บริษัทฯ จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากล และแนวปฏิบัติด้านความปลอดภัยของสินทรัพย์ตามมาตรฐานสากลที่สอดคล้องกับไซเบอร์โดยเฉพาะ ISO/IEC 27001:2013 และทำการตรวจสอบและสอบทานระบบโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์โดยหน่วยงานภายนอก (Bureau Veritas) เป็นประจำทุกปี

โดยการประเมินดังกล่าวจะครอบคลุมทั้งระบบและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ ซึ่งจากการประเมินในปีที่ผ่านมาพบว่ากระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ของบริษัทฯ เป็นไปตามมาตรฐานสากล และไม่พบเหตุบกพร่องใด ๆ

นอกจากนี้ บริษัทฯ ได้ดำเนินการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ (Vulnerability Assessment: VA) และการจัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan) อย่างน้อยปีละ 2 ครั้ง เพื่อรับมือกับภัยคุกคามจากการโดนเจาะระบบ โดยในปี 2563 บริษัทฯ ทำการซ้อมแผนฉุกเฉินประจำปี (Cyber Incident Response Tabletop Exercise) และได้จำลองสถานการณ์ที่ส่งผลกระทบต่อการรักษาความมั่นคงความปลอดภัยของข้อมูลและระบบเทคโนโลยีสารสนเทศของบริษัทฯ (Cyber Attack) จากการรั่วไหลของข้อมูล การถูกเจาะเข้าระบบปฏิบัติการสารสนเทศของบริษัทฯ โดยบุคคลภายนอก ซึ่งอาจมีผลทำให้การดำเนินธุรกิจของบริษัทฯ หยุดชะงัก และส่งผลกระทบต่อชื่อเสียงขององค์กร

ในกรณีที่มีเหตุการณ์ภัยคุกคามดังกล่าวเกิดขึ้น ทีม CSIRT Commander ภายใต้ความร่วมมือระหว่างหน่วยงาน TF-IT หน่วยงาน IFM และหน่วยงาน Infrastructure Architecture จะได้รับมอบหมายในการสั่งการ กำกับดูแล ควบคุมและจัดการให้ความเสียหายให้ส่งผลกระทบน้อยที่สุด นอกจากนี้ ทีม Security Operation Center (SOC Team) CSIRT Commander ภายใต้ความร่วมมือกับทีม PTT Digital จะถูกจัดตั้งเพื่อวิเคราะห์ และตรวจสอบข้อเท็จจริงของเหตุการณ์ที่ก่อให้เกิดภัยคุกคามทางด้านไซเบอร์ และยังประสานงานกับผู้เกี่ยวข้องเพื่อเข้าสู่ระบบการจัดการเหตุขัดข้อง (Incident Management Process) ตลอดจนเตรียมรายงานให้แก่ผู้เกี่ยวข้องรับทราบ โดย SOC Manager จะทำหน้าที่ทวนสอบรายละเอียดของเหตุการณ์ที่เกิดขึ้นและแนวทางแก้ไขต่อไป

บริษัทฯ ได้ทำการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ทั้งภายในและภายนอกทุก ๆ 6 เดือน (2 เฟส) เพื่อเตรียมแผนการป้องกันและแก้ไขจากภัยคุกคาม โดยบริษัทฯ ได้แบ่งระดับความรุนแรง (Vulnerability Severity Levels) ออกเป็น 3 ระดับ ได้แก่ ความรุนแรงระดับสูง (High) คามรุนแรงระดับกลาง (Medium) ความรุนแรงระดับต่ำ (Low)

Vulnerability Severity Levels

ความรุนแรงระดับสูง
(High)

หมายถึง ช่องโหว่ที่มีความเสี่ยงต่อการถูกบุกรุกระดับสูง ผู้บุกรุกสามารถใช้ช่องโหว่ที่ตรวจพบนี้โจมตีระบบได้ทันที โดยมีโปรแกรมสำเร็จรูปแพร่ทางอินเตอร์เน็ต โดยไม่จำเป็นต้องดัดแปลงโปรแกรมแต่อย่างใด และสามารถสร้างความเสียหายต่อระบบสารสนเทศในระดับสูง

ความรุนแรงระดับกลาง
(Medium)

หมายถึง ช่องโหว่ที่มีความเสี่ยงต่อการถูกบุกรุกระดับกลาง มีโปรแกรมสำเร็จรูปเผยแพร่ทางอินเตอร์เน็ต แต่จำเป็นต้องอาศัย ความเชี่ยวชาญ และทักษะความสามารถในการดัดแปลงโปรแกรมดังกล่าว เพื่อให้สามารถทำได้ สำเร็จ และผลกระทบจากการบุกรุก ทำให้ระบบสารสนเทศมีความเสียหายในระดับกลาง

ความรุนแรงระดับต่ำ
(Low)

หมายถึง รายละเอียดทั่วไปของระบบสารสนเทศ เป็นช่องโว่ที่มีความเสี่ยงต่อการถูกบุกรุกระดับต่ำ ไม่มีโปรแกรมสำเร็จรูปเผยแพร่และต้องใช้ทักษะความสามารถทางด้านคอมพิวเตอร์ระดับสูง จึงจะสามารถโจมตีได้สำเร็จ และผลกระทบชองการบุกรุกจะทำให้ระบบสารสนเทศมีความเสียหายในระบบต่ำ

ทั้งนี้ ปัญหาที่พบจะถูกรายงานไปยังผู้รับผิดชอบในการดูแลระบบเพื่อแก้ไขต่อไป โดยมีคณะทำงานคอยติดตามและรับมือกับเหตุการณ์ความเสี่ยงในระยะยาว โดยบริษัทฯ ได้ทำการปิดช่องโหว่ที่จะถูกโจมตีเป็นประจำทุกปี และมีการติดตั้งโปรแกรมแอนตี้ไวรัสที่เครื่องเซิร์ฟเวอร์ของบริษัทฯ และที่คอมพิวเตอร์ของลูกค้า ตลอดจนปรับปรุงระบบให้ทันสมัยอยู่เสมอ รวมถึงการสำรองข้อมูลรายวัน รายสัปดาห์และรายเดือน ทั้งนี้ ซอฟต์แวร์มาตรฐานที่บริษัทฯ นำมาใช้งานต้องผ่านการทดสอบและมีกระบวนการทบทวนการจัดการฮาร์ดแวร์และซอฟต์แวร์ประจำทุกปี ยิ่งไปกว่านั้น กลุ่มบริษัทฯ ยังได้ทำประกันภัยที่จำเป็นต่าง ๆ เพื่อลดความเสียหายที่อาจเกิดขึ้น

อีกทั้ง บริษัทฯ ยังจัดทำแผนการกู้คืนระบบข้อมูลสารสนเทศหลักที่สำคัญ พร้อมทั้งกำหนดขั้นตอนการปฏิบัติงานเพื่อรองรับในกรณีเกิดเหตุฉุกเฉินที่อาจกระทบกับระบบข้อมูลสารสนเทศหลักที่สำคัญของบริษัทฯ และได้ทำการซ้อมแผนต่อเนื่องอย่างเป็นประจำทุกปี โดยบริษัทฯ จะทำการติดตามผลครอบคลุมทั้งพื้นที่ปฏิบิติการและสำนักงานเพื่อป้องกันภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น

จากการดำเนินการที่กล่าวมาข้างต้น จะเห็นได้ว่าบริษัทฯ มีการเตรียมความพร้อมเพื่อรับมือกับภัยคุกคามทางไซเบอร์ได้เป็นอย่างดี

จำนวนกรณีที่เกิดภัยคุกคามทางไซเบอร์

เป้าหมาย
2563

0

ข้อร้องเรียนเกี่ยวกับความไม่ปลอดภัยของข้อมูล

เป้าหมาย
2563

0

ปี เป้าหมาย
2560 2561 2562 2563 2563
จำนวนกรณีที่เกิดภัยคุกคามทางไซเบอร์ 0 0 0 0 0
ข้อร้องเรียนเกี่ยวกับความไม่ปลอดภัยของข้อมูล 0 0 0 0 0