การ เสริม สร้าง ความ ปลอดภัย ของ เทคโนโลยี สารสนเทศ

ในยุคปัจจุบัน เทคโนโลยีสารสนเทศได้พัฒนาไปอย่างรวดเร็ว ปรับเปลี่ยนวิถีการติดต่อสื่อสารทั้งในการใช้้งานส่วนบุคคลและในเชิงธุรกิจก่อให้้เกิดการแลกเปลี่ยนข้อมูลการทำธุรกรรมต่าง ๆ บนโลกออนไลน์อย่างมหาศาลและเชื่อมโยงกันทั่วโลก ส่งผลให้้ผู้ใช้้บริการมีความเสี่ยงต่ออาชญากรรมในโลกไซเบอร์เพิ่มขึ้น หน่วยงานกำกับดูแลทั่วโลกต่างก็ให้ความสำคัญกับความปลอดภัยของระบบข้อมูลข่าวสารและการปกป้องข้อมูลส่วนบุคคล

ในฐานะที่เอไอเอสเป็นผู้ให้บริการดิจิทัล บริษัทมีหน้าที่บริหารจัดการระบบข้อมูลสารสนเทศจำนวนมหาศาล ทั้งข้อมูลจากกระบวนการดำเนินธุรกิจและข้อมูลส่วนบุคคลของผู้ใช้บริการ เอไอเอสตระหนักว่าการปกป้องระบบสารสนเทศและคุ้มครองข้อมูลส่วนบุคคลของลูกค้าให้ปลอดภัย และการกำกับดูแลการดำเนินการงานให้สอดคล้องกับกฎหมายที่เกี่ยวข้องจะช่วยป้องกันผลกระทบต่อผู้ใช้บริการจากการรั่วไหลของข้อมูลส่วนบุคคลรวมถึงลดความเสี่ยงต่อบริษัทในด้านการเงินและด้านชื่อเสีียง นอกจากนี้ เอไอเอสยังเล็งเห็นโอกาสที่จะคิดค้นและพัฒนาบริการด้านการรักษาความปลอดภัยไซเบอร์์อย่างครบวงจร เพื่อตอบโจทย์การใช้้งานและส่งเสริมศักยภาพในการดำเนินธุรกิจให้้แก่ลูกค้าองค์์กร

เราตอบสนองต่อประเด็นนี้อย่างไร

เอไอเอสกำกับดูแล กำหนดนโยบาย กระบวนการ และระบบการบริหารจัดการสำหรับทุกหน่วยงานตลอดทั้งองค์กร เพื่อให้ลูกค้าสามารถไว้วางใจว่า เอไอเอสมีการดำเนินการอย่างโปร่งใสในด้านการปกป้องระบบสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า รวมถึงระบุให้หัวข้อการปกป้องระบบสารสนเทศและคุ้มครองข้อมูลส่วนบุคคลของลูกค้าไว้้ในการจัดการความเสี่ยงขององค์กร โดยมีคณะกรรมการตรวจสอบและกำกับความเสี่ยงเป็นผู้กำกับดูแลความเสี่ยง เอไอเอสยังบังคับใช้นโยบายความปลอดภัยทางไซเบอร์และนโยบายความเป็นส่วนตัวของข้อมูลสำหรับสำนักงานทุกแห่ง และขยายไปยังองค์กรภายนอกที่เกี่ยวข้องด้วย บริษัทดำเนินการตรวจสอบภายในอย่างเป็นระบบอย่างสม่ำเสมอเพื่อให้มั่นใจว่าการจัดการความเป็นส่วนตัวของข้อมูลและความปลอดภัยทางไซเบอร์และการดำเนินการที่เกี่ยวข้องเป็นไปตามนโยบาย มาตรฐาน และกรอบการทำงาน

เพื่อแสดงให้เห็นถึงความมุ่งมั่นของเราในการปกป้องความเป็นส่วนตัวของข้อมูลและความปลอดภัยของข้อมูลของลูกค้า เราตั้งเป้าหมายต่อไปนี้ในปี 2567:

• ดำเนินธุรกิจเพื่อให้้สอดคล้องและเป็นไปตามข้อบังคับของกฎหมายที่เกี่ยวข้อง
• ส่งเสริมศักยภาพในการรักษาความปลอดภัยด้านไซเบอร์์เพื่อปกป้องโครงสร้างพื้นฐาน ระบบ และการบริการใหม่่ ๆ ทั้งในด้านกระบวนการเทคโนโลยีและความพร้อมของบุุคลากรอย่างต่อเนื่อง
• เพิ่มประสิทธิิภาพและศักยภาพในการดำเนินงานด้วยเทคโนโลยี Machine Learning และ Artificial Intelligent สำหรับกระบวนการเฝ้าระวัง วิเคราะห์์ ประเมินภัยคุกคาม พร้อมปรับกระบวนการดำเนินการให้้กระชับ รวดเร็วด้วยเทคโนโลยี Automation
• ก้าวเป็นหนึ่งในผู้นำ ในการให้บริการ CSOC สำหรับลูกค้าองค์์กร เพิ่มศักยภาพการให้บริการ พัฒนาบริการให้้คำปรึกษาด้านการคุ้มครองข้อมูลส่วนบุคคล

การดำเนินการเพื่อให้แน่ใจว่าการปกป้องข้อมูลของลูกค้ามีตั้งแต่การกำหนดมาตรการสำหรับการปกป้องความเป็นส่วนตัวของข้อมูลลูกค้าไปจนถึงการจำกัดการเข้าถึงข้อมูลที่ละเอียดอ่อน เอไอเอสยังรวมเอาหลัก Privacy by Design และ Privacy by Default ไว้ในบริการและผลิตภัณฑ์ตามความเหมาะสม การตั้งค่าข้อกำหนดสำหรับกระบวนการรับส่งข้อมูล ตลอดจนส่งเสริมความตระหนัก ความรู้ และความเข้าใจเกี่ยวกับการปกป้องข้อมูลของลูกค้าแก่บุคลากรและพันธมิตรทั้งหมด นอกจากนั้น เรายังสร้างระบบและเพิ่มประสิทธิภาพของกระบวนการตามคำขอของลูกค้าตามกระบวนการดังต่อไปนี้

สำหรับการจัดการคำขอข้อมูล บริษัทให้ข้อมูลลูกค้าแก่หน่วยงานราชการตามกฎหมายและเป็นธรรม โดยคำนึงถึงหลักสิทธิมนุษยชนของเจ้าของข้อมูลตามเงื่อนไขทางกฎหมาย ขั้นตอนการประเมิน และตอบสนองต่อการบังคับใช้กฎหมายหรือคำขอข้อมูลของรัฐบาล โดยมีกระบวนการดังนี้ :

เอไอเอสมีโครงสร้างพื้นฐาน ระบบ และกำหนดข้อปฏิบัติเพื่อบริหารจัดการทดสอบรวมถึงเฝ้าระวังในการรักษาความมั่นคงความปลอดภัยไซเบอร์ โดยมีการจัดทำและปรับปรุงนโยบายรวมถึงแนวทางการปฏิบัติอย่างสม่ำเสมอ เพื่อให้สอดคล้องกับแนวทางการปฏิบัติสากลรวมถึงข้อบังคับที่เกี่ยวข้อง

เอไอเอสนำกรอบการดำเนินงานด้านการรักษาความมั่นคงและปลอดภัยทางไซเบอร์ (National Institute of Standards and Technology: NIST) มาประยุกต์ใช้ในการออกแบบกระบวนการในการป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามทางไซเบอร์ ประกอบด้วยขั้นตอน ดังนี้

แหล่งที่มา: National Institute of standards and Technology

สำหรับการรับมือกับภัยคุกคามทางไซเบอร์และกระบวนการยกระดับการบริหารจัดการ (escalation process) เอไอเอสได้ประยุกต์ใช้ Cyber Incident Response Framework โดย NIST ในการปฏิบัติงานประจำวัน มีขั้นตอนดังนี้

แหล่งที่มา : Computer Security Incident Handling Guide โดย National Institute of Standards and Technology

การดำเนินงานขององค์กร

เอไอเอสได้ร่วมมือกับพันธมิตรที่หลากหลาย รวมทั้งได้รับการรับรองมาตรฐานต่างๆ เป็นการตอกย้ำความมุ่งมั่นในการรักษาความปลอดภัยของบริการและข้อมูลของลูกค้า ได้แก่

การประสานงานกับหน่วยงานกำกับดูแลและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ เอไอเอสลงนามในบันทึกความเข้าใจ (MoU) เพื่อร่วมศึกษาและจัดตั้งศูนย์ประสานงานด้านไซเบอร์ของภาคธุรกิจโทรคมนาคม (Thai Telecommunication Computer Emergency Response Team: TTC CERT) ที่มีจุดประสงค์เพื่อส่งเสริมการประสานงาน การแบ่งปันข้อมูล การบริหารและจัดการเมื่อเกิดเหตุภัยคุกคามทางไซเบอร์ ระหว่างหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศและหน่วยงานกำกับดูแล สอดคล้องกับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์

• มาตรฐาน ISO27001 Information Security Management System (ISMS) ด้านระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ตั้งแต่ ปี 2558 และขยายขอบเขต มาตรฐาน ISO27001 ให้ครอบคลุมบริการเฝ้าระวังและแจ้งเตือนภัยคุกคามทางไซเบอร์ (CSOC as a service) ในปี 2563
• มาตรฐาน CSA STAR (Cloud Security Alliance) Self-Assessment ด้านมาตรฐานความปลอดภัยสำหรับระบบคลาวด์ ตั้งแต่ปี 2559
• มาตรฐาน PCI DSS (Payment Card Industry Data Security Standard) ด้านมาตรฐานความปลอดภัยด้านข้อมูลของอุตสาหกรรมบัตรชำระเงิน ตั้งแต่ปี 2560 ครอบคลุมถึงร้านค้าและอยู่ระหว่างการขยายขอบเขตให้ครอบคลุมไปยังผู้ให้บริการรับชำระเงิน

• ปรับปรุงกระบวนการ : นำเครื่องมือการปกป้องข้อมูลในองค์กรจาก Microsoft Office 365 มาใช้และยกระดับมาตรฐานการรักษาความปลอดภัยการเข้าใช้งานระบบเทคโนโลยีสารสนเทศผ่านช่องทางจากภายนอกสำนักงาน และประยุกต์ใช้ระบบอัตโนมัติ (Automation) ในขั้นตอนการทำตรวจจับและตอบสนองต่อภัยคุกคาม พร้อมปรับปรุงกระบวนการเพื่อรับมือการโจมตีในรูปแบบใหม่ ๆ
• เสริมความปลอดภัยของการปกป้องข้อมูล : ประยุกต์ใช้เทคโนโลยีใหม่ อัพเกรดระบบและพัฒนากระบวนการปฏิบัติการ โดยประยุกต์ใช้ปัญญาประดิษฐ์ (Artificial Intelligence และ Machine Learning) มาช่วยตรวจจับภัยคุกคามในเชิงรุกได้อย่างรวดเร็วและแม่นยำมากยิ่งขึ้น
• ศูนย์ปฏิบัติการรับมือและเฝ้าระวังภัยคุกคามทางด้านไซเบอร์ 24 x 7 (Cyber Security Operation Center: CSOC) : ในปี 2564 นี้ เอไอเอสได้ขยายบริการของศูนย์ปฏิบัติการดังกล่าวเพื่อให้บริการด้านการเฝ้าระวังภัยคุกคามต่อระบบและเทคโนโลยีสารสนเทศให้แก่ลูกค้าองค์กร โดยขยายขอบเขตการรับรองมาตรฐาน ISO 27001 ที่มีอยู่ให้ครอบคลุมขอบเขตการให้บริการของ CSOC อีกด้วย

นอกจากนี้ พนักงานของ AIS ที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์และฟังก์ชั่นที่เกี่ยวข้องกับความเป็นส่วนตัวของข้อมูลได้รับการฝึกอบรมและได้รับประกาศนียบัตรในด้านต่างๆ เพื่อให้ปฏิบัติงานได้ตามมาตรฐาน เช่น ด้าน Ethical hacking และ Penetration test การบริหารจัดการเมื่อเกิดเหตุการณ์ผิดปกติ (incident management) และ forensic รวมถึงการอบรมในด้านการบริหารความมั่นคงและความปลอดภัยของระบบเทคโนโลยีสารสนเทศ เป็นต้น

ตารางสรุปผลการดำเนินงาน

หัวข้อหน่วย2561256225632564ด้านการคุ้มครองข้อมูลส่วนบุคคลจำนวนคำร้องเรียนที่ได้รับ ในการละเมิดความเป็นส่วนตัวและข้อมูลสูญหายคำร้องเรียนจากบุคคล หรือหน่วยงานทั่วไป 1กรณี1311245607คำร้องเรียนจากหน่วยยงานกำกับดูแลต่างๆกรณี47472320กรณีข้อมูลรั่วไหล ถูกขโมยหรือสูญหายกรณี0000ตำนวนคำร้องขอข้อมูลส่วนบุคคลของผู้ใช้บริการที่ได้รับจากหน่วยงานภาครัฐที่มีอำนาจตามกฏหมาย 2กรณี28,27028,33424,45325,442ร้อยละของจำนวนคำร้องขอทั้งหมดร้อยละ--92%70%

1 ข้อมูลจํานวนคําร้องเรียนที่ได้รับในปี 2564 มีการจําแนกประเภทข้อมูลที่ละเอียดมากขึ้น จึงรายงานคําร้องเรียนที่ได้รับการตรวจสอบว่าสมเหตุสมผลเท่านั้น

2 บริษัทมีการให้ข้อมูลการใช้บริการของผู้ใช้บริการแก่หน่วยงานของรัฐต่าง ๆ ตามอํานาจหน้าที่ที่กฎหมายกําหนดไว้ ได้แก่ ศาลยุติธรรม สํานักงานตํารวจแห่งชาติ สํานักงานคณะกรรมการป้องกันและปราบปรามการฟอกเงิน เป็นต้น

นโยบายที่เกี่ยวข้อง

นโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ ชี้แจงรายละเอียดเกี่ยวกับหน้าที่และความรับผิดชอบขององค์กรเกี่ยวกับความปลอดภัยข้อมูลสารสนเทศ

นโยบายการคุ้มครองข้อมูลส่วนบุคคล ชี้แจงรายละเอียดเกี่ยวกับการเก็บรวบรวม การเก็บรักษา การเปิดเผยและการประมวลผลข้อมูลของลูกค้า