Software that tricks or forces users to pay before fixing
(real or hoax) spyware detect...
 Installed & updated antivirus, antispyware, &
personal firewall
 Check for known signatures
 Check for improper file c...
 Social media spams/scams/clickjacking
 Social media privacy issues
 User privacy settings
 Location services
 Mobile...
Security Standards
• ISO/IEC 27000 — Information security management systems — Overview and
vocabulary
• ISO/IEC 27001 — Information security...
 US-CERT
 U.S. Computer Emergency Readiness Team
 http://www.us-cert.gov/
 Subscribe to alerts & news
 Microsoft Secu...
Privacy & Security
Laws
 Respect for Persons (Autonomy)
 Beneficence
 Justice
 Non-maleficence
Ethical Principles in Bioethics
Hippocratic Oath
...
What I may see or hear in the course of
treatment or even outside of the
treatment in regard to the l...
Privacy Safeguards
Image: http://www.nurseweek.com/news/images/privacy.jpg
 Security safeguards
 Informed consent
 Priv...
HIPAA
 Health Insurance Portability and Accountability Act of
1996 http://www.gpo.gov/fdsys/pkg/PLAW-
104publ191/pdf/PLAW-104pu...
 Title I: Health Care Access, Portability, and
Renewability
 Title II: Preventing Health Care Fraud and
Abuse; Administr...
 Title III: Tax-Related Health Provisions
 Title IV: Application and Enforcement
of Group Health Plan Requirements
 Tit...
 HHS promulgated 5 Administrative
Simplification rules
 Privacy Rule
 Transactions and Code Sets Rule
 Security Rule
...
 Covered Entities
 A health plan
 A health care clearinghouse
 A healthcare provider who transmits any health
informat...
 Protected Health Information (PHI)
 Individually identifiable health information transmitted or
maintained in electroni...
 Name
 Address
 Phone number
 Fax number
 E-mail address
 SSN
 Birthdate
 Medical Record No.
 Health Plan ID
 Tr...
 Establishes national standards to protect PHI; applies to CE &
business associates
 Requires appropriate safeguards to ...
 Timeline
 November 3, 1999 Proposed Privacy Rule
 December 28, 2000 Final Privacy Rule
 August 14, 2002 Modifications...
 Some permitted uses and disclosures
 Use of PHI
 Sharing, application, use, examination or
analysis within the entity ...
 A covered entity may not use or disclose
PHI, except
 with individual consent for treatment,
payment or healthcare oper...
 Treatment, payment, health care operations
(TPO)
 Quality improvement
 Competency assurance
 Medical reviews & audits...
 Uses & disclosures without the need for patient
authorization permitted in some circumstances
 Required by law
 For pu...
 Uses & disclosures without the need for patient
authorization permitted in some circumstances
 For cadaveric organ, eye...
 Control use and disclosure of PHI
 Notify patients of information practices (NPP, Notice of Privacy
Practices)
 Specif...
 Individually identifiable health information
collected and used solely for research IS NOT PHI
 Researchers obtaining P...
 De-identified Data Set
 Remove all 18 personal identifiers of subjects,
relatives, employers, or household members
 OR...
 Assure the CE that all research-initiated HIPAA
requirements have been met
 Provide letter of approval to the researche...
 Establishes national standards to protect
individuals’ electronic PHI that is created,
received, used, or maintained by ...
 Timeline
 August 12, 1998 Proposed Security Rule
 February 20, 2003 Final Security Rule
 April 21, 2005 Compliance Da...
 The HIPAA Security Rule is:
 A set of information security “best practices”
 A minimum baseline for security
 An outl...
 Many rules are either Required or Addressable
 Required:
 Compliance is mandatory
 Addressable:
 If a specification ...
 Breach notification
 Extension of complete Privacy & Security
HIPAA provisions to business associates of
covered entiti...
 Conflicts between federal vs. state laws
 Variations among state laws of different
states
 HIPAA only covers “covered ...
 Canada - The Privacy Act (1983), Personal
Information Protection and Electronic Data
Act of 2000
 EU Countries - EU Dat...
Thailand’s Health
Information Privacy
Law
คำประกำศสิทธิของผู้ป่วย
“...
7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง จากผู้
ประกอบวิชาชีพโดยเคร่งครัด เว้...
 The Official Information Act, B.E. 2540
 พรบ.ข้อมูลข่ำวสำรของรำชกำร พ.ศ. 2540
 “เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น”
“ม...
 No universal personal data privacy law
(Draft law has been proposed)
 National Health Act, B.E. 2550
 พรบ.สุขภาพแห่งชา...
 Computer-Related Crimes Act, B.E. 2550
 พรบ.การกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
 กำหนดกำรกระทำที่ถือเป็นควำม...
 Electronic Transactions Acts, B.E. 2544 & 2551
 พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และ พรบ.ว่าด้วยธุรกรรมทาง...
 ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ
ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล
อิเล็ก...
 พรฎ.กาหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนากฎหมายว่าด้วย
ธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549
 ประ...
 พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549
 ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ...
 พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง
อิเล็กทรอนิกส์ พ.ศ. 2553
 ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์...
สรุปความเชื่อมโยงของกฎหมาย พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรบ.ว่ำด้วยธุรกรรมทำงอิเล็กทรอนิกส์
• พรฎ.ว่ำด้วยวิธีกำรแบบปลอดภ...
 คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
 สานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สานักงาน
ปลัดกระทรวง กระทรวงเทคโนโลยีสาร...
 มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
 “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทาตามวิธีการแบบปลอดภัยที่
กาหนดใน...
 ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้
 ด้านการชาระเงินทางอิเล็กทรอนิกส์
 ด้านการเงินของธนาคารพาณิชย์
 ด้านประกันภัย...
 ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการ
ประเมิน...
 ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการ
ประเมิน...
 ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมิน
...
 พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์
 พิจารณาตามระดับผลกระทบ
 ถ้ามีผลประเมินที่เป็นผลกระทบในระดับสูง 1 ด้าน ให้...
 อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information
technology - Security techniques - Information
security management syste...
 แบ่งเป็น 11 หมวด (Domains)
 Security policy
 Organization of information security
 Asset management
 Human resources...
มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ
หมวด (Domain) ระดับพื้นฐาน ระดับกลาง
(เพิ่มเติมจากระดับพื้นฐาน)
ระดับสูง
...
 Official Information Act only covers
governmental organizations
 “Disclose as a rule, protect as an exception”
not appr...
 No general data privacy law in place
 ICT laws (e.g. Electronic Transactions Act)
focus on security & privacy in genera...
 Each country has its unique context,
including legal systems, national priorities,
public mindset, and infrastructure
 ...
Q & A
Upcoming SlideShare
Loading in …5
×

Health Information Privacy and Security (March 30, 2016)

670 views

Published on

Presented at Faculty of Pharmacy, Silpakorn University on March 30, 2016

Published in: Healthcare
  • Be the first to comment

Health Information Privacy and Security (March 30, 2016)

  1. 1. Health Information Privacy & Security Nawanan Theera-Ampornpunt, M.D., Ph.D. Faculty of Medicine Ramathibodi Hospital Mahidol University For the Faculty of Pharmacy, Silpakorn University March 19, 2016 http://www.SlideShare.net/Nawanan
  2. 2.  Introduction to Information Privacy & Security  Protecting Information Privacy & Security  User Security  Software Security  Cryptography  Malware  Security Standards  Privacy & Security Laws Outline
  3. 3. Introduction to Information Privacy & Security
  4. 4. Malware Threats to Information Security
  5. 5. (Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/ (Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel- to-hollywood Security Threats & Thailand
  6. 6. http://news.sanook.com/1262964/ Privacy Threats in Thai Health Care
  7. 7. Privacy Threats in Thai Health Care
  8. 8. Privacy Threats in Thai Health Care https://www.blognone.com/node/79473
  9. 9. http://www.aclu.org/ordering-pizza Privacy Protections: Why?
  10. 10. Sources of the Threats  Hackers  Viruses & Malware  Poorly-designed systems  Insiders (Employees)  People’s ignorance & lack of knowledge  Disasters & other incidents affecting information systems
  11. 11.  Information risks  Unauthorized access & disclosure of confidential information  Unauthorized addition, deletion, or modification of information  Operational risks  System not functional (Denial of Service - DoS)  System wrongly operated  Personal risks  Identity thefts  Financial losses  Disclosure of information that may affect employment or other personal aspects (e.g. health information)  Physical/psychological harms  Organizational risks  Financial losses  Damage to reputation & trust  Etc. Consequences of Security Attacks
  12. 12. Security & Privacy http://en.wikipedia.org/wiki/A._S._Bradford_House Privacy & Security
  13. 13.  Privacy: “The ability of an individual or group to seclude themselves or information about themselves and thereby reveal themselves selectively.” (Wikipedia)  Security: “The degree of protection to safeguard ... person against danger, damage, loss, and crime.” (Wikipedia)  Information Security: “Protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction” (Wikipedia) Privacy & Security
  14. 14. Information Security  Confidentiality  Integrity  Availability
  15. 15. Examples of Confidentiality Risks http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm
  16. 16. Examples of Integrity Risks http://www.wired.com/threatlevel/2010/03/source-code-hacks/ http://en.wikipedia.org/wiki/Operation_Aurora “Operation Aurora” Alleged Targets: Google, Adobe, Juniper Networks, Yahoo!, Symantec, Northrop Grumman, Morgan Stanley, Dow Chemical Goal: To gain access to and potentially modify source code repositories at high tech, security & defense contractor companies
  17. 17. Examples of Integrity Risks http://news.softpedia.com/news/700-000-InMotion-Websites-Hacked-by-TiGER-M-TE-223607.shtml Web Defacements
  18. 18. Examples of Availability Risks http://en.wikipedia.org/wiki/Blaster_worm Viruses/worms that led to instability & system restart (e.g. Blaster worm)
  19. 19. Examples of Availability Risks http://en.wikipedia.org/wiki/Ariane_5_Flight_501 Ariane 5 Flight 501 Rocket Launch Failure Cause: Software bug on rocket acceleration due to data conversion from a 64-bit floating point number to a 16-bit signed integer without proper checks, leading to arithmatic overflow
  20. 20. บทความใน JAMA เร็วๆ นี้ JAMA. 2015 Apr 14;313(14).
  21. 21. Interesting Resources  http://en.wikipedia.org/wiki/List_of_software_bugs  http://en.wikipedia.org/wiki/Notable_computer_viruses_ and_worms  http://en.wikipedia.org/wiki/Hacktivism  http://en.wikipedia.org/wiki/Website_defacement  http://en.wikipedia.org/wiki/Hacker_(computer_security)  http://en.wikipedia.org/wiki/List_of_hackers
  22. 22. Protecting Information Privacy & Security
  23. 23.  Attack  An attempt to breach system security  Threat  A scenario that can harm a system  Vulnerability  The “hole” that is used in the attack Common Security Terms
  24. 24.  Identify some possible means an attacker could use to conduct a security attack Class Exercise
  25. 25. Alice Simplified Attack Scenarios Server Bob Eve/Mallory
  26. 26. Alice Simplified Attack Scenarios Server Bob - Physical access to client computer - Electronic access (password) - Tricking user into doing something (malware, phishing & social engineering) Eve/Mallory
  27. 27. Alice Simplified Attack Scenarios Server Bob - Intercepting (eavesdropping or “sniffing”) data in transit - Modifying data (“Man-in-the- middle” attacks) - “Replay” attacks Eve/Mallory
  28. 28. Alice Simplified Attack Scenarios Server Bob - Unauthorized access to servers through - Physical means - User accounts & privileges - Attacks through software vulnerabilities - Attacks using protocol weaknesses - DoS / DDoS attacks Eve/Mallory
  29. 29. Alice Simplified Attack Scenarios Server Bob Other & newer forms of attacks possible Eve/Mallory
  30. 30. Alice Safeguarding Against Attacks Server Bob Administrative Security - Security & privacy policy - Governance of security risk management & response - Uniform enforcement of policy & monitoring - Disaster recovery planning (DRP) & Business continuity planning/management (BCP/BCM) - Legal obligations, requirements & disclaimers
  31. 31. Alice Safeguarding Against Attacks Server Bob Physical Security - Protecting physical access of clients & servers - Locks & chains, locked rooms, security cameras - Mobile device security - Secure storage & secure disposition of storage devices
  32. 32. Alice Safeguarding Against Attacks Server Bob User Security - User account management - Strong p/w policy (length, complexity, expiry, no meaning) - Principle of Least Privilege - “Clear desk, clear screen policy” - Audit trails - Education, awareness building & policy enforcement - Alerts & education about phishing & social engineering
  33. 33. Alice Safeguarding Against Attacks Server Bob System Security - Antivirus, antispyware, personal firewall, intrusion detection/prevention system (IDS/IPS), log files, monitoring - Updates, patches, fixes of operating system vulnerabilities & application vulnerabilities - Redundancy (avoid “Single Point of Failure”) - Honeypots
  34. 34. Alice Safeguarding Against Attacks Server Bob Software Security - Software (clients & servers) that is secure by design - Software testing against failures, bugs, invalid inputs, performance issues & attacks - Updates to patch vulnerabilities
  35. 35. Alice Safeguarding Against Attacks Server Bob Network Security - Access control (physical & electronic) to network devices - Use of secure network protocols if possible - Data encryption during transit if possible - Bandwidth monitoring & control
  36. 36. Alice Safeguarding Against Attacks Server Bob Database Security - Access control to databases & storage devices - Encryption of data stored in databases if necessary - Secure destruction of data after use - Access control to queries/reports - Security features of database management systems (DBMS)
  37. 37. Privacy Safeguards Image: http://www.nurseweek.com/news/images/privacy.jpg  Security safeguards  Informed consent  Privacy culture  User awareness building & education  Organizational policy & regulations  Enforcement  Ongoing privacy & security assessments, monitoring, and protection
  38. 38. User Security
  39. 39. https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png
  40. 40.  Access control  Selective restriction of access to the system  Role-based access control  Access control based on the person’s role (rather than identity)  Audit trails  Logs/records that provide evidence of sequence of activities User Security
  41. 41.  Identification  Identifying who you are  Usually done by user IDs or some other unique codes  Authentication  Confirming that you truly are who you identify  Usually done by keys, PIN, passwords or biometrics  Authorization  Specifying/verifying how much you have access  Determined based on system owner’s policy & system configurations  “Principle of Least Privilege” User Security
  42. 42.  Nonrepudiation  Proving integrity, origin, & performer of an activity without the person’s ability to refute his actions  Most common form: signatures  Electronic signatures offer varying degrees of nonrepudiation  PIN/password vs. biometrics  Digital certificates (in public key infrastructure - PKI) often used to ascertain nonrepudiation User Security
  43. 43.  Multiple-Factor Authentication  Two-Factor Authentication  Use of multiple means (“factors”) for authentication  Types of Authentication Factors  Something you know  Password, PIN, etc.  Something you have  Keys, cards, tokens, devices (e.g. mobile phones)  Something you are  Biometrics User Security
  44. 44. Need for Strong Password Policy So, two informaticians walk into a bar... The bouncer says, "What's the password." One says, "Password?" The bouncer lets them in. Credits: @RossMartin & AMIA (2012)
  45. 45. Recommended Password Policy  Length  8 characters or more (to slow down brute-force attacks)  Complexity (to slow down brute-force attacks)  Consists of 3 of 4 categories of characters  Uppercase letters  Lowercase letters  Numbers  Symbols (except symbols that have special uses by the system or that can be used to hack system, e.g. SQL Injection)  No meaning (“Dictionary Attacks”)  Not simple patterns (12345678, 11111111) (to slow down brute- force attacks & prevent dictionary attacks)  Not easy to guess (birthday, family names, etc.) (to prevent unknown & known persons from guessing) Personal opinion. No legal responsibility assumed.
  46. 46. Recommended Password Policy  Expiration (to make brute-force attacks not possible)  6-8 months  Decreasing over time because of increasing computer’s speed  But be careful! Too short duration will force users to write passwords down  Secure password storage in database or system (encrypted or store only password hashes)  Secure password confirmation  Secure “forget password” policy  Different password for each account. Create variations to help remember. If not possible, have different sets of accounts for differing security needs (e.g., bank accounts vs. social media sites) Personal opinion. No legal responsibility assumed.
  47. 47. { Dictionary Attack: A story from a computer security course
  48. 48. Clear Desk, Clear Screen Policy http://pixabay.com/en/post-it-sticky-note-note-corner-148282/
  49. 49. Techniques to Remember Passwords  http://www.wikihow.com/Create-a-Password-You-Can- Remember  Note that some of the techniques are less secure!  One easy & secure way: password mnemonic  Think of a full sentence that you can remember  Ideally the sentence should have 8 or more words, with numbers and symbols  Use first character of each word as password  Sentence: I love reading all 7 Harry Potter books!  Password: Ilra7HPb!  Voila! Personal opinion. No legal responsibility assumed.
  50. 50. { Keylogger Attack: A story from a medical student’s life
  51. 51. { Rogue Wi-Fi Router: A Silent Password Stealer
  52. 52. Mobile Security https://www.thaicert.or.th/downloads/files/BROCHURE_mobile_malware.png
  53. 53. E-mail Security https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg
  54. 54. https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg E-mail Security
  55. 55. https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg Phishing
  56. 56. https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg Phishing
  57. 57. Microsoft Internet Explorer Secure Web Browsing
  58. 58. Mozilla Firefox Google Chrome Secure Web Browsing
  59. 59. Phishing E-mail
  60. 60. Phishing E-mail
  61. 61. Phishing E-mail
  62. 62. Phishing E-mail
  63. 63.  Poor grammar  Lots of typos  Trying very hard to convince you to open attachment, click on link, or reply without enough detail  May appear to be from known person (rely on trust & innocence) Signs of a Phishing Attack
  64. 64.  Don’t be too trusting of people  Always be suspicious & alert  An e-mail with your friend’s name & info doesn’t have to come from him/her  Look for signs of phishing attacks  Don’t open attachments unless you expect them  Scan for viruses before opening attachments  Don’t click links in e-mail. Directly type in browser using known & trusted URLs  Especially cautioned if ask for passwords, bank accounts, credit card numbers, social security numbers, etc. Ways to Protect against Phishing
  65. 65. Ransomware
  66. 66. Ransomware
  67. 67. Software Security
  68. 68.  Most common reason for security bugs is invalid programming assumptions that attackers will look for  Weak input checking  Buffer overflow  Integer overflow  Race condition (Time of Check / Time of Use vulnerabilities)  Running programs in new environments Software Security Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
  69. 69.  Consider a log-in form on a web page Example of Weak Input Checking: SQL Injection  Source code would look something like this: statement = "SELECT * FROM users WHERE name = '" + userName + "';"  Attacker would enter as username: ' or '1'='1  Which leads to this always-true query:  statement = "SELECT * FROM users WHERE name = '" + "' or '1'='1" + "';" statement = "SELECT * FROM users WHERE name = '' or '1'='1';" http://en.wikipedia.org/wiki/SQL_injection
  70. 70.  Defense in Depth  Multiple layers of security defense are placed throughout a system to provide redundancy in the event a security control fails  Secure the weakest link  Promote privacy  Trust no one Some Security Principles Saltzer & Schroeder (1975), Viega & McGraw (2000) Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271 http://en.wikipedia.org/wiki/Defense_in_depth_(computing)
  71. 71.  Modular design  Check error conditions on return values  Validate inputs (whitelist vs. blacklist)  Avoid infinite loops, memory leaks  Check for integer overflows  Language/library choices  Development processes Secure Software Best Practices Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
  72. 72. Cryptography
  73. 73.  Goal: provide a secure channel between Alice & Bob  A secure channel  Leaks no information about its contents  Delivers only messages from Alice & Bob  Delivers messages in order or not at all Cryptography Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271 Alice Bob Eve
  74. 74.  Use of keys to convert plaintext into ciphertext  Secret keys only Alice & Bob know  History: Caesar’s cipher, substitution cipher, polyalphabetic rotation  Use of keys and some generator function to create random-looking strings (e.g. stream ciphers, block ciphers) Cryptography Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
  75. 75. Encryption Using Secret Key (Symmetric Cryptography) Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271 Alice BobEve 1. Encrypt message using secret key 2. Send encrypted message to Bob 3. Decrypt message using same secret key Eve doesn’t know secret key (but there are various ways to discover the key)
  76. 76.  What if no shared secret exists?  Public-key cryptography  Each publishes public key publicly  Each keep secret key secret  Use arithmetic to encrypt & decrypt message Cryptography Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
  77. 77. Public-Key Cryptography (Asymmetric Cryptography) Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271 Alice BobEve 1. Obtains Bob’s public key from public server 2. Use Bob’s public key to encrypt message 3. Send encrypted message to Bob Even if Eve knows public key, can’t discover message (unless weakness in algorithm) 4. Decrypt message using own private key
  78. 78. Digital Signatures Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271 Alice Bob 1. Sign message using own private key 2. Send plaintext and random-looking string (digital signature) to Bob Provides nonrepudiation 3. Use Alice’s public key against plaintext received to get digital signature 4. Compare to match Alice’s digital signature received against signature obtained in #3
  79. 79. Malware
  80. 80.  Malicious software - Any code with intentional, undesirable side effects  Virus  Worm  Trojan  Spyware  Logic Bomb/Time Bomb  Backdoor/Trapdoor  Rootkit  Botnet Malware
  81. 81.  Virus  Propagating malware that requires user action to propagate  Infects executable files, data files with executable contents (e.g. Macro), boot sectors  Worm  Self-propagating malware  Trojan  A legitimate program with additional, hidden functionality Malware
  82. 82.  Spyware  Trojan that spies for & steals personal information  Logic Bomb/Time Bomb  Malware that triggers under certain conditions  Backdoor/Trapdoor  A hole left behind by malware for future access Malware
  83. 83.  Rogue Antispyware (Ransomware)  Software that tricks or forces users to pay before fixing (real or hoax) spyware detected  Rootkit  A stealth program designed to hide existence of certain processes or programs from detection  Botnet  A collection of Internet-connected computers that have been compromised (bots) which controller of the botnet can use to do something (e.g. do DDoS attacks) Malware
  84. 84.  Installed & updated antivirus, antispyware, & personal firewall  Check for known signatures  Check for improper file changes (integrity failures)  Check for generic patterns of malware (for unknown malware): “Heuristics scan”  Firewall: Block certain network traffic in and out  Sandboxing  Network monitoring & containment  User education  Software patches, more secure protocols Defense Against Malware
  85. 85.  Social media spams/scams/clickjacking  Social media privacy issues  User privacy settings  Location services  Mobile device malware & other privacy risks  Stuxnet (advanced malware targeting certain countries)  Advanced persistent threats (APT) by governments & corporations against specific targets Newer Threats
  86. 86. Security Standards
  87. 87. • ISO/IEC 27000 — Information security management systems — Overview and vocabulary • ISO/IEC 27001 — Information security management systems — Requirements • ISO/IEC 27002 — Code of practice for information security management • ISO/IEC 27003 — Information security management system implementation guidance • ISO/IEC 27004 — Information security management — Measurement • ISO/IEC 27005 — Information security risk management • ISO/IEC 27031 — Guidelines for information and communications technology readiness for business continuity • ISO/IEC 27032 — Guideline for cybersecurity (essentially, 'being a good neighbor' on the Internet) • ISO/IEC 27033-1 — Network security overview and concepts • ISO/IEC 27033-2 — Guidelines for the design and implementation of network security • ISO/IEC 27033-3:2010 — Reference networking scenarios - Threats, design techniques and control issues • ISO/IEC 27034 — Guideline for application security • ISO/IEC 27035 — Security incident management • ISO 27799 — Information security management in health using ISO/IEC 27002 Some Information Security Standards
  88. 88.  US-CERT  U.S. Computer Emergency Readiness Team  http://www.us-cert.gov/  Subscribe to alerts & news  Microsoft Security Resources  http://technet.microsoft.com/en-us/security  http://technet.microsoft.com/en- us/security/bulletin  Common Vulnerabilities & Exposures  http://cve.mitre.org/ More Information
  89. 89. Privacy & Security Laws
  90. 90.  Respect for Persons (Autonomy)  Beneficence  Justice  Non-maleficence Ethical Principles in Bioethics
  91. 91. Hippocratic Oath ... What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about. ... http://en.wikipedia.org/wiki/Hippocratic_Oath
  92. 92. Privacy Safeguards Image: http://www.nurseweek.com/news/images/privacy.jpg  Security safeguards  Informed consent  Privacy culture  User awareness building & education  Organizational policy & regulations  Enforcement  Ongoing privacy & security assessments, monitoring, and protection
  93. 93. HIPAA
  94. 94.  Health Insurance Portability and Accountability Act of 1996 http://www.gpo.gov/fdsys/pkg/PLAW- 104publ191/pdf/PLAW-104publ191.pdf  More stringent state privacy laws apply  HIPAA Goals  To protect health insurance coverage for workers & families when they change or lose jobs (Title I)  To require establishment of national standards for electronic health care transactions and national identifiers for providers, health insurance plans, and employers (Title II: “Administrative Simplification” provisions)  Administrative Simplification provisions also address security & privacy of health data U.S. Health Information Privacy Law http://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act
  95. 95.  Title I: Health Care Access, Portability, and Renewability  Title II: Preventing Health Care Fraud and Abuse; Administrative Simplification; Medical Liability Reform  Requires Department of Health & Human Services (HHS) to draft rules aimed at increasing efficiency of health care system by creating standards for use and dissemination of health care information HIPAA (U.S.)
  96. 96.  Title III: Tax-Related Health Provisions  Title IV: Application and Enforcement of Group Health Plan Requirements  Title V: Revenue Offsets HIPAA (U.S.)
  97. 97.  HHS promulgated 5 Administrative Simplification rules  Privacy Rule  Transactions and Code Sets Rule  Security Rule  Unique Identifiers Rule  Enforcement Rule HIPAA (U.S.)
  98. 98.  Covered Entities  A health plan  A health care clearinghouse  A healthcare provider who transmits any health information in electronic form in connection with a transaction to enable health information to be exchanged electronically  Business Associates Some HIPAA Definitions
  99. 99.  Protected Health Information (PHI)  Individually identifiable health information transmitted or maintained in electronic media or other form or medium  Individually Identifiable Health Information  Any information, including demographic information collected from an individual, that—  (A) is created or received by a CE; and  (B) relates to the past, present, or future physical  or mental health or condition of an individual, the provision of health care to an individual, or the past, present, or future payment for the provision of health care to an individual, and—  (i) identifies the individual; or  (ii) with respect to which there is a reasonable basis to believe that the information can be used to identify the individual. Some HIPAA Definitions
  100. 100.  Name  Address  Phone number  Fax number  E-mail address  SSN  Birthdate  Medical Record No.  Health Plan ID  Treatment date  Account No.  Certificate/License No.  Device ID No.  Vehicle ID No.  Drivers license No.  URL  IP Address  Biometric identifier including fingerprints  Full face photo Protected Health Information – Personal Identifiers in PHI
  101. 101.  Establishes national standards to protect PHI; applies to CE & business associates  Requires appropriate safeguards to protect privacy of PHI  Sets limits & conditions on uses & disclosures that may be made without patient authorization  Gives patients rights over their health information, including rights to examine & obtain copy of health records & to request corrections HIPAA Privacy Rule http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/index.html
  102. 102.  Timeline  November 3, 1999 Proposed Privacy Rule  December 28, 2000 Final Privacy Rule  August 14, 2002 Modifications to Privacy Rule  April 14, 2003 Compliance Date for most CE  Full text (as amended) http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/ adminsimpregtext.pdf HIPAA Privacy Rule http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/index.html
  103. 103.  Some permitted uses and disclosures  Use of PHI  Sharing, application, use, examination or analysis within the entity that maintains the PHI  Disclosure of PHI  Release or divulgence of information by an entity to persons or organizations outside of that entity. HIPAA Privacy Rule
  104. 104.  A covered entity may not use or disclose PHI, except  with individual consent for treatment, payment or healthcare operations (TPO)  with individual authorization for other purposes  without consent or authorization for governmental and other specified purposes HIPAA Privacy Rule
  105. 105.  Treatment, payment, health care operations (TPO)  Quality improvement  Competency assurance  Medical reviews & audits  Insurance functions  Business planning & administration  General administrative activities HIPAA Privacy Rule
  106. 106.  Uses & disclosures without the need for patient authorization permitted in some circumstances  Required by law  For public health activities  About victims of abuse, neglect, or domestic violence  For health oversight activities  For judicial & administrative proceedings  For law enforcement purposes  About decedents HIPAA Privacy Rule
  107. 107.  Uses & disclosures without the need for patient authorization permitted in some circumstances  For cadaveric organ, eye, or tissue donation purposes  For research purposes  To avert a serious threat to health or safety  For workers’ compensation  For specialized government functions  Military & veterans activities  National security & intelligence activities  Protective services for President & others  Medical suitability determinants  Correctional institutions  CE that are government programs providing public benefits HIPAA Privacy Rule
  108. 108.  Control use and disclosure of PHI  Notify patients of information practices (NPP, Notice of Privacy Practices)  Specifies how CE can use and share PHI  Specifies patient’s rights regarding their PHI  Provide means for patients to access their own record  Obtain authorization for non-TPO uses and disclosures  Log disclosures  Restrict use or disclosures  Minimum necessary  Privacy policy and practices  Business Associate agreements  Other applicable statutes  Provide management oversight and response to minimize threats and breaches of privacy Responsibilities of a CE From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz
  109. 109.  Individually identifiable health information collected and used solely for research IS NOT PHI  Researchers obtaining PHI from a CE must obtain the subject’s authorization or must justify an exception:  Waiver of authorization (obtain from the IRB)  Limited Data Set (with data use agreement)  De-identified Data Set  HIPAA Privacy supplements the Common Rule and the FDA’s existing protection for human subjects HIPAA & Research From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz
  110. 110.  De-identified Data Set  Remove all 18 personal identifiers of subjects, relatives, employers, or household members  OR biostatistician confirms that individual cannot be identified with the available information  Limited Data Set  May include Zip, Birthdate, Date of death, date of service, geographic subdivision  Remove all other personal identifiers of subject, etc.  Data Use Agreement signed by data recipient that there will be no attempt to re-identify the subject Research Data Sets From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz
  111. 111.  Assure the CE that all research-initiated HIPAA requirements have been met  Provide letter of approval to the researcher to conduct research using PHI  OR, Certify and document that waiver of authorization criteria have been met  Review and approve all authorizations and data use agreements  Retain records documenting HIPAA actions for 6 years IRB’s New Responsibility From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz
  112. 112.  Establishes national standards to protect individuals’ electronic PHI that is created, received, used, or maintained by a CE.  Requires appropriate safeguards to ensure confidentiality, integrity & security of electronic PHI  Administrative safeguards  Physical safeguards  Technical safeguards HIPAA Security Rule http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/index.html
  113. 113.  Timeline  August 12, 1998 Proposed Security Rule  February 20, 2003 Final Security Rule  April 21, 2005 Compliance Date for most CE  Full Text http://www.hhs.gov/ocr/privacy/hipaa/ administrative/securityrule/securityrulepdf.pdf HIPAA Security Rule http://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/index.html
  114. 114.  The HIPAA Security Rule is:  A set of information security “best practices”  A minimum baseline for security  An outline of what to do, and what procedures should be in place  The HIPAA Security Rule is not:  A set of specific instructions  A set of rules for universal, unconditional implementation  A document outlining specific implementations (vendors, equipment, software, etc.) HIPAA Security Rule: Meaning From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz
  115. 115.  Many rules are either Required or Addressable  Required:  Compliance is mandatory  Addressable:  If a specification in the Rule is reasonable and appropriate for the CE, then the CE must implement  Otherwise, documentation must be made of the reasons the policy cannot/will not be implemented, and when necessary, offer an alternative HIPAA Security Rule: Meaning From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz
  116. 116.  Breach notification  Extension of complete Privacy & Security HIPAA provisions to business associates of covered entities  New rules for accounting of disclosures of a patient’s health information New in HITECH Act of 2009
  117. 117.  Conflicts between federal vs. state laws  Variations among state laws of different states  HIPAA only covers “covered entities”  No general privacy laws in place, only a few sectoral privacy laws e.g. HIPAA Health Information Privacy Law: U.S. Challenges
  118. 118.  Canada - The Privacy Act (1983), Personal Information Protection and Electronic Data Act of 2000  EU Countries - EU Data Protection Directive  UK - Data Protection Act 1998  Austria - Data Protection Act 2000  Australia - Privacy Act of 1988  Germany - Federal Data Protection Act of 2001 Health Information Privacy Law: Other Western Countries
  119. 119. Thailand’s Health Information Privacy Law
  120. 120. คำประกำศสิทธิของผู้ป่วย “... 7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง จากผู้ ประกอบวิชาชีพโดยเคร่งครัด เว้นแต่จะได้รับความยินยอมจากผู้ป่วย หรือการปฏิบัติหน้าที่ตามกฎหมาย ... 9. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลเกี่ยวกับรักษาพยาบาลเฉพาะ ของตนที่ปรากฏในเวชระเบียนเมื่อร้องขอ ทั้งนี้ ข้อมูลดังกล่าวต้องไม่ เป็นการละเมิดสิทธิส่วนตัวของบุคคลอื่น ...” Thai Privacy Laws
  121. 121.  The Official Information Act, B.E. 2540  พรบ.ข้อมูลข่ำวสำรของรำชกำร พ.ศ. 2540  “เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น” “มาตรา 15 ข้อมูลข่าวสารของราชการที่มีลักษณะอย่างหนึ่งอย่างใดดังต่อไปนี้ หน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐอาจมีคาสั่งมิให้เปิดเผยก็ได้ โดยคานึงถึง การปฏิบัติหน้าที่ตามกฎหมาย...ประกอบกัน ... (5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการรุก ล้าสิทธิส่วนบุคคลโดยไม่สมควร (6) ข้อมูลข่าวสารของราชการที่มีกฎหมายคุ้มครองมิให้เปิดเผย... ...” Thai Privacy Laws
  122. 122.  No universal personal data privacy law (Draft law has been proposed)  National Health Act, B.E. 2550  พรบ.สุขภาพแห่งชาติ พ.ศ. 2550  “มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะนาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้น โดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าใน กรณีใด ๆ ผู้ใดจะอาศัยอานาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูล ข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอเอกสารเกี่ยวกับข้อมูล ด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้” Thai Privacy Laws
  123. 123.  Computer-Related Crimes Act, B.E. 2550  พรบ.การกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550  กำหนดกำรกระทำที่ถือเป็นควำมผิด และหน้ำที่ของผู้ ให้บริกำร  Focuses on prosecuting computer crimes & computer-related crimes  Responsibility of organizations as IT service provider: Logging & provision of access data to authorities Thai ICT Laws
  124. 124.  Electronic Transactions Acts, B.E. 2544 & 2551  พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และ พรบ.ว่าด้วยธุรกรรมทาง อิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551  รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์  รับรองวิธีการส่งและรับข้อมูลอิเล็กทรอนิกส์ การใช้ลายมือชื่ออิเล็กทรอนิกส์ (electronic signature) และการรับฟังพยานหลักฐานที่เป็นข้อมูลอิเล็กทรอนิกส์ เพื่อส่งเสริมการทา e- transactions ให้น่าเชื่อถือ  กาหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ และอานาจหน้าที่  Security & privacy requirements for  Determining legal validity & integrity of electronic transactions and documents, print-outs, & paper-to- electronic conversions  Governmental & public organizations  Critical infrastructures  Financial sectors  Electronic certificate authorities Thai ICT Laws
  125. 125.  ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล อิเล็กทรอนิกส์ (มาตรา 7)  ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้วิธีการที่ ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้ (มาตรา 9)  ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทาตามวิธีการแบบปลอดภัยที่กาหนด ใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25)  คาขอ การอนุญาต การจดทะเบียน คาสั่งทางปกครอง การชาระเงิน การ ประกาศ หรือการดาเนินการใดๆ ตามกฎหมายกับหน่วยงานของรัฐหรือ โดยหน่วยงานของรัฐ ถ้าได้กระทาในรูปของข้อมูลอิเล็กทรอนิกส์ตาม หลักเกณฑ์และวิธีการที่กาหนดโดย พรฎ. ให้ถือว่ามีผลโดยชอบด้วย กฎหมาย (มาตรา 35) ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  126. 126.  พรฎ.กาหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนากฎหมายว่าด้วย ธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549  ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์  เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555  กาหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูล อิเล็กทรอนิกส์ เพื่อให้สามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทนต้นฉบับ ได้  เรื่อง หลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความให้อยู่ในรูปของ ข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553  กาหนดหลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความที่ได้มีการจัดทา หรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง  เรื่อง แนวทางการจัดทาแนวนโยบาย (Certificate Policy) และแนวปฏิบัติ (Certification Practice Statement) ของผู้ให้บริการออกใบรับรอง อิเล็กทรอนิกส์ (Certificate Authority) พ.ศ. 2552  ว่าด้วยการให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certificate) กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ (บางส่วน)
  127. 127.  พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549  ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553  กาหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มี การทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ  ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วน บุคคลของหน่วยงานของรัฐ พ.ศ. 2553  กาหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มีการ ทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ (บางส่วน)
  128. 128.  พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง อิเล็กทรอนิกส์ พ.ศ. 2553  ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์ การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีการ แบบปลอดภัย พ.ศ. 2555  หลักเกณฑ์การประเมินเพื่อกาหนดระดับวิธีการแบบปลอดภัยขั้นต่า  ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบ สารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555  กาหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่ละระดับ กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ (บางส่วน)
  129. 129. สรุปความเชื่อมโยงของกฎหมาย พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ • พรบ.ว่ำด้วยธุรกรรมทำงอิเล็กทรอนิกส์ • พรฎ.ว่ำด้วยวิธีกำรแบบปลอดภัยในกำรทำ ธุรกรรมทำงอิเล็กทรอนิกส์ (+ ประกำศ 2 ฉบับ) ประกำศ เรื่อง หลักเกณฑ์และวิธีกำรในกำร จัดทำหรือแปลงเอกสำรและข้อควำมให้อยู่ ในรูปของข้อมูลอิเล็กทรอนิกส์ หน่วยงานของรัฐ • พรฎ.กำหนดหลักเกณฑ์และวิธีกำรในกำรทำธุรกรรม ทำงอิเล็กทรอนิกส์ภำครัฐ • ประกำศ เรื่อง แนวนโยบำยและแนวปฏิบัติในกำร รักษำควำมมั่นคงปลอดภัยด้ำนสำรสนเทศของ หน่วยงำนของรัฐ • ประกำศ เรื่อง แนวนโยบำยและแนวปฏิบัติในกำร คุ้มครองข้อมูลส่วนบุคคลของหน่วยงำนของรัฐ
  130. 130.  คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์  สานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สานักงาน ปลัดกระทรวง กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร  สานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. (Electronic Transactions Development Agency (Public Organization) - ETDA) หน่วยงานที่เกี่ยวข้องกับ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  131. 131.  มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์  “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทาตามวิธีการแบบปลอดภัยที่ กาหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้  พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553  วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด)  จาแนกตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ (ธุรกรรมที่มีผลกระทบ ต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน) หรือจาแนกตามหน่วยงาน (ธุรกรรมของหน่วยงานหรือองค์กรที่ถือเป็น โครงสร้างพื้นฐานสาคัญของประเทศ หรือ Critical Infrastructure) “วิธีการแบบปลอดภัย”
  132. 132.  ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้  ด้านการชาระเงินทางอิเล็กทรอนิกส์  ด้านการเงินของธนาคารพาณิชย์  ด้านประกันภัย  ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์  ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือ ทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่เป็นข้อมูล สาธารณะ  ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการสาธารณะที่ต้อง ดาเนินการอย่างต่อเนื่องตลอดเวลา วิธีการแบบปลอดภัยในระดับเคร่งครัด
  133. 133.  ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการ ประเมินระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน)  ผลกระทบด้านมูลค่าความเสียหายทางการเงิน  ต่า: ≤ 1 ล้านบาท  ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท  สูง: > 100 ล้านบาท ระดับผลกระทบกับวิธีการแบบปลอดภัย
  134. 134.  ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการ ประเมินระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน)  ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับอันตราย ต่อชีวิต ร่างกาย หรืออนามัย  ต่า: ไม่มี  ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน  สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อชีวิตตั้งแต่ 1 คน ระดับผลกระทบกับวิธีการแบบปลอดภัย
  135. 135.  ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมิน ระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบ จาก Worst Case Scenario ใน 1 วัน)  ผลกระทบต่อจำนวนผู้ใช้บริกำรหรือผู้มีส่วนได้เสียที่อำจได้รับควำม เสียหำยอื่นใด  ต่า: ≤ 10,000 คน  ปานกลาง: 10,000 < จานวนผู้ได้รับผลกระทบ ≤ 100,000 คน  สูง: > 100,000 คน  ผลกระทบด้านความมั่นคงของรัฐ  ต่า: ไม่มีผลกระทบต่อความมั่นคงของรัฐ  สูง: มีผลกระทบต่อความมั่นคงของรัฐ ระดับผลกระทบกับวิธีการแบบปลอดภัย
  136. 136.  พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์  พิจารณาตามระดับผลกระทบ  ถ้ามีผลประเมินที่เป็นผลกระทบในระดับสูง 1 ด้าน ให้ใช้วิธีการแบบ ปลอดภัยระดับเคร่งครัด  ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัยระดับกลาง  นอกจากนี้ ให้ใช้วิธีการแบบปลอดภัยในระดับพื้นฐาน สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย
  137. 137.  อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology - Security techniques - Information security management systems - Requirements  มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19 ธ.ค. 2555) คือ 14 ธ.ค. 2556  ไม่มีบทกาหนดโทษ เป็นเพียงมาตรฐานสาหรับ “วิธีการที่เชื่อถือได้” ในการ พิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทางอิเล็กทรอนิกส์ แต่มีผล ในเชิงภาพลักษณ์และน้าหนักการนาข้อมูลอิเล็กทรอนิกส์ไปเป็นพยานหลักฐานใน การต่อสู้คดีในศาลหรือการดาเนินการทางกฎหมาย  คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่รายชื่อ หน่วยงานที่มีการจัดทานโยบายและแนวปฏิบัติโดยสอดคล้องกับวิธีการแบบ ปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้ ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย
  138. 138.  แบ่งเป็น 11 หมวด (Domains)  Security policy  Organization of information security  Asset management  Human resources security  Physical and environmental security  Communications and operations management  Access control  Information systems acquisition, development and maintenance  Information security incident management  Business continuity management  Regulatory compliance มาตรฐาน Security ตามวิธีการแบบปลอดภัย
  139. 139. มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ หมวด (Domain) ระดับพื้นฐาน ระดับกลาง (เพิ่มเติมจากระดับพื้นฐาน) ระดับสูง (เพิ่มเติมจากระดับกลาง) Security policy 1 ข้อ 1 ข้อ - Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ Asset management 1 ข้อ 4 ข้อ - Human resources security 6 ข้อ 1 ข้อ 2 ข้อ Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ Access control 9 ข้อ 8 ข้อ 8 ข้อ Information systems acquisition, development and maintenance 2 ข้อ 6 ข้อ 8 ข้อ Information security incident management 1 ข้อ - 3 ข้อ Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)
  140. 140.  Official Information Act only covers governmental organizations  “Disclose as a rule, protect as an exception” not appropriate mindset for health information  National Health Act: One blanket provision with minimal exceptions: raising concerns about enforceability (in exceptional circumstances, e.g. disasters) Health Information Privacy Law: Thailand’s Challenges
  141. 141.  No general data privacy law in place  ICT laws (e.g. Electronic Transactions Act) focus on security & privacy in general (no specific health-related provisions)  Governance: No governmental authority responsible for oversight, enforcement & regulation of health information privacy protections  Policy: No systematic national policy to promote privacy protections Health Information Privacy Law: Thailand’s Challenges
  142. 142.  Each country has its unique context, including legal systems, national priorities, public mindset, and infrastructure  A comprehensive & systematic approach to data privacy and health information privacy is still lacking in some countries such as Thailand  Key issues include public awareness, enforceable regulations, governance, and national policy Health Information Privacy Law: Summary
  143. 143. Q & A

×