Knowledge Awareness and Behavior on Information Security of Thai Healthcare Providers: A Case Study of Buddhasothron Hospital.

Abstract

Nowadays information technology plays important roles in healthcare services, making it the main target of attack by cybercriminals. The attack predict by affects the services, safety, and confidentiality of patients. Knowledge and awareness on information security knowledge affect user’s behaviour which is an important factor to keeping information secure. This study had two objectives. The first aim is to develop a tool for assessing knowledge, awareness and behaviour on Information Security. The second is to study the situation of knowledge, awareness, and behaviour on information security of Thai healthcare providers using the Buddhasothorn hospital as a case study.

A knowledge, awareness, and behavior on information security assessment tool was developed. The assessment tool measured 4 domains of knowledge; general knowledge, password related matter management, information security and cyber security threats, and laws related to information security. A Validity test of the knowledge assessment tool by 5 experts showed the IOC of 0.6-1.0, while a reliability test with 30 healthcare staffs demonstrated the KR-20 coefficient at 0.65. The awareness and behaviour parts of the assessment tool showed Cronbach’s alpha coefficients at 0.77 and 0.70, respectively. The validity test and reliability test results implied that the assessment tool was of a good quality.

From 353 Buddhasothorn healthcare providers, study results indicated that most healthcare providers had good knowledge on general knowledge, password related matter management, and laws related to information security. However most healthcare providers lack knowledge of information security and cyber security threats. The healthcare personals demonstrated a high level of awareness (average Awareness score = 4.34). They had behaviours that are at risk of information security of “infrequently” (mean risk behaviour practice level score = 4.11). Information security awareness showed positive correlation with information security knowledge and information security behaviour (r=0.36 and 0.43, respectively). While, knowledge had no significant relationship with information security behavior.

ปัจจุบันเทคโนโลยีสารสนเทศมีบทบาทสำคัญในงานบริการสาธารณสุข ทำให้มีผู้ไม่ประสงค์ดีพุ่งเป้าโจมตีระบบสารสนเทศของหน่วยงานสาธารณสุขเป็นลำดับต้นๆ ส่งผลกระทบต่อการให้บริการ ความปลอดภัย และการรักษาข้อมูลส่วนตัวของผู้ป่วย ความรู้และความตระหนักเรื่องการรักษาความมั่นคงปลอดภัยสารสนเทศมีผลต่อพฤติกรรมของผู้ใช้งาน อันเป็นปัจจัยสำคัญต่อการรักษาความมั่นคงปลอดภัยสารสนเทศ งานวิจัยนี้มี 2 วัตถุประสงค์ ดังนี้ พัฒนาเครื่องมือวัดความรู้ ความตระหนัก และพฤติกรรมการรักษาความมั่นคงปลอดภัยสารสนเทศ และศึกษาสถานการณ์ความรู้ ความตระหนัก และพฤติกรรมการรักษาความมั่นคงปลอดภัยสารสนเทศของบุคลากรสาธารณสุขโดยใช้โรงพยาบาลพุทธโสธรเป็นกรณีศึกษา

ผู้วิจัยทำการพัฒนาแบบวัดความรู้เรื่องการรักษาความมั่นคงปลอดภัยสารสนเทศ แบบประเมินความตระหนักและพฤติกรรมการรักษาความมั่นคงปลอดภัยสารสนเทศ วัดความรู้ 4 ด้าน ได้แก่ ความรู้ทั่วไปต่อการรักษาความมั่นคงปลอดภัยสารสนเทศ ความรู้ด้านการจัดการความปลอดภัยเกี่ยวกับพาสเวิร์ด ความรู้ด้านภัยคุกคามทางสารสนเทศและภัยคุกคามทางไซเบอร์ และความรู้ด้านกฎหมายที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ จากการตรวจสอบคุณภาพของเครื่องมือด้านความตรงเชิงโครงสร้างและเนื้อหาโดยผู้ทรงคุณวุฒิจำนวน 5 ท่าน พบว่า ค่าดัชนีความตรงตามเนื้อหาอยู่ระหว่าง 0.60 ถึง 1.00 เมื่อนำเครื่องมือที่พัฒนาทดสอบกับกลุ่มตัวอย่างที่เป็นบุคลากรสาธารณสุข จำนวน 30 คน เพื่อวัดความเที่ยงของเครื่องมือพบว่า ค่าความเชื่อมั่น KR-20 ของแบบทดสอบความรู้เรื่องการรักษาความมั่นคงปลอดภัยสารสนเทศ มีค่าเท่ากับ 0.65 ส่วนแบบประเมินความตระหนักในการรักษาความมั่นคงปลอดภัยสารสนเทศ และแบบประเมินพฤติกรรมการรักษาความมั่นคงปลอดภัยสารสนเทศ มีค่าสัมประสิทธิ์แอลฟาของครอนบาช เท่ากับ 0.77 และ 0.70 ตามลำดับ จากผลการทดสอบความตรงเชิงโครงสร้างและเนื้อหา และความเที่ยงสรุปได้ว่า เครื่องมือที่พัฒนาขึ้นนี้มีคุณภาพอยู่ในเกณฑ์ดี

ผลการศึกษาในบุคลากรสาธารณสุขโรงพยาบาลพุทธโสธรจำนวน 353 คน ส่วนใหญ่มีความรู้ด้านการจัดการความปลอดภัยเกี่ยวกับพาสเวิร์ด กฎหมายที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ และความรู้ทั่วไปเกี่ยวกับการรักษาความมั่นคงปลอดภัยสารสนเทศ ขณะที่บุคลากรสาธารณสุขส่วนใหญ่ขาดความรู้ด้านภัยคุกคามทางสารสนเทศและภัยคุกคามทางไซเบอร์ บุคลากรมีความตระหนักในระดับมาก (คะแนนค่าความตระหนักเฉลี่ย = 4.34) และพฤติกรรมที่มีความเสี่ยงต่อความมั่นคงปลอดภัยสารสนเทศอยู่ในระดับนานๆครั้ง (คะแนนระดับการปฏิบัติพฤติกรรมที่มีความเสี่ยงเฉลี่ย = 4.11) ความตระหนักในการรักษาความมั่นคงปลอดภัยสารสนเทศ มีความสัมพันธ์เชิงบวกกับความรู้และพฤติกรรมการรักษาความมั่นคงปลอดภัยสารสนเทศ (r=0.36 และ 0.43 ตามลำดับ) ขณะที่ความรู้ไม่มีความสัมพันธ์อย่างมีนัยสำคัญกับพฤติกรรมการรักษาความมั่นคงปลอดภัยสารสนเทศ