Presented at the Faculty of Medicine Ramathibodi Hospital, Mahidol University on April 17, 2015

1. 1
ใช้ไอทีอย่างปลอดภัย
พวกเราสบายใจ
คนไข้ได้รับความคุ้มครอง
นพ.นวนรรน ธีระอัมพรพันธุ์
17 เม.ย. 2558
http://www.slideshare.net/nawanan

2. 2
2546 แพทยศาสตรบัณฑิต (รามาธิบดีรุ่นที่ 33)
อาจารย์ ภาควิชาเวชศาสตร์ชุมชน
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี
ความสนใจ: Health IT, Social Media, Security & Privacy
nawanan.the@mahidol.ac.th
SlideShare.net/Nawanan
Nawanan Theera-Ampornpunt
Line ID: NawananT
แนะนําตัว

3. 3
Outline
• ทําไมเราต้องแคร์เรื่อง Security & Privacy?
• Security/Privacy กับข้อมูลผู้ป่วย
• แนวปฏิบัติด้าน Security ของระบบ
• แนวปฏิบัติด้าน Privacy ของข้อมูล
• รามาธิบดี กับ Security/Privacy

4. 4
ทําไมเราต้องแคร์
เรื่อง Security & Privacy?

5. 5
Malware
ตัวอย่างภัยคุกคามด้าน Security

6. 6
ภัย Security กับเมืองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)

7. 7
ภัย Security กับเมืองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)

8. 8
ภัย Security กับเมืองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)

9. 9
ภัย Security กับเมืองไทย
https://www.facebook.com/longhackz

10. 10
ภัย Security กับเมืองไทย
(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/
(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-
to-hollywood

11. 11
ภัย Security กับโรงพยาบาล
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

12. 12
ภัย Security กับโรงพยาบาล
http://news.sanook.com/1262964/

13. 13
 Confidentiality (ข้อมูลความลับ)
 Integrity (การแก้ไข/ลบ/เพิ่มข้อมูลโดยมิชอบ)
 Availability (ระบบล่ม ใช้การไม่ได้)
สิ่งที่เป็นเป้าหมายการโจมตี: CIA Triad

14. 14
ผลกระทบ/ความเสียหาย
• ความลับถูกเปิดเผย
• ความเสี่ยงต่อชีวิต สุขภาพ จิตใจ การเงิน และ
การงานของบุคคล
• ระบบล่ม การให้บริการมีปัญหา
• ภาพลักษณ์ขององค์กรเสียหาย

15. 15
แหล่งที่มาของการโจมตี
• Hackers
• Viruses & Malware
• ระบบที่มีปัญหาข้อผิดพลาด/ช่องโหว่
• Insiders (บุคลากรที่มีเจตนาร้าย)
• การขาดความตระหนักของบุคลากร
• ภัยพิบัติ

16. 16
ผลกระทบเมื่อข้อมูลผู้ป่วยรั่วไหล
http://blogs.absolute.com/blog/data-breaches-cost-6-billion-to-healthcare-industry/

17. 17
Security/Privacy
กับข้อมูลผู้ป่วย

18. 18
Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House

19. 19http://www.aclu.org/ordering-pizza
Privacy ของข้อมูลส่วนบุคคล

20. 20
บทความใน JAMA เร็วๆ นี้
JAMA. 2015 Apr 14;313(14).

21. 21
แนวปฏิบัติด้าน Security
ของระบบ

22. 22
แนวทางด้าน Security
• User Account Security (Password)
• Mobile Security
• Online Security
• E-mail Security
• PC Security

23. 23
User Account Security
So, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)

24. 24
User Account Security
https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png

25. 25
 ความยาว 8 ตัวอักษรขึ้นไป
 ความซับซ้อน: 3 ใน 4 กลุ่มตัวอักษร
 Uppercase letters
 Lowercase letters
 Numbers
 Symbols
 ไม่มีความหมาย (ป้องกัน “Dictionary Attacks”)
 ไม่ใช่ simple patterns (12345678, 11111111)
 ไม่เกี่ยวกับข้อมูลส่วนตัวที่คนสนิทอาจรู้ (เช่น วันเกิด
ชื่อคนในครอบครัว ชื่อสัตว์เลี้ยง)
Passwords

26. 26
Dictionary Attack:
เรื่องเล่าจากการเรียน
การ Hack ระบบ ที่ USA

27. 27
Clear Desk, Clear Screen Policy
http://pixabay.com/en/post-it-sticky-note-note-corner-148282/

28. 28
แล้วจะจํา Password ได้ยังไง?
คิดประโยคภาษาอังกฤษสัก 1 ประโยค
ประโยคนี้ควรมีคํา 8 คําขึ้นไป และควรมีตัวเลข
หรือสัญลักษณ์พิเศษด้วย
ใช้ตัวอักษรตัวแรกของแต่ละคํา เป็น Password

29. 29
ตัวอย่างการตั้ง Password
http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/

30. 30
ตัวอย่างการตั้ง Password
ประโยค:
I love reading all 7 Harry Potter books!
Password:
Ilra7HPb!

31. 31
Password Sharing

32. 32
Password Expiration

33. 33
Keylogger Attack:
เรื่องเล่าจากกิจกรรมชมรม
สมัยเป็นนักศึกษาแพทย์

34. 34
Rogue Wi-Fi Router:
จอมขโมย Password
ที่ทุกคนต้องระวัง

35. 35
Logout After Use
อย่าลืม Logout หลังใช้งานเสมอ
โดยเฉพาะเครื่องสาธารณะ
(หากไม่อยู่ที่หน้าจอ แม้เพียงชั่วครู่
ให้ Lock Screen เสมอ)

36. 36
Mobile Security
https://www.thaicert.or.th/downloads/files/BROCHURE_mobile_malware.png

37. 37
Mobile Security
ตั้ง PIN สําหรับ Lock Screen เอาไว้
ไม่เก็บข้อมูลสําคัญเอาไว้
ระวังไม่ให้สูญหาย หากสูญหายรีบแจ้งระงับ

38. 38
Online (Shopping) Security
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Online-Shopping-Tips.jpg
 ดูแลบัตรเครดิต และข้อมูล
หมายเลขบัตรให้ดี
 ใช้เฉพาะกับเว็บที่เชื่อถือได้
 สมัครบริการ SMS แจ้ง
เตือนเมื่อมีการรูดบัตร
 ดู statement และ
ตรวจสอบธุรกรรมเสมอ

39. 39
E-mail Security
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

40. 40
E-mail Security
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

41. 41
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

42. 42
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

43. 43
Secure Log-in สําหรับเว็บที่สําคัญ
Microsoft Internet Explorer

44. 44
Secure Log-in สําหรับเว็บที่สําคัญ
Mozilla Firefox
Google Chrome

45. 45
Phishing E-mail

46. 46
Phishing E-mail

47. 47
Phishing E-mail

48. 48
Phishing E-mail

49. 49
Phishing Web Site

50. 50
ลักษณะสําคัญที่ควรสงสัย Phishing
Grammar ห่วยแตก
ตัวสะกดผิดเยอะ
พยายามอย่างยิ่งให้เปิดไฟล์แนบ หรือกด link
หรือตอบเมล แต่ไม่ค่อยให้รายละเอียด
E-mail ที่มาจากคนรู้จัก ไม่ได้ปลอดภัยเสมอไป

51. 51
Phishing Attack:
เรื่องเล่าจากชีวิต
ประธานนักเรียนไทยใน
Minnesota

52. 52
PC Security, Virus & Malware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg

53. 53
PC Security, Virus & Malware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg

54. 54
File Sharing:
เรื่องเล่าจากชีวิต
นักศึกษาแพทย์รามาธิบดี
(ที่อยากรู้อยากเห็น)

55. 55
Virus/Malware Attack &
Windows Update:
เรื่องเล่าจากบทบาท
Chief IT Admin รามาธิบดี
(ที่ต้องดูแลระบบล่ม)

56. 56
แนวปฏิบัติด้าน Privacy
ของข้อมูล

57. 57
หลักจริยธรรมที่เกี่ยวกับ Privacy
• Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)
• Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)
• Non-maleficence (หลักการไม่ทําอันตรายต่อผู้ป่วย)
“First, Do No Harm.”

58. 58
Hippocratic Oath
...
What I may see or hear in the course of
treatment or even outside of the treatment
in regard to the life of men, which on no
account one must spread abroad, I will keep
myself holding such things shameful to be
spoken about.
...
http://en.wikipedia.org/wiki/Hippocratic_Oath

59. 59
กฎหมายที่เกี่ยวข้องกับ Privacy
• พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วน
บุคคล ผู้ใดจะนําไปเปิดเผยในประการที่น่าจะทําให้บุคคลนั้น
เสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์
ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้อง
เปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอํานาจหรือสิทธิ
ตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมาย
อื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่
ของตนไม่ได้

60. 60
ประมวลกฎหมายอาญา
• มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็น
เจ้าพนักงานผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร
คนจําหน่ายยา นางผดุงครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วย
ในการประกอบอาชีพนั้น แล้วเปิดเผยความลับนั้นในประการที่
น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้องระวางโทษจําคุกไม่เกิน
หกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจําทั้งปรับ
• ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผย
ความลับของผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น
ในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษ
เช่นเดียวกัน

61. 61
คําประกาศสิทธิผู้ป่วย
• เพื่อให้ความสัมพันธ์ระหว่างผู้ประกอบวิชาชีพด้านสุขภาพกับผู้ป่วย ตั้งอยู่บนพื้นฐานของความเข้าใจอันดีและเป็นที่ไว้วางใจซึ่งกันและกัน แพทยสภา สภาการ
พยาบาล สภาเภสัชกรรม ทันตแพทยสภา คณะกรรมการควบคุมการประกอบโรคศิลปะ จึงได้ร่วมกันออกประกาศรับรองสิทธิของผู้ป่วยไว ้ดังต่อไปนี้
1. ผู้ป่วยทุกคนมีสิทธิพื้นฐานที่จะได้รับบริการด้านสุขภาพ ตามที่บัญญัติไว้ในรัฐธรรมนูญ
2. ผู้ป่วยมีสิทธิที่จะได้รับบริการจากผู้ประกอบวิชาชีพด้านสุขภาพโดยไม่มีการเลือกปฏิบัติ เนื่องจากความแตกต่างด้านฐานะ เชื้อชาติ สัญชาติ ศาสนา สังคม ลัทธิ
การเมือง เพศ อายุ และ ลักษณะของความเจ็บป่วย
3. ผู้ป่วยที่ขอรับบริการด้านสุขภาพมีสิทธิที่จะได้รับทราบข้อมูลอย่างเพียงพอ และเข้าใจชัดเจน จากผู้ประกอบวิชาชีพด้านสุขภาพเพื่อให้ผู้ป่วยสามารถเลือกตัดสินใจ
ในการยินยอมหรือไม่ยินยอมให้ผู้ประกอบวิชาชีพด้านสุขภาพปฏิบัติต่อตน เว้นแต่เป็นการช่วยเหลือรีบด่วนหรือ จําเป็น
4. ผู้ป่วยที่อยู่ในภาวะเสี่ยงอันตรายถึงชีวิต มีสิทธิที่จะได้รับการช่วยเหลือรีบด่วนจากผู้ประกอบวิชาชีพด้านสุขภาพโดยทันทีตามความจําเป็นแก่กรณี โดยไม่คํานึงว่า
ผู้ป่วยจะร้อง ขอความช่วยเหลือหรือไม่
5. ผู้ป่วยมีสิทธิที่จะได้รับทราบชื่อ สกุล และประเภทของผู้ประกอบวิชาชีพด้านสุขภาพที่เป็น ผู้ให้บริการแก่ตน
6. ผู้ป่วยมีสิทธิที่จะขอความเห็นจากผู้ประกอบวิชาชีพด้านสุขภาพอื่น ที่มิได้เป็นผู้ให้บริ การแก่ตน และมีสิทธิในการขอเปลี่ยนผู้ให้บริการ และสถานบริการได้
7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่จะได้รับความยินยอมจากผู้ป่วยหรือการปฏิบัติหน้าที่
ตามกฎหมาย
8. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลอย่างครบถ้วน ในการตัดสินใจเข้าร่วมหรือถอนตัวจากการเป็นผู้ถูกทดลองในการทําวิจัยของผู้ประกอบวิชาชีพด้านสุขภาพ
9. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลเกี่ยวกับการรักษาพยาบาลเฉพาะของตนที่ปรากฏใน เวชระเบียนเมื่อร้องขอ ทั้งนี้ ข้อมูลดังกล่าวต้องไม่เป็นการละเมิดสิทธิ
ส่วนตัวของบุคคลอื่น
10.บิดา มารดา หรือผู้แทนโดยชอบธรรม อาจใช้สิทธิแทนผู้ป่วยที่เป็นเด็กอายุยังไม่เกิน สิบแปดปีบริบูรณ์ ผู้บกพร่องทางกายหรือจิต ซึ่งไม่สามารถใช้สิทธิด้วยตนเอง
ได้
7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง
จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่
จะได้รับความยินยอมจากผู้ป่วยหรือการปฏิบัติหน้าที่
ตามกฎหมาย

62. 62http://www.prasong.com/สื่อสารมวลชน/แพยสภาสอบจริยธรรมหมอต/
Social Media Case Study

63. 63
ข้อความจริง บน
• "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ
... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา ฉายรังสีต่อ
ที่... ตอนนี้ Happy ดี ไม่ค่อยปวด เดินได้สบาย
คนไข้ฝากขอบคุณอาจารย์อีกครั้ง -- อีกอย่าง
คนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม.
บอกว่าถ้าพร้อมจะไป Follow-up กับอาจารย์
ครับ"
ข้อมูลผู้ป่วย บน Social Media

64. 64
แนวทางการคุ้มครอง Privacy
• Informed consent
• Privacy culture
• User awareness building & education
• Organizational policy & regulations

65. 65
รามาธิบดี กับ
Security/Privacy

66. 66
http://intranet.mahidol/op/orla/law/index.php
/announcement/146-2556/770-social-network
นโยบายด้าน Social Media ของมหาวิทยาลัยมหิดล

67. 67
• ข้อความบน Social Network สามารถเข้าถึงได้โดยสาธารณะ
ผู้เผยแพร่ต้องรับผิดชอบ ทั้งทางสังคมและกฎหมาย และอาจ
ส่งผลกระทบต่อชื่อเสียง การทํางาน และวิชาชีพของตน
MU Social Media Policy

68. 68
• บุคลากรทางการแพทย์หรือผู้ให้บริการสุขภาพ
– ระวังการใช้ Social Network ในการปฏิสัมพันธ์กับผู้ป่วย
– ปฏิบัติตามจริยธรรมของวิชาชีพ
– ระวังเรื่องความเป็นส่วนตัว (Privacy) และความลับของข้อมูล
ผู้ป่วย
– การเผยแพร่ข้อมูล/ภาพผู้ป่วย เพื่อการศึกษา ต้องขออนุญาตผู้ป่วย
ก่อนเสมอ และลบข้อมูลที่เป็น identifiers ทั้งหมด (เช่น ชื่อ, HN,
ภาพใบหน้า หรือ ID อื่นๆ) ยกเว้นผู้ป่วยอนุญาต (รวมถึงกรณีการ
โพสต์ใน closed groups ด้วย)
• ตั้งค่า Privacy Settings ให้เหมาะสม
MU Social Media Policy

69. 69
Line เสี่ยงต่อการละเมิด Privacy ผู้ป่วยได้อย่างไร?
• ข้อมูลใน Line group มีคนเห็นหลายคน
• ข้อมูลถูก capture หรือ forward ไป share ต่อได้
• ข้อมูล cache ที่เก็บใน mobile device อาจถูกอ่านได้
(เช่น ทําอุปกรณ์หาย หรือเผลอวางเอาไว้)
• ข้อมูลที่ส่งผ่าน network ไม่ได้เข้ารหัส
• ข้อมูลที่เก็บใน server ของ Line ทางบริษัทเข้าถึงได้ และ
อาจถูก hack ได้
• มีคนเดา Password ได้

70. 70
ทางออกสําหรับการ Consult Case ผู้ป่วย
• ใช้ช่องทางอื่นที่ไม่มีการเก็บ record ข้อมูล ถ้าเหมาะสม
• หลีกเลี่ยงการระบุหรือ include ชื่อ, HN, เลขที่เตียง หรือ
ข้อมูลที่ระบุตัวตนผู้ป่วยได้ (รวมทั้งในภาพ image)
• ใช้ app ที่ปลอดภัยกว่า
• Limit คนที่เข้าถึง
(เช่น ไม่คุยผ่าน Line group)
• ใช้อย่างปลอดภัย (Password, ดูแลอุปกรณ์ไว้กับตัว,
เช็ค malware ฯลฯ)

71. 71
• ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะ
แพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551
• ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏิบัติของผู้ได้รับอนุญาตให้
เข้าถึงข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554
• ประกาศคณะฯ เรื่อง การขอคัดถ่ายสําเนาเวชระเบียนผู้ป่วย
พ.ศ. 2556
• ประกาศคณะฯ เรื่อง ข้อกําหนดการใช้สื่อสังคมออนไลน์ ของ
คณะฯ พ.ศ. 2556
• ประกาศคณะฯ เรื่อง แนวทางปฏิบัติ การขอบันทึกภาพและเสียง
ในโรงพยาบาลสังกัดของคณะฯ พ.ศ. 2557
ระเบียบต่างๆ ของคณะฯ ด้าน Information Security

72. 72
คณะกรรมการตรวจสอบการละเมิดสิทธิผู้ป่วยของคณะฯ

73. 73
คณะกรรมการตรวจสอบการละเมิดสิทธิผู้ป่วยของคณะฯ

74. 74
คณะกรรมการตรวจสอบการละเมิดสิทธิผู้ป่วยของคณะฯ

75. 75
Summary of Talk
• ทําไมเราต้องแคร์เรื่อง Security & Privacy?
• Security/Privacy กับข้อมูลผู้ป่วย
• แนวปฏิบัติด้าน Security ของระบบ
• แนวปฏิบัติด้าน Privacy ของข้อมูล
• รามาธิบดี กับ Security/Privacy

76. 76
ใช้ไอทีอย่างปลอดภัย
พวกเราสบายใจ
คนไข้ได้รับความคุ้มครอง
นพ.นวนรรน ธีระอัมพรพันธุ์
17 เม.ย. 2558
http://www.slideshare.net/nawanan