กระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์
บริษัทฯ จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากล และแนวปฏิบัติด้านความปลอดภัยของสินทรัพย์ตามมาตรฐานสากลที่สอดคล้องกับไซเบอร์โดยเฉพาะ ISO/IEC 27001:2013 และทำการตรวจสอบและสอบทานระบบโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์โดยหน่วยงานภายนอก (Bureau Veritas) เป็นประจำทุกปี
โดยการประเมินดังกล่าวจะครอบคลุมทั้งระบบและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ ซึ่งจากการประเมินในปีที่ผ่านมาพบว่ากระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ของบริษัทฯ เป็นไปตามมาตรฐานสากล และไม่พบเหตุบกพร่องใด ๆ
นอกจากนี้ บริษัทฯ ได้ดำเนินการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ (Vulnerability Assessment: VA) และการจัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan) อย่างน้อยปีละ 2 ครั้ง เพื่อรับมือกับภัยคุกคามจากการโดนเจาะระบบ โดยในปี 2563 บริษัทฯ ทำการซ้อมแผนฉุกเฉินประจำปี (Cyber Incident Response Tabletop Exercise) และได้จำลองสถานการณ์ที่ส่งผลกระทบต่อการรักษาความมั่นคงความปลอดภัยของข้อมูลและระบบเทคโนโลยีสารสนเทศของบริษัทฯ (Cyber Attack) จากการรั่วไหลของข้อมูล การถูกเจาะเข้าระบบปฏิบัติการสารสนเทศของบริษัทฯ โดยบุคคลภายนอก ซึ่งอาจมีผลทำให้การดำเนินธุรกิจของบริษัทฯ หยุดชะงัก และส่งผลกระทบต่อชื่อเสียงขององค์กร
ในกรณีที่มีเหตุการณ์ภัยคุกคามดังกล่าวเกิดขึ้น ทีม CSIRT Commander ภายใต้ความร่วมมือระหว่างหน่วยงาน TF-IT หน่วยงาน IFM และหน่วยงาน Infrastructure Architecture จะได้รับมอบหมายในการสั่งการ กำกับดูแล ควบคุมและจัดการให้ความเสียหายให้ส่งผลกระทบน้อยที่สุด นอกจากนี้ ทีม Security Operation Center (SOC Team) CSIRT Commander ภายใต้ความร่วมมือกับทีม PTT Digital จะถูกจัดตั้งเพื่อวิเคราะห์ และตรวจสอบข้อเท็จจริงของเหตุการณ์ที่ก่อให้เกิดภัยคุกคามทางด้านไซเบอร์ และยังประสานงานกับผู้เกี่ยวข้องเพื่อเข้าสู่ระบบการจัดการเหตุขัดข้อง (Incident Management Process) ตลอดจนเตรียมรายงานให้แก่ผู้เกี่ยวข้องรับทราบ โดย SOC Manager จะทำหน้าที่ทวนสอบรายละเอียดของเหตุการณ์ที่เกิดขึ้นและแนวทางแก้ไขต่อไป
บริษัทฯ ได้ทำการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ทั้งภายในและภายนอกทุก ๆ 6 เดือน (2 เฟส) เพื่อเตรียมแผนการป้องกันและแก้ไขจากภัยคุกคาม โดยบริษัทฯ ได้แบ่งระดับความรุนแรง (Vulnerability Severity Levels) ออกเป็น 3 ระดับ ได้แก่ ความรุนแรงระดับสูง (High) คามรุนแรงระดับกลาง (Medium) ความรุนแรงระดับต่ำ (Low)
Vulnerability Severity Levels
ความรุนแรงระดับสูง
(High)
หมายถึง ช่องโหว่ที่มีความเสี่ยงต่อการถูกบุกรุกระดับสูง ผู้บุกรุกสามารถใช้ช่องโหว่ที่ตรวจพบนี้โจมตีระบบได้ทันที โดยมีโปรแกรมสำเร็จรูปแพร่ทางอินเตอร์เน็ต โดยไม่จำเป็นต้องดัดแปลงโปรแกรมแต่อย่างใด และสามารถสร้างความเสียหายต่อระบบสารสนเทศในระดับสูง
ความรุนแรงระดับกลาง
(Medium)
หมายถึง ช่องโหว่ที่มีความเสี่ยงต่อการถูกบุกรุกระดับกลาง มีโปรแกรมสำเร็จรูปเผยแพร่ทางอินเตอร์เน็ต แต่จำเป็นต้องอาศัย ความเชี่ยวชาญ และทักษะความสามารถในการดัดแปลงโปรแกรมดังกล่าว เพื่อให้สามารถทำได้ สำเร็จ และผลกระทบจากการบุกรุก ทำให้ระบบสารสนเทศมีความเสียหายในระดับกลาง
ความรุนแรงระดับต่ำ
(Low)
หมายถึง รายละเอียดทั่วไปของระบบสารสนเทศ เป็นช่องโว่ที่มีความเสี่ยงต่อการถูกบุกรุกระดับต่ำ ไม่มีโปรแกรมสำเร็จรูปเผยแพร่และต้องใช้ทักษะความสามารถทางด้านคอมพิวเตอร์ระดับสูง จึงจะสามารถโจมตีได้สำเร็จ และผลกระทบชองการบุกรุกจะทำให้ระบบสารสนเทศมีความเสียหายในระบบต่ำ
ทั้งนี้ ปัญหาที่พบจะถูกรายงานไปยังผู้รับผิดชอบในการดูแลระบบเพื่อแก้ไขต่อไป โดยมีคณะทำงานคอยติดตามและรับมือกับเหตุการณ์ความเสี่ยงในระยะยาว โดยบริษัทฯ ได้ทำการปิดช่องโหว่ที่จะถูกโจมตีเป็นประจำทุกปี และมีการติดตั้งโปรแกรมแอนตี้ไวรัสที่เครื่องเซิร์ฟเวอร์ของบริษัทฯ และที่คอมพิวเตอร์ของลูกค้า ตลอดจนปรับปรุงระบบให้ทันสมัยอยู่เสมอ รวมถึงการสำรองข้อมูลรายวัน รายสัปดาห์และรายเดือน ทั้งนี้ ซอฟต์แวร์มาตรฐานที่บริษัทฯ นำมาใช้งานต้องผ่านการทดสอบและมีกระบวนการทบทวนการจัดการฮาร์ดแวร์และซอฟต์แวร์ประจำทุกปี ยิ่งไปกว่านั้น กลุ่มบริษัทฯ ยังได้ทำประกันภัยที่จำเป็นต่าง ๆ เพื่อลดความเสียหายที่อาจเกิดขึ้น
อีกทั้ง บริษัทฯ ยังจัดทำแผนการกู้คืนระบบข้อมูลสารสนเทศหลักที่สำคัญ พร้อมทั้งกำหนดขั้นตอนการปฏิบัติงานเพื่อรองรับในกรณีเกิดเหตุฉุกเฉินที่อาจกระทบกับระบบข้อมูลสารสนเทศหลักที่สำคัญของบริษัทฯ และได้ทำการซ้อมแผนต่อเนื่องอย่างเป็นประจำทุกปี โดยบริษัทฯ จะทำการติดตามผลครอบคลุมทั้งพื้นที่ปฏิบิติการและสำนักงานเพื่อป้องกันภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น
จากการดำเนินการที่กล่าวมาข้างต้น จะเห็นได้ว่าบริษัทฯ มีการเตรียมความพร้อมเพื่อรับมือกับภัยคุกคามทางไซเบอร์ได้เป็นอย่างดี
ปี | เป้าหมาย | |||||
---|---|---|---|---|---|---|
2560 | 2561 | 2562 | 2563 | 2563 | ||
จำนวนกรณีที่เกิดภัยคุกคามทางไซเบอร์ | 0 | 0 | 0 | 0 | 0 | |
ข้อร้องเรียนเกี่ยวกับความไม่ปลอดภัยของข้อมูล | 0 | 0 | 0 | 0 | 0 |