Presented at the HA Southern Regional Forum: High-Tech, High-Touch, High-Trust in Healthcare, Faculty of Medicine, Prince of Songkla University, Songkla, Thailand on November 8, 2019
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Social Media, Security and Privacy of Information
1. 11
Social Media, Security and
Privacy of Information
นพ.นวนรรน ธีระอัมพรพันธุ์
ผู้ช่วยคณบดีฝ่ายสารสนเทศ
อาจารย์ กลุ่มสาขาวิชาระบาดวิทยาคลินิกและชีวสถิติ
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี
มหาวิทยาลัยมหิดล
SlideShare.net/Nawanan
8 พฤศจิกายน 2562
2. 22
S: Social Media and Communication
S 1 Security and Privacy of Information
S 2 Social Media and Communication
Professionalism
Personnel Safety Goals: S in SIMPLE
3. 33
S 1: Security and Privacy of Information
• ข้อมูลส่วนบุคคล (Personal Information) หมายถึง
ข้อมูลของบุคคลหรือเกี่ยวกับบุคคล ที่สามารถระบุตัว
บุคคลนั้นได้ หรือเข้าใจได้ว่าหมายถึงข้อมูลของบุคคลใด
ทั้งที่อยู่ในรูปแบบเอกสารและอิเล็กทรอนิกส์
4. 44
S 1: Security and Privacy of Information
• ความมั่นคงปลอดภัยสารสนเทศ (Information Security)
หมายถึง การคุ้มครองป้องกันข้อมูลและระบบสารสนเทศของ
บุคคลหรือองค์กร จากการถูกเข้าถึง ใช้ เปิดเผย แก้ไข ทาลาย
หรือระงับการใช้งานโดยไม่ได้รับอนุญาต (CIA: Confidentiality,
Integrity, Availability)
• ความเป็นส่วนตัว (Privacy) ของข้อมูลสารสนเทศ หมายถึง การ
คุ้มครองข้อมูลส่วนบุคคล เพื่อให้การเข้าถึง ใช้ และเปิดเผยข้อมูล
สารสนเทศดังกล่าว เป็นไปตามความประสงค์และความยินยอม
ของผู้นั้น ยกเว้นกรณีปฏิบัติตามกฎหมาย
6. 66
S 1: Security and Privacy of Information: Why?
• ลดความเสี่ยงที่จะเกิดความเสียหายต่อสถานพยาบาล
และผู้ให้บริการเอง ไม่ว่าจะเป็นผลกระทบในด้านการ
ให้บริการหรือผลกระทบต่อตัวบุคคล
• ข้อมูลส่วนบุคคลของผู้รับบริการ ถือเป็นความลับของ
ผู้รับบริการที่ผู้ให้บริการมีหน้าที่ทางจริยธรรมในการ
คุ้มครองป้องกัน
7. 77
S 1: Security and Privacy of Information: Process
• Policy & Regulations: นโยบายและระเบียบปฏิบัติที่
เหมาะสมด้านความมั่นคงปลอดภัยสารสนเทศและความ
เป็นส่วนตัว ที่มีการสื่อสารทาความเข้าใจภายในองค์กร
อย่างทั่วถึง
• Risk Management: มีการประเมิน จัดการ และติดตาม
ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศและความ
เป็นส่วนตัวอย่างเหมาะสม
8. 88
S 1: Security and Privacy of Information: Process
• Security Measures: มีมาตรการคุ้มครองป้องกันด้าน
ความมั่นคงปลอดภัยสารสนเทศ ของระบบสารสนเทศที่มี
ข้อมูลส่วนบุคคลเกี่ยวกับบุคลากรหรือผู้ป่วย ในด้าน
– Physical Security
– Administrative Security
– User Security
– Network Security
– System Security
– Data Security
9. 99
S 1: Security and Privacy of Information: Process
• Privacy Measures: มีมาตรการคุ้มครองความเป็น
ส่วนตัว (Privacy) ของข้อมูลสารสนเทศ ทั้งที่เป็นข้อมูล
ส่วนบุคคลเกี่ยวกับบุคลากร และข้อมูลสุขภาพของผู้ป่วย
– Informed Consent
– Access Control according to Need-To-Know Basis
– Privacy in Paper Documents
– Privacy Protection in Secondary Use of Data
11. 1111
User Account Security
So, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)
17. Alice
Simplified Attack Scenarios
Server Bob
- Physical access to client computer
- Electronic access (password)
- Tricking user into doing something
(malware, phishing & social
engineering)
Eve/Mallory
18. Alice
Simplified Attack Scenarios
Server Bob
- Intercepting (eavesdropping or
“sniffing”) data in transit
- Modifying data (“Man-in-the-middle”
attacks)
- “Replay” attacks
Eve/Mallory
19. Alice
Simplified Attack Scenarios
Server Bob
- Unauthorized access to servers through
- Physical means
- User accounts & privileges
- Attacks through software vulnerabilities
- Attacks using protocol weaknesses
- DoS / DDoS attacks Eve/Mallory
20. Alice
Safeguarding Against Attacks
Server Bob
Administrative Security
- Security & privacy policy
- Governance of security risk management & response
- Uniform enforcement of policy & monitoring
- Disaster recovery planning (DRP) & Business continuity
planning/management (BCP/BCM)
- Legal obligations, requirements & disclaimers
21. Alice
Safeguarding Against Attacks
Server Bob
Physical Security
- Protecting physical access of clients & servers
- Locks & chains, locked rooms, security cameras
- Mobile device security
- Secure storage & secure disposition of storage devices
22. Alice
Safeguarding Against Attacks
Server Bob
User Security
- User account management
- Strong p/w policy (length, complexity, expiry, no meaning)
- Principle of Least Privilege
- “Clear desk, clear screen policy”
- Audit trails
- Education, awareness building & policy enforcement
- Alerts & education about phishing & social engineering
23. Alice
Safeguarding Against Attacks
Server Bob
System Security
- Antivirus, antispyware, personal firewall, intrusion
detection/prevention system (IDS/IPS), log files, monitoring
- Updates, patches, fixes of operating system vulnerabilities &
application vulnerabilities
- Redundancy (avoid “Single Point of Failure”)
- Honeypots
24. Alice
Safeguarding Against Attacks
Server Bob
Software Security
- Software (clients & servers) that is secure by design
- Software testing against failures, bugs, invalid inputs,
performance issues & attacks
- Updates to patch vulnerabilities
25. Alice
Safeguarding Against Attacks
Server Bob
Network Security
- Access control (physical & electronic) to network devices
- Use of secure network protocols if possible
- Data encryption during transit if possible
- Bandwidth monitoring & control
26. Alice
Safeguarding Against Attacks
Server Bob
Database Security
- Access control to databases & storage devices
- Encryption of data stored in databases if necessary
- Secure destruction of data after use
- Access control to queries/reports
- Security features of database management systems (DBMS)
31. 3131
S: Social Media and Communication
S 1 Security and Privacy of Information
S 2 Social Media and Communication
Professionalism
Personnel Safety Goals: S in SIMPLE
32. 3232
Social Media Case Study
Disclaimer (นพ.นวนรรน):
นาเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาลบหลู่ ดูหมิ่น หรือทาให้ผู้ใด
องค์กรใด หรือวิชาชีพใดเสียหาย
โปรดใช้วิจารณญาณในการอ่านเนื้อหา
33. 3333
Social Media Case Study
Disclaimer (นพ.นวนรรน):
นาเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาลบหลู่ ดูหมิ่น หรือทาให้ผู้ใด
องค์กรใด หรือวิชาชีพใดเสียหาย
โปรดใช้วิจารณญาณในการอ่านเนื้อหา
36. 3636
Social Media Case Study #1: พฤติกรรมไม่เหมาะสม
Disclaimer (นพ.นวนรรน):
นาเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาลบหลู่ ดูหมิ่น หรือทาให้ผู้ใด
องค์กรใด หรือวิชาชีพใดเสียหาย
โปรดใช้วิจารณญาณในการอ่านเนื้อหา
37. 3737
Social Media Case Study #1: พฤติกรรมไม่เหมาะสม
Disclaimer (นพ.นวนรรน):
นาเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาลบหลู่ ดูหมิ่น หรือทาให้ผู้ใด
องค์กรใด หรือวิชาชีพใดเสียหาย
โปรดใช้วิจารณญาณในการอ่านเนื้อหา
56. 5656
S 2: Social Media: Process
• สถานพยาบาลมีแนวทางปฏิบัติเกี่ยวกับการใช้งาน Social Media
และสื่ออื่นๆ ของบุคลากร ทั้งที่เป็นผู้ประกอบวิชาชีพที่มีกฎหมาย
ควบคุม และบุคลากรอื่นของสถานพยาบาล (ทั้งที่ใช้งานในนาม
ส่วนตัวหรือในนามองค์กร) ที่เหมาะสมกับบริบทขององค์กร โดย
อาจนาแนวทางปฏิบัติที่เป็น Best Practices มาปรับใช้
• สถานพยาบาลมีการสื่อสารทาความเข้าใจแนวทางปฏิบัติดังกล่าว
ภายในองค์กรอย่างทั่วถึง
66. 6666
S 2: Social Media: Process
สถานพยาบาลมีการเฝ้าระวังและกระบวนการสื่อสารใน
ภาวะวิกฤต (Crisis Communication) ซึ่งรวมถึงการ
ตอบสนองในกรณีที่มีเหตุที่อาจส่งผลกระทบด้านลบต่อ
ชื่อเสียง ภาพลักษณ์ และความเชื่อมั่นขององค์กรในวงกว้าง
ที่เหมาะสม คล่องตัว และมีประสิทธิภาพ
67. 6767
S 2: Social Media: Process
สถานพยาบาลมีการเฝ้าระวังและกระบวนการสื่อสารใน
ภาวะวิกฤต (Crisis Communication) ซึ่งรวมถึงการ
ตอบสนองในกรณีที่มีเหตุที่อาจส่งผลกระทบด้านลบต่อ
ชื่อเสียง ภาพลักษณ์ และความเชื่อมั่นขององค์กรในวงกว้าง
ที่เหมาะสม คล่องตัว และมีประสิทธิภาพ
68. 6868
S 2: Social Media: Indicators
• มีแนวทางปฏิบัติเกี่ยวกับการใช้งาน Social Media
• สัดส่วนของบุคลากรที่มีความตระหนักต่อการใช้งานสื่อ
สังคมออนไลน์และสื่อต่างๆ อย่างเหมาะสมและมีความ
เป็นมืออาชีพ
• จานวนอุบัติการณ์ความเสี่ยงด้านการใช้งานสื่อสังคม
ออนไลน์ที่ส่งผลกระทบต่อบุคลากรหรือองค์กรที่สามารถ
ป้องกันได้