Security Management ของโรงพยาบาลไทย: เมื่อไรจะไล่ทัน Sector อื่น?

นพ.นวนรรน ธีระอัมพรพันธุ์คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล

1 เม.ย. 2560SlideShare.net/Nawanan

2

Disclaimers

• เนื้อหาในการบรรยายน้ี เป็นความเห็นส่วนตัวทางวิชาการของผู้บรรยาย และไม่ได้สะท้อนจุดยืน มุมมอง หรือความเห็นของหน่วยงานที่ผู้บรรยายสังกัดหรือเกี่ยวข้องแต่อย่างใด

• การบรรยายน้ี มีวัตถุประสงค์เพื่อแลกเปลี่ยนเรียนรู้ทางวิชาการ ไม่มีเจตนาดูหมิ่น หรือท าให้ผู้ใดเสียหาย ชื่อ สัญลักษณ์ หรือเครื่องหมายของบุคคลหรือองค์กรใด เป็นเพียงการให้ข้อมูลแวดล้อมเพื่อการท าความเข้าใจกรณีศึกษาเท่านั้น ไม่ใช่การใส่ความว่าผู้นั้นกระท าการใด อันจะท าให้ผู้นั้นเสียชื่อเสียง ถูกดูหมิ่น หรือถูกเกลียดชัง โปรดใช้วิจารณญาณในการอ่านเนื้อหา

3

Outline

• Case Studies of Security & Privacy in Healthcare

• Why Healthcare Lags Behind

• Moving Forward

4

What You Expect When You Think About Security in Healthcare: Hacking Medical Devices

http://csi.wikia.com/wiki/Hack_E.R.

5

What Really Happened on Healthcare Security & Privacy Risks

6

Case Studies of Security & Privacy

http://news.sanook.com/1262964/

7

Case Studies of Security & Privacy

http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

8

Case Studies of Security & Privacy

9

Case Studies of Security & Privacy

10

Case Studies of Security & Privacy

http://pantip.com/topic/35330409/

11

Case Studies of Security & Privacy

ข้อความจริง บน• "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ... คน

ไข้... ที่อาจารย์ผ่าไปแล้ว มา ฉายรังสีต่อที.่.. ตอนน้ี Happy ดี ไม่ค่อยปวด เดินได้สบาย คนไข้ฝากขอบคุณอาจารย์อีกครั้ง -- อีกอย่างคนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม. บอกว่าถ้าพร้อมจะไป Follow-up กับอาจารย์ครับ"

12

Case Studies of Security & Privacy

So, two informaticians

walk into a bar...

The bouncer says,

"What's the password."

One says, "Password?"

The bouncer lets them

in.

Credits: @RossMartin & AMIA (2012)

13

Case Studies of Security & Privacy

14

Case Studies of Security & Privacy

http://www.healthcareitnews.com/news/more-half-hospitals-hit-ransomware-last-12-months

15

Case Studies of Security & Privacy

http://news.mthai.com/hot-news/world-news/453842.html

16

Case Studies of Security & Privacy

http://pantip.com/topic/33678081

https://www.facebook.com/photo.php?fbid=971229119583658&set=a.379576565415586.90794.100000897364762&type=1&theater

17

Case Studies of Security & Privacy

http://www.matichon.co.th/news_detail.php?newsid=1429341430

18

Case Studies of Security & Privacy

http://manager.co.th/Entertainment/ViewNews.aspx

?NewsID=9580000076405

19

เราเห็นอะไรจากตัวอย่าง Case Studies เหล่านี้

• Incidents ส่วนใหญ่ เป็นเรื่อง privacy มากกว่า security: People are the “weakest link”

• Security attacks มักเป็น basic attacks มากกว่า advanced, sophisticated attacks

• Insider threat และ user’s ignorance เป็นเรื่องส าคัญมาก

20

Common Security Pitfalls in Healthcare

• User SecurityPoor user awarenessWeak passwordsWritten passwordsUnexpired passwordsWeak authen/access controlsNo “Principle of Least Privilege”

21

Common Security Pitfalls in Healthcare

• System SecurityUnpatched servers & clients

Legacy systems

Lack of adequate anti-malware protections

Inadequate redundancies & backups

No honeypots

22

Common Security Pitfalls in Healthcare

• Software SecurityCustomized software

No “Security by Design”

Poor software testing & SDLC quality controls

Most likely weaknesses: invalid input, XSS, SQL injection, poor exception handling

Lack of medical device security regulations

23

Common Security Pitfalls in Healthcare

• Network SecurityNo firewallsPoor network designNo encryption

• Database SecurityPoor access controls

• Physical Security

24

Why Healthcare Lags Behind?

• IT & IT security not industry’s strengths

• Many people to deal with (and to train security awareness)

• Lack of awareness among executives, users, and almost everyone

• Underestimated risks

• IT often perceived as “barrier” to patient care

25

Moving Forward

• Creating networks of cybersec people in healthcare

• Build capacity on security & privacy• Use case studies as lessons• Link security & privacy with bioethics

Autonomy (Patient’s rights) Beneficence (Benefits to the patient) Non-maleficence (“First, do no harm”)

26

...

What I may see or hear in the course

of treatment or even outside of the

treatment in regard to the life of men,

which on no account one must spread

abroad, I will keep myself holding

such things shameful to be spoken

about.

...

http://en.wikipedia.org/wiki/Hippocratic_Oath

Hippocratic Oath

27

• พรบ.สุขภาพแห่งชาติ พ.ศ. 2550

• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะน าไปเปิดเผยในประการที่น่าจะท าให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอ านาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้

Privacy Laws

28

7. ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรงของผู้ป่วยหรือตามกฎหมาย

ค าประกาศสิทธิและข้อพึงปฏิบัติของผู้ป่วย

29 http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF

30

Moving Forward

• Survey of security practices in healthcare

• Engage with vendors & policymakers

• Establish security framework for healthcare-specific technologies: medical devices, clinical information systems

• Revise health information privacy laws for better clarifications and fostering trust

31

My Last Plea

Please...Don’t attack healthcare.

One day, your life may depend on it!