กระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์

กระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์

บริษัทฯ จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากล และแนวปฏิบัติด้านความปลอดภัยของสินทรัพย์ตามมาตรฐานสากลที่สอดคล้องกับไซเบอร์โดยเฉพาะ ISO/IEC 27001:2013

นอกจากนี้ บริษัทฯ ได้ดำเนินการตรวจสอบและสอบทานระบบโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์โดยหน่วยงานภายนอก (Bureau Veritas) เป็นประจำทุกปี โดยการประเมินดังกล่าวจะครอบคลุมทั้งระบบและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ ซึ่งจากการประเมินในปีที่ผ่านมาพบว่ากระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ของบริษัทฯ เป็นไปตามมาตรฐานสากล และไม่พบเหตุบกพร่องใด ๆ

นอกจากนี้ บริษัทฯ ได้ดำเนินการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ (Vulnerability Assessment: VA) และการจัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan) อย่างน้อยปีละ 2 ครั้ง เพื่อรับมือกับภัยคุกคามจากโดนการเจาะระบบ โดยในปี 2562 บริษัทฯ ทำการซ้อมแผนฉุกเฉินประจำปี (Cyber Incident Response Tabletop Exercise) และได้จำลองสถานการณ์ที่ส่งผลกระทบต่อการรักษาความมั่นคงความปลอดภัยของข้อมูลและระบบเทคโนโลยีสารสนเทศของบริษัทฯ (Cyber Attack) จากการรั่วไหลของข้อมูล การถูกเจาะเข้าระบบปฏิบัติการสารสนเทศของบริษัทฯ โดยบุคคลภายนอก ซึ่งอาจมีผลทำให้การดำเนินธุรกิจของบริษัทฯ หยุดชะงัก และส่งผลกระทบต่อชื่อเสียงขององค์กร

ในกรณีที่มีเหตุการณ์ภัยคุกคามดังกล่าวเกิดขึ้น ทีม CSIRT Commander ภายใต้ความร่วมมือระหว่างหน่วยงาน TF-IT หน่วยงาน IFMและหน่วยงาน Infrastructure Architectureจะได้รับมอบหมายในการสั่งการ กำกับดูแล ควบคุมและจัดการให้ความเสียหายให้ส่งผลกระทบน้อยที่สุด นอกจากนี้ ทีม Security Operation Center (SOC Team) CSIRT Commander ภายใต้ความร่วมมือกับทีม PTT Digital จะถูกจัดตั้งเพื่อวิเคราะห์ และตรวจสอบข้อเท็จจริงของเหตูการณ์ที่ก่อให้เกิดภัยคุกคามทางด้านไซเบอร์ และยังประสานงานกับผู้เกี่ยวข้องเพื่อเข้าสู่ระบบการจัดการเหตุขัดข้อง (Incident Management Process) ตลอดจนเตรียมรายงานให้แก่ผู้เกี่ยวข้องรับทราบ โดย SOC Manager จะทำหน้าที่ทวนสอบรายละเอียดของเหตุการณ์ที่เกิดขึ้นและแนวทางแก้ไขต่อไป

บริษัทฯ ได้ทำการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ทั้งภายในและภายนอกทุก ๆ 6 เดือน (2 เฟส) เพื่อเตรียมแผนการป้องกันและแก้ไขจากภัยคุกคาม โดยบริษัทฯ ได้แบ่งระดับความรุ่นแรง (Vulnerability Severity Levels) ออกเป็น 3 ระดับ ได้แก่ ความรุนแรงระดับสูง (High) ความรุนแรงระดับปานกลาง (Medium) ความรุนแรงระดับต่ำ (Low)

Vulnerability Severity Levels

โดยในปีที่ผ่านมา บริษัทฯ ตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ทั้งหมด 864 เครื่อง ในเฟสที่ 1 และ 686 เครื่อง ในเฟส 2 ซึ่งจากการทดสอบเจาะระบบเครือข่ายภายใน พบว่ามีช่องโหว่ที่มีระดับความเสี่ยงสูงทั้งหมด จำนวน 4 ช่องโหว่ ระดับความเสี่ยงปานกลาง จำนวน 110 ช่องโหว่ และระดับความเสี่ยงต่ำ จำนวน 8 ช่องโหว่ และผลการทดสอบเจาะระบบเครือข่ายภายนอก พบว่ามีช่องโหว่ที่มีระดับความเสี่ยงสูงทั้งหมด จำนวน 2 ช่องโหว่ ระดับความเสี่ยงปานกลาง จำนวน 1 ช่องโหว่ และระดับความเสี่ยงต่ำจำนวน 7 ช่องโหว่ ทั้งนี้ ปัญหาที่พบจะถูกรายงานไปยังผู้รับผิดชอบในการดูแลระบบเพื่อแก้ไขต่อไป โดยมีคณะทำงานคอยติดตามและรับมือกับเหตุการณ์ความเสี่ยงในระยะยาว โดยบริษัทฯ ได้ทำการปิดช่องโหว่ที่จะถูกโจมตีเป็นประจำทุกปี และติดตั้งโปรแกรมแอนตี้ไวรัสที่เครื่องเซิร์ฟเวอร์ของบริษัทฯ และที่คอมพิวเตอร์ของลูกค้า ตลอดจนปรับปรุงระบบให้ทันสมัยอยู่เสมอ รวมทั้งมีการสำรองข้อมูลรายวัน รายสัปดาห์ และรายเดือน ทั้งนี้ ซอฟต์แวร์มาตรฐานที่บริษัทฯ นำมาใช้งานต้องผ่านการทดสอบและมีกระบวนการทบทวนการจัดการฮาร์ดแวร์และซอฟต์แวร์ประจำทุกปี ยิ่งไปกว่านั้น กลุ่มบริษัทฯ ยังได้ทำประกันภัยที่จำเป็นต่าง ๆ เพื่อลดความเสียหายที่อาจเกิดขึ้น

ทั้งนี้ บริษัทฯ ได้จัดทำแผนการกู้คืนระบบข้อมูลสารสนเทศหลักที่สำคัญ พร้อมทั้งกำหนดขั้นตอนการปฏิบัติงานเพื่อรองรับในกรณีเกิดเหตุฉุกเฉินที่อาจกระทบกับระบบข้อมูลสารสนเทศหลักที่สำคัญของบริษัทฯ และได้ทำการซ้อมแผนต่อเนื่องอย่างเป็นประจำทุกปี โดยบริษัทฯ จะทำการติดตามผลครอบคลุมทั้งพื้นที่ปฏิบัติการและสำนักงานเพื่อป้องกันภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น

จากการดำเนินการที่กล่าวมาข้างต้น จะเห็นได้ว่าบริษัทฯ มีการเตรียมความพร้อมเพื่อรับมือกับภัยคุกคามทางไซเบอร์ได้เป็นอย่างดี