ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิบดี (ปีงบประมาณ 2560)
•
2 gostaram•328 visualizações
Presented at the Faculty of Medicine Ramathibodi Hospital, Mahidol University on January 19, 2017
Recomendados
Recomendados
Mais conteúdo relacionado
Mais procurados
Mais procurados (20)
Semelhante a ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิบดี (ปีงบประมาณ 2560)
Semelhante a ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิบดี (ปีงบประมาณ 2560) (20)
Mais de Nawanan Theera-Ampornpunt
Mais de Nawanan Theera-Ampornpunt (20)
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิบดี (ปีงบประมาณ 2560)
- 2. 2 2546 แพทยศาสตรบัณฑิต (รามาธิบดีรุ่นที่ 33) 2554 Ph.D. (Health Informatics), Univ. of Minnesota ผู้ช่วยคณบดีฝ่ายนโยบายและสารสนเทศ อาจารย์ ภาควิชาเวชศาสตร์ชุมชน คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี ความสนใจ: Health IT, Social Media, Security & Privacy nawanan.the@mahidol.ac.th SlideShare.net/Nawanan Nawanan Theera-Ampornpunt Line ID: NawananT แนะนาตัว
- 3. 3 Outline • ทาไมเราต้องแคร์เรื่อง Security & Privacy? • Security/Privacy กับข้อมูลผู้ป่วย • แนวปฏิบัติด้าน Security ของระบบ • แนวปฏิบัติด้าน Privacy ของข้อมูล • รามาธิบดี กับ Security/Privacy • แนวปฏิบัติด้านการใช้ Social Media ที่เหมาะสม
- 4. 4 ทาไมเราต้องแคร์ เรื่อง Security & Privacy?
- 5. 5 เรื่องเล่าจากรามาธิบดี #1: Privacy & Hoax http://news.sanook.com/1262964/
- 10. 10 ภัย Security กับเมืองไทย (Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/ (Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel- to-hollywood
- 14. 14 Confidentiality (ข้อมูลความลับ) Integrity (การแก้ไข/ลบ/เพิ่มข้อมูลโดยมิชอบ) Availability (ระบบล่ม ใช้การไม่ได้) สิ่งที่เป็นเป้าหมายการโจมตี: CIA Triad
- 15. 15 ผลกระทบ/ความเสียหาย • ความลับถูกเปิดเผย • ความเสี่ยงต่อชีวิต สุขภาพ จิตใจ การเงิน และ การงานของบุคคล • ระบบล่ม การให้บริการมีปัญหา • ภาพลักษณ์ขององค์กรเสียหาย
- 16. 16 แหล่งที่มาของการโจมตี • Hackers • Viruses & Malware • ระบบที่มีปัญหาข้อผิดพลาด/ช่องโหว่ • Insiders (บุคลากรที่มีเจตนาร้าย) • การขาดความตระหนักของบุคลากร • ภัยพิบัติ
- 22. 22 หลักจริยธรรมที่เกี่ยวกับ Privacy • Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย) • Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย) • Non-maleficence (หลักการไม่ทาอันตรายต่อผู้ป่วย) “First, Do No Harm.”
- 23. 23 Hippocratic Oath ... What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about. ... http://en.wikipedia.org/wiki/Hippocratic_Oath
- 24. 24 กฎหมายที่เกี่ยวข้องกับ Privacy • พรบ.สุขภาพแห่งชาติ พ.ศ. 2550 • มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วน บุคคล ผู้ใดจะนาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้น เสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้อง เปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจหรือสิทธิ ตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมาย อื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ ของตนไม่ได้
- 25. 25 ประมวลกฎหมายอาญา • มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็น เจ้าพนักงานผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คนจาหน่ายยา นางผดุงครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วย ในการประกอบอาชีพนั้น แล้วเปิดเผยความลับนั้นในประการที่ น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้องระวางโทษจาคุกไม่เกิน หกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ • ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผย ความลับของผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษ เช่นเดียวกัน
- 27. 27 ข้อควำมจริง บน • "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ ... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา ฉายรังสีต่อ ที่... ตอนนี้ Happy ดี ไม่ค่อยปวด เดินได้สบาย คนไข้ฝากขอบคุณอาจารย์อีกครั้ง -- อีกอย่าง คนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม. บอกว่าถ้าพร้อมจะไป Follow-up กับอาจารย์ ครับ" ข้อมูลผู้ป่วย บน Social Media
- 28. 28 แนวทางการคุ้มครอง Privacy • Informed consent • Privacy culture • User awareness building & education • Organizational policy & regulations Enforcement Ongoing privacy & security assessments, monitoring, and protection
- 29. 29 เรื่องเล่าจากรามาธิบดี #5: Enforcement Uniform Enforcement: เรื่องเล่าเกี่ยวกับ ความน่าศรัทธาของผู้บริหาร
- 30. 30 Line เสี่ยงต่อกำรละเมิด Privacy ผู้ป่วยได้อย่ำงไร? • ข้อความใน Line group มีคนเห็นหลายคน • ถูก capture หรือ forward ไป share ต่อได้ • ข้อมูล cache ที่เก็บใน mobile device อาจถูกอ่านได้ (เช่น ทาอุปกรณ์หาย หรือเผลอวางเอาไว้) • ข้อมูลที่ส่งผ่าน network อาจไม่ได้เข้ารหัส • บริษัท Line เข้าถึงได้ และอาจถูก hack ได้ • มีคนเดา Password ได้ • ส่งผิดกลุ่ม
- 32. 32 ทำงออกสำหรับกำร Consult Case ผู้ป่วย • ใช้ช่องทางอื่นที่ไม่มีการเก็บ record ข้อมูล ถ้าเหมาะสม • หลีกเลี่ยงการระบุหรือ include ชื่อ, HN, เลขที่เตียง หรือ ข้อมูลที่ระบุตัวตนผู้ป่วยได้ (รวมทั้งในภาพ image) • ใช้ app ที่ปลอดภัยกว่า • Limit คนที่เข้าถึง (เช่น ไม่คุยผ่าน Line group) • ใช้อย่างปลอดภัย (Password, ดูแลอุปกรณ์ไว้กับตัว, เช็ค malware ฯลฯ)
- 33. 33 เรื่องเล่าจากรามาธิบดี #6: PR Nightmare เหตุการณ์ไม่จริง ที่สร้างความ เสียหาย กลายเป็น viral (“เช็คก่อนแชร์”)
- 34. 34 เรื่องเล่าจากรามาธิบดี #6: PR Nightmare & Response http://new.khaosod.co.th.khaosod.online/dek3/win.html (อันตราย! ไม่ควรเข้าเว็บนี้) ข่าวนี้ไม่เป็นความจริง
- 35. 35 เรื่องเล่าจากรามาธิบดี #6: PR Nightmare & Response
- 36. 36 เรื่องเล่าจากรามาธิบดี #7: Passwords Keylogger Attack: เรื่องเล่าจากกิจกรรมชมรม สมัยเป็นนักศึกษาแพทย์
- 38. 38 User Account Security So, two informaticians walk into a bar... The bouncer says, "What's the password." One says, "Password?" The bouncer lets them in. Credits: @RossMartin & AMIA (2012)
- 39. 39 What’s the Password? Unknown Internet sources, via http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737, via Facebook page “สอนแฮกเว็บแบบแมวๆ”
- 41. 41 User Account Security https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png
- 42. 42 ความยาว 8 ตัวอักษรขึ้นไป ความซับซ้อน: 3 ใน 4 กลุ่มตัวอักษร Uppercase letters Lowercase letters Numbers Symbols ไม่มีความหมาย (ป้องกัน “Dictionary Attacks”) ไม่ใช่ simple patterns (12345678, 11111111) ไม่เกี่ยวกับข้อมูลส่วนตัวที่คนสนิทอาจรู้ (เช่น วันเกิด ชื่อคนในครอบครัว ชื่อสัตว์เลี้ยง) Passwords
- 43. 43 เรื่องเล่าจากรามาธิบดี #8: Password ท่องง่าย (แต่ก็ Hack ง่าย) Dictionary Attack: เรื่องเล่าจากการเรียน การ Hack ระบบ ที่ USA
- 44. 44 Clear Desk, Clear Screen Policy http://pixabay.com/en/post-it-sticky-note-note-corner-148282/
- 45. 45 แล้วจะจา Password ได้ยังไง? คิดประโยคภาษาอังกฤษสัก 1 ประโยค ประโยคนี้ควรมีคา 8 คาขึ้นไป และควรมีตัวเลข หรือสัญลักษณ์พิเศษด้วย ใช้ตัวอักษรตัวแรกของแต่ละคา เป็น Password
- 47. 47 ตัวอย่างการตั้ง Password ประโยค: I love reading all 7 Harry Potter books! Password: Ilra7HPb!
- 49. 49 Password Expiration เปลี่ยน Password ทุกๆ 6 เดือน
- 50. 50 เรื่องเล่าจากรามาธิบดี #9: Wi-Fi Wi-Fi Router เถื่อน: พวกชอบสร้างปัญหาให้ admin และอาจเป็นจอมขโมย Password
- 51. 51 Logout After Use อย่าลืม Logout หลังใช้งานเสมอ โดยเฉพาะเครื่องสาธารณะ (หากไม่อยู่ที่หน้าจอ แม้เพียงชั่วครู่ ให้ Lock Screen เสมอ)
- 53. 53 Mobile Security ตั้ง PIN สาหรับ Lock Screen เอาไว้ ไม่เก็บข้อมูลสาคัญเอาไว้ ระวังไม่ให้สูญหาย หากสูญหายรีบแจ้งระงับ
- 56. 56 เรื่องเล่าจากรามาธิบดี #10: E-mail หลอกลวง Phishing
- 60. 60 E-mail & Online Security (Phishing) https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
- 61. 61 E-mail & Online Security (Phishing) https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
- 62. 62 Secure Log-in สาหรับเว็บที่สาคัญ Microsoft Internet Explorer
- 63. 63 Secure Log-in สาหรับเว็บที่สาคัญ Mozilla Firefox Google Chrome
- 64. 64 ลักษณะสาคัญที่ควรสงสัย Phishing Grammar ห่วยแตก ตัวสะกดผิดเยอะ พยายามอย่างยิ่งให้เปิดไฟล์แนบ หรือกด link หรือตอบเมล แต่ไม่ค่อยให้รายละเอียด E-mail ที่มาจากคนรู้จัก ไม่ได้ปลอดภัยเสมอไป
- 66. 66 เรื่องเล่าจากรามาธิบดี #11: ถูก E-mail หลอก Phishing Attack: เรื่องเล่าจากชีวิต ประธานนักเรียนไทยใน Minnesota
- 70. 70 ประกาศเตือนภัย Ransomware ในรามาธิบดี ขอบคุณภาพ Screen Saver จากฝ่ายสารสนเทศ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี
- 73. 73 เครือข่ายด้าน IT ในองค์กร Ramathibodi Computer Emergency Readiness Team (RamaCERT) Rama IT Enthusiasts (Open to all Ramathibodi Personnel)
- 74. 74https://www.thaicert.or.th/downloads/files/Tips_to_Secure_Personal_Computer.jpg PC Security, Virus & Malware
- 75. 75 เรื่องเล่าจากรามาธิบดี #13: แชร์ไฟล์ File Sharing: เรื่องเล่าจากชีวิต นักศึกษาแพทย์รามาธิบดี (ที่อยากรู้อยากเห็น)
- 76. 76 เรื่องเล่าจากรามาธิบดี #14: Virus & Patch Updates Virus/Malware Attack & Windows Update: เรื่องเล่าจากบทบาท Chief IT Admin รามาธิบดี (ที่ต้องดูแลระบบล่ม)
- 77. 77 เรื่องเล่าจากรามาธิบดี #15: Apple False Sense of Security เรื่องเล่าจาก Apple Fanboy
- 78. 78 เรื่องเล่าจากรามาธิบดี #16: Back-up Your Data: เรื่องเล่าจากคนงานเยอะ
- 79. 79 World Backup Day: March 31 ของทุกปี
- 81. 81 http://intranet.mahidol/op/orla/law/index.php /announcement/146-2556/770-social-network นโยบำยด้ำน Social Media ของมหำวิทยำลัยมหิดล
- 82. 82 • ข้อความบน Social Network สามารถเข้าถึงได้โดยสาธารณะ ผู้เผยแพร่ต้องรับผิดชอบ ทั้งทางสังคมและกฎหมาย และอาจ ส่งผลกระทบต่อชื่อเสียง การทางาน และวิชาชีพของตน MU Social Media Policy
- 83. 83 • บุคลากรทางการแพทย์หรือผู้ให้บริการสุขภาพ – ระวังการใช้ Social Network ในการปฏิสัมพันธ์กับผู้ป่วย – ปฏิบัติตามจริยธรรมของวิชาชีพ – ระวังเรื่องความเป็นส่วนตัว (Privacy) และความลับของข้อมูล ผู้ป่วย – การเผยแพร่ข้อมูล/ภาพผู้ป่วย เพื่อการศึกษา ต้องขออนุญาตผู้ป่วย ก่อนเสมอ และลบข้อมูลที่เป็น identifiers ทั้งหมด (เช่น ชื่อ, HN, ภาพใบหน้า หรือ ID อื่นๆ) ยกเว้นผู้ป่วยอนุญาต (รวมถึงกรณีการ โพสต์ใน closed groups ด้วย) • ตั้งค่า Privacy Settings ให้เหมาะสม MU Social Media Policy
- 84. 84 • ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะ แพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551 • ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏิบัติของผู้ได้รับอนุญาตให้ เข้าถึงข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554 • ประกาศคณะฯ เรื่อง การขอคัดถ่ายสาเนาเวชระเบียนผู้ป่วย พ.ศ. 2556 • ประกาศคณะฯ เรื่อง ข้อกาหนดการใช้สื่อสังคมออนไลน์ ของ คณะฯ พ.ศ. 2556 • ประกาศคณะฯ เรื่อง แนวทางปฏิบัติ การขอบันทึกภาพและเสียง ในโรงพยาบาลสังกัดของคณะฯ พ.ศ. 2557 ระเบียบต่ำงๆ ของคณะฯ ด้ำน Information Security
- 85. 85 Social Media Case Studies
- 86. 86 Social Media Case Study #1: พฤติกรรมไม่เหมำะสม Disclaimer (นพ.นวนรรน): นาเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้ เรื่อง Social Media เท่านั้น ไม่มี เจตนาลบหลู่ ดูหมิ่น หรือทาให้ผู้ใด องค์กรใด หรือวิชาชีพใดเสียหาย โปรดใช้วิจารณญาณในการอ่านเนื้อหา
- 87. 87 Disclaimer (นพ.นวนรรน): นาเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้ เรื่อง Social Media เท่านั้น ไม่มี เจตนาลบหลู่ ดูหมิ่น หรือทาให้ผู้ใด องค์กรใด หรือวิชาชีพใดเสียหาย โปรดใช้วิจารณญาณในการอ่านเนื้อหา Social Media Case Study #1: พฤติกรรมไม่เหมำะสม
- 88. 88http://news.mthai.com/hot-news/world-news/453842.html Social Media Case Study #2: Selfie มีประเด็น
- 89. 89 http://pantip.com/topic/33678081 https://www.facebook.com/photo.php?fbid=971229119583658&set=a.37957656541558 6.90794.100000897364762&type=1&theater Social Media Case Study #3: Selfie มีประเด็น
- 90. 90http://www.matichon.co.th/news_detail.php?newsid=1429341430 Social Media Case Study #4: ดูหมิ่นผู้ป่วย
- 91. 91 Social Media Case Study #5: ละเมิดผู้รับบริกำร Disclaimer (นพ.นวนรรน): นาเสนอเป็น กรณีศึกษาเพื่อการเรียนรู้เรื่อง Social Media เท่านั้น ไม่มีเจตนาดูหมิ่น หรือทาให้ผู้ใด เสียหาย และไม่มีเจตนาสร้างประเด็นทาง การเมือง ชื่อ สัญลักษณ์ หรือเครื่องหมายของบุคคล หรือองค์กรใด เป็นเพียงการให้ข้อมูลแวดล้อม เพื่อการทาความเข้าใจกรณีศึกษาเท่านั้น ไม่ใช่ การใส่ความว่าผู้นั้นกระทาการใด อันจะทาให้ ผู้นั้นเสียชื่อเสียง ถูกดูหมิ่น หรือถูกเกลียดชัง โปรดใช้วิจารณญาณในการอ่านเนื้อหา
- 92. 92 http://manager.co.th/Entertainment/Vie wNews.aspx?NewsID=9580000076405 Social Media Case Study #6: ละเมิดผู้รับบริกำร
- 93. 93 Social Media Case Study #7: ไม่แยก Account
- 94. 94 Facebook Profile vs. Page vs. Group • ใช้ Profile สาหรับ user แต่ละคน (แยกคนกัน) • ใช้ Page สาหรับการ PR องค์กร/หน่วยงาน/ทีม/ กลุ่ม (สามารถตั้ง user คนละคน เป็น admin ได้ โดยแยก account กัน) • ใช้ Group สาหรับการสื่อสารกันภายในกลุ่ม (ตั้งระดับ privacy ที่เหมาะสมได้)
- 95. 95 Social Media Case Study #8: ไม่ตรวจสอบข้อมูล Disclaimer (นพ.นวนรรน): นาเสนอเป็น กรณีศึกษาเพื่อการเรียนรู้เรื่อง Social Media เท่านั้น ไม่มีเจตนาดูหมิ่น หรือทาให้ผู้ใด เสียหาย ชื่อ สัญลักษณ์ หรือเครื่องหมายของบุคคล หรือองค์กรใด เป็นเพียงการให้ข้อมูลแวดล้อม เพื่อการทาความเข้าใจกรณีศึกษาเท่านั้น ไม่ใช่ การใส่ความว่าผู้นั้นกระทาการใด อันจะทาให้ ผู้นั้นเสียชื่อเสียง ถูกดูหมิ่น หรือถูกเกลียดชัง โปรดใช้วิจารณญาณในการอ่านเนื้อหา
- 96. 96 Social Media Case Study #9: ไม่ตรวจสอบข้อมูล Source: Facebook Page โหดสัส V2 อ้างอิงภาพจากหน้า 7 นสพ.ไทยรัฐ วันที่ 6 พ.ค. 2557 และ http://www.reuters.com/article/2013/10/16/us-philippines-quake-idUSBRE99E01R20131016
- 97. 97 Social Media Best Practices https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg
- 98. 98 Social Media Best Practices https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg
- 99. 99 Social Media Best Practices จัดทาโดย นพ.นวนรรน ธีระอัมพรพันธุ์ อยู่ระหว่างนาลงประกาศในราชกิจจานุเบกษาเร็วๆ นี้
- 100. 100 Line Group: Rama IT Enthusiasts (Open to all Ramathibodi faculty members, staff, personnel & students) • ยินดีให้ผู้ที่เข้ากลุ่มแล้ว ส่ง Invite ให้เพื่อนๆ ที่สนใจ • ติดต่อขอเข้ากลุ่มได้ที่ Line ID: NawananT ติดตามอัปเดตความรู้ www.facebook.com/InformaticsRound
- 101. 101 Summary of Talk: เรียนรู้จากเรื่องเล่า • ทาไมเราต้องแคร์เรื่อง Security & Privacy? • Security/Privacy กับข้อมูลผู้ป่วย • แนวปฏิบัติด้าน Security ของระบบ • แนวปฏิบัติด้าน Privacy ของข้อมูล • รามาธิบดี กับ Security/Privacy • แนวปฏิบัติด้านการใช้ Social Media ที่เหมาะสม