Presented at the Ministry of Public Health Office of ICT's Annual Meeting

1. 1
Security & Privacy & Confidentiality
นพ.นวนรรน ธีระอัมพรพันธุ์
29 มิถุนายน 2560
http://www.slideshare.net/nawanan

2. 2
Outline
• Basics of Security & Privacy
• Current Threats & Case Studies
– Security
– Privacy
• Protecting Your System’s Security & Privacy

3. 3
Basics of
Security & Privacy

4. 4
Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House

5. 5
 Confidentiality (ข้อมูลความลับ)
 Integrity (การแก้ไข/ลบ/เพิ่มข้อมูลโดยมิชอบ)
 Availability (ระบบล่ม ใช้การไม่ได้)
สิ่งที่เป็นเป้าหมายการโจมตี: CIA Triad

6. 6
ผลกระทบ/ความเสียหาย
• ความลับถูกเปิดเผย
• ความเสี่ยงต่อชีวิต สุขภาพ จิตใจ การเงิน และ
การงานของบุคคล
• ระบบล่ม การให้บริการมีปัญหา
• ภาพลักษณ์ขององค์กรเสียหาย

7. 7
แหล่งที่มาของการโจมตี
• Hackers
• Viruses & Malware
• ระบบที่มีปัญหาข้อผิดพลาด/ช่องโหว่
• Insiders (บุคลากรที่มีเจตนาร้าย)
• การขาดความตระหนักของบุคลากร
• ภัยพิบัติ

8. 8
Current Threats &
Case Studies

9. 9
The Day We All WannaCry’ed
http://www.mirror.co.uk/news/uk-news/ransomware-nhs-cyber-attack-live-10409420

10. 10
Infected with WannaCry
https://cdn.securelist.com/files/2017/05/wannacry_05.png

11. 11
WannaCry Alerts

12. 12
WannaCry Alerts

13. 13
WannaCry Alerts

14. 14
WannaCry: Infection Flow
http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/05/WannaCry-infection-flow02.jpg

15. 15
WannaCry
Prevention
for Users
https://www.thaicert.or.th/downloads/files/info_WannaCry-User.png

16. 16
WannaCry
Prevention
for Admins
https://www.thaicert.or.th/downloads/files/info_WannaCry-Admin.png

17. 17
WannaCry Prevention

18. 18
WannaCry Prevention

19. 19
WannaCry
WannaCry &
Medical Devices

20. 20
Petya/Petwrap/NotPetya
https://www.bleepstatic.com/images/news/ransomware/p/notpetya/mbr-ransom-note.jpg

21. 21
Petya/Petwrap/NotPetya
ThaiCERT

22. 22
Petya/Petwrap/NotPetya
ThaiCERT

23. 23
Malware & Network Segmentation

24. 24
Healthcare Security Threats

25. 25
Insider’s Threats

26. 26
Privacy Violations
The Case of “ปอ ทฤษฎี”

27. 27
Privacy & Moral Dilemma
http://pantip.com/topic/35330409/

28. 28
Protecting Your System’s
Security & Privacy

29. 29
แนวทางการคุ้มครอง Privacy
• Informed consent
• Privacy culture
• User awareness building & education
• Organizational policy & regulations
 Enforcement
 Ongoing privacy & security assessments,
monitoring, and protection

30. 30
Line เสี่ยงต่อการละเมิด Privacy ผู้ป่วยได้อย่างไร?
• ข้อความใน Line group มีคนเห็นหลายคน
• ถูก capture หรือ forward ไป share ต่อได้
• ข้อมูล cache ที่เก็บใน mobile device อาจถูกอ่านได้
(เช่น ทาอุปกรณ์หาย หรือเผลอวางเอาไว้)
• ข้อมูลที่ส่งผ่าน network อาจไม่ได้เข้ารหัส
• บริษัท Line เข้าถึงได้ และอาจถูก hack ได้
• มีคนเดา Password ได้
• ส่งผิดกลุ่ม

31. 31
ทางออกสาหรับการ Consult Case ผู้ป่วย
• ใช้ช่องทางอื่นที่ไม่มีการเก็บ record ข้อมูล ถ้าเหมาะสม
• หลีกเลี่ยงการระบุหรือ include ชื่อ, HN, เลขที่เตียง หรือ
ข้อมูลที่ระบุตัวตนผู้ป่วยได้ (รวมทั้งในภาพ image)
• ใช้ app ที่ปลอดภัยกว่า
• Limit คนที่เข้าถึง
(เช่น ไม่คุยผ่าน Line group)
• ใช้อย่างปลอดภัย (Password, ดูแลอุปกรณ์ไว้กับตัว,
เช็ค malware ฯลฯ)

32. 32
User Account Security
So, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)

33. 33
Written Password

34. 34
Alice
Simplified Attack Scenarios
Server Bob
Eve/Mallory

35. 35
Alice
Simplified Attack Scenarios
Server Bob
- Physical access to client computer
- Electronic access (password)
- Tricking user into doing something
(malware, phishing & social
engineering)
Eve/Mallory

36. 36
Alice
Simplified Attack Scenarios
Server Bob
- Intercepting (eavesdropping or
“sniffing”) data in transit
- Modifying data (“Man-in-the-middle”
attacks)
- “Replay” attacks
Eve/Mallory

37. 37
Alice
Simplified Attack Scenarios
Server Bob
- Unauthorized access to servers through
- Physical means
- User accounts & privileges
- Attacks through software vulnerabilities
- Attacks using protocol weaknesses
- DoS / DDoS attacks Eve/Mallory

38. 38
Alice
Simplified Attack Scenarios
Server Bob
Other & newer forms of
attacks possible
Eve/Mallory

39. 39
Alice
Safeguarding Against Attacks
Server Bob
Administrative Security
- Security & privacy policy
- Governance of security risk management & response
- Uniform enforcement of policy & monitoring
- Disaster recovery planning (DRP) & Business continuity
planning/management (BCP/BCM)
- Legal obligations, requirements & disclaimers

40. 40
Alice
Safeguarding Against Attacks
Server Bob
Physical Security
- Protecting physical access of clients & servers
- Locks & chains, locked rooms, security cameras
- Mobile device security
- Secure storage & secure disposition of storage devices

41. 41
Alice
Safeguarding Against Attacks
Server Bob
User Security
- User account management
- Strong p/w policy (length, complexity, expiry, no meaning)
- Principle of Least Privilege
- “Clear desk, clear screen policy”
- Audit trails
- Education, awareness building & policy enforcement
- Alerts & education about phishing & social engineering

42. 42
Alice
Safeguarding Against Attacks
Server Bob
System Security
- Antivirus, antispyware, personal firewall, intrusion
detection/prevention system (IDS/IPS), log files, monitoring
- Updates, patches, fixes of operating system vulnerabilities &
application vulnerabilities
- Redundancy (avoid “Single Point of Failure”)
- Honeypots

43. 43
Alice
Safeguarding Against Attacks
Server Bob
Software Security
- Software (clients & servers) that is secure by design
- Software testing against failures, bugs, invalid inputs,
performance issues & attacks
- Updates to patch vulnerabilities

44. 44
Alice
Safeguarding Against Attacks
Server Bob
Network Security
- Access control (physical & electronic) to network devices
- Use of secure network protocols if possible
- Data encryption during transit if possible
- Bandwidth monitoring & control

45. 45
Alice
Safeguarding Against Attacks
Server Bob
Database Security
- Access control to databases & storage devices
- Encryption of data stored in databases if necessary
- Secure destruction of data after use
- Access control to queries/reports
- Security features of database management systems (DBMS)

46. 46
เครือข่ายด้าน IT ในองค์กร
Ramathibodi Computer
Emergency Readiness Team
(RamaCERT)
Rama IT Enthusiasts
(Open to all Ramathibodi Personnel)

47. 47
สรุป
• Defense in Depth
– Antivirus, Firewall, IPS, Network Segmentation
– Remove Unnecessary Services
– Patch (Consider using WSUS in organizations)
– Use Licensed OS, Get Out of Windows XP/2003
– Data Backup & System Redundancy
– Secure User Account Management
– User Awareness

48. 48
สรุป
• Be Prepared to Respond & Recover
• Follow Security News
– US-CERT.gov
– ThaiCERT & ETDA Facebook Pages
• Join Security Communities
• Save ThaiCERT’s Phone Number: 0-2123-1212
หรือ 1212

49. 49
www.facebook.com/InformaticsRound
ติดตามอัปเดตความรู้ด้าน Health IT