30. 30
Line เสี่ยงต่อการละเมิด Privacy ผู้ป่วยได้อย่างไร?
• ข้อความใน Line group มีคนเห็นหลายคน
• ถูก capture หรือ forward ไป share ต่อได้
• ข้อมูล cache ที่เก็บใน mobile device อาจถูกอ่านได้
(เช่น ทาอุปกรณ์หาย หรือเผลอวางเอาไว้)
• ข้อมูลที่ส่งผ่าน network อาจไม่ได้เข้ารหัส
• บริษัท Line เข้าถึงได้ และอาจถูก hack ได้
• มีคนเดา Password ได้
• ส่งผิดกลุ่ม
31. 31
ทางออกสาหรับการ Consult Case ผู้ป่วย
• ใช้ช่องทางอื่นที่ไม่มีการเก็บ record ข้อมูล ถ้าเหมาะสม
• หลีกเลี่ยงการระบุหรือ include ชื่อ, HN, เลขที่เตียง หรือ
ข้อมูลที่ระบุตัวตนผู้ป่วยได้ (รวมทั้งในภาพ image)
• ใช้ app ที่ปลอดภัยกว่า
• Limit คนที่เข้าถึง
(เช่น ไม่คุยผ่าน Line group)
• ใช้อย่างปลอดภัย (Password, ดูแลอุปกรณ์ไว้กับตัว,
เช็ค malware ฯลฯ)
32. 32
User Account Security
So, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)
35. 35
Alice
Simplified Attack Scenarios
Server Bob
- Physical access to client computer
- Electronic access (password)
- Tricking user into doing something
(malware, phishing & social
engineering)
Eve/Mallory
36. 36
Alice
Simplified Attack Scenarios
Server Bob
- Intercepting (eavesdropping or
“sniffing”) data in transit
- Modifying data (“Man-in-the-middle”
attacks)
- “Replay” attacks
Eve/Mallory
37. 37
Alice
Simplified Attack Scenarios
Server Bob
- Unauthorized access to servers through
- Physical means
- User accounts & privileges
- Attacks through software vulnerabilities
- Attacks using protocol weaknesses
- DoS / DDoS attacks Eve/Mallory
39. 39
Alice
Safeguarding Against Attacks
Server Bob
Administrative Security
- Security & privacy policy
- Governance of security risk management & response
- Uniform enforcement of policy & monitoring
- Disaster recovery planning (DRP) & Business continuity
planning/management (BCP/BCM)
- Legal obligations, requirements & disclaimers
40. 40
Alice
Safeguarding Against Attacks
Server Bob
Physical Security
- Protecting physical access of clients & servers
- Locks & chains, locked rooms, security cameras
- Mobile device security
- Secure storage & secure disposition of storage devices
41. 41
Alice
Safeguarding Against Attacks
Server Bob
User Security
- User account management
- Strong p/w policy (length, complexity, expiry, no meaning)
- Principle of Least Privilege
- “Clear desk, clear screen policy”
- Audit trails
- Education, awareness building & policy enforcement
- Alerts & education about phishing & social engineering
42. 42
Alice
Safeguarding Against Attacks
Server Bob
System Security
- Antivirus, antispyware, personal firewall, intrusion
detection/prevention system (IDS/IPS), log files, monitoring
- Updates, patches, fixes of operating system vulnerabilities &
application vulnerabilities
- Redundancy (avoid “Single Point of Failure”)
- Honeypots
43. 43
Alice
Safeguarding Against Attacks
Server Bob
Software Security
- Software (clients & servers) that is secure by design
- Software testing against failures, bugs, invalid inputs,
performance issues & attacks
- Updates to patch vulnerabilities
44. 44
Alice
Safeguarding Against Attacks
Server Bob
Network Security
- Access control (physical & electronic) to network devices
- Use of secure network protocols if possible
- Data encryption during transit if possible
- Bandwidth monitoring & control
45. 45
Alice
Safeguarding Against Attacks
Server Bob
Database Security
- Access control to databases & storage devices
- Encryption of data stored in databases if necessary
- Secure destruction of data after use
- Access control to queries/reports
- Security features of database management systems (DBMS)
47. 47
สรุป
• Defense in Depth
– Antivirus, Firewall, IPS, Network Segmentation
– Remove Unnecessary Services
– Patch (Consider using WSUS in organizations)
– Use Licensed OS, Get Out of Windows XP/2003
– Data Backup & System Redundancy
– Secure User Account Management
– User Awareness