Presented at the Surveyor Workshop, The Healthcare Accreditation Institute (Public Organization), Nonthaburi, Thailand on December 19, 2020

1. เยี่ยมสำรวจอย่ำงไร กับประเด็น Cybersecurity
SlideShare.net/Nawanan
นพ.นวนรรน ธีระอัมพรพันธุ์
19 ธันวาคม 2563

2. Overview of IT Security
& Privacy

3. Malware
Threats to Information Security

4. Recycled Papers & Privacy

5. National Healthcare’s Worst Nightmare
https://www.straitstimes.com/singapore/personal-info-of-15m-singhealth-
patients-including-pm-lee-stolen-in-singapores-most

6. Ransomware Attack in Thai Hospitals
https://www.facebook.com/SaraburiHospital/photos/a.255929423747
8100/4366815263392646/

7. Sources of the Threats
▪ Hackers
▪ Viruses & Malware
▪ Poorly-designed systems
▪ Insiders (Employees)
▪ People’s ignorance & lack of knowledge
▪ Disasters & other incidents affecting information
systems

8. Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House

9. Confidentiality
• การรักษาความลับของข้อมูล
Integrity
• การรักษาความครบถ้วนและความ
ถูกต้องของข้อมูล
• ปราศจากการเปลี่ยนแปลงแก้ไข ทา
ให้สูญหาย ทาให้เสียหาย หรือถูก
ทาลายโดยมิชอบ
Availability
• การรักษาสภาพพร้อมใช้งาน
หลักการของ Information Security

10. Personnel Safety Goals

11. Personnel Safety Goals: SIMPLE

12. S: Security and Privacy of Information
and Social Media
S 1 Security and Privacy of Information
S 2 Social Media and
Communication Professionalism
Personnel Safety Goals: S in SIMPLE

13. แนวทำงกำรคุ้มครอง Privacy
• Informed consent
• Privacy culture
• User awareness building & education
• Organizational policy & regulations
▪ Enforcement
▪ Ongoing privacy & security
assessments, monitoring, and protection

14. Alice
Simplified Attack Scenarios
Server Bob
Eve/Mallory
1. “ต้นทาง & ปลายทาง” (Users)
2. “ระหว่างทาง” (Network)
3. “กลางหัวใจ” (Servers)

15. Alice
Simplified Attack Scenarios
Server Bob
- Physical access to client computer
- Electronic access (password)
- Tricking user into doing something
(malware, phishing & social
engineering)
Eve/Mallory

16. Alice
Simplified Attack Scenarios
Server Bob
- Intercepting (eavesdropping or
“sniffing”) data in transit
- Modifying data (“Man-in-the-middle”
attacks)
- “Replay” attacks
Eve/Mallory

17. Alice
Simplified Attack Scenarios
Server Bob
- Unauthorized access to servers through
- Physical means
- User accounts & privileges
- Attacks through software vulnerabilities
- Attacks using protocol weaknesses
- DoS / DDoS attacks
Eve/Mallory

18. Alice
Safeguarding Against Attacks
Server Bob
Administrative Security
- Security & privacy policy
- Governance of security risk management & response
- Uniform enforcement of policy & monitoring
- Disaster recovery planning (DRP) & Business continuity
planning/management (BCP/BCM)
- Legal obligations, requirements & disclaimers

19. Alice
Safeguarding Against Attacks
Server Bob
Physical Security
- Protecting physical access of clients & servers
- Locks & chains, locked rooms, security cameras
- Mobile device security
- Secure storage & secure disposition of storage devices

20. Alice
Safeguarding Against Attacks
Server Bob
User Security
- User account management
- Strong p/w policy (length, complexity, expiry, no meaning)
- Principle of Least Privilege
- “Clear desk, clear screen policy”
- Audit trails
- Education, awareness building & policy enforcement
- Alerts & education about phishing & social engineering

21. Alice
Safeguarding Against Attacks
Server Bob
System Security
- Antivirus, antispyware, personal firewall, intrusion
detection/prevention system (IDS/IPS), log files, monitoring
- Updates, patches, fixes of operating system vulnerabilities &
application vulnerabilities
- Redundancy (avoid “Single Point of Failure”)
- Honeypots

22. Alice
Safeguarding Against Attacks
Server Bob
Software Security
- Software (clients & servers) that is secure by design
- Software testing against failures, bugs, invalid inputs,
performance issues & attacks
- Updates to patch vulnerabilities

23. Alice
Safeguarding Against Attacks
Server Bob
Network Security
- Access control (physical & electronic) to network devices
- Use of secure network protocols if possible
- Data encryption during transit if possible
- Bandwidth monitoring & control

24. Alice
Safeguarding Against Attacks
Server Bob
Database Security
- Access control to databases & storage devices
- Encryption of data stored in databases if necessary
- Secure destruction of data after use
- Access control to queries/reports
- Security features of database management systems (DBMS)
- Data backups (online vs. offline)

25. มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ
หมวด (Domain) ระดับพื้นฐาน ระดับกลาง
(เพิ่มเติมจากระดับพื้นฐาน)
ระดับสูง
(เพิ่มเติมจากระดับกลาง)
Security policy 1 ข้อ 1 ข้อ -
Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ
Asset management 1 ข้อ 4 ข้อ -
Human resources security 6 ข้อ 1 ข้อ 2 ข้อ
Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ
Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ
Access control 9 ข้อ 8 ข้อ 8 ข้อ
Information systems acquisition,
development and maintenance
2 ข้อ 6 ข้อ 8 ข้อ
Information security incident management 1 ข้อ - 3 ข้อ
Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ
Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ
รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)

26. เยี่ยมสารวจอย่างไร
กับประเด็น Cybersecurity
คำถำ #1:
Multiple Domains of Security
(“Defense in Depth”)

27. User Security

28. ▪ Access control
▪ Selective restriction of access to the system
▪ Role-based access control
▪ Access control based on the person’s role
(rather than identity)
▪ Audit trails
▪ Logs/records that provide evidence of
sequence of activities
User Security

29. ▪ Identification
▪ Identifying who you are
▪ Usually done by user IDs or some other unique codes
▪ Authentication
▪ Confirming that you truly are who you identify
▪ Usually done by keys, PIN, passwords or biometrics
▪ Authorization
▪ Specifying/verifying how much you have access
▪ Determined based on system owner’s policy & system
configurations
▪ “Principle of Least Privilege”
User Security

30. ▪ Multiple-Factor Authentication
▪ Two-Factor Authentication
▪ Use of multiple means (“factors”) for authentication
▪ Types of Authentication Factors
▪ Something you know
▪ Password, PIN, etc.
▪ Something you have
▪ Keys, cards, tokens, devices (e.g. mobile phones)
▪ Something you are
▪ Biometrics
User Security

31. Need for Strong Password Policy
So, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)

32. Written Password

33. Recommended Password Policy
▪ Length
▪ 8 characters or more (to slow down brute-force attacks)
▪ Complexity (to slow down brute-force attacks)
▪ Consists of 3 of 4 categories of characters
▪ Uppercase letters
▪ Lowercase letters
▪ Numbers
▪ Symbols (except symbols that have special uses by the
system or that can be used to hack system, e.g. SQL
Injection)
▪ No meaning (“Dictionary Attacks”)
▪ Not simple patterns (12345678, 11111111) (to slow down brute-
force attacks & prevent dictionary attacks)
▪ Not easy to guess (birthday, family names, etc.) (to prevent
unknown & known persons from guessing)Personal opinion. No legal responsibility assumed.

34. Recommended Password Policy
▪ Expiration (to make brute-force attacks not possible)
▪ 6-8 months
▪ Decreasing over time because of increasing computer’s
speed
▪ But be careful! Too short duration will force users to write
passwords down
▪ Secure password storage in database or system
(encrypted or store only password hashes)
▪ Secure password confirmation
▪ Secure “forget password” policy
▪ Different password for each account. Create variations
to help remember. If not possible, have different sets of
accounts for differing security needs (e.g., bank
accounts vs. social media sites) Personal opinion. No legal responsibility assumed.

35. Clear Desk, Clear Screen Policy
http://pixabay.com/en/post-it-sticky-note-note-corner-148282/

36. Techniques to Remember Passwords
▪ http://www.wikihow.com/Create-a-Password-You-Can-
Remember
▪ Note that some of the techniques are less secure!
▪ One easy & secure way: password mnemonic
▪ Think of a full sentence that you can remember
▪ Ideally the sentence should have 8 or more words, with
numbers and symbols
▪ Use first character of each word as password
▪ Sentence: I love reading all 7 Harry Potter books!
▪ Password: Ilra7HPb!
▪ Voila!
Personal opinion. No legal responsibility assumed.

37. Phishing
Real phishing e-mail received by Speaker

38. ▪ Don’t be too trusting of people
▪ Always be suspicious & alert
▪ An e-mail with your friend’s name & info doesn’t have to
come from him/her
▪ Look for signs of phishing attacks
▪ Don’t open attachments unless you expect them
▪ Scan for viruses before opening attachments
▪ Don’t click links in e-mail. Directly type in browser using
known & trusted URLs
▪ Especially cautioned if ask for passwords, bank
accounts, credit card numbers, social security numbers,
etc.
Ways to Protect against Phishing

39. Malware

40. ▪ Malicious software - Any code with intentional,
undesirable side effects
▪ Virus
▪ Worm
▪ Trojan
▪ Spyware
▪ Logic Bomb/Time Bomb
▪ Backdoor/Trapdoor
▪ Rootkit
▪ Botnet
Malware

41. ▪ Virus
▪ Propagating malware that requires user action
to propagate
▪ Infects executable files, data files with
executable contents (e.g. Macro), boot
sectors
▪ Worm
▪ Self-propagating malware
▪ Trojan
▪ A legitimate program with additional, hidden
functionality
Malware

42. ▪ Spyware
▪ Trojan that spies for & steals personal
information
▪ Logic Bomb/Time Bomb
▪ Malware that triggers under certain conditions
▪ Backdoor/Trapdoor
▪ A hole left behind by malware for future
access
Malware

43. ▪ Rogue Antispyware
▪ Software that tricks or forces users to pay before
fixing (real or hoax) spyware detected
▪ Rootkit
▪ A stealth program designed to hide existence of
certain processes or programs from detection
▪ Botnet
▪ A collection of Internet-connected computers that
have been compromised (bots) which controller of the
botnet can use to do something (e.g. do DDoS
attacks)
Malware

44. ▪ Installed & updated antivirus, antispyware, &
personal firewall
▪ Check for known signatures
▪ Check for improper file changes (integrity failures)
▪ Check for generic patterns of malware (for unknown
malware): “Heuristics scan”
▪ Firewall: Block certain network traffic in and out
▪ Sandboxing
▪ Network monitoring & containment
▪ User education
▪ Software patches, more secure protocols
Defense Against Malware

45. Ransomware ระบำดใน Healthcare
Top: http://www.healthcareitnews.com/news/more-half-hospitals-hit-ransomware-last-12-months
Bottom: http://www.mirror.co.uk/news/uk-news/ransomware-nhs-cyber-attack-live-10409420

46. Infected with WannaCry
https://cdn.securelist.com/files/2017/05/wannacry_05.png

47. Cybersecurity & Patient Safety
Cybersecurity &
Medical Devices

48. Preventing from Ransomware
https://us-cert.cisa.gov/sites/default/files/publications/Ransomware_Executive_One-
Pager_and_Technical_Document-FINAL.pdf

49. ▪ Most common reason for security bugs is
invalid programming assumptions that attackers
will look for
▪ Weak input checking
▪ Buffer overflow
▪ Integer overflow
▪ Race condition (Time of Check / Time of Use
vulnerabilities)
▪ Running programs in new environments
Software Security
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271

50. ▪ Defense in Depth
▪ Multiple layers of security defense are
placed throughout a system to provide
redundancy in the event a security
control fails
▪ Secure the weakest link
▪ Promote privacy
▪ Trust no one
Secure Software Design Principles
Saltzer & Schroeder (1975), Viega & McGraw (2000)
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
http://en.wikipedia.org/wiki/Defense_in_depth_(computing)

51. ▪ Modular design
▪ Check error conditions on return values
▪ Validate inputs (whitelist vs. blacklist)
▪ Avoid infinite loops, memory leaks
▪ Check for integer overflows
▪ Language/library choices
▪ Development processes
Secure Software Best Practices
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271

52. U.S. National Institute of Standards and Technology (NIST)
Cybersecurity Framework

53. เยี่ยมสารวจอย่างไร
กับประเด็น Cybersecurity
คำถำ #2: Not Just Protect, But Also
Detect, Respond & Recover
(NIST Cybersecurity Framework)

54. Technology
ProcessPeople
Balanced IT Security Management

55. เยี่ยมสารวจอย่างไร
กับประเด็น Cybersecurity
คำถำ #3: Balancing People,
Process & Technology

56. Cybersecurity Act & Personal Data Protection Act (PDPA)
Critical Information
Infrastructure (CII)
Data Controllers &
Data Processors

57. Social Media (เช่น LINE Application)
กับ Patient Care
ประเด็นที่เถียงกันไม่รู้จบ

58. เยี่ยมสารวจอย่างไร
กับประเด็น Cybersecurity
คำถำ #4: Risk-Based Approach

59. TMI HITQIF v1.2
https://tmi.or.th/download/

60. 1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล
• มีการกาหนดนโยบาย และแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศที่
ชัดเจน ครอบคลุมนโยบายด้านความครบถ้วนถูกต้องของข้อมูล ความ
ปลอดภัยของระบบ การรักษาความลับของผู้ป่วย การเก็บสารสนเทศ
ต่างๆ ระยะเวลาในการเก็บข้อมูลผู้ป่วย ข้อมูลดิบและสารสนเทศ การ
ทาลายข้อมูลดิบและสารสนเทศด้วยความเหมาะสม และนโยบายกากับ
ดูแล ติดตามการดาเนินงานด้านเทคโนโลยีสารสนเทศ
• มีการสื่อสารนโยบายด้านเทคโนโลยีสารสนเทศของโรงพยาบาลให้
ผู้เกี่ยวข้องรับทราบและดาเนินการในแนวเดียวกัน
TMI HITQIF v1.1: Structure & Role

61. 1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล
• ระดับ 0 ยังไม่มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศ
ของโรงพยาบาล
• ระดับ 1 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล แต่ไม่ครบทุกด้านที่สาคัญ (1. ความครบถ้วนถูกต้องของ
ข้อมูล 2. ความปลอดภัยของระบบ 3. การรักษาความลับผู้ป่วย 4. การ
เก็บสารสนเทศ ระยะเวลาในการเก็บข้อมูล การทาลายข้อมูล 5. การ
กากับดูแล ติดตามการดาเนินงานด้านเทคโนโลยีสารสนเทศ)
TMI HITQIF v1.1: Structure & Role

62. 1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล
• ระดับ 2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล ครบทุกด้านที่สาคัญ
• ระดับ 3 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล ครบทุกด้านที่สาคัญ แต่ไม่มีการสื่อสารให้ผู้เกี่ยวข้อง
รับทราบ และดาเนินการแนวเดียวกัน
• ระดับ 4 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล ครบทุกด้านที่สาคัญ มีการสื่อสารให้ผู้เกี่ยวข้องรับทราบ
และดาเนินการแนวเดียวกัน
TMI HITQIF v1.1: Structure & Role

63. ❑Policy & Guidelines/Work Instructions on
o Data completeness & integrity
o System security
o Patient information privacy & confidentiality
protections
o Secure data storage, retention & destruction
o Monitoring, evaluation & enforcement
❑Communication of Policy & Guidelines
IT Security & Privacy Policy Checklist

64. IT Risk Management

65. ▪ Project failures
▪ Waste investments
▪ Security breaches
▪ System crashes
▪ Failures by service providers to understand and
meet customer requirements
▪ System errors or bugs
Examples of IT Risks

66. 1.3 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล
มีการกาหนดนโยบาย และแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศที่
ชัดเจน ครอบคลุมนโยบายด้านความครบถ้วนถูกต้องของข้อมูล ความ
ปลอดภัยของระบบ การรักษาความลับของผู้ป่วย การเก็บสารสนเทศต่างๆ
ระยะเวลาในการเก็บข้อมูลผู้ป่วย ข้อมูลดิบและสารสนเทศ การทาลาย
ข้อมูลดิบและสารสนเทศด้วยความเหมาะสม และนโยบายกากับดูแล
ติดตามการดาเนินงานด้านเทคโนโลยีสารสนเทศ
มีการสื่อสารนโยบายด้านเทคโนโลยีสารสนเทศของโรงพยาบาลให้
ผู้เกี่ยวข้องรับทราบและดาเนินการในแนวเดียวกัน
TMI HITQIF v1.2: Structure and Role

67. 1.5 มีการกาหนดมาตรฐ้านด้านเทคโนโลยีสารสนเทศต่างๆที่จาเป็น
สอดคล้องกับมาตรฐานของประเทศหรือมาตรฐานสากล ได้แก่
มาตรฐานข้อมูล มาตรฐานรหัสข้อมูล (ซึ่งรวมถึง รหัสโรค รหัส
ผ่าตัด สัญลักษณ์ ตัวย่อ คาจากัดความ) มาตรฐานการปฏิบัติงาน
มาตรฐานด้านความปลอดภัยและความลับผู้ป่วย มาตรฐานระบบ
เครือข่ายคอมพิวเตอร์ มาตรฐานทางกายภาพและสภาพแวดล้อม
TMI HITQIF v1.2: Structure and Role

68. 2.1 จัดให้มี Data center
• Data center ของโรงพยาบาล ได้แก่ที่ตั้งของ servers และอุปกรณ์ที่
เกี่ยวข้อง เช่น ระบบสารองข้อมูล อุปกรณ์สารอง redundant system
ระบบรักษาความปลอดภัย เป็นต้น data center นี้ต้องมีการจัดการ
อย่างเหมาะสม เพื่อให้แน่ใจว่า จะสามารถใช้งานระบบได้อย่างปลอดภัย
ปราศจากการหยุด หรือสะดุดของระบบ ซึ่งต้องคานึงถึงสิ่งต่อไปนี้
1) ห้อง สถานที่ และสิ่งแวดล้อม ต้องจัดให้มีความปลอดภัย เช่น มี
การปรับอากาศที่ดี รักษาความปลอดภัยจากบุคคลภายนอก การ
ป้องกันอัคคีภัย (รวมถึงระบบตรวจจับควันและระบบเตือนภัย
เครื่องดับเพลิง และระบบดับเพลิงอัตโนมัติ)
TMI HITQIF v1.2: Technology

69. 2.1 จัดให้มี Data center
2) มีระบบป้องกันการเสียหายของข้อมูลและระบบ (data integrity
and fault tolerance) ซึ่งรวมถึง UPS และระบบไฟฟ้าสารอง,
ระบบ RAID, redundant power supply และ redundant
servers
3) มีระบบสารองข้อมูล ทั้งภายใน และภายนอก data center
4) มีการจัดการ network ที่เหมาะสม
TMI HITQIF v1.2: Technology

70. 2.3 จัดเทคโนโลยีสาหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย
• ความเป็นส่วนตัวของผู้ป่วยเป็นสิ่งสาคัญ ซึ่งเป็นความเสี่ยงอย่างหนึ่งจาก
การใช้เทคโนโลยี จาเป็นต้องจัดการให้มีระบบที่ป้องกันผู้ไม่ได้รับอนุญาต
เข้าถึงข้อมูลของผู้ป่วย ดังนี้
1) ระบบมีบัญชีรายชื่อผู้ใช้งาน และรหัสผ่าน (username and
password) และกลไกการยืนยันตัวบุคคล
2) สร้างระบบการเข้าถึงข้อมูลผู้ป่วยให้รัดกุม (ใคร สามารถเข้าถึง
ข้อมูลส่วนไหน ด้วยวิธีใด เป็นต้น)
TMI HITQIF v1.2: Technology

71. 2.3 จัดเทคโนโลยีสาหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย
3) สามารถระบุตัวบุคคลผู้เข้าถึงข้อมูล ผู้นาข้อมูลผู้รับบริการเข้าสู่
ระบบ ผู้ที่แก้ไขข้อมูล และวันเวลาที่เข้าถึงหรือนาข้อมูล
ผู้รับบริการเข้าสู่ระบบหรือแก้ไขข้อมูลได้ มีเทคโนโลยีด้านความ
มั่นคงของระบบเช่น firewall ระบบป้องกันไวรัสและโทรจัน การ
แยกระบบ Internet และระบบงานโรงพยาบาล การจัด private
network เป็นต้น
TMI HITQIF v1.2: Technology

72. 3.1 มีบุคลากรด้านเทคโนโลยีสารสนเทศที่เพียงพอ โดยมีการกาหนด
สมรรถนะที่จาเป็นของแต่ละตาแหน่งอย่างเหมาะสม อันได้แก่
1) Chief Information officer (CIO)...
2) หัวหน้าหน่วยงานเทคโนโลยีสารสนเทศ (Head of IT unit)...
3) บุคลากรอื่นๆ...
...
II. IT security personnel ผู้ดูแลความมั่นคงปลอดภัยของระบบเทคโนโลยี
สารสนเทศ
...
TMI HITQIF v1.2: People

73. 3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ ผู้ใช้งานระบบ
เทคโนโลยีสารสนเทศสามารถใช้งานได้อย่างถูกต้อง และเป็นไป
ตามบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร ทั้ง
ด้านความถูกต้องครบถ้วนของข้อมูล การรักษาความลับของผู้ป่วย
และความปลอดภัยของระบบเทคโนโลยีสารสนเทศ การพัฒนานี้
รวมถึงผู้บริหารระดับสูงและผู้เกี่ยวข้องได้รับการพัฒนาให้เข้าใจ
เกี่ยวกับหลักการจัดการสารสนเทศ (Principles of Information
Management) ที่จาเป็นด้วย โดยมุ่งเน้นให้เกิดวัฒนธรรมการใช้
งานสารสนเทศที่ดี
TMI HITQIF v1.2: People

74. อัตรากาลังของหน่วยงานเทคโนโลยีสารสนเทศโรงพยาบาลนั้น อาจ
มีความยืดหยุ่นได้ เช่นงานบางอย่างด้านเทคโนโลยีสารสนเทศอาจ
จัดจ้างบุคคลภายนอกดูแล แต่ต้องมีการจัดการที่แน่ใจได้ว่าจะ
สามารถดาเนินการด้านเทคโนโลยีสารสนเทศได้อย่างราบรื่น
ปลอดภัย รวมทั้งจะไม่กระทบต่อภารกิจหลักของโรงพยาบาล และ
ไม่กระทบต่อความลับของผู้ป่วย
TMI HITQIF v1.2: People

75. 4.4 มีการออกแบบระบบคงทนต่อความผิดพลาด (fault
tolerance) มีการบารุงรักษาอย่างสม่าเสมอ มีการจัดการเพื่อให้
ระบบเทคโนโลยีสารสนเทศดาเนินงานได้อย่างต่อเนื่อง
(Availability Management) และสามารถกู้คืนระบบได้แม้จะมี
เหตุการณ์ไม่คาดฝันเกิดขึ้น (IT Service Continuity
Management) โดยมีการวิเคราะห์และจัดทาแผนสารองฉุกเฉิน
(Business Continuity Plan) และแผนกู้คืนระบบ (Disaster
Recovery Plan) รวมทั้งมีการทบทวนและซักซ้อนแผนอย่าง
สม่าเสมอ
TMI HITQIF v1.2: Process

76. 4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสาคัญได้รับการบันทึก และจัดเก็บ
ในระบบ อย่างถูกต้องและครบถ้วน ประกอบไปด้วย
1) การบันทึก อาการสาคัญ ประวัติ ผลการตรวจร่างกาย และคาวินิจฉัยโรค ใน
บัตรผู้ป่วยนอก และ/หรือ เวชระเบียนอิเล็กทรอนิกส์ โดยต้องไม่จัดเก็บรหัส
ICD แทนคาวินิจฉัยโรค
2) บันทึกประวัติตรวจร่างกายแรกรับ บันทึกความก้าวหน้า และการสรุปเวช
ระเบียนเมื่อสิ้นสุดการรักษา (Discharge Summary) ในแฟ้มผู้ป่วยใน
3) รายงานการผ่าตัด ในผู้ป่วยทุกรายที่ได้รับการผ่าตัด
4) การให้รหัส ICD ทั้งรหัสกลุ่มโรค และรหัสการผ่าตัด
5) การบันทึกเวชระเบียนให้สอดคล้องกับมาตรฐานข้อมูลทางการแพทย์อื่นๆ
TMI HITQIF v1.2: Process

77. การมีระบบการควบคุมการดาเนินงานด้านเทคโนโลยีสารสนเทศ
จะทาให้แน่ใจได้ว่าการดาเนินงานจะเป็นไปตามระบบ และ
แผนงานที่วางไว้ การควบคุมด้านเทคโนโลยีสารสนเทศถือเป็นส่วน
หนึ่งของการควบคุมภายในของหน่วยงาน ซึ่งประกอบด้วยกลไกที่
สาคัญดังนี้
TMI HITQIF v1.2: Control

78. 5.1 มีระบบควบคุมทั่วไป (General control) เพื่อให้แน่ใจว่า
ระบบสารสนเทศจะสามารถใช้งานได้อย่างถูกต้อง ปลอดภัย การ
ควบคุมทั่วไปได้แก่ การควบคุมในกรณีต่อไปนี้
1) สร้างวัฒนธรรมการใช้งานเทคโนโลยีสารสนเทศที่ปลอดภัย และ
สอดคล้องกับทิศทางขององค์การ
2) การจัดสร้าง/ต่อเติม software ให้เป็นไปอย่างมีประสิทธิภาพ
รวมทั้งกากับดูแล source code/version ของ software
TMI HITQIF v1.2: Control

79. 3) ระบบควบคุมด้านความมั่นคงปลอดภัยสารสนเทศ
(Information Security Management) มีกระบวนการควบคุมที่
ทาให้แน่ใจได้ว่า ระบบและข้อมูลได้รับการปกป้องจากการเข้าถึง
หรือโจมตีโดยผู้ไม่ประสงค์ดี การใช้งานที่ไม่ถูกต้องหรือไม่ได้รับ
อนุญาต ประกอบไปด้วย
3.1) ความปลอดภัยด้านกายภาพ เช่น มาตรการการเข้าออก data
center
3.2) ด้าน software และการใช้งาน เช่น การเลือกใช้ database
TMI HITQIF v1.2: Control

80. 3.3) การควบคุมการเข้าถึง (Access Control) การจัดการการเข้าถึงของ
ผู้ใช้งาน (User access management) รวมถึงการทาบัญชีรายชื่อผู้ใช้งาน
การกาหนดสิทธิผู้ใช้งาน การรักษาความลับรหัสผ่านของผู้ใช้แต่ละบุคคล
รวมถึงยืนยันตัวบุคคล (Authentication)
3.4) การควบคุมให้เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถเข้าถึงข้อมูล
(Business requirements of access control)
3.5) การกาหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User
responsibilities)
3.6) การควบคุมการเข้าถึงระบบ (System and application access
control)
TMI HITQIF v1.2: Control

81. 3.7) การบันทึกข้อมูลล็อกและการเฝ้าระวัง (Logging and Monitoring)
3.8) การบริหารจัดการช่องโหว่ทางเทคนิค (Technical Vulnerability
Management)
3.9) ด้านเครือข่าย เช่น การเชื่อมโยง Internet การป้องกันการบุกรุก
เครือข่าย
3.10) การบารุงรักษาระบบโดยบุคคลภายนอก มีมาตรการควบคุม
3.11) การป้องกันไวรัสในระบบคอมพิวเตอร์ และเครื่องมือแพทย์
(Protection from Malware)
3.12) การใช้ Social Media ในการสื่อสารข้อมูลผู้ป่วย
TMI HITQIF v1.2: Control

82. 4) ด้าน hardware/software เมื่อมีการเปลี่ยนแปลงระบบงานเกิดขึ้นเช่น
การลงระบบงาน การติดตั้งโปรแกรมครั้งใหม่ ตั้งค่า ระบบ(configuration)
การเพิ่มหน่วยความจาในเครื่องคอมพิวเตอร์ เป็นต้น
5.2 มีระบบควบคุมด้วย application (Application control) เพื่อให้แน่ใจ
ว่า ข้อมูลสารสนเทศที่มีอยู่ในระบบเป็นข้อมูลที่ถูกต้อง ครบถ้วน เชื่อถือได้
ทันเวลา โดยมีระบบควบคุมตรวจสอบดังนี้
...
5) การระบุตัวผู้เข้าใช้ระบบ และควบคุมให้ผู้มีสิทธิเท่านั้นที่เข้าใช้งานระบบ
ได้ตามสิทธิ มีการบันทึกข้อมูลการเข้าใช้งาน
TMI HITQIF v1.2: Control

83. 5.3 มีระบบบริหารความเสี่ยงเทคโนโลยีสารสนเทศ (IT risk
management) ในด้านต่างๆ ดังนี้
1) ความเสี่ยงต่อความมั่นคงปลอดภัยของทรัพยากรในระบบเทคโนโลยี
สารสนเทศ (hardware software network data)
2) ความเสี่ยงที่ระบบเทคโนโลยีสารสนเทศอาจทาให้เกิดความบกพร่องใน
การดูแลรักษาผู้ป่วย
3) ความเสี่ยงต่อความเป็นส่วนตัวของข้อมูลผู้ป่วย
4) ความเสี่ยงในการบริหารโครงการเทคโนโลยีสารสนเทศ (IT Project
Management Failure)
TMI HITQIF v1.2: Control

84. การกาหนดตัวชี้วัด และวัดผลที่สามารถใช้ในการติดตามเฝ้าระวังและ
ตรวจสอบการดาเนินงานด้านเทคโนโลยีสารสนเทศของโรงพยาบาล ว่า
เป็นไปอย่างถูกต้องเหมาะสมและบรรลวัตถุประสงค์ การวัดและประเมินผล
ควรกระทาในทุกๆหมวดของกรอบการพัฒนา เพื่อลดการใช้ความเห็นของ
บุคคลในการตัดสินใจ การวัดที่สาคัญ ได้แก่
6.1 วัดและติดตาม กระบวนการทางานด้านเทคโนโลยีสารสนเทศ เช่น
จานวนครั้งและระยะเวลาที่ต้องหยุดให้บริการ (down time), ระยะเวลาใน
การแก้ไขอุบัติการณ์ต่างๆ, ค่าใช้จ่ายในการบารุงรักษาระบบ
6.2 วัดและติดตามความเสี่ยง การควบคุมภายใน ด้านความมั่นคงและความ
ปลอดภัยของระบบเทคโนโลยีสารสนเทศ
TMI HITQIF v1.2: Metrics

85. 6.3 วัดและติดตามความถูกต้อง ครบถ้วน เชื่อถือได้ ทันเวลาของข้อมูล
สารสนเทศ
6.4 ตรวจสอบการปฏิบัติตามนโยบายและระเบียบปฏิบัติ
6.5 ประเมินและวัดผลการดาเนินการตามแผนแม่บทเทคโนโลยีสารสนเทศ
การพัฒนาสมรรถนะบุคลากร การพัฒนาความสามารถของระบบ
TMI HITQIF v1.2: Metrics

86. เยี่ยมสารวจอย่างไร
กับประเด็น Cybersecurity
คำถำ #5: Encourage ให้ รพ. adopt
มาตรฐานที่เกี่ยวกับ IT Management &
Security เช่น TMI HITQIF &
ISO 27001

87. Final Thoughts

88. • ภัยด้าน IT Security & Privacy เป็น Risk ที่สาคัญอันหนึ่งที่ต้อง
มีการบริหารจัดการ และควรเป็น Risk-based Approach
• Security มีทั้ง C, I, A และเกี่ยวข้องกับ Privacy
• Policy & Regulation รวมทั้ง Legal compliance
มีความสาคัญ
• NIST Cybersecurity
• อย่าลืมให้ความสาคัญกับทั้ง 3 ด้านของ IT Security อย่างได้
สมดุล: People, Process, Technology
IT Security

89. How to Deal with Security

90. How to Deal with Security