non-repudiation of electronic medical records

Non-Repudiation of Electronic Medical Records

นพ.นวนรรน ธระอมพรพนธภาควชาเวชศาสตรชมชนคณะแพทยศาสตรโรงพยาบาลรามาธบด

27 พฤศจกายน 2558

www.SlideShare.net/Nawanan

Confidentiality• การรกษาความลบของขอมลIntegrity• การรกษาความครบถวนและความ

ถกตองของขอมล• ปราศจากการเปลยนแปลงแกไข ท า

ใหสญหาย ท าใหเสยหาย หรอถกท าลายโดยมชอบ

Availability• การรกษาสภาพพรอมใชงาน

หลกการของ Information Security

Non-Repudiation• “the assurance that someone cannot deny something.

Typically refers to the ability to ensure that a party to a contract or a communication cannot deny the authenticity of their signature on a document or the sending of a message that they originated.”

searchsecurity.techtarget.com/definition/nonrepudiation

หลกการของ Information Security (เพมเตม)

Non-Repudiation• “a state of affairs where the author of a

statement will not be able to successfully challenge the authorship of the statement or validity of an associated contract.”

https://en.wikipedia.org/wiki/Non-repudiation

หลกการของ Information Security (เพมเตม)

Integrity vs. Non-Repudiation

Integrity

• จะท ำอยำงไรจงจะแนใจวำขอมลของเรำ ทรบ-สงกบผอน หรอทเกบรกษำไว จะยงคงอยอยำงถกตอง (intact)?

• จะท ำอยำงไรจงจะปองกนผอนแกไข/ลบ/เพม ขอมลของเรำโดยมชอบ?

Non-Repudiation

• จะท ำอยำงไรจงจะแนใจและยนยนไดวำขอมลทเรำไดรบหรอเกบไว มำจำกผสงจรงๆ โดยไมเปลยนแปลง?

• ถำผสงปฏเสธวำขอมลไมไดมำจำกเขำ เรำจะพสจนยนยนอยำงไร?

Legal Recognition vs. Non-Repudiation

Legal Recognition

• ขอมลทเกบไว (เชน ในรปแบบอเลกทรอนกส) จะมผลผกพน (legal binding) ในทำงกฎหมำยหรอไม?

• หำกน ำขอมลไปใชเปนพยำนหลกฐำนในศำล จะไดรบกำรยอมรบหรอไม?

Non-Repudiation

• จะท ำอยำงไรจงจะแนใจและยนยนไดวำขอมลทเรำไดรบหรอเกบไว มำจำกผสงจรงๆ โดยไมเปลยนแปลง?

• ถำผสงปฏเสธวำขอมลไมไดมำจำกเขำ เรำจะพสจนยนยนอยำงไร?

ตวอยางเครองมอดาน Integrity

Image Sources: http://www.freeimages.co.uk/galleries/workplace/office2/slides/briefcase_lock.htm

http://www.giantbomb.com/podcasts/giant-bombcast-e3-2013-the-sealed-envelope/1600-502/

http://www.ubergizmo.com/how-to/password-protect-folder-windows/

http://www.idownloadblog.com/2012/03/28/watch-this-security-firm/

ตวอยางเครองมอดาน Non-Repudiation

Image Sources: https://en.wikipedia.org/wiki/Signature/

http://www.mjsorority.com/mj/sorority.nsf/vwcontent/Contract_Review

https://www.pdfill.com/document_sign.html

http://news.mthai.com/hot-news/399898.html

ตวอยางเครองมอดาน Non-Repudiation

What About The Law?

• พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550– ก าหนดการกระท าทถอเปนความผด และหนาทของผใหบรการ

• พรบ.วาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544• พรบ.วาดวยธรกรรมทางอเลกทรอนกส (ฉบบท 2) พ.ศ. 2551

กฎหมายดานเทคโนโลยสารสนเทศของไทย

การกระท าความผดเกยวกบคอมพวเตอร (Computer-Related Crimes)

ตวอยาง?– อาชญากรรมทางคอมพวเตอร (Computer Crimes)

• เชน Hacking, การเปดเผยขอมลทเปนความลบ, การดกฟงขอมล

– การกระท าความผดทมคอมพวเตอรเปนเครองมอ (Crimes Using Computers as Tools)

• เชน การเผยแพรภาพลามก

• การโพสตขอความทเปนภยตอความมนคง

• การตดตอภาพเพอใหผอนเสยหาย

พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550

หมวด 1 ความผดเกยวกบคอมพวเตอร

• มาตรา 5 การเขาถงโดยมชอบซงระบบคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนนมไดมไวส าหรบตน (Unauthorized access)– เชน การเจาะระบบ (hacking), การ hack รหสผานคนอน

– การเขาถงทางกายภาพ หรอทางเครอขายกได

• มาตรา 6 การเปดเผยโดยมชอบซงมาตรการปองกนการเขาถงระบบคอมพวเตอรทผอนจดท าขนเปนการเฉพาะทไดลวงรมา ในประการทนาจะเกดความเสยหายแกผอน– เชน เปดเผยรหสผานของผอนโดยไมไดรบอนญาต

พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550

• มาตรา 7 การเขาถงโดยมชอบซงขอมลคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนนมไดมไวส าหรบตน (Unauthorized access)– เชน การน าขอมลคอมพวเตอรของผอนไปพยายามถอดรหสเพออานเนอความ

• มาตรา 8 การกระท าโดยมชอบดวยวธการทางอเลกทรอนกสเพอดกรบไวซงขอมลคอมพวเตอรของผอนทอยระหวางการสงในระบบคอมพวเตอร และขอมลคอมพวเตอรนนมไดมไวเพอประโยชนสาธารณะหรอเพอใหบคคลทวไปใชประโยชนได– เชน การดกฟงขอมลผานเครอขาย

• มาตรา 9 การท าใหเสยหาย ท าลาย แกไข เปลยนแปลง หรอเพมเตมไมวาทงหมดหรอบางสวน ซงขอมลคอมพวเตอรของผอนโดยมชอบ– เชน การลบหรอแกไขขอมลของผอน โดยมเจตนาราย

พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550

• มาตรา 10 การกระท าโดยมชอบ เพอใหการท างานของระบบคอมพวเตอรของผอนถกระงบ ชะลอ ขดขวาง หรอรบกวนจนไมสามารถท างานตามปกตได– เชน Denial of Service (DoS) Attack = การโจมตใหเวบลม

• มาตรา 11 การสงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกสแกบคคลอนโดยปกปดหรอปลอมแปลงแหลงทมาของการสงขอมลดงกลาว อนเปนการรบกวนการใชระบบคอมพวเตอรของบคคลอนโดยปกตสข– เชน สง spam e-mail

• มาตรา 13 การจ าหนายหรอเผยแพรชดค าสงเพอน าไปใชเปนเครองมอในการกระท าความผดตาม พรบ. น– เชน การเผยแพรซอฟตแวรเจาะระบบ

พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550

• มาตรา 14(1) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรปลอม หรอ

ขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายแกผอนหรอประชาชน

(2) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายตอความมนคงของประเทศหรอกอใหเกดความตนตระหนกแกประชาชน

(3) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใดๆ อนเปนความผดเกยวกบความมนคงแหงราชอาณาจกรหรอความผดเกยวกบการกอการราย

(4) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใดๆ ทมลกษณะอนลามกและขอมลคอมพวเตอรนนประชาชนทวไปอาจเขาถงได

(5) เผยแพรหรอสงตอซงขอมลคอมพวเตอรตาม (1)-(4)

พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550

• มาตรา 15 ความรบผดกรณผใหบรการจงใจสนบสนนหรอยนยอมใหมการกระท าความผดตามมาตรา 14 ในระบบคอมพวเตอรทอยในความควบคมของตน

• มาตรา 16 ผใดน าเขาสระบบคอมพวเตอรทประชาชนทวไปอาจเขาถงไดซงขอมลคอมพวเตอรทปรากฏเปนภาพของผอน และภาพนนเปนภาพทเกดจากการสรางขน ตดตอ เตม หรอดดแปลงดวยวธการทางอเลกทรอนกสหรอวธการอนใด ทงน โดยประการทนาจะท าใหผอนนนเสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย

พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550

• พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550– ก าหนดการกระท าทถอเปนความผด และหนาทของผใหบรการ

• พรบ.วาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544• พรบ.วาดวยธรกรรมทางอเลกทรอนกส (ฉบบท 2) พ.ศ. 2551

– รองรบสถานะทางกฎหมายของขอมลทางอเลกทรอนกส– รบรองวธการสงและรบขอมลอเลกทรอนกส การใชลายมอชอ

อเลกทรอนกส (electronic signature) และการรบฟงพยานหลกฐานทเปนขอมลอเลกทรอนกส เพอสงเสรมการท า e-transactions ใหนาเชอถอ

– ก าหนดใหมคณะกรรมการธรกรรมทางอเลกทรอนกส และอ านาจหนาท

กฎหมายดานเทคโนโลยสารสนเทศของไทย

• หามมใหปฏเสธความมผลผกพนและการบงคบใชทางกฎหมายของขอความใด เพยงเพราะเหตทขอความนนอยในรปของขอมลอเลกทรอนกส (มาตรา 7)

• ใหถอวาขอมลอเลกทรอนกส มการลงลายมอชอแลว ถา (1) ใชวธการทระบตวเจาของลายมอชอ และ (2) เปนวธการทเชอถอได (มาตรา 9)

• ธรกรรมทางอเลกทรอนกสทไดกระท าตามวธการแบบปลอดภยทก าหนดใน พรฎ. ใหสนนษฐานวาเปนวธการทเชอถอได (มาตรา 25)

• ค าขอ การอนญาต การจดทะเบยน ค าสงทางปกครอง การช าระเงน การประกาศ หรอการด าเนนการใดๆ ตามกฎหมายกบหนวยงานของรฐหรอโดยหนวยงานของรฐ ถาไดกระท าในรปของขอมลอเลกทรอนกสตามหลกเกณฑและวธการทก าหนดโดย พรฎ.

• ใหถอวามผลโดยชอบดวยกฎหมาย (มาตรา 35)

ผลทางกฎหมายของ พรบ.ธรกรรมทางอเลกทรอนกส

• พรฎ.ก าหนดประเภทธรกรรมในทางแพงและพาณชยทยกเวนมหน ากฎหมายวาดวยธรกรรมทางอเลกทรอนกสมาใชบงคบ พ.ศ. 2549

• ประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส– เรอง การรบรองสงพมพออก พ.ศ. 2555

• ก าหนดหลกเกณฑและวธการรบรองสงพมพออก (Print-Out) ของขอมลอเลกทรอนกส เพอใหสามารถใชอางองแทนขอมลอเลกทรอนกส และมผลใชแทนตนฉบบได

– เรอง หลกเกณฑและวธการในการจดท าหรอแปลงเอกสารและขอความใหอยในรปของขอมลอเลกทรอนกส พ.ศ. 2553

• ก าหนดหลกเกณฑและวธการในการจดท าหรอแปลงเอกสารและขอความทไดมการจดท าหรอแปลงใหอยในรปของขอมลอเลกทรอนกสในภายหลง

– เรอง แนวทางการจดท าแนวนโยบาย (Certificate Policy) และแนวปฏบต (Certification Practice Statement) ของผใหบรการออกใบรบรองอเลกทรอนกส (Certificate Authority) พ.ศ. 2552

• วาดวยการใหบรการออกใบรบรองอเลกทรอนกส (Certificate)

กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส

• พรฎ.ก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. 2549– ประกาศ เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคง

ปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553• ก าหนดมาตรฐาน Security Policy ของหนวยงานของรฐทมการท าธรกรรมทาง

อเลกทรอนกสภาครฐ– ประกาศ เรอง แนวนโยบายและแนวปฏบตในการคมครองขอมลสวน

บคคลของหนวยงานของรฐ พ.ศ. 2553• ก าหนดมาตรฐาน Privacy Policy ของหนวยงานของรฐทมการท าธรกรรมทาง

อเลกทรอนกสภาครฐ

กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส

• พรฎ.วาดวยการควบคมดแลธรกจบรการการช าระเงนทางอเลกทรอนกส พ.ศ. 2551

• ประกาศ เรอง หลกเกณฑการพจารณาลงโทษปรบทางปกครองส าหรบผประกอบธรกจใหบรการการช าระเงนทางอเลกทรอนกส พ.ศ. 2554

• ประกาศ เรอง หลกเกณฑ วธการ และเงอนไขในการประกอบธรกจบรการการช าระเงนทางอเลกทรอนกส พ.ศ. 2552

• ประกาศ ธปท. ทเกยวของ

กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส

• พรฎ.วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553– ประกาศ เรอง ประเภทของธรกรรมทางอเลกทรอนกส และหลกเกณฑการ

ประเมนระดบผลกระทบของธรกรรมทางอเลกทรอนกสตามวธการแบบปลอดภย พ.ศ. 2555

• หลกเกณฑการประเมนเพอก าหนดระดบวธการแบบปลอดภยขนต า– ประกาศ เรอง มาตรฐานการรกษาความมนคงปลอดภยของระบบ

สารสนเทศตามวธการแบบปลอดภย พ.ศ. 2555• ก าหนดมาตรฐานความปลอดภยตามวธการแบบปลอดภยแตละระดบ

กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส

สรปความเชอมโยงของกฎหมาย พรบ.ธรกรรมทางอเลกทรอนกส• พรบ.วาดวยธรกรรมทางอเลกทรอนกส• พรฎ.วาดวยวธการแบบปลอดภยในการท า

ธรกรรมทางอเลกทรอนกส (+ ประกาศ 2 ฉบบ)

ประกาศ เรอง หลกเกณฑและวธการในการจดท าหรอแปลงเอกสารและขอความใหอย

ในรปของขอมลอเลกทรอนกส

หนวยงานของรฐ

• พรฎ.ก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ

• ประกาศ เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ

• ประกาศ เรอง แนวนโยบายและแนวปฏบตในการคมครองขอมลสวนบคคลของหนวยงานของรฐ

• คณะกรรมการธรกรรมทางอเลกทรอนกส• ส านกงานคณะกรรมการธรกรรมทางอเลกทรอนกส ส านกงาน

ปลดกระทรวง กระทรวงเทคโนโลยสารสนเทศและการสอสาร• ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) หรอ

สพธอ.– Electronic Transactions Development Agency (Public

Organization) - ETDA

หนวยงานทเกยวของกบ พรบ.ธรกรรมทางอเลกทรอนกส

• มาตรา 25 ของ พรบ.วาดวยธรกรรมทางอเลกทรอนกส– “ธรกรรมทางอเลกทรอนกสใดทไดกระท าตามวธการแบบปลอดภยท

ก าหนดในพระราชกฤษฎกา ใหสนนษฐานวาเปนวธการทเชอถอได• พรฎ.วาดวยวธการแบบปลอดภยในการท าธรกรรมทาง

อเลกทรอนกส พ.ศ. 2553– วธการแบบปลอดภย ม 3 ระดบ (พนฐาน, กลาง, เครงครด)– จ าแนกตามประเภทของธรกรรมทางอเลกทรอนกส (ธรกรรมทมผลกระทบ

ตอความมนคงหรอความสงบเรยบรอยของประเทศ หรอตอสาธารณชน) หรอจ าแนกตามหนวยงาน (ธรกรรมของหนวยงานหรอองคกรทถอเปนโครงสรางพนฐานส าคญของประเทศ หรอ Critical Infrastructure)

“วธการแบบปลอดภย”

ธรกรรมทางอเลกทรอนกส ประเภทตอไปน• ดานการช าระเงนทางอเลกทรอนกส• ดานการเงนของธนาคารพาณชย• ดานประกนภย• ดานหลกทรพยของผประกอบธรกจหลกทรพย• ธรกรรมทจดเกบ รวบรวม และใหบรการขอมลของบคคลหรอ

ทรพยสนหรอทะเบยนตางๆ ทเปนเอกสารมหาชนหรอทเปนขอมลสาธารณะ

• ธรกรรมในการใหบรการดานสาธารณปโภคและบรการสาธารณะทตองด าเนนการอยางตอเนองตลอดเวลา

วธการแบบปลอดภยในระดบเครงครด

ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)• ผลกระทบดานมลคาความเสยหายทางการเงน

– ต า: ≤ 1 ลานบาท– ปานกลาง: 1 ลานบาท < มลคา ≤ 100 ลานบาท– สง: > 100 ลานบาท

ระดบผลกระทบกบวธการแบบปลอดภย

ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)• ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบอนตรายตอ

ชวต รางกาย หรออนามย– ต า: ไมม– ปานกลาง: ผลกระทบตอรางกายหรออนามย 1-1,000 คน– สง: ผลกระทบตอรางกายหรออนามย > 1,000 คน หรอตอชวตตงแต 1 คน

ระดบผลกระทบกบวธการแบบปลอดภย

ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)• ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบความ

เสยหายอนใด– ต า: ≤ 10,000 คน– ปานกลาง: 10,000 < จ านวนผไดรบผลกระทบ ≤ 100,000 คน– สง: > 100,000 คน

• ผลกระทบดานความมนคงของรฐ– ต า: ไมมผลกระทบตอความมนคงของรฐ– สง: มผลกระทบตอความมนคงของรฐ

ระดบผลกระทบกบวธการแบบปลอดภย

• พจารณาตามประเภทของธรกรรมทางอเลกทรอนกส• พจารณาตามระดบผลกระทบ

– ถามผลประเมนทเปนผลกระทบในระดบสง 1 ดาน ใหใชวธการแบบปลอดภยระดบเครงครด

– ระดบกลางอยางนอย 2 ดาน ใหใชวธการแบบปลอดภยระดบกลาง– นอกจากน ใหใชวธการแบบปลอดภยในระดบพนฐาน

สรปวธการประเมนระดบวธการแบบปลอดภย

• อางองมาตรฐาน ISO/IEC 27001:2005 - Information technology -Security techniques - Information security management systems - Requirements

• มผลใชบงคบเมอพน 360 วน นบแตวนประกาศในราชกจจานเบกษา (19 ธ.ค. 2555) คอ 14 ธ.ค. 2556

• ไมมบทก าหนดโทษ เปนเพยงมาตรฐานส าหรบ “วธการทเชอถอได” ในการพจารณาความนาเชอถอในทางกฎหมายของธรกรรมทางอเลกทรอนกส แตมผลในเชงภาพลกษณและน าหนกการน าขอมลอเลกทรอนกสไปเปนพยานหลกฐานในการตอสคดในศาลหรอการด าเนนการทางกฎหมาย

• คณะกรรมการธรกรรมทางอเลกทรอนกสอาจพจารณาประกาศเผยแพรรายชอหนวยงานทมการจดท านโยบายและแนวปฏบตโดยสอดคลองกบวธการแบบปลอดภย เพอใหสาธารณชนทราบเปนการทวไปกได

ประกาศ เรอง มาตรฐาน Security ตามวธการแบบปลอดภย

• แบงเปน 11 หมวด (Domains)– Security policy– Organization of information security– Asset management– Human resources security– Physical and environmental security– Communications and operations management– Access control– Information systems acquisition, development and

maintenance– Information security incident management– Business continuity management– Regulatory compliance

มาตรฐาน Security ตามวธการแบบปลอดภย

มาตรฐาน Security ตามวธการแบบปลอดภย แตละระดบหมวด (Domain) ระดบพนฐาน ระดบกลาง

(เพมเตมจากระดบพนฐาน)ระดบสง

(เพมเตมจากระดบกลาง)

Security policy 1 ขอ 1 ขอ -

Organization of information security 5 ขอ 3 ขอ 3 ขอ

Asset management 1 ขอ 4 ขอ -

Human resources security 6 ขอ 1 ขอ 2 ขอ

Physical and environmental security 5 ขอ 2 ขอ 6 ขอ

Communications & operations management 18 ขอ 5 ขอ 9 ขอ

Access control 9 ขอ 8 ขอ 8 ขอ

Information systems acquisition, development and maintenance

2 ขอ 6 ขอ 8 ขอ

Information security incident management 1 ขอ - 3 ขอ

Business continuity management 1 ขอ 3 ขอ 1 ขอ

Regulatory compliance 3 ขอ 5 ขอ 2 ขอ

รวม 52 ขอ 38 ขอ (รวม 90 ขอ) 42 ขอ (รวม 132 ขอ)

• Integrity vs. Non-Repudiation vs. Legal Recognition

• กฎหมายวาดวยการกระท าความผดเกยวกบคอมพวเตอร ก าหนดฐานความผดเกยวกบ Data Integrity

• กฎหมายวาดวยธรกรรมทางอเลกทรอนกส รบรอง Legal Recognition ของขอมลอเลกทรอนกสแลว ภายใตเงอนไข “วธการแบบปลอดภย”

• Electronic Signature และ Digital Signature เปนเครองมอส าหรบ Confidentiality, Integrity และNon-Repudiation ควบคกน (แลวแตวตถประสงค)

สรป