More Related Content Similar to Ramathibodi Security Awareness Training (February 21, 2020) (20) More from Nawanan Theera-Ampornpunt (20) Ramathibodi Security Awareness Training (February 21, 2020)2. 2
2546 แพทยศาสตรบัณฑิต (รามาธิบดีรุ่นที่ 33)
2554 Ph.D. (Health Informatics), Univ. of Minnesota
รองคณบดีฝ่ายปฏิบัติการ
อาจารย์ ภาควิชาระบาดวิทยาคลินิกและชีวสถิติ
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี
ความสนใจ: Health IT, Social Media, Security & Privacy
nawanan.the@mahidol.ac.th
SlideShare.net/Nawanan
Nawanan Theera-Ampornpunt
Line ID: NawananT
แนะนาตัว
3. 3
Outline
• ทาไมเราต้องแคร์เรื่อง Security & Privacy?
• Security/Privacy กับข้อมูลผู้ป่วย
• แนวปฏิบัติด้าน Security ของระบบ
• แนวปฏิบัติด้าน Privacy ของข้อมูล
• รามาธิบดี กับ Security/Privacy
• แนวปฏิบัติด้านการใช้ Social Media ที่เหมาะสม
10. 10
ภัย Security กับเมืองไทย
(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/
(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-
to-hollywood
13. 13
S: Social Media and Communication
S 1 Security and Privacy of Information
S 2 Social Media and Communication
Professionalism
2P Safety Personnel Safety Goals:
S in SIMPLE
24. 24
Hippocratic Oath
...
What I may see or hear in the course of
treatment or even outside of the treatment
in regard to the life of men, which on no
account one must spread abroad, I will keep
myself holding such things shameful to be
spoken about.
...
http://en.wikipedia.org/wiki/Hippocratic_Oath
25. 25
กฎหมายที่เกี่ยวข้องกับ Privacy
• พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วน
บุคคล ผู้ใดจะนาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้น
เสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์
ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้อง
เปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจหรือสิทธิ
ตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมาย
อื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่
ของตนไม่ได้
26. 26
ประมวลกฎหมายอาญา
• มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็น
เจ้าพนักงานผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร
คนจาหน่ายยา นางผดุงครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วย
ในการประกอบอาชีพนั้น แล้วเปิดเผยความลับนั้นในประการที่
น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้องระวางโทษจาคุกไม่เกิน
หกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ
• ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผย
ความลับของผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น
ในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษ
เช่นเดียวกัน
28. 28
ข้อควำมจริง บน
• "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ
... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา ฉายรังสีต่อ
ที่... ตอนนี้ Happy ดี ไม่ค่อยปวด เดินได้สบาย
คนไข้ฝากขอบคุณอาจารย์อีกครั้ง -- อีกอย่าง
คนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม.
บอกว่าถ้าพร้อมจะไป Follow-up กับอาจารย์
ครับ"
ข้อมูลผู้ป่วย บน Social Media
29. 29
แนวทางการคุ้มครอง Privacy
• Informed consent
• Privacy culture
• User awareness building & education
• Organizational policy & regulations
▪ Enforcement
▪ Ongoing privacy & security assessments,
monitoring, and protection
31. 31
Line เสี่ยงต่อกำรละเมิด Privacy ผู้ป่วยได้อย่ำงไร?
• ข้อความใน Line group มีคนเห็นหลายคน
• ถูก capture หรือ forward ไป share ต่อได้
• ข้อมูล cache ที่เก็บใน mobile device อาจถูกอ่านได้
(เช่น ทาอุปกรณ์หาย หรือเผลอวางเอาไว้)
• ข้อมูลที่ส่งผ่าน network อาจไม่ได้เข้ารหัส
• บริษัท Line เข้าถึงได้ และอาจถูก hack ได้
• มีคนเดา Password ได้
• ส่งผิดกลุ่ม
33. 33
ทำงออกสำหรับกำร Consult Case ผู้ป่วย
• ใช้ช่องทางอื่นที่ไม่มีการเก็บ record ข้อมูล ถ้าเหมาะสม
• หลีกเลี่ยงการระบุหรือ include ชื่อ, HN, เลขที่เตียง หรือ
ข้อมูลที่ระบุตัวตนผู้ป่วยได้ (รวมทั้งในภาพ image)
• ใช้ app ที่ปลอดภัยกว่า
• Limit คนที่เข้าถึง
(เช่น ไม่คุยผ่าน Line group)
• ใช้อย่างปลอดภัย (Password, ดูแลอุปกรณ์ไว้กับตัว,
เช็ค malware ฯลฯ)
35. 35
เรื่องเล่าจากรามาธิบดี #6: PR Nightmare & Response
http://new.khaosod.co.th.khaosod.online/dek3/win.html (อันตราย! ไม่ควรเข้าเว็บนี้)
ข่าวนี้ไม่เป็นความจริง
40. 40
User Account Security
So, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)
41. 41
What’s the Password?
Unknown Internet sources, via
http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737,
via Facebook page “สอนแฮกเว็บแบบแมวๆ”
44. 44
▪ ความยาว 8 ตัวอักษรขึ้นไป
▪ ความซับซ้อน: 3 ใน 4 กลุ่มตัวอักษร
▪ Uppercase letters
▪ Lowercase letters
▪ Numbers
▪ Symbols
▪ ไม่มีความหมาย (ป้องกัน “Dictionary Attacks”)
▪ ไม่ใช่ simple patterns (12345678, 11111111)
▪ ไม่เกี่ยวกับข้อมูลส่วนตัวที่คนสนิทอาจรู้ (เช่น วันเกิด
ชื่อคนในครอบครัว ชื่อสัตว์เลี้ยง)
Passwords
46. 46
Clear Desk, Clear Screen Policy
http://pixabay.com/en/post-it-sticky-note-note-corner-148282/
53. 53
Logout After Use
อย่าลืม Logout หลังใช้งานเสมอ
โดยเฉพาะเครื่องสาธารณะ
(หากไม่อยู่ที่หน้าจอ แม้เพียงชั่วครู่
ให้ Lock Screen เสมอ)
54. 54
Mobile Security
▪ตั้ง PIN สาหรับ Lock Screen เอาไว้
▪ไม่เก็บข้อมูลสาคัญเอาไว้
▪ระวังไม่ให้สูญหาย หากสูญหายรีบแจ้งระงับ
▪หากมีข้อมูลผู้ป่วย/ข้อมูลส่วนบุคคลของผู้อื่น แล้ว
อุปกรณ์สูญหาย หรือ Account ถูก Hack ให้แจ้ง
มาที่ฝ่ายสารสนเทศ
61. 61
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
62. 62
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
77. 77
The Day We All WannaCry’ed
http://www.mirror.co.uk/news/uk-news/ransomware-nhs-cyber-attack-live-10409420
88. 88
• ข้อความบน Social Network สามารถเข้าถึงได้โดยสาธารณะ
ผู้เผยแพร่ต้องรับผิดชอบ ทั้งทางสังคมและกฎหมาย และอาจ
ส่งผลกระทบต่อชื่อเสียง การทางาน และวิชาชีพของตน
MU Social Media Policy
89. 89
• บุคลากรทางการแพทย์หรือผู้ให้บริการสุขภาพ
– ระวังการใช้ Social Network ในการปฏิสัมพันธ์กับผู้ป่วย
– ปฏิบัติตามจริยธรรมของวิชาชีพ
– ระวังเรื่องความเป็นส่วนตัว (Privacy) และความลับของข้อมูล
ผู้ป่วย
– การเผยแพร่ข้อมูล/ภาพผู้ป่วย เพื่อการศึกษา ต้องขออนุญาตผู้ป่วย
ก่อนเสมอ และลบข้อมูลที่เป็น identifiers ทั้งหมด (เช่น ชื่อ, HN,
ภาพใบหน้า หรือ ID อื่นๆ) ยกเว้นผู้ป่วยอนุญาต (รวมถึงกรณีการ
โพสต์ใน closed groups ด้วย)
• ตั้งค่า Privacy Settings ให้เหมาะสม
MU Social Media Policy
90. 90
• ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะ
แพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551
• ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏิบัติของผู้ได้รับอนุญาตให้
เข้าถึงข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554
• ประกาศคณะฯ เรื่อง การขอคัดถ่ายสาเนาเวชระเบียนผู้ป่วย
พ.ศ. 2556
• ประกาศคณะฯ เรื่อง ข้อกาหนดการใช้สื่อสังคมออนไลน์ ของ
คณะฯ พ.ศ. 2556
• ประกาศคณะฯ เรื่อง แนวทางปฏิบัติ การขอบันทึกภาพและเสียง
ในโรงพยาบาลสังกัดของคณะฯ พ.ศ. 2557
ระเบียบต่างๆ ของคณะฯ ด้าน Information Security
92. 92
Social Media Case Study #1: พฤติกรรมไม่เหมาะสม
Disclaimer (นพ.นวนรรน):
นาเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาลบหลู่ ดูหมิ่น หรือทาให้ผู้ใด
องค์กรใด หรือวิชาชีพใดเสียหาย
โปรดใช้วิจารณญาณในการอ่านเนื้อหา
97. 97
Social Media Case Study #5: ละเมิดผู้รับบริการ
Disclaimer (นพ.นวนรรน): นาเสนอเป็น
กรณีศึกษาเพื่อการเรียนรู้เรื่อง Social Media
เท่านั้น ไม่มีเจตนาดูหมิ่น หรือทาให้ผู้ใด
เสียหาย และไม่มีเจตนาสร้างประเด็นทาง
การเมือง
ชื่อ สัญลักษณ์ หรือเครื่องหมายของบุคคล
หรือองค์กรใด เป็นเพียงการให้ข้อมูลแวดล้อม
เพื่อการทาความเข้าใจกรณีศึกษาเท่านั้น ไม่ใช่
การใส่ความว่าผู้นั้นกระทาการใด อันจะทาให้
ผู้นั้นเสียชื่อเสียง ถูกดูหมิ่น หรือถูกเกลียดชัง
โปรดใช้วิจารณญาณในการอ่านเนื้อหา
100. 100
Facebook Profile vs. Page vs. Group
• ใช้ Profile สาหรับ user แต่ละคน (แยกคนกัน)
• ใช้ Page สาหรับการ PR องค์กร/หน่วยงาน/ทีม/
กลุ่ม (สามารถตั้ง user คนละคน เป็น admin ได้
โดยแยก account กัน)
• ใช้ Group สาหรับการสื่อสารกันภายในกลุ่ม
(ตั้งระดับ privacy ที่เหมาะสมได้)
101. 101
Social Media Case Study #8: ไม่ตรวจสอบข้อมูล
Disclaimer (นพ.นวนรรน): นาเสนอเป็น
กรณีศึกษาเพื่อการเรียนรู้เรื่อง Social Media
เท่านั้น ไม่มีเจตนาดูหมิ่น หรือทาให้ผู้ใด
เสียหาย
ชื่อ สัญลักษณ์ หรือเครื่องหมายของบุคคล
หรือองค์กรใด เป็นเพียงการให้ข้อมูลแวดล้อม
เพื่อการทาความเข้าใจกรณีศึกษาเท่านั้น ไม่ใช่
การใส่ความว่าผู้นั้นกระทาการใด อันจะทาให้
ผู้นั้นเสียชื่อเสียง ถูกดูหมิ่น หรือถูกเกลียดชัง
โปรดใช้วิจารณญาณในการอ่านเนื้อหา
102. 102
Social Media Case Study #9: ไม่ตรวจสอบข้อมูล
Source: Facebook Page โหดสัส V2 อ้างอิงภาพจากหน้า 7 นสพ.ไทยรัฐ วันที่ 6 พ.ค. 2557 และ
http://www.reuters.com/article/2013/10/16/us-philippines-quake-idUSBRE99E01R20131016
105. 105
Social Media Best Practices
https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg
106. 106
Social Media Best Practices
https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg
107. 107
Social Media Best Practices
จัดทาโดย นพ.นวนรรน ธีระอัมพรพันธุ์
http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF
111. 111
Summary of Talk: เรียนรู้จากเรื่องเล่า
• ทาไมเราต้องแคร์เรื่อง Security & Privacy?
• Security/Privacy กับข้อมูลผู้ป่วย
• แนวปฏิบัติด้าน Security ของระบบ
• แนวปฏิบัติด้าน Privacy ของข้อมูล
• รามาธิบดี กับ Security/Privacy
• แนวปฏิบัติด้านการใช้ Social Media ที่เหมาะสม