Security Management ของโรงพยาบาลไทย: เมื่อไรจะไล่ทัน Sector อื่น?
•
2 gostaram•938 visualizações
Presented at MiSSConf(SP3) on April 1, 2017
Recomendados
Recomendados
Mais conteúdo relacionado
Mais procurados
Mais procurados (20)
Semelhante a Security Management ของโรงพยาบาลไทย: เมื่อไรจะไล่ทัน Sector อื่น?
Semelhante a Security Management ของโรงพยาบาลไทย: เมื่อไรจะไล่ทัน Sector อื่น? (20)
Mais de Nawanan Theera-Ampornpunt
Mais de Nawanan Theera-Ampornpunt (20)
Security Management ของโรงพยาบาลไทย: เมื่อไรจะไล่ทัน Sector อื่น?
- 1. Security Management ของโรงพยาบาลไทย: เมื่อไรจะไล่ทัน Sector อื่น? นพ.นวนรรน ธีระอัมพรพันธุ์ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล 1 เม.ย. 2560SlideShare.net/Nawanan
- 2. 2 Disclaimers • เนื้อหาในการบรรยายนี้ เป็นความเห็นส่วนตัวทางวิชาการของ ผู้บรรยาย และไม่ได้สะท้อนจุดยืน มุมมอง หรือความเห็นของ หน่วยงานที่ผู้บรรยายสังกัดหรือเกี่ยวข้องแต่อย่างใด • การบรรยายนี้ มีวัตถุประสงค์เพื่อแลกเปลี่ยนเรียนรู้ทางวิชาการ ไม่มีเจตนาดูหมิ่น หรือทาให้ผู้ใดเสียหาย ชื่อ สัญลักษณ์ หรือ เครื่องหมายของบุคคลหรือองค์กรใด เป็นเพียงการให้ข้อมูล แวดล้อมเพื่อการทาความเข้าใจกรณีศึกษาเท่านั้น ไม่ใช่การใส่ ความว่าผู้นั้นกระทาการใด อันจะทาให้ผู้นั้นเสียชื่อเสียง ถูกดู หมิ่น หรือถูกเกลียดชัง โปรดใช้วิจารณญาณในการอ่านเนื้อหา
- 3. 3 Outline • Case Studies of Security & Privacy in Healthcare • Why Healthcare Lags Behind • Moving Forward
- 4. 4 What You Expect When You Think About Security in Healthcare: Hacking Medical Devices http://csi.wikia.com/wiki/Hack_E.R.
- 5. 5 What Really Happened on Healthcare Security & Privacy Risks
- 6. 6 Case Studies of Security & Privacy http://news.sanook.com/1262964/
- 7. 7 Case Studies of Security & Privacy http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm
- 8. 8 Case Studies of Security & Privacy
- 9. 9 Case Studies of Security & Privacy
- 10. 10 Case Studies of Security & Privacy http://pantip.com/topic/35330409/
- 11. 11 Case Studies of Security & Privacy ข้อความจริง บน • "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ... คน ไข้... ที่อาจารย์ผ่าไปแล้ว มา ฉายรังสีต่อที่... ตอนนี้ Happy ดี ไม่ค่อยปวด เดินได้สบาย คนไข้ฝาก ขอบคุณอาจารย์อีกครั้ง -- อีกอย่างคนไข้ช่วงนี้ไม่ค่อย สะดวกเลยไม่ได้ไป กทม. บอกว่าถ้าพร้อมจะไป Follow-up กับอาจารย์ครับ"
- 12. 12 Case Studies of Security & Privacy So, two informaticians walk into a bar... The bouncer says, "What's the password." One says, "Password?" The bouncer lets them in. Credits: @RossMartin & AMIA (2012)
- 13. 13 Case Studies of Security & Privacy
- 14. 14 Case Studies of Security & Privacy http://www.healthcareitnews.com/news/more-half-hospitals-hit-ransomware-last-12-months
- 15. 15 Case Studies of Security & Privacy http://news.mthai.com/hot-news/world-news/453842.html
- 16. 16 Case Studies of Security & Privacy http://pantip.com/topic/33678081 https://www.facebook.com/photo.php?fbid=971229119583658&set=a.379576565415586.90 794.100000897364762&type=1&theater
- 17. 17 Case Studies of Security & Privacy http://www.matichon.co.th/news_detail.php?newsid=1429341430
- 18. 18 Case Studies of Security & Privacy http://manager.co.th/Entertainment/ViewNews.aspx ?NewsID=9580000076405
- 19. 19 เราเห็นอะไรจากตัวอย่าง Case Studies เหล่านี้ • Incidents ส่วนใหญ่ เป็นเรื่อง privacy มากกว่า security: People are the “weakest link” • Security attacks มักเป็น basic attacks มากกว่า advanced, sophisticated attacks • Insider threat และ user’s ignorance เป็นเรื่อง สาคัญมาก
- 20. 20 Common Security Pitfalls in Healthcare • User Security Poor user awareness Weak passwords Written passwords Unexpired passwords Weak authen/access controls No “Principle of Least Privilege”
- 21. 21 Common Security Pitfalls in Healthcare • System Security Unpatched servers & clients Legacy systems Lack of adequate anti-malware protections Inadequate redundancies & backups No honeypots
- 22. 22 Common Security Pitfalls in Healthcare • Software Security Customized software No “Security by Design” Poor software testing & SDLC quality controls Most likely weaknesses: invalid input, XSS, SQL injection, poor exception handling Lack of medical device security regulations
- 23. 23 Common Security Pitfalls in Healthcare • Network Security No firewalls Poor network design No encryption • Database Security Poor access controls • Physical Security
- 24. 24 Why Healthcare Lags Behind? • IT & IT security not industry’s strengths • Many people to deal with (and to train security awareness) • Lack of awareness among executives, users, and almost everyone • Underestimated risks • IT often perceived as “barrier” to patient care
- 25. 25 Moving Forward • Creating networks of cybersec people in healthcare • Build capacity on security & privacy • Use case studies as lessons • Link security & privacy with bioethics Autonomy (Patient’s rights) Beneficence (Benefits to the patient) Non-maleficence (“First, do no harm”)
- 26. 26 ... What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about. ... http://en.wikipedia.org/wiki/Hippocratic_Oath Hippocratic Oath
- 27. 27 • พรบ.สุขภาพแห่งชาติ พ.ศ. 2550 • มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วน บุคคล ผู้ใดจะนาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้น เสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้อง เปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจหรือสิทธิ ตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมาย อื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ ของตนไม่ได้ Privacy Laws
- 30. 30 Moving Forward • Survey of security practices in healthcare • Engage with vendors & policymakers • Establish security framework for healthcare- specific technologies: medical devices, clinical information systems • Revise health information privacy laws for better clarifications and fostering trust
- 31. 31 My Last Plea Please...Don’t attack healthcare. One day, your life may depend on it!