ความมั่นคงและปลอดภัยทางไซเบอร์
ความสำคัญและพันธกิจ
ปตท.สผ. ปฏิบัติตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 อย่างเคร่งครัด โดยได้จัดทำแนวทางการปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ การป้องกัน รับมือ และลดความเสี่ยงด้านความมั่นคงและปลอดภัยทางไซเบอร์ ปัจจุบัน ปตท.สผ. ยึดมาตรฐานของ National Institute of Standards and Technology (NIST) เป็นแนวทางในการจัดการเรื่องความมั่นคงปลอดภัยทางไซเบอร์ และได้นำมาตรฐาน ISO 27001 มาใช้ในการประเมินความเสี่ยงตั้งแต่ปี 2557 ในส่วนของระบบจดหมายอิเล็กทรอนิกส์และศูนย์รวมข้อมูล (Data Center Facility) รวมถึงมีการลงทุนด้านเทคโนโลยีและใช้บริการจาก PTT Digital ในการป้องกันและรับมือเพื่อลดความเสี่ยงด้านความมั่นคงและปลอดภัยทางไซเบอร์มาอย่างต่อเนื่อง ในปัจจุบัน ปตท.สผ. มีศูนย์ Security Operations Center (SOC) ที่เชื่อมต่อระบบ Security Information and Event Management (SIEM) กับ Network Firewall ครบทุกแหล่งผลิต
เป้าหมาย
ปตท.สผ. มุ่งมั่นป้องกันและรับมือภัยคุกคามทางไซเบอร์ต่าง ๆ เพื่อจำกัดความเสียหายจากสถานการณ์ภัยคุกคามทางไซเบอร์ที่อาจส่งผลกระทบต่อการดำเนินธุรกิจให้เหลือน้อยที่สุด รวมถึงเสริมสร้างประสิทธิภาพด้านความมั่นคงและปลอดภัยทางไซเบอร์ขององค์กร เพื่อไปสู่เป้าหมายดังนี้
ไม่มีการสูญเสียจากการจู่โจมทางไซเบอร์ทั้งหมด
ทดสอบการบริหารความต่อเนื่องทางธุรกิจ และอุบัติเหตุที่เกี่ยวข้องกับด้านสารสนเทศ (IT) อย่างน้อยปีละ 2 ครั้ง
โครงสร้างพื้นฐานด้านสารสนเทศทั้งหมดผ่านการรับรองตามมาตรฐานสากล
แนวทางการบริหารจัดการ
โครงสร้างการกำกับดูแล
ปตท.สผ. มอบหมายให้คณะกรรมการบริหารความเสี่ยง ทำหน้าที่กำกับดูแลการบริหารความเสี่ยงของบริษัท และคณะกรรมการตรวจสอบ ทำหน้าที่สอบทานประสิทธิภาพและประสิทธิผลของกระบวนการกำกับดูแลที่ดี กระบวนการควบคุมภายใน และกระบวนการบริหารความเสี่ยง ครอบคลุมเรื่องความมั่นคงและปลอดภัยทางไซเบอร์ (Cybersecurity) ในภาพรวมขององค์กร โดยมีคุณพงศธร ทวีสิน กรรมการอิสระ ประธานกรรมการบริหารความเสี่ยงและกรรมการบรรษัทภิบาลและความยั่งยืน ซึ่งมีประสบการณ์อย่างกว้างขวางด้านความมั่นคงและปลอดภัยทางเทคโนโลยีสารสนเทศและทางไซเบอร์ ทั้งยังมีความเชี่ยวชาญในบทบาทสำคัญในระดับการบริหาร โดยเฉพาะในการขับเคลื่อนการเปลี่ยนผ่านสู่ระบบดิจิทัล (Digital Transformation) และมีประสบการณ์เกี่ยวข้องจากการเข้าร่วมหลักสูตรผู้บริหาร อาทิ Director's Guide to Legal Obligations & Duties (DLD) รุ่นที่ 2 โดยสมาคมส่งเสริมสถาบันกรรมการบริษัทไทย (IOD) และหลักสูตร The Cullinan: The Making of the Digital Board Class รุ่นที่ 3 โดยสำนักงานส่งเสริมเศรษฐกิจดิจิทัล (depa) ร่วมกับสมาคมการจัดการธุรกิจแห่งประเทศไทย (TMA) นอกจากนี้บริษัทฯ ได้แต่งตั้งคณะทำงานรับมือและรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Incident Response Task Force) ซึ่งมีประธานคณะทำงานนี้ ดำรงตำแหน่งผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officer – CISO) โดยมีฝ่ายการจัดการสารสนเทศและทีมงานทำหน้าที่กำหนดทิศทาง เป้าหมาย กลยุทธ์ นโยบาย และมาตรฐานด้านเทคโนโลยีสารสนเทศ รวมถึงกำกับดูแลแผนการลงทุนด้านสารสนเทศ (IT Master Plan and Roadmap) และการบริหารจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ (IT Risk Management) ให้อยู่ในระดับที่ยอมรับได้ ตลอดจนรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยงและคณะกรรมการบริษัทอย่างสม่ำเสมอ เพื่อให้มั่นใจว่า ปตท.สผ. จะสามารถควบคุมสถานการณ์และตอบสนองได้อย่างทันท่วงทีเมื่อมีเหตุการณ์ฉุกเฉินเกิดขึ้น
มาตรการควบคุม
ปตท.สผ. มีมาตรการควบคุมระบบสารสนเทศ การรักษาความมั่นคงปลอดภัยของอุปกรณ์ใช้งาน การสำรอง และการกู้ข้อมูลเพื่อความต่อเนื่องของการดำเนินธุรกิจ โดยบริษัทฯ มีนโยบายเกี่ยวข้องกับการรักษาความปลอดภัยของข้อมูลและความปลอดภัยทางไซเบอร์ ได้แก่ นโยบายการบริหารจัดการความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ (Information Security Management System Policy) นโยบายการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Management System Policy) และนโยบายธรรมาภิบาล AI (AI Governance Policy) และประกาศบังคับใช้กับทุกหน่วยงานเพื่อให้เป็นไปตามแนวทางการกำกับดูแลกิจการที่ดีขององค์กร โดยที่ผ่านมา การดำเนินงานด้านเทคโนโลยีของ ปตท.สผ. มุ่งรองรับการดำเนินงานของบริษัทที่เน้นความปลอดภัยและความคล่องตัว เช่น การตั้งคณะทำงานจากบริษัทในกลุ่ม ปตท. สำหรับโครงการ PTT Group Cybersecurity Governance & Assurance เพื่อพัฒนาระดับการป้องกันด้านความมั่นคงและปลอดภัยทางไซเบอร์ ของกลุ่ม ปตท. ให้มีประสิทธิภาพมากยิ่งขึ้น และการนำระบบ Microsoft Office 365 มาใช้เพื่อให้เข้าถึงข้อมูลสำคัญได้ทุกที่ทุกเวลา เพิ่มประสิทธิภาพการทำงานในองค์กรและการรักษาความปลอดภัยข้อมูล เป็นต้น รวมถึงกำหนดการควบคุมโครงสร้างพื้นฐานของระบบเทคโนโลยีสารสนเทศ โดยมีนโยบายที่ชัดเจนในการนำระบบดิจิทัลเข้ามาช่วยงานด้านเทคโนโลยีสารสนเทศให้มีประสิทธิภาพ มีกระบวนการวางแผนกลยุทธ์เทคโนโลยีสารสนเทศที่สอดคล้องกับกรอบการปฏิบัติด้านการกำกับดูแลเทคโนโลยีสารสนเทศของ Control Objectives for Information and Related Technology (COBIT 5) และมาตรฐาน ISO 27001 ตลอดจนการใช้ Cloud Platform เพื่อพัฒนาระบบเทคโนโลยีสารสนเทศบนโครงสร้างที่มีความคล่องตัว โดยที่ยังคงมีระบบการควบคุมที่มีประสิทธิภาพ ตามมาตรฐานความปลอดภัยตามที่บริษัทกำหนดไว้
หมายเหตุ: นโยบายการบริหารจัดการความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ (Information Security Management System Policy) นโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Policy) และนโยบายธรรมาภิบาล AI (AI Governance Policy) ของ ปตท.สผ. ได้รับการอนุมัติจากประธานเจ้าหน้าที่บริหาร ซึ่งเป็นตัวแทนของคณะกรรมการบริษัท โดยดำรงตำแหน่งกรรมการ และเลขานุการคณะกรรมการบริษัท
นอกจากนี้ ปตท.สผ. ได้กำหนดมาตรการรักษาความปลอดภัย (Security Policy) และมีการควบคุมความปลอดภัยและความเสี่ยงด้านเทคโนโลยีสารสนเทศ เพื่อรักษาความมั่นคงปลอดภัย ป้องกันการละเมิด และสนับสนุนการสำรองและการกู้ข้อมูลเพื่อความต่อเนื่องของการดำเนินธุรกิจ โดยแบ่งออกเป็น
การควบคุมทั่วไป
เช่น การกำหนดแนวทางการควบคุมการทำงานและกิจกรรมทางด้านเทคโนโลยีสารสนเทศ และการจัดทำแผนการบริหารความต่อเนื่องทางธุรกิจด้านเทคโนโลยีสารสนเทศ (Business Continuity Plan) แผนการรองรับเหตุภัยพิบัติ (Disaster Recovery) และแผนรองรับเหตุภัยคุกคามทางไซเบอร์ (Cybersecurity Incident Response) ที่ชัดเจน เพื่อสร้างความมั่นใจให้แก่ผู้มีส่วนได้ส่วนเสียทั้งหมดถึงความพร้อมในการรองรับเหตุการหยุดชะงักของระบบสารสนเทศและการโจมตีทางไซเบอร์ ซึ่ง ปตท.สผ. กำหนดให้มีการทดสอบความพร้อมและความเข้าใจทุกปี โดย ปตท.สผ. ดำเนินการเพื่อเตรียมตัวให้พร้อมรับมือต่อเหตุการณ์ทางไซเบอร์อยู่ตลอดเวลา ผ่านการทดสอบ 3 ครั้งต่อปี ครอบคลุมทุกหน่วยงาน และมีกระบวนการปิดช่องโหว่ที่รวดเร็วขึ้น
ในปี 2568 ปตท.สผ. มุ่งมั่นในการดำเนินงานตามกรอบการบริหารความเสี่ยงด้านไซเบอร์แบบเชิงรุกและบูรณาการ โดยการผสานความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ (IT) และเทคโนโลยีปฏิบัติการ (OT) เข้าด้วยกันอย่างเป็นระบบ ซึ่งแนวทางดังกล่าวมีเป้าหมายเพื่อเสริมสร้างความแข็งแกร่งและความมั่นคงให้กับโครงสร้างพื้นฐานและการดำเนินงานที่มีความสำคัญขององค์กร
การควบคุมระดับบุคคล
เช่น การกำหนดสิทธิในการเข้าถึงข้อมูลของพนักงานทุกคน การจำลองสถานการณ์ภัยคุกคาม (Cybersecurity Drill) การจัดทำหลักสูตร Digital Security Awareness e-Learning เพื่อให้ความรู้แก่ผู้บริหาร พนักงาน รวมถึงผู้ดูแลระบบที่เกี่ยวข้อง โดยตั้งแต่ปี 2564 ปตท.สผ. ได้เพิ่มมาตรการเพื่อลดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ เช่น Multi-factor Authentication (MFA) เพื่อใช้ในการยืนยันตัวตนของพนักงานอีกชั้นหนึ่งนอกเหนือจาก Username และ Password ปกติ ซึ่งช่วยในการสนับสนุนให้พนักงานสามารถเข้าถึงข้อมูลและระบบต่าง ๆ ของ ปตท.สผ. ได้จากทุกที่ทุกเวลาและเป็นการสนับสนุนความสมดุลระหว่างการใช้ชีวิตกับการทำงาน (Work-life Balance) ตามนโยบายวิถีการทำงานรูปแบบใหม่ (New Way of Working) นอกจากนี้ ปตท.สผ. ยังได้นำระบบ Data Classification and Labelling มาใช้ในการจัดชั้นความลับของเอกสารเพื่อเพิ่มความปลอดภัยของข้อมูลด้วย Microsoft Azure Information Protection (AIP) ที่สามารถจัดการสิทธิ์ในการเข้าถึงและส่งต่อข้อมูลได้
นอกจากนี้ ตั้งแต่ปี 2567 พนักงาน ปตท.สผ. ทุกคนต้องเข้ารับการอบรมออนไลน์ในหลักสูตรเกี่ยวกับ Cybersecurity Awareness และต้องสอบผ่านเพื่อเป็นการเน้นย้ำความเข้าใจและตระหนักรู้เกี่ยวกับภัยไซเบอร์ต่าง ๆ ในปัจจุบัน นอกจากนี้ บริษัทฯ ได้ส่งอีเมล Phishing ไปยังกลุ่มพนักงานที่ถูกสุ่มขึ้นมาทุกสัปดาห์เพื่อทดสอบการตระหนักรู้เกี่ยวกับภัยไซเบอร์ของพนักงาน นอกจากนี้ ปตท.สผ. ยังมีข้อกำหนดความมั่นคงปลอดภัยสารสนเทศสำหรับความสัมพันธ์กับผู้ให้บริการภายนอก (Information Security Standard for Supplier Relationships) ซึ่งเป็นมาตรฐานที่จัดตั้งขึ้นเพื่อลดความเสี่ยงจากการเข้าถึงระบบและข้อมูลโดยไม่ได้รับอนุญาตและการใช้งานผิดวัตถุประสงค์ของผู้ปฏิบัติงานชั่วคราว เช่น ที่ปรึกษา ผู้รับจ้าง ผู้รับจ้างต่อช่วง ผู้ให้บริการภายนอก และนักศึกษาฝึกงาน เป็นต้น ในปี 2569 ปตท.สผ. ได้ดำเนินการสื่อความด้านธรรมาภิบาล AI (AI Governance) ให้แก่พนักงานทุกคน เพื่อสร้างความเข้าใจเกี่ยวกับแนวทางการใช้งาน AI ที่เหมาะสม ทั้งสิ่งที่ควรและไม่ควรปฏิบัติ ภายใต้มาตรฐานการใช้งาน AI ของบริษัท ทั้งนี้ เพื่อส่งเสริมให้การนำ AI มาใช้ในองค์กรเป็นไปอย่างมีจริยธรรม ปลอดภัย และมีความรับผิดชอบ
การควบคุมระดับระบบ
เช่น การเก็บบันทึกหลักฐานการใช้ระบบตามข้อกำหนดของกฎหมาย การดำเนินการตรวจประเมินช่องโหว่ (Vulnerability Assessment) และการทดสอบการเจาะระบบจากภายนอก (External Penetration Testing) ประจำปี โดยบริษัทที่มีความเชี่ยวชาญ เพื่อหาช่องโหว่ในการทำให้ระบบมีความเสียหายและนำช่องโหว่นั้นมาปรับปรุงให้ระบบมีความแข็งแกร่งมากขึ้น เป็นต้น นอกจากนี้ ปตท.สผ. ได้ดำเนินการตรวจสอบระบบความมั่นคงและปลอดภัยทางเทคโนโลยีสารสนเทศและทางไซเบอร์ทั้งภายในและภายนอกอย่างสม่ำเสมอ รวมถึงได้รับการรับรองระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System – ISO/IEC 27001:2022 หรือ ISMS) ในขอบเขตการกำกับดูแลศูนย์รวมข้อมูล (Data Center) และสถานที่เกี่ยวข้องกับศูนย์รวมข้อมูลของ ปตท.สผ. ตั้งแต่ปี 2565
นอกจากนี้ ปตท.สผ. ได้ใช้บริการจาก Mandiant ซึ่งเป็นผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ระดับโลก ในการรับรองระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System หรือ ISMS) ในขอบเขตการกำกับดูแลศูนย์รวมข้อมูล (Data Center) และสถานที่เกี่ยวข้องกับศูนย์รวมข้อมูล เพื่อเสริมความแข็งแกร่งด้านความมั่นคงปลอดภัย รวมถึงการทำงานของศูนย์ Security Operations Center (SOC) ของ ปตท.สผ. ตั้งแต่ปี 2566
การใช้ AI อย่างมีความรับผิดชอบ
ปตท.สผ. ได้ออกนโยบายธรรมาภิบาล AI (มีผลบังคับใช้ตั้งแต่วันที่ 1 เมษายน 2569) เพื่อวางรากฐานที่ครอบคลุมและบังคับใช้ได้จริงสำหรับการใช้ AI อย่างมีความรับผิดชอบทั่วทั้งองค์กร นโยบายดังกล่าวมีผลบังคับใช้กับพนักงาน บริษัทในเครือ และพันธมิตรภายนอกทุกราย และสอดคล้องกับมาตรฐานสากลที่ได้รับการยอมรับ ได้แก่ ISO/IEC 42001 กรอบการบริหารความเสี่ยง AI ของ NIST (NIST AI Risk Management Framework) และกฎหมาย AI ของสหภาพยุโรป (EU AI Act) เพื่อให้มั่นใจว่า ปตท.สผ. ดำเนินการสอดคล้องกับกฎหมายและข้อบังคับระดับสากลในทุกพื้นที่การดำเนินงานของบริษัท
ทั้งนี้ ภายใต้หลักการของความเป็นธรรม ความโปร่งใส ความรับผิดชอบ ความปลอดภัย และการคุ้มครองความเป็นส่วนตัวดังกล่าว ปตท.สผ. มีความมุ่งมั่นไปสู่เป้าหมายระยะยาวในการเป็นองค์กรที่ใช้ AI อย่างมีความรับผิดชอบ (Responsible AI Organization)