Security Management ของโรงพยาบาลไทย:...
-
Upload
nawanan-theera-ampornpunt -
Category
Technology
-
view
524 -
download
3
Transcript of Security Management ของโรงพยาบาลไทย:...
Security Management ของโรงพยาบาลไทย: เมื่อไรจะไล่ทัน Sector อื่น?
นพ.นวนรรน ธีระอัมพรพันธุ์คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล
1 เม.ย. 2560SlideShare.net/Nawanan
2
Disclaimers
• เนื้อหาในการบรรยายน้ี เป็นความเห็นส่วนตัวทางวิชาการของผู้บรรยาย และไม่ได้สะท้อนจุดยืน มุมมอง หรือความเห็นของหน่วยงานที่ผู้บรรยายสังกัดหรือเกี่ยวข้องแต่อย่างใด
• การบรรยายน้ี มีวัตถุประสงค์เพื่อแลกเปลี่ยนเรียนรู้ทางวิชาการ ไม่มีเจตนาดูหมิ่น หรือท าให้ผู้ใดเสียหาย ชื่อ สัญลักษณ์ หรือเครื่องหมายของบุคคลหรือองค์กรใด เป็นเพียงการให้ข้อมูลแวดล้อมเพื่อการท าความเข้าใจกรณีศึกษาเท่านั้น ไม่ใช่การใส่ความว่าผู้นั้นกระท าการใด อันจะท าให้ผู้นั้นเสียชื่อเสียง ถูกดูหมิ่น หรือถูกเกลียดชัง โปรดใช้วิจารณญาณในการอ่านเนื้อหา
3
Outline
• Case Studies of Security & Privacy in Healthcare
• Why Healthcare Lags Behind
• Moving Forward
4
What You Expect When You Think About Security in Healthcare: Hacking Medical Devices
http://csi.wikia.com/wiki/Hack_E.R.
7
Case Studies of Security & Privacy
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm
11
Case Studies of Security & Privacy
ข้อความจริง บน• "อาจารย์ครับ เมื่อวาน ผมออก OPD เจอ คุณ... คน
ไข้... ที่อาจารย์ผ่าไปแล้ว มา ฉายรังสีต่อที.่.. ตอนน้ี Happy ดี ไม่ค่อยปวด เดินได้สบาย คนไข้ฝากขอบคุณอาจารย์อีกครั้ง -- อีกอย่างคนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม. บอกว่าถ้าพร้อมจะไป Follow-up กับอาจารย์ครับ"
12
Case Studies of Security & Privacy
So, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)
14
Case Studies of Security & Privacy
http://www.healthcareitnews.com/news/more-half-hospitals-hit-ransomware-last-12-months
16
Case Studies of Security & Privacy
http://pantip.com/topic/33678081
https://www.facebook.com/photo.php?fbid=971229119583658&set=a.379576565415586.90794.100000897364762&type=1&theater
18
Case Studies of Security & Privacy
http://manager.co.th/Entertainment/ViewNews.aspx
?NewsID=9580000076405
19
เราเห็นอะไรจากตัวอย่าง Case Studies เหล่านี้
• Incidents ส่วนใหญ่ เป็นเรื่อง privacy มากกว่า security: People are the “weakest link”
• Security attacks มักเป็น basic attacks มากกว่า advanced, sophisticated attacks
• Insider threat และ user’s ignorance เป็นเรื่องส าคัญมาก
20
Common Security Pitfalls in Healthcare
• User SecurityPoor user awarenessWeak passwordsWritten passwordsUnexpired passwordsWeak authen/access controlsNo “Principle of Least Privilege”
21
Common Security Pitfalls in Healthcare
• System SecurityUnpatched servers & clients
Legacy systems
Lack of adequate anti-malware protections
Inadequate redundancies & backups
No honeypots
22
Common Security Pitfalls in Healthcare
• Software SecurityCustomized software
No “Security by Design”
Poor software testing & SDLC quality controls
Most likely weaknesses: invalid input, XSS, SQL injection, poor exception handling
Lack of medical device security regulations
23
Common Security Pitfalls in Healthcare
• Network SecurityNo firewallsPoor network designNo encryption
• Database SecurityPoor access controls
• Physical Security
24
Why Healthcare Lags Behind?
• IT & IT security not industry’s strengths
• Many people to deal with (and to train security awareness)
• Lack of awareness among executives, users, and almost everyone
• Underestimated risks
• IT often perceived as “barrier” to patient care
25
Moving Forward
• Creating networks of cybersec people in healthcare
• Build capacity on security & privacy• Use case studies as lessons• Link security & privacy with bioethics
Autonomy (Patient’s rights) Beneficence (Benefits to the patient) Non-maleficence (“First, do no harm”)
26
...
What I may see or hear in the course
of treatment or even outside of the
treatment in regard to the life of men,
which on no account one must spread
abroad, I will keep myself holding
such things shameful to be spoken
about.
...
http://en.wikipedia.org/wiki/Hippocratic_Oath
Hippocratic Oath
27
• พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะน าไปเปิดเผยในประการที่น่าจะท าให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอ านาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้
Privacy Laws
28
7. ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรงของผู้ป่วยหรือตามกฎหมาย
ค าประกาศสิทธิและข้อพึงปฏิบัติของผู้ป่วย
30
Moving Forward
• Survey of security practices in healthcare
• Engage with vendors & policymakers
• Establish security framework for healthcare-specific technologies: medical devices, clinical information systems
• Revise health information privacy laws for better clarifications and fostering trust