security & privacy of patient information:...
TRANSCRIPT
1
Security & Privacy of Patient Informationเรองเลาจากรามาธบด
นพ.นวนรรน ธระอมพรพนธ
20 เมษายน 2560
http://www.slideshare.net/nawanan
2
2546 แพทยศาสตรบณฑต (รามาธบดรนท 33)
2554 Ph.D. (Health Informatics), Univ. of Minnesota
ผชวยคณบดฝายนโยบายและสารสนเทศอาจารย ภาควชาเวชศาสตรชมชนคณะแพทยศาสตรโรงพยาบาลรามาธบด
ความสนใจ: Health IT, Social Media, Security & Privacy
SlideShare.net/Nawanan
Nawanan Theera-Ampornpunt
Line ID: NawananT
แนะน าตว
3
Outline
• ท าไมเราตองแครเรอง Security & Privacy?
• Security/Privacy กบขอมลผปวย
• แนวปฏบตดาน Security ของระบบ
• แนวปฏบตดาน Privacy ของขอมล
• แนวปฏบตดานการใช Social Media ทเหมาะสม
9
ภย Security กบเมองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
10
ภย Security กบเมองไทย
(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/
(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-
to-hollywood
11
ภย Security กบเมองไทย
https://www.it24hrs.com/2016/anonymous-hack-id-cards-ministry-of-foreign-affairs-tica/
14
Confidentiality (ขอมลความลบ) Integrity (การแกไข/ลบ/เพมขอมลโดยมชอบ) Availability (ระบบลม ใชการไมได)
สงทเปนเปาหมายการโจมต: CIA Triad
15
ผลกระทบ/ความเสยหาย
• ความลบถกเปดเผย
• ความเสยงตอชวต สขภาพ จตใจ การเงน และการงานของบคคล
• ระบบลม การใหบรการมปญหา
• ภาพลกษณขององคกรเสยหาย
16
แหลงทมาของการโจมต
• Hackers
• Viruses & Malware
• ระบบทมปญหาขอผดพลาด/ชองโหว
• Insiders (บคลากรทมเจตนาราย)
• การขาดความตระหนกของบคลากร
• ภยพบต
22
หลกจรยธรรมทเกยวกบ Privacy
• Autonomy (หลกเอกสทธ/ความเปนอสระของผปวย)
• Beneficence (หลกการรกษาประโยชนสงสดของผปวย)
• Non-maleficence (หลกการไมท าอนตรายตอผปวย)“First, Do No Harm.”
23
Hippocratic Oath...
What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....
http://en.wikipedia.org/wiki/Hippocratic_Oath
24
กฎหมายทเกยวของกบ Privacy
• พรบ.สขภาพแหงชาต พ.ศ. 2550
• มาตรา 7 ขอมลดานสขภาพของบคคล เปนความลบสวนบคคล ผใดจะน าไปเปดเผยในประการทนาจะท าใหบคคลนนเสยหายไมได เวนแตการเปดเผยนนเปนไปตามความประสงคของบคคลนนโดยตรง หรอมกฎหมายเฉพาะบญญตใหตองเปดเผย แตไมวาในกรณใด ๆ ผใดจะอาศยอ านาจหรอสทธตามกฎหมายวาดวยขอมลขาวสารของราชการหรอกฎหมายอนเพอขอเอกสารเกยวกบขอมลดานสขภาพของบคคลทไมใชของตนไมได
25
ประมวลกฎหมายอาญา• มาตรา 323 ผใดลวงรหรอไดมาซงความลบของผอนโดยเหตทเปน
เจาพนกงานผมหนาท โดยเหตทประกอบอาชพเปนแพทย เภสชกร คนจ าหนายยา นางผดงครรภ ผพยาบาล...หรอโดยเหตทเปนผชวยในการประกอบอาชพนน แลวเปดเผยความลบนนในประการทนาจะเกดความเสยหายแกผหนงผใด ตองระวางโทษจ าคกไมเกนหกเดอน หรอปรบไมเกนหนงพนบาท หรอทงจ าทงปรบ
• ผรบการศกษาอบรมในอาชพดงกลาวในวรรคแรก เปดเผยความลบของผอน อนตนไดลวงรหรอไดมาในการศกษาอบรมนน ในประการทนาจะเกดความเสยหายแกผหนงผใดตองระวางโทษเชนเดยวกน
26
ค ำประกำศสทธและขอพงปฏบตของผปวย
7. ผปวยมสทธไดรบกำรปกปดขอมลของตนเอง เวนแตผปวยจะใหควำมยนยอมหรอเปนกำรปฏบตตำมหนำทของผประกอบวชำชพดำนสขภำพเพอประโยชนโดยตรงของผปวยหรอตำมกฎหมำย
27
ขอควำมจรง บน• "อาจารยครบ เมอวาน ผมออก OPD เจอ คณ
... คนไข... ทอาจารยผาไปแลว มา ฉายรงสตอท... ตอนน Happy ด ไมคอยปวด เดนไดสบาย คนไขฝากขอบคณอาจารยอกครง -- อกอยางคนไขชวงนไมคอยสะดวกเลยไมไดไป กทม. บอกวาถาพรอมจะไป Follow-up กบอาจารยครบ"
ขอมลผปวย บน Social Media
28
แนวทางการคมครอง Privacy• Informed consent
• Privacy culture
• User awareness building & education
• Organizational policy & regulations Enforcement Ongoing privacy & security assessments,
monitoring, and protection
30
Line เสยงตอกำรละเมด Privacy ผปวยไดอยำงไร?
• ขอความใน Line group มคนเหนหลายคน• ถก capture หรอ forward ไป share ตอได• ขอมล cache ทเกบใน mobile device อาจถกอานได
(เชน ท าอปกรณหาย หรอเผลอวางเอาไว)• ขอมลทสงผาน network อาจไมไดเขารหส• บรษท Line เขาถงได และอาจถก hack ได• มคนเดา Password ได• สงผดกลม
32
ทำงออกส ำหรบกำร Consult Case ผปวย
• ใชชองทางอนทไมมการเกบ record ขอมล ถาเหมาะสม• หลกเลยงการระบหรอ include ชอ, HN, เลขทเตยง หรอ
ขอมลทระบตวตนผปวยได (รวมทงในภาพ image)• ใช app ทปลอดภยกวา• Limit คนทเขาถง
(เชน ไมคยผาน Line group)• ใชอยางปลอดภย (Password, ดแลอปกรณไวกบตว,
เชค malware ฯลฯ)
34
เรองเลาจากรามาธบด #6: PR Nightmare & Response
http://new.khaosod.co.th.khaosod.online/dek3/win.html (อนตราย! ไมควรเขาเวบน)
ขาวนไมเปนความจรง
38
User Account SecuritySo, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)
39
What’s the Password?
Unknown Internet sources, via
http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737,
via Facebook page “สอนแฮกเวบแบบแมวๆ”
42
ความยาว 8 ตวอกษรขนไป
ความซบซอน: 3 ใน 4 กลมตวอกษร Uppercase letters
Lowercase letters
Numbers
Symbols
ไมมความหมาย (ปองกน “Dictionary Attacks”)
ไมใช simple patterns (12345678, 11111111)
ไมเกยวกบขอมลสวนตวทคนสนทอาจร (เชน วนเกด ชอคนในครอบครว ชอสตวเลยง)
Passwords
43
เรองเลาจากรามาธบด #8: Password ทองงาย (แตก Hack งาย)
Dictionary Attack: เรองเลาจากการเรยน
การ Hack ระบบ ท USA
45
แลวจะจ า Password ไดยงไง?คดประโยคภาษาองกฤษสก 1 ประโยคประโยคนควรมค า 8 ค าขนไป และควรมตวเลข
หรอสญลกษณพเศษดวย ใชตวอกษรตวแรกของแตละค า เปน Password
46
ตวอยางการตง Password
http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/
51
Logout After Use
อยาลม Logout หลงใชงานเสมอ โดยเฉพาะเครองสาธารณะ
(หากไมอยทหนาจอ แมเพยงชวคร ให Lock Screen เสมอ)
53
Mobile Securityตง PIN ส าหรบ Lock Screen เอาไว ไมเกบขอมลส าคญเอาไว ระวงไมใหสญหาย หากสญหายรบแจงระงบ
60
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
61
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
64
ลกษณะส าคญทควรสงสย PhishingGrammar หวยแตกตวสะกดผดเยอะพยายามอยางยงใหเปดไฟลแนบ หรอกด link
หรอตอบเมล แตไมคอยใหรายละเอยดE-mail ทมาจากคนรจก ไมไดปลอดภยเสมอไป
70
ประกาศเตอนภย Ransomware ในรามาธบด
ขอบคณภาพ Screen Saver จากฝายสารสนเทศ คณะแพทยศาสตรโรงพยาบาลรามาธบด
71
Ransomware ระบาดใน Healthcare
http://www.healthcareitnews.com/news/more-half-hospitals-hit-ransomware-last-12-months
73
เครอขายดาน IT ในองคกร
Ramathibodi Computer Emergency Readiness Team
(RamaCERT)
Rama IT Enthusiasts(Open to all Ramathibodi Personnel)
74https://www.thaicert.or.th/downloads/files/Tips_to_Secure_Personal_Computer.jpg
PC Security, Virus & Malware
76
เรองเลาจากรามาธบด #14: Virus & Patch Updates
Virus/Malware Attack & Windows Update: เรองเลาจากบทบาท
Chief IT Admin รามาธบด(ทตองดแลระบบลม)
81
http://intranet.mahidol/op/orla/law/index.php/announcement/146-2556/770-social-network
นโยบำยดำน Social Media ของมหำวทยำลยมหดล
82
• ขอความบน Social Network สามารถเขาถงไดโดยสาธารณะ ผเผยแพรตองรบผดชอบ ทงทางสงคมและกฎหมาย และอาจสงผลกระทบตอชอเสยง การท างาน และวชาชพของตน
MU Social Media Policy
83
• บคลากรทางการแพทยหรอผใหบรการสขภาพ– ระวงการใช Social Network ในการปฏสมพนธกบผปวย
– ปฏบตตามจรยธรรมของวชาชพ
– ระวงเรองความเปนสวนตว (Privacy) และความลบของขอมลผปวย
– การเผยแพรขอมล/ภาพผปวย เพอการศกษา ตองขออนญาตผปวยกอนเสมอ และลบขอมลทเปน identifiers ทงหมด (เชน ชอ, HN, ภาพใบหนา หรอ ID อนๆ) ยกเวนผปวยอนญาต (รวมถงกรณการโพสตใน closed groups ดวย)
• ตงคา Privacy Settings ใหเหมาะสม
MU Social Media Policy
84
• ประกาศคณะฯ เรอง นโยบายความปลอดภยสารสนเทศ คณะแพทยศาสตรโรงพยาบาลรามาธบด พ.ศ. 2551
• ประกาศคณะฯ เรอง หลกเกณฑการปฏบตของผไดรบอนญาตใหเขาถงขอมลทางอเลกทรอนกส พ.ศ. 2554
• ประกาศคณะฯ เรอง การขอคดถายส าเนาเวชระเบยนผปวย พ.ศ. 2556
• ประกาศคณะฯ เรอง ขอก าหนดการใชสอสงคมออนไลน ของคณะฯ พ.ศ. 2556
• ประกาศคณะฯ เรอง แนวทางปฏบต การขอบนทกภาพและเสยงในโรงพยาบาลสงกดของคณะฯ พ.ศ. 2557
ระเบยบตำงๆ ของคณะฯ ดำน Information Security
86
Social Media Case Study #1: พฤตกรรมไมเหมำะสม
Disclaimer (นพ.นวนรรน):น าเสนอเปนกรณศกษาเพอการเรยนร
เรอง Social Media เทานน ไมมเจตนาลบหล ดหมน หรอท าใหผใดองคกรใด หรอวชาชพใดเสยหาย
โปรดใชวจารณญาณในการอานเนอหา
87
Disclaimer (นพ.นวนรรน):น าเสนอเปนกรณศกษาเพอการเรยนร
เรอง Social Media เทานน ไมมเจตนาลบหล ดหมน หรอท าใหผใดองคกรใด หรอวชาชพใดเสยหาย
โปรดใชวจารณญาณในการอานเนอหา
Social Media Case Study #1: พฤตกรรมไมเหมำะสม
89
http://pantip.com/topic/33678081
https://www.facebook.com/photo.php?fbid=971229119583658&set=a.37957656541558
6.90794.100000897364762&type=1&theater
Social Media Case Study #3: Selfie มประเดน
91
Social Media Case Study #5: ละเมดผรบบรกำร
Disclaimer (นพ.นวนรรน): น าเสนอเปนกรณศกษาเพอการเรยนรเรอง Social Media
เทานน ไมมเจตนาดหมน หรอท าใหผใดเสยหาย และไมมเจตนาสรางประเดนทาง
การเมองชอ สญลกษณ หรอเครองหมายของบคคล
หรอองคกรใด เปนเพยงการใหขอมลแวดลอมเพอการท าความเขาใจกรณศกษาเทานน ไมใชการใสความวาผนนกระท าการใด อนจะท าใหผนนเสยชอเสยง ถกดหมน หรอถกเกลยดชง
โปรดใชวจารณญาณในการอานเนอหา
92
http://manager.co.th/Entertainment/Vie
wNews.aspx?NewsID=9580000076405
Social Media Case Study #6: ละเมดผรบบรกำร
94
Facebook Profile vs. Page vs. Group• ใช Profile ส าหรบ user แตละคน (แยกคนกน)• ใช Page ส าหรบการ PR องคกร/หนวยงาน/ทม/
กลม (สามารถตง user คนละคน เปน admin ได โดยแยก account กน)
• ใช Group ส าหรบการสอสารกนภายในกลม (ตงระดบ privacy ทเหมาะสมได)
95
Social Media Case Study #8: ไมตรวจสอบขอมล
Disclaimer (นพ.นวนรรน): น าเสนอเปนกรณศกษาเพอการเรยนรเรอง Social Media
เทานน ไมมเจตนาดหมน หรอท าใหผใดเสยหาย
ชอ สญลกษณ หรอเครองหมายของบคคลหรอองคกรใด เปนเพยงการใหขอมลแวดลอมเพอการท าความเขาใจกรณศกษาเทานน ไมใชการใสความวาผนนกระท าการใด อนจะท าใหผนนเสยชอเสยง ถกดหมน หรอถกเกลยดชง
โปรดใชวจารณญาณในการอานเนอหา
96
Social Media Case Study #9: ไมตรวจสอบขอมล
Source: Facebook Page โหดสส V2 อางองภาพจากหนา 7 นสพ.ไทยรฐ วนท 6 พ.ค. 2557 และ http://www.reuters.com/article/2013/10/16/us-philippines-quake-idUSBRE99E01R20131016
98
Social Media Best Practices
https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg
99
Social Media Best Practices
https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg
100
Social Media Best Practices
รางโดย นพ.นวนรรน ธระอมพรพนธ
http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF
101
• หลกการเคารพกฎหมาย
• หลกการเคารพในจรยธรรมแหงวชาชพ
• หลกการเคารพในกฎระเบยบและนโยบายขององคกร
• หลกการเคารพศกดศรความเปนมนษยและการหลกเลยงการท าใหผอนเสยหาย
• หลกการรายงานพฤตกรรมทไมเหมาะสม
• หลกเสรภาพทางวชาการ
Social Media Guidelines: หลกทวไป
102
• หลกการปองกนอนตรายตอผอน (Protection from Harms)
• หลกการมงประโยชนของผปวยเปนส าคญ (Beneficence)
Social Media Guidelines: หลกจรยธรรมทวไปของผประกอบวชาชพดานสขภาพ
103
• หลกการรกษา Professionalism ตลอดเวลา
• หลก “คดกอนโพสต”
• หลกการมพฤตกรรมออนไลนอยางเหมาะสม
• หลกการตงคา Privacy อยางเหมาะสมและแยกเรองสวนตวกบวชาชพ
• หลกการตรวจสอบเนอหาออนไลนของตนอยเสมอ
Social Media Guidelines: ความเปนวชาชพ (Professionalism)
104
• หลกการก าหนดขอบเขตความเปนวชาชพกบผปวย (Professional Boundaries with Patients)
• หลกการก าหนดขอบเขตความเปนวชาชพกบผอน
Social Media Guidelines: ความเปนวชาชพ (Professionalism)
105
• หลกการรกษา Security และ Privacy ของขอมลผปวย
• หลก Informed Consent (ส าหรบการเกบรวบรวม ใช และเปดเผยขอมลสวนบคคลของผปวย)
Social Media Guidelines: การคมครอง Patient Privacy
106
• หลกการไมโฆษณา
• หลกการเปดเผยขอมลอยางครบถวน (Full Disclosure)
• หลกการระบวชาชพและความรความช านาญของตน (Self-Identification)
• หลกการหลกเลยงการส าคญผดวาเปนผแทนองคกร (Avoiding Misrepresentation)
• หลก “เชคกอนแชร”
Social Media Guidelines: Integrity(การยดมนในความถกตองชอบธรรมและจรยธรรม)
107
• หลกการปฏบตดวยความระมดระวงในการใหค าปรกษาออนไลน
• หลกการบนทกการสอสารทเกยวของกบการปฏบตหนาทในวชาชพ
Social Media Guidelines: การใหค าปรกษาออนไลน (Online Consultation)
109
Summary of Talk: เรยนรจากเรองเลา
• ท าไมเราตองแครเรอง Security & Privacy?
• Security/Privacy กบขอมลผปวย
• แนวปฏบตดาน Security ของระบบ
• แนวปฏบตดาน Privacy ของขอมล
• แนวปฏบตดานการใช Social Media ทเหมาะสม