health information privacy and security
TRANSCRIPT
![Page 1: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/1.jpg)
Health Information Privacy & Security
Nawanan Theera‐Ampornpunt, M.D., Ph.D.Faculty of Medicine Ramathibodi Hospital
Mahidol UniversityFor the Faculty of Pharmacy, Silpakorn University
February 4, 2014
http://www.SlideShare.net/Nawanan
![Page 2: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/2.jpg)
Introduction to Information Privacy & Security Protecting Information Privacy & Security User Security Software Security Cryptography Malware Security Standards Privacy & Security Laws
Outline
![Page 3: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/3.jpg)
Introduction to Information Privacy &
Security
![Page 4: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/4.jpg)
Malware
Threats to Information Security
![Page 5: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/5.jpg)
Sources of the Threats Hackers Viruses & Malware Poorly‐designed systems Insiders (Employees) People’s ignorance & lack of knowledge Disasters & other incidents affecting information systems
![Page 6: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/6.jpg)
Information risks Unauthorized access & disclosure of confidential information Unauthorized addition, deletion, or modification of information
Operational risks System not functional (Denial of Service ‐ DoS) System wrongly operated
Personal risks Identity thefts Financial losses Disclosure of information that may affect employment or other personal aspects (e.g. health information)
Physical/psychological harms Organizational risks
Financial losses Damage to reputation & trust
Etc.
Consequences of Security Attacks
![Page 7: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/7.jpg)
Privacy: “The ability of an individual or group to seclude themselves or information about themselves and thereby reveal themselves selectively.” (Wikipedia)
Security: “The degree of protection to safeguard ... person against danger, damage, loss, and crime.” (Wikipedia)
Information Security: “Protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction” (Wikipedia)
Privacy & Security
![Page 8: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/8.jpg)
Information Security
Confidentiality Integrity Availability
![Page 9: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/9.jpg)
Examples of Confidentiality Risks
http://usatoday30.usatoday.com/life/people/2007‐10‐10‐clooney_N.htm
![Page 10: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/10.jpg)
Examples of Integrity Risks
http://www.wired.com/threatlevel/2010/03/source‐code‐hacks/http://en.wikipedia.org/wiki/Operation_Aurora
“Operation Aurora”Alleged Targets: Google, Adobe, Juniper Networks, Yahoo!, Symantec, Northrop Grumman, Morgan Stanley, Dow ChemicalGoal: To gain access to and potentially modify source code repositories at high tech, security & defense contractor companies
![Page 11: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/11.jpg)
Examples of Integrity Risks
http://news.softpedia.com/news/700‐000‐InMotion‐Websites‐Hacked‐by‐TiGER‐M‐TE‐223607.shtml
Web Defacements
![Page 12: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/12.jpg)
Examples of Availability Risks
http://en.wikipedia.org/wiki/Blaster_worm
Viruses/worms that led to instability & system restart (e.g. Blaster worm)
![Page 13: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/13.jpg)
Examples of Availability Risks
http://en.wikipedia.org/wiki/Ariane_5_Flight_501
Ariane 5 Flight 501 Rocket Launch FailureCause: Software bug on rocket acceleration due to data conversion from a 64‐bit floating point number to a 16‐bit signed integer without proper checks, leading to arithmatic overflow
![Page 14: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/14.jpg)
Interesting Resources http://en.wikipedia.org/wiki/List_of_software_bugs http://en.wikipedia.org/wiki/Notable_computer_viruses_and_worms
http://en.wikipedia.org/wiki/Hacktivism http://en.wikipedia.org/wiki/Website_defacement http://en.wikipedia.org/wiki/Hacker_(computer_security) http://en.wikipedia.org/wiki/List_of_hackers
![Page 15: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/15.jpg)
Protecting Information Privacy & Security
![Page 16: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/16.jpg)
Attack An attempt to breach system security
Threat A scenario that can harm a system
Vulnerability The “hole” that is used in the attack
Common Security Terms
![Page 17: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/17.jpg)
Identify some possible means an attacker could use to conduct a security attack
Class Exercise
![Page 18: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/18.jpg)
Alice
Simplified Attack Scenarios
Server Bob
Eve/Mallory
![Page 19: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/19.jpg)
Alice
Simplified Attack Scenarios
Server Bob
‐ Physical access to client computer‐ Electronic access (password)‐ Tricking user into doing something (malware, phishing & social engineering)
Eve/Mallory
![Page 20: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/20.jpg)
Alice
Simplified Attack Scenarios
Server Bob
‐ Intercepting (eavesdropping or “sniffing”) data in transit
‐ Modifying data (“Man‐in‐the‐middle” attacks)
‐ “Replay” attacksEve/Mallory
![Page 21: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/21.jpg)
Alice
Simplified Attack Scenarios
Server Bob
‐ Unauthorized access to servers through‐ Physical means‐ User accounts & privileges‐ Attacks through software vulnerabilities‐ Attacks using protocol weaknesses
‐ DoS / DDoS attacks Eve/Mallory
![Page 22: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/22.jpg)
Alice
Simplified Attack Scenarios
Server Bob
Other & newer forms of attacks possible
Eve/Mallory
![Page 23: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/23.jpg)
Alice
Safeguarding Against Attacks
Server Bob
Administrative Security‐ Security & privacy policy‐ Governance of security risk management & response‐ Uniform enforcement of policy & monitoring‐ Disaster recovery planning (DRP) & Business continuity
planning/management (BCP/BCM)‐ Legal obligations, requirements & disclaimers
![Page 24: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/24.jpg)
Alice
Safeguarding Against Attacks
Server Bob
Physical Security‐ Protecting physical access of clients & servers
‐ Locks & chains, locked rooms, security cameras‐ Mobile device security‐ Secure storage & secure disposition of storage devices
![Page 25: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/25.jpg)
Alice
Safeguarding Against Attacks
Server BobUser Security‐ User account management
‐ Strong p/w policy (length, complexity, expiry, no meaning)‐ Principle of Least Privilege‐ “Clear desk, clear screen policy”‐ Audit trails
‐ Education, awareness building & policy enforcement‐ Alerts & education about phishing & social engineering
![Page 26: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/26.jpg)
Alice
Safeguarding Against Attacks
Server Bob
System Security‐ Antivirus, antispyware, personal firewall, intrusion
detection/prevention system (IDS/IPS), log files, monitoring‐ Updates, patches, fixes of operating system vulnerabilities &
application vulnerabilities‐ Redundancy (avoid “Single Point of Failure”)‐ Honeypots
![Page 27: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/27.jpg)
Alice
Safeguarding Against Attacks
Server Bob
Software Security‐ Software (clients & servers) that is secure by design‐ Software testing against failures, bugs, invalid inputs,
performance issues & attacks‐ Updates to patch vulnerabilities
![Page 28: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/28.jpg)
Alice
Safeguarding Against Attacks
Server Bob
Network Security‐ Access control (physical & electronic) to network devices‐ Use of secure network protocols if possible‐ Data encryption during transit if possible‐ Bandwidth monitoring & control
![Page 29: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/29.jpg)
Alice
Safeguarding Against Attacks
Server Bob
Database Security‐ Access control to databases & storage devices‐ Encryption of data stored in databases if necessary‐ Secure destruction of data after use‐ Access control to queries/reports‐ Security features of database management systems (DBMS)
![Page 30: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/30.jpg)
Privacy Safeguards
Image: http://www.nurseweek.com/news/images/privacy.jpg
Security safeguards Informed consent Privacy culture User awareness building & education Organizational policy & regulations Enforcement Ongoing privacy & security assessments, monitoring, and protection
![Page 31: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/31.jpg)
User Security
![Page 32: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/32.jpg)
Access control Selective restriction of access to the system
Role‐based access control Access control based on the person’s role (rather than identity)
Audit trails Logs/records that provide evidence of sequence of activities
User Security
![Page 33: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/33.jpg)
Identification Identifying who you are Usually done by user IDs or some other unique codes
Authentication Confirming that you truly are who you identify Usually done by keys, PIN, passwords or biometrics
Authorization Specifying/verifying how much you have access Determined based on system owner’s policy & system configurations
“Principle of Least Privilege”
User Security
![Page 34: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/34.jpg)
Nonrepudiation Proving integrity, origin, & performer of an activity without the person’s ability to refute his actions
Most common form: signatures Electronic signatures offer varying degrees of nonrepudiation PIN/password vs. biometrics
Digital certificates (in public key infrastructure ‐ PKI) often used to ascertain nonrepudiation
User Security
![Page 35: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/35.jpg)
Multiple‐Factor Authentication Two‐Factor Authentication
Use of multiple means (“factors”) for authentication Types of Authentication Factors
Something you know Password, PIN, etc.
Something you have Keys, cards, tokens, devices (e.g. mobile phones)
Something you are Biometrics
User Security
![Page 36: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/36.jpg)
Need for Strong Password Policy
So, two informaticianswalk into a bar...
The bouncer says, ʺWhatʹs the password.ʺ
One says, ʺPassword?ʺ
The bouncer lets them in.
Credits: @RossMartin & AMIA (2012)
![Page 37: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/37.jpg)
Recommended Password Policy Length
8 characters or more (to slow down brute‐force attacks) Complexity (to slow down brute‐force attacks)
Consists of 3 of 4 categories of characters Uppercase letters Lowercase letters Numbers Symbols (except symbols that have special uses by the system or that can be used to hack system, e.g. SQL Injection)
No meaning (“Dictionary Attacks”) Not simple patterns (12345678, 11111111) (to slow down brute‐force attacks & prevent dictionary attacks)
Not easy to guess (birthday, family names, etc.) (to prevent unknown & known persons from guessing)
Personal opinion. No legal responsibility assumed.
![Page 38: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/38.jpg)
Recommended Password Policy Expiration (to make brute‐force attacks not possible)
6‐8 months Decreasing over time because of increasing computer’s speed
But be careful! Too short duration will force users to write passwords down
Secure password storage in database or system (encrypted or store only password hashes)
Secure password confirmation Secure “forget password” policy Different password for each account. Create variations to help remember. If not possible, have different sets of accounts for differing security needs (e.g., bank accounts vs. social media sites) Personal opinion. No legal responsibility assumed.
![Page 39: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/39.jpg)
Techniques to Remember Passwords http://www.wikihow.com/Create‐a‐Password‐You‐Can‐Remember Note that some of the techniques are less secure!
One easy & secure way: password mnemonic Think of a full sentence that you can remember Ideally the sentence should have 8 or more words, with numbers and symbols
Use first character of each word as password Sentence: I love reading all 7 Harry Potter books! Password: Ilra7HPb! Voila!
Personal opinion. No legal responsibility assumed.
![Page 40: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/40.jpg)
Dear mail.mahidol.ac.th Email Account User,
We wrote to you on 11th January 2010 advising that you change the password onyour account in order to prevent any unauthorised account access followingthe network instruction we previously communicated.
all Mailhub systems will undergo regularly scheduled maintenance. Accessto your e‐mail via the Webmail client will be unavailable for some timeduring this maintenance period. We are currently upgrading our data baseand e‐mail account center i.e homepage view. We shall be deleting old[https://mail.mahidol.ac.th/l accounts which are no longer active to createmore space for new accountsusers. we have also investigated a system widesecurity audit to improve and enhanceour current security.
In order to continue using our services you are require to update andre‐comfirmed your email account details as requested below. To completeyour account re‐comfirmation,you must reply to this email immediately andenter your accountdetails as requested below.
Username :Password :Date of Birth:Future Password :
Social Engineering Examples
Real social‐engineering e‐mail received by Speaker
![Page 41: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/41.jpg)
Phishing
Real phishing e‐mail received by Speaker
![Page 42: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/42.jpg)
Poor grammar Lots of typos Trying very hard to convince you to open attachment, click on link, or reply without enough detail
May appear to be from known person (rely on trust & innocence)
Signs of a Phishing Attack
![Page 43: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/43.jpg)
Don’t be too trusting of people Always be suspicious & alert An e‐mail with your friend’s name & info doesn’t have to come from him/her
Look for signs of phishing attacks Don’t open attachments unless you expect them Scan for viruses before opening attachments Don’t click links in e‐mail. Directly type in browser using known & trusted URLs
Especially cautioned if ask for passwords, bank accounts, credit card numbers, social security numbers, etc.
Ways to Protect against Phishing
![Page 44: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/44.jpg)
Software Security
![Page 45: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/45.jpg)
Most common reason for security bugs is invalid programming assumptions that attackers will look for
Weak input checking Buffer overflow Integer overflow Race condition (Time of Check / Time of Use vulnerabilities)
Running programs in new environments
Software Security
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
![Page 46: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/46.jpg)
Consider a log‐in form on a web page
Example of Weak Input Checking: SQL Injection
Source code would look something like this:statement = ʺSELECT * FROM users WHERE name = ʹʺ + userName + ʺʹ;ʺ
Attacker would enter as username:
ʹ or ʹ1ʹ=ʹ1
Which leads to this always‐true query: statement = ʺSELECT * FROM users WHERE name = ʹʺ + ʺʹ or ʹ1ʹ=ʹ1ʺ + ʺʹ;ʺ
statement = ʺSELECT * FROM users WHERE name = ʹʹ or ʹ1ʹ=ʹ1ʹ;ʺ
http://en.wikipedia.org/wiki/SQL_injection
![Page 47: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/47.jpg)
Defense in Depth Multiple layers of security defense are placed throughout a system to provide redundancy in the event a security control fails
Secure the weakest link Promote privacy Trust no one
Some Security Principles
Saltzer & Schroeder (1975), Viega & McGraw (2000)Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271 http://en.wikipedia.org/wiki/Defense_in_depth_(computing)
![Page 48: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/48.jpg)
Modular design Check error conditions on return values Validate inputs (whitelist vs. blacklist) Avoid infinite loops, memory leaks Check for integer overflows Language/library choices Development processes
Secure Software Best Practices
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
![Page 49: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/49.jpg)
Cryptography
![Page 50: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/50.jpg)
Goal: provide a secure channel between Alice & Bob A secure channel Leaks no information about its contents Delivers only messages from Alice & Bob Delivers messages in order or not at all
Cryptography
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
Alice Bob
Eve
![Page 51: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/51.jpg)
Use of keys to convert plaintext into ciphertext Secret keys only Alice & Bob know History: Caesar’s cipher, substitution cipher, polyalphabetic rotation
Use of keys and some generator function to create random‐looking strings (e.g. stream ciphers, block ciphers)
Cryptography
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
![Page 52: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/52.jpg)
Encryption Using Secret Key (Symmetric Cryptography)
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
Alice BobEve
1. Encrypt message using secret key2. Send encrypted message to Bob
3. Decrypt message using same secret key
Eve doesn’t know secret key (but there are various ways to discover the key)
![Page 53: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/53.jpg)
What if no shared secret exists? Public‐key cryptography Each publishes public key publicly Each keep secret key secret Use arithmetic to encrypt & decrypt message
Cryptography
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
![Page 54: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/54.jpg)
Public‐Key Cryptography (Asymmetric Cryptography)
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
Alice BobEve
1. Obtains Bob’s public key from public server2. Use Bob’s public key to encrypt message3. Send encrypted message to Bob
Even if Eve knows public key, can’t discover message (unless weakness in algorithm)
4. Decrypt message using own private key
![Page 55: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/55.jpg)
Digital Signatures
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
Alice Bob
1. Sign message using own private key2. Send plaintext and random‐looking string (digital signature) to Bob
Provides nonrepudiation
3. Use Alice’s public key against plaintext received to get digital signature4. Compare to match Alice’s digital signature received against signature obtained in #3
![Page 56: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/56.jpg)
Malware
![Page 57: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/57.jpg)
Malicious software ‐Any code with intentional, undesirable side effects
Virus Worm Trojan Spyware Logic Bomb/Time Bomb Backdoor/Trapdoor Rootkit Botnet
Malware
![Page 58: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/58.jpg)
Virus Propagating malware that requires user action to propagate
Infects executable files, data files with executable contents (e.g. Macro), boot sectors
Worm Self‐propagating malware
Trojan A legitimate program with additional, hidden functionality
Malware
![Page 59: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/59.jpg)
Spyware Trojan that spies for & steals personal information
Logic Bomb/Time Bomb Malware that triggers under certain conditions
Backdoor/Trapdoor A hole left behind by malware for future access
Malware
![Page 60: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/60.jpg)
Rogue Antispyware (Ransomware) Software that tricks or forces users to pay before fixing (real or hoax) spyware detected
Rootkit A stealth program designed to hide existence of certain processes or programs from detection
Botnet A collection of Internet‐connected computers that have been compromised (bots) which controller of the botnet can use to do something (e.g. do DDoS attacks)
Malware
![Page 61: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/61.jpg)
Installed & updated antivirus, antispyware, & personal firewall Check for known signatures Check for improper file changes (integrity failures) Check for generic patterns of malware (for unknown malware): “Heuristics scan”
Firewall: Block certain network traffic in and out Sandboxing Network monitoring & containment User education Software patches, more secure protocols
Defense Against Malware
![Page 62: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/62.jpg)
Social media spams/scams/clickjacking Social media privacy issues
User privacy settings Location services
Mobile device malware & other privacy risks Stuxnet (advanced malware targeting certain countries)
Advanced persistent threats (APT) by governments & corporations against specific targets
Newer Threats
![Page 63: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/63.jpg)
Security Standards
![Page 64: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/64.jpg)
• ISO/IEC 27000 — Information security management systems —Overview and vocabulary
• ISO/IEC 27001 — Information security management systems —Requirements• ISO/IEC 27002 — Code of practice for information security management• ISO/IEC 27003 — Information security management system implementation guidance• ISO/IEC 27004 — Information security management —Measurement• ISO/IEC 27005 — Information security risk management• ISO/IEC 27031 — Guidelines for information and communications technology readiness
for business continuity• ISO/IEC 27032 — Guideline for cybersecurity (essentially, ʹbeing a good neighborʹ on
the Internet)• ISO/IEC 27033‐1 —Network security overview and concepts• ISO/IEC 27033‐2 —Guidelines for the design and implementation of network security• ISO/IEC 27033‐3:2010 — Reference networking scenarios ‐ Threats, design techniques
and control issues• ISO/IEC 27034 — Guideline for application security• ISO/IEC 27035 — Security incident management• ISO 27799 — Information security management in health using ISO/IEC 27002
Some Information Security Standards
![Page 65: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/65.jpg)
US‐CERT U.S. Computer Emergency Readiness Team http://www.us‐cert.gov/ Subscribe to alerts & news
Microsoft Security Resources http://technet.microsoft.com/en‐us/security http://technet.microsoft.com/en‐us/security/bulletin
Common Vulnerabilities & Exposures http://cve.mitre.org/
More Information
![Page 66: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/66.jpg)
Privacy & Security Laws
![Page 67: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/67.jpg)
Privacy: “The ability of an individual or group to seclude themselves or information about themselves and thereby reveal themselves selectively.” (Wikipedia)
Security: “The degree of protection to safeguard ... person against danger, damage, loss, and crime.” (Wikipedia)
Privacy & Security
![Page 68: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/68.jpg)
http://www.aclu.org/ordering‐pizza
Privacy Protections: Why?
![Page 69: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/69.jpg)
Respect for Persons (Autonomy) Beneficence Justice Non‐maleficence
Ethical Principles in Bioethics
![Page 70: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/70.jpg)
Hippocratic Oath...
What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....
http://en.wikipedia.org/wiki/Hippocratic_Oath
![Page 71: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/71.jpg)
Privacy Safeguards
Image: http://www.nurseweek.com/news/images/privacy.jpg
Security safeguards Informed consent Privacy culture User awareness building & education Organizational policy & regulations Enforcement Ongoing privacy & security assessments, monitoring, and protection
![Page 72: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/72.jpg)
HIPAA
![Page 73: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/73.jpg)
Health Insurance Portability and Accountability Act of 1996 http://www.gpo.gov/fdsys/pkg/PLAW‐104publ191/pdf/PLAW‐104publ191.pdf
More stringent state privacy laws apply HIPAAGoals
To protect health insurance coverage for workers & families when they change or lose jobs (Title I)
To require establishment of national standards for electronic health care transactions and national identifiers for providers, health insurance plans, and employers (Title II: “Administrative Simplification” provisions)
Administrative Simplification provisions also address security & privacy of health data
U.S. Health Information Privacy Law
http://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act
![Page 74: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/74.jpg)
Title I: Health Care Access, Portability, and Renewability
Title II: Preventing Health Care Fraud and Abuse; Administrative Simplification; Medical Liability Reform Requires Department of Health & Human Services (HHS) to draft rules aimed at increasing efficiency of health care system by creating standards for use and dissemination of health care information
HIPAA (U.S.)
![Page 75: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/75.jpg)
Title III: Tax‐Related Health Provisions Title IV: Application and Enforcement of Group Health Plan Requirements
Title V: Revenue Offsets
HIPAA (U.S.)
![Page 76: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/76.jpg)
HHS promulgated 5 Administrative Simplification rules Privacy Rule Transactions and Code Sets Rule Security Rule Unique Identifiers Rule Enforcement Rule
HIPAA (U.S.)
![Page 77: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/77.jpg)
Covered Entities A health plan A health care clearinghouse A healthcare provider who transmits any health information in electronic form in connection with a transaction to enable health information to be exchanged electronically
Business Associates
Some HIPAADefinitions
![Page 78: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/78.jpg)
Protected Health Information (PHI) Individually identifiable health information transmitted or maintained in electronic media or other form or medium
Individually Identifiable Health Information Any information, including demographic information collected from an individual, that—
(A) is created or received by a CE; and (B) relates to the past, present, or future physical or mental health or condition of an individual, the provision of health care to an individual, or the past, present, or future payment for the provision of health care to an individual, and—
(i) identifies the individual; or (ii) with respect to which there is a reasonable basis to believe that the information can be used to identify the individual.
Some HIPAADefinitions
![Page 79: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/79.jpg)
Name Address Phone number Fax number E‐mail address SSN Birthdate Medical Record No. Health Plan ID Treatment date
Account No. Certificate/License No. Device ID No. Vehicle ID No. Drivers license No. URL IP Address Biometric identifier
including fingerprints Full face photo
Protected Health Information –Personal Identifiers in PHI
![Page 80: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/80.jpg)
Establishes national standards to protect PHI; applies to CE & business associates
Requires appropriate safeguards to protect privacy of PHI Sets limits & conditions on uses & disclosures that may be made without patient authorization
Gives patients rights over their health information, including rights to examine & obtain copy of health records & to request corrections
HIPAAPrivacy Rule
http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/index.html
![Page 81: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/81.jpg)
Timeline November 3, 1999 Proposed Privacy Rule December 28, 2000 Final Privacy Rule August 14, 2002 Modifications to Privacy Rule April 14, 2003 Compliance Date for most CE
Full text (as amended)
http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/adminsimpregtext.pdf
HIPAAPrivacy Rule
http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/index.html
![Page 82: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/82.jpg)
Some permitted uses and disclosures Use of PHI Sharing, application, use, examination or analysis within the entity that maintains the PHI
Disclosure of PHI Release or divulgence of information by an entity to persons or organizations outside of that entity.
HIPAAPrivacy Rule
![Page 83: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/83.jpg)
A covered entity may not use or disclose PHI, except with individual consent for treatment, payment or healthcare operations (TPO)
with individual authorization for other purposes
without consent or authorization for governmental and other specified purposes
HIPAAPrivacy Rule
![Page 84: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/84.jpg)
Treatment, payment, health care operations (TPO) Quality improvement Competency assurance Medical reviews & audits Insurance functions Business planning & administration General administrative activities
HIPAAPrivacy Rule
![Page 85: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/85.jpg)
Uses & disclosures without the need for patient authorization permitted in some circumstances Required by law For public health activities About victims of abuse, neglect, or domestic violence
For health oversight activities For judicial & administrative proceedings For law enforcement purposes About decedents
HIPAAPrivacy Rule
![Page 86: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/86.jpg)
Uses & disclosures without the need for patient authorization permitted in some circumstances For cadaveric organ, eye, or tissue donation purposes For research purposes To avert a serious threat to health or safety For workers’ compensation For specialized government functions
Military & veterans activities National security & intelligence activities Protective services for President & others Medical suitability determinants Correctional institutions CE that are government programs providing public benefits
HIPAAPrivacy Rule
![Page 87: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/87.jpg)
Control use and disclosure of PHI Notify patients of information practices (NPP, Notice of Privacy Practices) Specifies how CE can use and share PHI Specifies patient’s rights regarding their PHI
Provide means for patients to access their own record Obtain authorization for non‐TPO uses and disclosures Log disclosures Restrict use or disclosures
Minimum necessary Privacy policy and practices Business Associate agreements Other applicable statutes
Provide management oversight and response to minimize threats and breaches of privacy
Responsibilities of a CE
From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz
![Page 88: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/88.jpg)
Individually identifiable health information collected and used solely for research IS NOT PHI
Researchers obtaining PHI from a CE must obtain the subject’s authorization or must justify an exception:
Waiver of authorization (obtain from the IRB) Limited Data Set (with data use agreement) De‐identified Data Set HIPAAPrivacy supplements the Common Rule and the FDA’s existing protection for human subjects
HIPAA& Research
From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz
![Page 89: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/89.jpg)
De‐identified Data Set Remove all 18 personal identifiers of subjects, relatives, employers, or household members
OR biostatistician confirms that individual cannot be identified with the available information
Limited Data Set May include Zip, Birthdate, Date of death, date of service, geographic subdivision
Remove all other personal identifiers of subject, etc. Data Use Agreement signed by data recipient that there will be no attempt to re‐identify the subject
Research Data Sets
From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz
![Page 90: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/90.jpg)
Assure the CE that all research‐initiated HIPAArequirements have been met
Provide letter of approval to the researcher to conduct research using PHI
OR, Certify and document that waiver of authorization criteria have been met
Review and approve all authorizations and data use agreements
Retain records documenting HIPAA actions for 6 years
IRB’s New Responsibility
From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz
![Page 91: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/91.jpg)
Establishes national standards to protect individuals’ electronic PHI that is created, received, used, or maintained by a CE.
Requires appropriate safeguards to ensure confidentiality, integrity & security of electronic PHI Administrative safeguards Physical safeguards Technical safeguards
HIPAA Security Rule
http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/index.html
![Page 92: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/92.jpg)
Timeline August 12, 1998 Proposed Security Rule February 20, 2003 Final Security Rule April 21, 2005 Compliance Date for most CE
Full Text
http://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/securityrulepdf.pdf
HIPAA Security Rule
http://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/index.html
![Page 93: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/93.jpg)
The HIPAASecurity Rule is: A set of information security “best practices” A minimum baseline for security An outline of what to do, and what procedures should be in place
The HIPAASecurity Rule is not: A set of specific instructions A set of rules for universal, unconditional implementation
A document outlining specific implementations (vendors, equipment, software, etc.)
HIPAA Security Rule: Meaning
From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz
![Page 94: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/94.jpg)
Many rules are either Required or Addressable Required:
Compliance is mandatory Addressable:
If a specification in the Rule is reasonable and appropriate for the CE, then the CE must implement
Otherwise, documentation must be made of the reasons the policy cannot/will not be implemented, and when necessary, offer an alternative
HIPAA Security Rule: Meaning
From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz
![Page 95: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/95.jpg)
Breach notification Extension of complete Privacy & Security HIPAAprovisions to business associates of covered entities
New rules for accounting of disclosures of a patient’s health information
New in HITECHAct of 2009
![Page 96: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/96.jpg)
Conflicts between federal vs. state laws Variations among state laws of different states
HIPAA only covers “covered entities” No general privacy laws in place, only a few sectoral privacy laws e.g. HIPAA
Health Information Privacy Law: U.S. Challenges
![Page 97: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/97.jpg)
Canada ‐ The Privacy Act (1983), Personal Information Protection and Electronic Data Act of 2000
EU Countries ‐ EU Data Protection Directive UK ‐ Data Protection Act 1998 Austria ‐ Data Protection Act 2000 Australia ‐ Privacy Act of 1988 Germany ‐ Federal Data Protection Act of 2001
Health Information Privacy Law: Other Western Countries
![Page 98: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/98.jpg)
Thailand’s Health Information Privacy
Law
![Page 99: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/99.jpg)
The Sanatorium Acts, B.E. 2541 & 2547
พรบ.สถานพยาบาล พ.ศ. 2541 และ พรบ.สถานพยาบาล
(ฉบบท 2) พ.ศ. 2547 ประกาศกระทรวงสาธารณสข ฉบบท 3 (พ.ศ. 2542) เรอง ชนดหรอประเภทของการรกษาพยาบาล การบรการอนของ
สถานพยาบาลและสทธของผปวยซงผรบอนญาตจะตองแสดง
ตามมาตรา 32 (3)
Thai Privacy Laws
![Page 100: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/100.jpg)
คาประกาศสทธของผปวย
“...7. ผปวยมสทธทจะไดรบการปกปดขอมลเกยวกบตนเอง จากผประกอบวชาชพโดยเครงครด เวนแตจะไดรบความยนยอมจากผปวยหรอการปฏบตหนาทตามกฎหมาย
...9. ผปวยมสทธทจะไดรบทราบขอมลเกยวกบรกษาพยาบาลเฉพาะของตนทปรากฏในเวชระเบยนเมอรองขอ ทงน ขอมลดงกลาวตองไมเปนการละเมดสทธสวนตวของบคคลอน
...”
Thai Privacy Laws
![Page 101: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/101.jpg)
The Official Information Act, B.E. 2540 พรบ.ขอมลขาวสารของราชการ พ.ศ. 2540 “เปดเผยเปนหลก ปกปดเปนขอยกเวน”“มาตรา 15 ขอมลขาวสารของราชการทมลกษณะอยางหนงอยางใดดงตอไปน หนวยงานของรฐหรอเจาหนาทของรฐอาจมคาสงมใหเปดเผยกได โดยคานงถงการปฏบตหนาทตามกฎหมาย...ประกอบกน
...
(5) รายงานการแพทยหรอขอมลขาวสารสวนบคคลซงการเปดเผยจะเปนการรกลาสทธสวนบคคลโดยไมสมควร
(6) ขอมลขาวสารของราชการทมกฎหมายคมครองมใหเปดเผย...
...”
Thai Privacy Laws
![Page 102: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/102.jpg)
No universal personal data privacy law (Draft law has been proposed)
National Health Act, B.E. 2550 พรบ.สขภาพแหงชาต พ.ศ. 2550 “มาตรา 7 ขอมลดานสขภาพของบคคล เปนความลบสวนบคคล ผใดจะนาไปเปดเผยในประการทนาจะทาใหบคคลนนเสยหายไมได เวนแตการเปดเผยนนเปนไปตามความประสงคของบคคลนนโดยตรง หรอมกฎหมายเฉพาะบญญตใหตองเปดเผย แตไมวาในกรณใด ๆ ผใดจะอาศยอานาจหรอสทธตามกฎหมายวาดวยขอมลขาวสารของราชการหรอกฎหมายอนเพอขอเอกสารเกยวกบขอมลดานสขภาพของบคคลทไมใชของตนไมได”
Thai Privacy Laws
![Page 103: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/103.jpg)
Computer‐Related Crimes Act, B.E. 2550 พรบ.การกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 กาหนดการกระทาทถอเปนความผด และหนาทของผใหบรการ
Focuses on prosecuting computer crimes & computer‐related crimes
Responsibility of organizations as IT service provider: Logging & provision of access data to authorities
Thai ICT Laws
![Page 104: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/104.jpg)
Electronic Transactions Acts, B.E. 2544 & 2551 พรบ.วาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544 และ พรบ.วาดวยธรกรรมทาง
อเลกทรอนกส (ฉบบท 2) พ.ศ. 2551 รองรบสถานะทางกฎหมายของขอมลทางอเลกทรอนกส
รบรองวธการสงและรบขอมลอเลกทรอนกส การใชลายมอชออเลกทรอนกส (electronic signature) และการรบฟงพยานหลกฐานทเปนขอมลอเลกทรอนกส เพอสงเสรมการทา e‐transactions ใหนาเชอถอ
กาหนดใหมคณะกรรมการธรกรรมทางอเลกทรอนกส และอานาจหนาท
Security & privacy requirements for Determining legal validity & integrity of electronic transactions and documents, print‐outs, & paper‐to‐electronic conversions
Governmental & public organizations Critical infrastructures Financial sectors Electronic certificate authorities
Thai ICT Laws
![Page 105: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/105.jpg)
หามมใหปฏเสธความมผลผกพนและการบงคบใชทางกฎหมายของขอความใด เพยงเพราะเหตทขอความนนอยในรปของขอมลอเลกทรอนกส (มาตรา 7)
ใหถอวาขอมลอเลกทรอนกส มการลงลายมอชอแลว ถา (1) ใชวธการทระบตวเจาของลายมอชอ และ (2) เปนวธการทเชอถอได (มาตรา 9)
ธรกรรมทางอเลกทรอนกสทไดกระทาตามวธการแบบปลอดภยทกาหนดใน พรฎ. ใหสนนษฐานวาเปนวธการทเชอถอได (มาตรา 25)
คาขอ การอนญาต การจดทะเบยน คาสงทางปกครอง การชาระเงน การประกาศ หรอการดาเนนการใดๆ ตามกฎหมายกบหนวยงานของรฐหรอโดยหนวยงานของรฐ ถาไดกระทาในรปของขอมลอเลกทรอนกสตามหลกเกณฑและวธการทกาหนดโดย พรฎ. ใหถอวามผลโดยชอบดวยกฎหมาย (มาตรา 35)
ผลทางกฎหมายของ พรบ.ธรกรรมทางอเลกทรอนกส
![Page 106: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/106.jpg)
พรฎ.กาหนดประเภทธรกรรมในทางแพงและพาณชยทยกเวนมหนากฎหมายวาดวยธรกรรมทางอเลกทรอนกสมาใชบงคบ พ.ศ. 2549
ประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรอง การรบรองสงพมพออก พ.ศ. 2555
กาหนดหลกเกณฑและวธการรบรองสงพมพออก (Print‐Out) ของขอมลอเลกทรอนกส เพอใหสามารถใชอางองแทนขอมลอเลกทรอนกส และมผลใชแทนตนฉบบได
เรอง หลกเกณฑและวธการในการจดทาหรอแปลงเอกสารและขอความใหอยในรปของขอมลอเลกทรอนกส พ.ศ. 2553 กาหนดหลกเกณฑและวธการในการจดทาหรอแปลงเอกสารและขอความทไดมการจดทา
หรอแปลงใหอยในรปของขอมลอเลกทรอนกสในภายหลง
เรอง แนวทางการจดทาแนวนโยบาย (Certificate Policy) และแนวปฏบต (Certification Practice Statement) ของผใหบรการออกใบรบรองอเลกทรอนกส (Certificate Authority) พ.ศ. 2552 วาดวยการใหบรการออกใบรบรองอเลกทรอนกส (Certificate)
กฎหมายลาดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส
![Page 107: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/107.jpg)
พรฎ.กาหนดหลกเกณฑและวธการในการทาธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. 2549
ประกาศ เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553
กาหนดมาตรฐาน Security Policy ของหนวยงานของรฐทม การทาธรกรรมทางอเลกทรอนกสภาครฐ
ประกาศ เรอง แนวนโยบายและแนวปฏบตในการคมครองขอมลสวนบคคลของหนวยงานของรฐ พ.ศ. 2553
กาหนดมาตรฐาน Privacy Policy ของหนวยงานของรฐทมการทาธรกรรมทางอเลกทรอนกสภาครฐ
กฎหมายลาดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส
![Page 108: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/108.jpg)
พรฎ.วาดวยการควบคมดแลธรกจบรการการชาระเงนทาง
อเลกทรอนกส พ.ศ. 2551
ประกาศ เรอง หลกเกณฑการพจารณาลงโทษปรบทางปกครอง
สาหรบผประกอบธรกจใหบรการการชาระเงนทางอเลกทรอนกส
พ.ศ. 2554
ประกาศ เรอง หลกเกณฑ วธการ และเงอนไขในการประกอบธรกจ
บรการการชาระเงนทางอเลกทรอนกส พ.ศ. 2552
ประกาศ ธปท. ทเกยวของ
กฎหมายลาดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส
![Page 109: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/109.jpg)
พรฎ.วาดวยวธการแบบปลอดภยในการทาธรกรรมทาง
อเลกทรอนกส พ.ศ. 2553
ประกาศ เรอง ประเภทของธรกรรมทางอเลกทรอนกส และหลกเกณฑ
การประเมนระดบผลกระทบของธรกรรมทางอเลกทรอนกสตามวธการ
แบบปลอดภย พ.ศ. 2555
หลกเกณฑการประเมนเพอกาหนดระดบวธการแบบปลอดภยขนตา
ประกาศ เรอง มาตรฐานการรกษาความมนคงปลอดภยของระบบ
สารสนเทศตามวธการแบบปลอดภย พ.ศ. 2555
กาหนดมาตรฐานความปลอดภยตามวธการแบบปลอดภยแตละระดบ
กฎหมายลาดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส
![Page 110: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/110.jpg)
สรปความเชอมโยงของกฎหมาย พรบ.ธรกรรมทางอเลกทรอนกส• พรบ.วาดวยธรกรรมทางอเลกทรอนกส
• พรฎ.วาดวยวธการแบบปลอดภยในการทา
ธรกรรมทางอเลกทรอนกส (+ ประกาศ
2 ฉบบ)
ประกาศ เรอง หลกเกณฑและวธการในการ
จดทาหรอแปลงเอกสารและขอความใหอย
ในรปของขอมลอเลกทรอนกส
หนวยงานของรฐ
• พรฎ.กาหนดหลกเกณฑและวธการในการทาธรกรรม
ทางอเลกทรอนกสภาครฐ
• ประกาศ เรอง แนวนโยบายและแนวปฏบตในการ
รกษาความมนคงปลอดภยดานสารสนเทศของ
หนวยงานของรฐ
• ประกาศ เรอง แนวนโยบายและแนวปฏบตในการ
คมครองขอมลสวนบคคลของหนวยงานของรฐ
![Page 111: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/111.jpg)
คณะกรรมการธรกรรมทางอเลกทรอนกส
สานกงานคณะกรรมการธรกรรมทางอเลกทรอนกส สานกงาน
ปลดกระทรวง กระทรวงเทคโนโลยสารสนเทศและการสอสาร
สานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) หรอ
สพธอ. (Electronic Transactions Development Agency (Public Organization) ‐ ETDA)
หนวยงานทเกยวของกบ พรบ.ธรกรรมทางอเลกทรอนกส
![Page 112: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/112.jpg)
มาตรา 25 ของ พรบ.วาดวยธรกรรมทางอเลกทรอนกส
“ธรกรรมทางอเลกทรอนกสใดทไดกระทาตามวธการแบบปลอดภยทกาหนดในพระราชกฤษฎกา ใหสนนษฐานวาเปนวธการทเชอถอได
พรฎ.วาดวยวธการแบบปลอดภยในการทาธรกรรมทางอเลกทรอนกส พ.ศ. 2553
วธการแบบปลอดภย ม 3 ระดบ (พนฐาน, กลาง, เครงครด)
จาแนกตามประเภทของธรกรรมทางอเลกทรอนกส (ธรกรรมทมผลกระทบตอความมนคงหรอความสงบเรยบรอยของประเทศ หรอตอสาธารณชน) หรอจาแนกตามหนวยงาน (ธรกรรมของหนวยงานหรอองคกรทถอเปนโครงสรางพนฐานสาคญของประเทศ หรอ Critical Infrastructure)
“วธการแบบปลอดภย”
![Page 113: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/113.jpg)
ธรกรรมทางอเลกทรอนกส ประเภทตอไปน
ดานการชาระเงนทางอเลกทรอนกส
ดานการเงนของธนาคารพาณชย
ดานประกนภย
ดานหลกทรพยของผประกอบธรกจหลกทรพย
ธรกรรมทจดเกบ รวบรวม และใหบรการขอมลของบคคลหรอทรพยสนหรอทะเบยนตางๆ ทเปนเอกสารมหาชนหรอทเปนขอมลสาธารณะ
ธรกรรมในการใหบรการดานสาธารณปโภคและบรการสาธารณะทตองดาเนนการอยางตอเนองตลอดเวลา
วธการแบบปลอดภยในระดบเครงครด
![Page 114: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/114.jpg)
ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลย
สารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการ
ประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปน
ดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)
ผลกระทบดานมลคาความเสยหายทางการเงน
ตา: ≤ 1 ลานบาท
ปานกลาง: 1 ลานบาท < มลคา ≤ 100 ลานบาท
สง: > 100 ลานบาท
ระดบผลกระทบกบวธการแบบปลอดภย
![Page 115: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/115.jpg)
ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)
ผลกระทบตอจานวนผใชบรการหรอผมสวนไดเสยทอาจไดรบอนตรายตอชวต รางกาย หรออนามย
ตา: ไมม
ปานกลาง: ผลกระทบตอรางกายหรออนามย 1-1,000 คน
สง: ผลกระทบตอรางกายหรออนามย > 1,000 คน หรอตอชวตตงแต 1 คน
ระดบผลกระทบกบวธการแบบปลอดภย
![Page 116: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/116.jpg)
ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน) ผลกระทบตอจานวนผใชบรการหรอผมสวนไดเสยทอาจไดรบความ
เสยหายอนใด ตา: ≤ 10,000 คน
ปานกลาง: 10,000 < จานวนผไดรบผลกระทบ ≤ 100,000 คน
สง: > 100,000 คน
ผลกระทบดานความมนคงของรฐ ตา: ไมมผลกระทบตอความมนคงของรฐ
สง: มผลกระทบตอความมนคงของรฐ
ระดบผลกระทบกบวธการแบบปลอดภย
![Page 117: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/117.jpg)
พจารณาตามประเภทของธรกรรมทางอเลกทรอนกส
พจารณาตามระดบผลกระทบ
ถามผลประเมนทเปนผลกระทบในระดบสง 1 ดาน ใหใชวธการแบบ
ปลอดภยระดบเครงครด
ระดบกลางอยางนอย 2 ดาน ใหใชวธการแบบปลอดภยระดบกลาง
นอกจากน ใหใชวธการแบบปลอดภยในระดบพนฐาน
สรปวธการประเมนระดบวธการแบบปลอดภย
![Page 118: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/118.jpg)
อางองมาตรฐาน ISO/IEC 27001:2005 ‐ Information technology ‐ Security techniques ‐ Information security management systems ‐ Requirements
มผลใชบงคบเมอพน 360 วน นบแตวนประกาศในราชกจจานเบกษา (19 ธ.ค. 2555) คอ 14 ธ.ค. 2556
ไมมบทกาหนดโทษ เปนเพยงมาตรฐานสาหรบ “วธการทเชอถอได” ในการพจารณาความนาเชอถอในทางกฎหมายของธรกรรมทางอเลกทรอนกส แตมผลในเชงภาพลกษณและนาหนกการนาขอมลอเลกทรอนกสไปเปนพยานหลกฐานในการตอสคดในศาลหรอการดาเนนการทางกฎหมาย
คณะกรรมการธรกรรมทางอเลกทรอนกสอาจพจารณาประกาศเผยแพรรายชอหนวยงานทมการจดทานโยบายและแนวปฏบตโดยสอดคลองกบวธการแบบปลอดภย เพอใหสาธารณชนทราบเปนการทวไปกได
ประกาศ เรอง มาตรฐาน Security ตามวธการแบบปลอดภย
![Page 119: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/119.jpg)
แบงเปน 11 หมวด (Domains) Security policy Organization of information security Asset management Human resources security Physical and environmental security Communications and operations management Access control Information systems acquisition, development and maintenance
Information security incident management Business continuity management Regulatory compliance
มาตรฐาน Security ตามวธการแบบปลอดภย
![Page 120: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/120.jpg)
มาตรฐาน Security ตามวธการแบบปลอดภย แตละระดบ
หมวด (Domain) ระดบพนฐาน ระดบกลาง
(เพมเตมจากระดบพนฐาน)
ระดบสง
(เพมเตมจากระดบกลาง)
Security policy 1 ขอ 1 ขอ -
Organization of information security 5 ขอ 3 ขอ 3 ขอ
Asset management 1 ขอ 4 ขอ -
Human resources security 6 ขอ 1 ขอ 2 ขอ
Physical and environmental security 5 ขอ 2 ขอ 6 ขอ
Communications & operations management 18 ขอ 5 ขอ 9 ขอ
Access control 9 ขอ 8 ขอ 8 ขอ
Information systems acquisition,
development and maintenance
2 ขอ 6 ขอ 8 ขอ
Information security incident management 1 ขอ - 3 ขอ
Business continuity management 1 ขอ 3 ขอ 1 ขอ
Regulatory compliance 3 ขอ 5 ขอ 2 ขอ
รวม 52 ขอ 38 ขอ (รวม 90 ขอ) 42 ขอ (รวม 132 ขอ)
![Page 121: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/121.jpg)
Official Information Act only covers governmental organizations
“Disclose as a rule, protect as an exception” not appropriate mindset for health information
National Health Act: One blanket provision with minimal exceptions: raising concerns about enforceability (in exceptional circumstances, e.g. disasters)
Health Information Privacy Law: Thailand’s Challenges
![Page 122: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/122.jpg)
No general data privacy law in place ICT laws (e.g. Electronic Transactions Act) focus on security & privacy in general (no specific health‐related provisions)
Governance: No governmental authority responsible for oversight, enforcement & regulation of health information privacy protections
Policy: No systematic national policy to promote privacy protections
Health Information Privacy Law: Thailand’s Challenges
![Page 123: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/123.jpg)
Each country has its unique context, including legal systems, national priorities, public mindset, and infrastructure
A comprehensive & systematic approach to data privacy and health information privacy is still lacking in some countries such as Thailand
Key issues include enforceable regulations, governance, and national policy
Health Information Privacy Law: Summary
![Page 124: Health Information Privacy and Security](https://reader034.vdocuments.pub/reader034/viewer/2022052618/554af2cfb4c905fc0e8b46fe/html5/thumbnails/124.jpg)
Q & A