ความมั่นคงและปลอดภัยทางไซเบอร์
ความสำคัญและพันธกิจ
ปตท.สผ. ปฏิบัติตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 อย่างเคร่งครัด โดยได้จัดทำแนวทางการปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ การป้องกัน รับมือ และลดความเสี่ยงด้านความมั่นคงและปลอดภัยทางไซเบอร์ ปัจจุบัน ปตท.สผ. ยึดมาตรฐานของ National Institute of Standards and Technology (NIST) เป็นแนวทางในการจัดการเรื่องความมั่นคงปลอดภัยทางไซเบอร์ โดยมีการประเมินความเสี่ยงตามมาตรฐาน ISO 27001 : 2013 ในส่วนของระบบจดหมายอิเล็กทรอนิกส์และศูนย์รวมข้อมูล (Data Center Facility) ตั้งแต่ปี 2557 และกำลังดำเนินการประเมินความเสี่ยง ระบบงานต่าง ๆ ตามมาตรฐาน ISO 27001 : 2013 รวมถึงมีการลงทุนด้านเทคโนโลยีและใช้บริการจาก PTT Digital ในการป้องกัน และรับมือเพื่อลดความเสี่ยงด้านความมั่นคงและปลอดภัยทางไซเบอร์มาอย่างต่อเนื่อง ในปัจจุบัน ปตท.สผ. มีศูนย์ Security Operations Center (SOC) ที่เชื่อมต่อระบบ Security Information and Event Management (SIEM) กับ Network Firewall ครบทุกแหล่งผลิต
ในปี 2564 ปตท.สผ. ได้เพิ่มมาตรการเพื่อลดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ เช่น Multi–factor Authentication (MFA) เพื่อใช้ในการยืนยันตัวตนของพนักงานอีกชั้นหนึ่งนอกเหนือจาก Username และ Password ปกติ ซึ่งช่วยในการสนับสนุนให้พนักงานสามารถเข้าถึงข้อมูลและระบบต่าง ๆ ของ ปตท.สผ. ได้จากทุกที่ทุกเวลาและเป็นการสนับสนุนความสมดุลระหว่างการใช้ชีวิตกับการทำงาน (Work–life Balance) ตามนโยบายวิถีการทำงานรูปแบบใหม่ (New Way of Working)
นอกจากนี้ ปตท.สผ. ยังได้นำระบบ Data Classification and Labelling มาใช้ในการจัดชั้นความลับของเอกสารเพื่อเพิ่มความปลอดภัยของข้อมูลด้วย Microsoft Azure Information Protection (AIP) ที่สามารถจัดการสิทธิ์ในการเข้าถึงและส่งต่อข้อมูลได้
เป้าหมาย
ปตท.สผ. มุ่งมั่นป้องกันและรับมือภัยคุกคามทางไซเบอร์ต่าง ๆ เพื่อจำกัดความเสียหายจากสถานการณ์ภัยคุกคามทางไซเบอร์ที่อาจส่งผลกระทบต่อการดำเนินธุรกิจให้เหลือน้อยที่สุด รวมถึงเสริมสร้างประสิทธิภาพด้านความมั่นคงและปลอดภัยทางไซเบอร์ขององค์กร เพื่อไปสู่เป้าหมายดังนี้
ไม่มีการสูญเสียจากการจู่โจมทางไซเบอร์ทั้งหมด
ทดสอบการบริหารความต่อเนื่องทางธุรกิจ และอุบัติเหตุที่เกี่ยวข้องกับด้านสารสนเทศ (IT) อย่างน้อยปีละ 2 ครั้ง
โครงสร้างพื้นฐานด้านสารสนเทศทั้งหมดผ่านการรับรองตามมาตรฐานสากล
แนวทางการบริหารจัดการ
หน่วยงานที่รับผิดชอบ
ปตท.สผ. มอบหมายให้คณะกรรมการบริหารความเสี่ยง ทำหน้าที่กำกับดูแลการบริหารความเสี่ยงของบริษัท และคณะกรรมการตรวจสอบ ทำหน้าที่สอบทานประสิทธิภาพและประสิทธิผลของกระบวนการกำกับดูแลที่ดี กระบวนการควบคุมภายใน และกระบวนการบริหารความเสี่ยง ครอบคลุมเรื่องความมั่นคงและปลอดภัยทางไซเบอร์ (Cybersecurity) ในภาพรวมขององค์กร โดยมีคุณธงทิศ ฉายากุล กรรมการอิสระและกรรมการตรวจสอบ ซึ่งมีประสบการณ์เกี่ยวข้องจากตำแหน่งปัจจุบันในฐานะอาจารย์ประจำภาควิชาวิศวกรรมสำรวจ คณะวิศวกรรมศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย นอกจากนี้ บริษัทยังได้แต่งตั้งคณะทำงานรับมือและรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Incident Response Task Force) ซึ่งมีประธานคณะทำงานนี้ ดำรงตำแหน่งผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officer – CISO) โดยมีฝ่ายการจัดการสารสนเทศและทีมงานทำหน้าที่กำหนดทิศทาง เป้าหมาย กลยุทธ์ นโยบาย และมาตรฐานด้านเทคโนโลยีสารสนเทศ รวมถึงกำกับดูแลแผนการลงทุนด้านสารสนเทศ (IT Master Plan and Roadmap) และการบริหารจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ (IT Risk Management) ให้อยู่ในระดับที่ยอมรับได้ ตลอดจนรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยงและคณะกรรมการบริษัทอย่างสม่ำเสมอ เพื่อให้มั่นใจว่า ปตท.สผ. จะสามารถควบคุมสถานการณ์และตอบสนองได้อย่างทันท่วงทีเมื่อมีเหตุการณ์ฉุกเฉินเกิดขึ้น
มาตรการควบคุม
ปตท.สผ. มีมาตรการควบคุมระบบสารสนเทศ การรักษาความมั่นคงปลอดภัยของอุปกรณ์ใช้งาน การสำรอง และการกู้ข้อมูลเพื่อความต่อเนื่องของการดำเนินธุรกิจ โดยบริษัทได้กำหนดนโยบายด้านเทคโนโลยีสารสนเทศและประกาศบังคับใช้กับทุกหน่วยงานเพื่อให้เป็นไปตามแนวทางการกำกับดูแลกิจการที่ดีขององค์กร โดยที่ผ่านมา การดำเนินงานด้านเทคโนโลยีของ ปตท.สผ. มุ่งรองรับการดำเนินงานของบริษัทที่เน้นความปลอดภัยและความคล่องตัว เช่น การตั้งคณะทำงานจากบริษัทในกลุ่ม ปตท. สำหรับโครงการ PTT Group Cybersecurity Governance & Assurance เพื่อพัฒนาระดับการป้องกันด้านความมั่นคงและปลอดภัยทางไซเบอร์ ของกลุ่ม ปตท. ให้มีประสิทธิภาพมากยิ่งขึ้น และการนำระบบ Microsoft Office 365 มาใช้เพื่อให้เข้าถึงข้อมูลสำคัญได้ทุกที่ทุกเวลา เพิ่มประสิทธิภาพการทำงานในองค์กรและการรักษาความปลอดภัยข้อมูล เป็นต้น รวมถึงกำหนดการควบคุมโครงสร้างพื้นฐานของระบบเทคโนโลยีสารสนเทศ โดยมีนโยบายที่ชัดเจนในการนำระบบดิจิทัลเข้ามาช่วยงานด้านเทคโนโลยีสารสนเทศให้มีประสิทธิภาพ มีกระบวนการวางแผนกลยุทธ์เทคโนโลยีสารสนเทศที่สอดคล้องกับกรอบการปฏิบัติด้านการกำกับดูแลเทคโนโลยีสารสนเทศของ Control Objectives for Information and Related Technology (COBIT 5) และมาตรฐาน ISO 27001 ตลอดจนการใช้ Cloud Platform เพื่อพัฒนาระบบเทคโนโลยีสารสนเทศบนโครงสร้างที่มีความคล่องตัว โดยที่ยังคงมีระบบการควบคุมที่มีประสิทธิภาพ ตามมาตรฐานความปลอดภัยตามที่บริษัทกำหนดไว้
นอกจากนี้ ปตท.สผ. ได้กำหนดมาตรการรักษาความปลอดภัย (Security Policy) และมีการควบคุมความปลอดภัยและความเสี่ยงด้านเทคโนโลยีสารสนเทศ เพื่อรักษาความมั่นคงปลอดภัย ป้องกันการละเมิด และสนับสนุนการสำรองและการกู้ข้อมูลเพื่อความต่อเนื่องของการดำเนินธุรกิจ โดยแบ่งออกเป็น
การควบคุมทั่วไป
การกำหนดแนวทางการควบคุมการทำงานและกิจกรรมทางด้านเทคโนโลยีสารสนเทศ และการจัดทำแผนการบริหารความต่อเนื่องทางธุรกิจด้านเทคโนโลยีสารสนเทศ
การควบคุมระดับบุคคล
การกำหนดสิทธิในการเข้าถึงข้อมูลของพนักงานทุกคน การจำลองสถานการณ์ภัยคุกคาม (Cybersecurity Drill) การจัดทำหลักสูตร Digital Security Awareness e–Learning และการจัดอบรมในหัวข้อ "Cybersecurity Act" และ "Personal Data Protection Act" เพื่อให้ความรู้แก่ผู้บริหาร พนักงาน รวมถึงผู้ดูแลระบบที่เกี่ยวข้อง
การควบคุมระดับระบบ
การเก็บบันทึกหลักฐานการใช้ระบบตามข้อกำหนดของกฎหมาย และการทดสอบการเจาะระบบจากภายนอก (External Penetration Testing) โดยบริษัทที่มีความเชี่ยวชาญ เพื่อหาช่องโหว่ในการทำให้ระบบมีความเสียหายและนำช่องโหว่นั้นมาปรับปรุงให้ระบบมีความแข็งแกร่งมากขึ้น เป็นต้น