Ramathibodi Security Awareness Training (February 21, 2020)
•
0 likes•502 views
Presented at the Faculty of Medicine Ramathibodi Hospital, Mahidol University, Bangkok, Thailand
Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Similar to Ramathibodi Security Awareness Training (February 21, 2020)
Similar to Ramathibodi Security Awareness Training (February 21, 2020) (20)
More from Nawanan Theera-Ampornpunt
More from Nawanan Theera-Ampornpunt (20)
Ramathibodi Security Awareness Training (February 21, 2020)
- 2. 2 2546 แพทยศาสตรบัณฑิต (รามาธิบดีรุ่นที่ 33) 2554 Ph.D. (Health Informatics), Univ. of Minnesota รองคณบดีฝ่ายปฏิบัติการ อาจารย์ ภาควิชาระบาดวิทยาคลินิกและชีวสถิติ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี ความสนใจ: Health IT, Social Media, Security & Privacy nawanan.the@mahidol.ac.th SlideShare.net/Nawanan Nawanan Theera-Ampornpunt Line ID: NawananT แนะนาตัว
- 3. 3 Outline • ทาไมเราต้องแคร์เรื่อง Security & Privacy? • Security/Privacy กับข้อมูลผู้ป่วย • แนวปฏิบัติด้าน Security ของระบบ • แนวปฏิบัติด้าน Privacy ของข้อมูล • รามาธิบดี กับ Security/Privacy • แนวปฏิบัติด้านการใช้ Social Media ที่เหมาะสม
- 4. 4 ทาไมเราต้องแคร์ เรื่อง Security & Privacy?
- 5. 5 เรื่องเล่าจากรามาธิบดี #1: Privacy & Hoax http://news.sanook.com/1262964/
- 10. 10 ภัย Security กับเมืองไทย (Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/ (Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel- to-hollywood
- 13. 13 S: Social Media and Communication S 1 Security and Privacy of Information S 2 Social Media and Communication Professionalism 2P Safety Personnel Safety Goals: S in SIMPLE
- 14. 14 ▪ Confidentiality (ข้อมูลความลับ) ▪ Integrity (การแก้ไข/ลบ/เพิ่มข้อมูลโดยมิชอบ) ▪ Availability (ระบบล่ม ใช้การไม่ได้) สิ่งที่เป็นเป้าหมายการโจมตี: CIA Triad
- 15. 15 ผลกระทบ/ความเสียหาย • ความลับถูกเปิดเผย • ความเสี่ยงต่อชีวิต สุขภาพ จิตใจ การเงิน และ การงานของบุคคล • ระบบล่ม การให้บริการมีปัญหา • ภาพลักษณ์ขององค์กรเสียหาย
- 16. 16 แหล่งที่มาของการโจมตี • Hackers • Viruses & Malware • ระบบที่มีปัญหาข้อผิดพลาด/ช่องโหว่ • Insiders (บุคลากรที่มีเจตนาร้าย) • การขาดความตระหนักของบุคลากร • ภัยพิบัติ
- 18. 18 เรื่องเล่าจากรามาธิบดี #4: VIP Access การเข้าถึงข้อมูลของบุคคลสาธารณะ ที่มารับการรักษาที่รามาธิบดี ด้วยความอยากรู้อยากเห็น โดยไม่มีเหตุผลอันสมควร
- 23. 23 หลักจริยธรรมที่เกี่ยวกับ Privacy • Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย) • Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย) • Non-maleficence (หลักการไม่ทาอันตรายต่อผู้ป่วย) “First, Do No Harm.”
- 24. 24 Hippocratic Oath ... What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about. ... http://en.wikipedia.org/wiki/Hippocratic_Oath
- 25. 25 กฎหมายที่เกี่ยวข้องกับ Privacy • พรบ.สุขภาพแห่งชาติ พ.ศ. 2550 • มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วน บุคคล ผู้ใดจะนาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้น เสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้อง เปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจหรือสิทธิ ตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมาย อื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ ของตนไม่ได้
- 26. 26 ประมวลกฎหมายอาญา • มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็น เจ้าพนักงานผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คนจาหน่ายยา นางผดุงครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วย ในการประกอบอาชีพนั้น แล้วเปิดเผยความลับนั้นในประการที่ น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้องระวางโทษจาคุกไม่เกิน หกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ • ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผย ความลับของผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษ เช่นเดียวกัน
- 28. 28 ข้อควำมจริง บน • "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ ... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา ฉายรังสีต่อ ที่... ตอนนี้ Happy ดี ไม่ค่อยปวด เดินได้สบาย คนไข้ฝากขอบคุณอาจารย์อีกครั้ง -- อีกอย่าง คนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม. บอกว่าถ้าพร้อมจะไป Follow-up กับอาจารย์ ครับ" ข้อมูลผู้ป่วย บน Social Media
- 29. 29 แนวทางการคุ้มครอง Privacy • Informed consent • Privacy culture • User awareness building & education • Organizational policy & regulations ▪ Enforcement ▪ Ongoing privacy & security assessments, monitoring, and protection
- 30. 30 เรื่องเล่าจากรามาธิบดี #5: Enforcement Uniform Enforcement: เรื่องเล่าเกี่ยวกับ ความน่าศรัทธาของผู้บริหาร
- 31. 31 Line เสี่ยงต่อกำรละเมิด Privacy ผู้ป่วยได้อย่ำงไร? • ข้อความใน Line group มีคนเห็นหลายคน • ถูก capture หรือ forward ไป share ต่อได้ • ข้อมูล cache ที่เก็บใน mobile device อาจถูกอ่านได้ (เช่น ทาอุปกรณ์หาย หรือเผลอวางเอาไว้) • ข้อมูลที่ส่งผ่าน network อาจไม่ได้เข้ารหัส • บริษัท Line เข้าถึงได้ และอาจถูก hack ได้ • มีคนเดา Password ได้ • ส่งผิดกลุ่ม
- 33. 33 ทำงออกสำหรับกำร Consult Case ผู้ป่วย • ใช้ช่องทางอื่นที่ไม่มีการเก็บ record ข้อมูล ถ้าเหมาะสม • หลีกเลี่ยงการระบุหรือ include ชื่อ, HN, เลขที่เตียง หรือ ข้อมูลที่ระบุตัวตนผู้ป่วยได้ (รวมทั้งในภาพ image) • ใช้ app ที่ปลอดภัยกว่า • Limit คนที่เข้าถึง (เช่น ไม่คุยผ่าน Line group) • ใช้อย่างปลอดภัย (Password, ดูแลอุปกรณ์ไว้กับตัว, เช็ค malware ฯลฯ)
- 34. 34 เรื่องเล่าจากรามาธิบดี #6: PR Nightmare เหตุการณ์ไม่จริง ที่สร้างความ เสียหาย กลายเป็น viral (“เช็คก่อนแชร์”)
- 35. 35 เรื่องเล่าจากรามาธิบดี #6: PR Nightmare & Response http://new.khaosod.co.th.khaosod.online/dek3/win.html (อันตราย! ไม่ควรเข้าเว็บนี้) ข่าวนี้ไม่เป็นความจริง
- 36. 36 เรื่องเล่าจากรามาธิบดี #6: PR Nightmare & Response
- 37. 37 Crisis Communication Strategies More Strategies: Silence, Combinations
- 38. 38 เรื่องเล่าจากรามาธิบดี #7: Passwords Keylogger Attack: เรื่องเล่าจากกิจกรรมชมรม สมัยเป็นนักศึกษาแพทย์
- 40. 40 User Account Security So, two informaticians walk into a bar... The bouncer says, "What's the password." One says, "Password?" The bouncer lets them in. Credits: @RossMartin & AMIA (2012)
- 41. 41 What’s the Password? Unknown Internet sources, via http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737, via Facebook page “สอนแฮกเว็บแบบแมวๆ”
- 43. 43 User Account Security https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png
- 44. 44 ▪ ความยาว 8 ตัวอักษรขึ้นไป ▪ ความซับซ้อน: 3 ใน 4 กลุ่มตัวอักษร ▪ Uppercase letters ▪ Lowercase letters ▪ Numbers ▪ Symbols ▪ ไม่มีความหมาย (ป้องกัน “Dictionary Attacks”) ▪ ไม่ใช่ simple patterns (12345678, 11111111) ▪ ไม่เกี่ยวกับข้อมูลส่วนตัวที่คนสนิทอาจรู้ (เช่น วันเกิด ชื่อคนในครอบครัว ชื่อสัตว์เลี้ยง) Passwords
- 45. 45 เรื่องเล่าจากรามาธิบดี #8: Password ท่องง่าย (แต่ก็ Hack ง่าย) Dictionary Attack: เรื่องเล่าจากการเรียน การ Hack ระบบ ที่ USA
- 46. 46 Clear Desk, Clear Screen Policy http://pixabay.com/en/post-it-sticky-note-note-corner-148282/
- 47. 47 แล้วจะจา Password ได้ยังไง? ▪คิดประโยคภาษาอังกฤษสัก 1 ประโยค ▪ประโยคนี้ควรมีคา 8 คาขึ้นไป และควรมีตัวเลข หรือสัญลักษณ์พิเศษด้วย ▪ใช้ตัวอักษรตัวแรกของแต่ละคา เป็น Password
- 49. 49 ตัวอย่างการตั้ง Password ▪ประโยค: I love reading all 7 Harry Potter books! ▪Password: Ilra7HPb!
- 51. 51 Password Expiration เปลี่ยน Password ทุกๆ 6 เดือน
- 52. 52 เรื่องเล่าจากรามาธิบดี #9: Wi-Fi Wi-Fi Router เถื่อน: พวกชอบสร้างปัญหาให้ admin และอาจเป็นจอมขโมย Password
- 53. 53 Logout After Use อย่าลืม Logout หลังใช้งานเสมอ โดยเฉพาะเครื่องสาธารณะ (หากไม่อยู่ที่หน้าจอ แม้เพียงชั่วครู่ ให้ Lock Screen เสมอ)
- 54. 54 Mobile Security ▪ตั้ง PIN สาหรับ Lock Screen เอาไว้ ▪ไม่เก็บข้อมูลสาคัญเอาไว้ ▪ระวังไม่ให้สูญหาย หากสูญหายรีบแจ้งระงับ ▪หากมีข้อมูลผู้ป่วย/ข้อมูลส่วนบุคคลของผู้อื่น แล้ว อุปกรณ์สูญหาย หรือ Account ถูก Hack ให้แจ้ง มาที่ฝ่ายสารสนเทศ
- 57. 57 เรื่องเล่าจากรามาธิบดี #10: E-mail หลอกลวง Phishing
- 61. 61 E-mail & Online Security (Phishing) https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
- 62. 62 E-mail & Online Security (Phishing) https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
- 64. 64 Secure Log-in สาหรับเว็บที่สาคัญ Google Chrome
- 65. 65 Secure Log-in สาหรับเว็บที่สาคัญ Mozilla Firefox Google Chrome 1
- 66. 66 Secure Log-in สาหรับเว็บที่สาคัญ Mozilla Firefox Google Chrome 2 1
- 67. 67 Secure Log-in สาหรับเว็บที่สาคัญ Mozilla Firefox Google Chrome 2 1 3
- 68. 68 1 Secure Log-in สาหรับเว็บที่สาคัญ Mozilla Firefox Google Chrome 2 3 4
- 69. 69 1 Secure Log-in สาหรับเว็บที่สาคัญ Mozilla Firefox Google Chrome 2 3 4
- 70. 70 ลักษณะสาคัญที่ควรสงสัย Phishing ▪Grammar ห่วยแตก ▪ตัวสะกดผิดเยอะ ▪พยายามอย่างยิ่งให้เปิดไฟล์แนบ หรือกด link หรือตอบเมล แต่ไม่ค่อยให้รายละเอียด ▪E-mail ที่มาจากคนรู้จัก ไม่ได้ปลอดภัยเสมอไป
- 75. 75 ประกาศเตือนภัย Ransomware ในรามาธิบดี ขอบคุณภาพ Screen Saver จากฝ่ายสารสนเทศ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี
- 77. 77 The Day We All WannaCry’ed http://www.mirror.co.uk/news/uk-news/ransomware-nhs-cyber-attack-live-10409420
- 79. 79 เครือข่ายด้าน IT ในองค์กร Rama IT Enthusiasts (Open to all Ramathibodi Personnel)
- 80. 80https://www.thaicert.or.th/downloads/files/Tips_to_Secure_Personal_Computer.jpg PC Security, Virus & Malware
- 81. 81 เรื่องเล่าจากรามาธิบดี #12: แชร์ไฟล์ File Sharing: เรื่องเล่าจากชีวิต นักศึกษาแพทย์รามาธิบดี (ที่อยากรู้อยากเห็น) แล้วเจอลายเซ็น สแกนคณบดี (ในขณะนั้น)
- 82. 82 เรื่องเล่าจากรามาธิบดี #13: Virus & Patch Updates Virus/Malware Attack & Windows Update: เรื่องเล่าจากบทบาท Chief IT Admin รามาธิบดี (ที่ต้องดูแลระบบล่ม)
- 83. 83 เรื่องเล่าจากรามาธิบดี #14: Apple False Sense of Security เรื่องเล่าจาก Apple Fanboy
- 84. 84 เรื่องเล่าจากรามาธิบดี #15: Back-up Your Data: เรื่องเล่าจากคนงานเยอะ
- 85. 85 World Backup Day: March 31 ของทุกปี
- 87. 87 http://intranet.mahidol/op/orla/law/index.php /announcement/146-2556/770-social-network นโยบำยด้ำน Social Media ของมหำวิทยำลัยมหิดล
- 88. 88 • ข้อความบน Social Network สามารถเข้าถึงได้โดยสาธารณะ ผู้เผยแพร่ต้องรับผิดชอบ ทั้งทางสังคมและกฎหมาย และอาจ ส่งผลกระทบต่อชื่อเสียง การทางาน และวิชาชีพของตน MU Social Media Policy
- 89. 89 • บุคลากรทางการแพทย์หรือผู้ให้บริการสุขภาพ – ระวังการใช้ Social Network ในการปฏิสัมพันธ์กับผู้ป่วย – ปฏิบัติตามจริยธรรมของวิชาชีพ – ระวังเรื่องความเป็นส่วนตัว (Privacy) และความลับของข้อมูล ผู้ป่วย – การเผยแพร่ข้อมูล/ภาพผู้ป่วย เพื่อการศึกษา ต้องขออนุญาตผู้ป่วย ก่อนเสมอ และลบข้อมูลที่เป็น identifiers ทั้งหมด (เช่น ชื่อ, HN, ภาพใบหน้า หรือ ID อื่นๆ) ยกเว้นผู้ป่วยอนุญาต (รวมถึงกรณีการ โพสต์ใน closed groups ด้วย) • ตั้งค่า Privacy Settings ให้เหมาะสม MU Social Media Policy
- 90. 90 • ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะ แพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551 • ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏิบัติของผู้ได้รับอนุญาตให้ เข้าถึงข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554 • ประกาศคณะฯ เรื่อง การขอคัดถ่ายสาเนาเวชระเบียนผู้ป่วย พ.ศ. 2556 • ประกาศคณะฯ เรื่อง ข้อกาหนดการใช้สื่อสังคมออนไลน์ ของ คณะฯ พ.ศ. 2556 • ประกาศคณะฯ เรื่อง แนวทางปฏิบัติ การขอบันทึกภาพและเสียง ในโรงพยาบาลสังกัดของคณะฯ พ.ศ. 2557 ระเบียบต่างๆ ของคณะฯ ด้าน Information Security
- 91. 91 Social Media Case Studies
- 92. 92 Social Media Case Study #1: พฤติกรรมไม่เหมาะสม Disclaimer (นพ.นวนรรน): นาเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้ เรื่อง Social Media เท่านั้น ไม่มี เจตนาลบหลู่ ดูหมิ่น หรือทาให้ผู้ใด องค์กรใด หรือวิชาชีพใดเสียหาย โปรดใช้วิจารณญาณในการอ่านเนื้อหา
- 93. 93 Disclaimer (นพ.นวนรรน): นาเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้ เรื่อง Social Media เท่านั้น ไม่มี เจตนาลบหลู่ ดูหมิ่น หรือทาให้ผู้ใด องค์กรใด หรือวิชาชีพใดเสียหาย โปรดใช้วิจารณญาณในการอ่านเนื้อหา Social Media Case Study #1: พฤติกรรมไม่เหมาะสม
- 94. 94http://news.mthai.com/hot-news/world-news/453842.html Social Media Case Study #2: Selfie มีประเด็น
- 95. 95 http://pantip.com/topic/33678081 https://www.facebook.com/photo.php?fbid=971229119583658&set=a.37957656541558 6.90794.100000897364762&type=1&theater Social Media Case Study #3: Selfie มีประเด็น
- 96. 96http://www.matichon.co.th/news_detail.php?newsid=1429341430 Social Media Case Study #4: ดูหมิ่นผู้ป่วย
- 97. 97 Social Media Case Study #5: ละเมิดผู้รับบริการ Disclaimer (นพ.นวนรรน): นาเสนอเป็น กรณีศึกษาเพื่อการเรียนรู้เรื่อง Social Media เท่านั้น ไม่มีเจตนาดูหมิ่น หรือทาให้ผู้ใด เสียหาย และไม่มีเจตนาสร้างประเด็นทาง การเมือง ชื่อ สัญลักษณ์ หรือเครื่องหมายของบุคคล หรือองค์กรใด เป็นเพียงการให้ข้อมูลแวดล้อม เพื่อการทาความเข้าใจกรณีศึกษาเท่านั้น ไม่ใช่ การใส่ความว่าผู้นั้นกระทาการใด อันจะทาให้ ผู้นั้นเสียชื่อเสียง ถูกดูหมิ่น หรือถูกเกลียดชัง โปรดใช้วิจารณญาณในการอ่านเนื้อหา
- 98. 98Image Source: Facebook Page “ล่า” Social Media Case Study #6: Professionalism & Privacy
- 99. 99 Social Media Case Study #7: ไม่แยก Account
- 100. 100 Facebook Profile vs. Page vs. Group • ใช้ Profile สาหรับ user แต่ละคน (แยกคนกัน) • ใช้ Page สาหรับการ PR องค์กร/หน่วยงาน/ทีม/ กลุ่ม (สามารถตั้ง user คนละคน เป็น admin ได้ โดยแยก account กัน) • ใช้ Group สาหรับการสื่อสารกันภายในกลุ่ม (ตั้งระดับ privacy ที่เหมาะสมได้)
- 101. 101 Social Media Case Study #8: ไม่ตรวจสอบข้อมูล Disclaimer (นพ.นวนรรน): นาเสนอเป็น กรณีศึกษาเพื่อการเรียนรู้เรื่อง Social Media เท่านั้น ไม่มีเจตนาดูหมิ่น หรือทาให้ผู้ใด เสียหาย ชื่อ สัญลักษณ์ หรือเครื่องหมายของบุคคล หรือองค์กรใด เป็นเพียงการให้ข้อมูลแวดล้อม เพื่อการทาความเข้าใจกรณีศึกษาเท่านั้น ไม่ใช่ การใส่ความว่าผู้นั้นกระทาการใด อันจะทาให้ ผู้นั้นเสียชื่อเสียง ถูกดูหมิ่น หรือถูกเกลียดชัง โปรดใช้วิจารณญาณในการอ่านเนื้อหา
- 102. 102 Social Media Case Study #9: ไม่ตรวจสอบข้อมูล Source: Facebook Page โหดสัส V2 อ้างอิงภาพจากหน้า 7 นสพ.ไทยรัฐ วันที่ 6 พ.ค. 2557 และ http://www.reuters.com/article/2013/10/16/us-philippines-quake-idUSBRE99E01R20131016
- 103. 103 Social Media Case Study #10: ไม่ตรวจสอบข้อมูล
- 104. 104 Exercise: Social Media Case Study
- 105. 105 Social Media Best Practices https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg
- 106. 106 Social Media Best Practices https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg
- 107. 107 Social Media Best Practices จัดทาโดย นพ.นวนรรน ธีระอัมพรพันธุ์ http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF
- 108. 108 Cybersecurity Act & Personal Data Protection Act (PDPA)
- 109. 109 How Not to Prepare
- 110. 110 How Not to Prepare
- 111. 111 Summary of Talk: เรียนรู้จากเรื่องเล่า • ทาไมเราต้องแคร์เรื่อง Security & Privacy? • Security/Privacy กับข้อมูลผู้ป่วย • แนวปฏิบัติด้าน Security ของระบบ • แนวปฏิบัติด้าน Privacy ของข้อมูล • รามาธิบดี กับ Security/Privacy • แนวปฏิบัติด้านการใช้ Social Media ที่เหมาะสม