ผลกระทบเชิงบวกและลบ

ปตท. ตระหนักและให้ความสำคัญต่อการประยุกต์ใช้ดิจิทัลในทุกขั้นตอนของการทำงาน เพื่อเสริมสร้างศักยภาพการดำเนินธุรกิจและความสามารถในการแข่งขัน โดยควบคู่ไปกับการจัดการผลกระทบเชิงลบที่อาจเกิดขึ้นจากภัยคุกคามด้าน Cyber Security ไม่ว่าจะเป็นการถูกขโมยข้อมูล (Data Breach) การเรียกค่าไถ่ (Ransomware) การขู่กรรโชก (Cyber Extortion) ซึ่งส่งผลกระทบเชิงลบโดยตรงต่อองค์กร ตลอดจนเป็นการละเมิดสิทธิมนุษยชนของผู้ที่เป็นเจ้าของข้อมูล เช่น พนักงานและลูกค้า ทำให้องค์กรต้องสูญเสียภาพลักษณ์และชื่อเสียง (Image & Reputation) ตลอดจนการถูก โจมตีและสร้างความเสียหายกับระบบควบคุมในพื้นที่ Operation Technology (OT)  และอาจจะทำให้ธุรกิจต้องหยุดชะงัก (Business Interruption) ได้ Cyber security เป็นหนึ่งในปัจจัยความเสี่ยงขององค์กร (Corporate Risk) มีการติดตามและถูกวัดผลลัพธ์อย่างใกล้ชิดรวมไปถึงมีแผนในการปรับเพิ่มประสิทธิภาพเพื่อลดระดับความเสี่ยงและผลกระทบอย่างต่อเนื่อง ไม่ว่าจะเป็นการลงทุนในเทคโนโลยี (Technology) การเพิ่มประสิทธิภาพของกระบวนการทำงาน (Process) รวมไปถึงการเพิ่มความตระหนักรู้ถึงภัยคุกคามทางด้านไซเบอร์ให้กับบุคลากร (People) ภายในองค์กร และเร่งให้มีการใช้งานเทคโนโลยีดิจิทัลที่เหมาะสม

แนวทางบริหารจัดการ

การประยุกต์ใช้ดิจิทัลในการดำเนินธุรกิจ

จากวิสัยทัศน์ด้านดิจิทัลของ ปตท. ในการเป็นผู้นำในนวัตกรรมดิจิทัลโซลูชั่นและเร่งให้มีการยอมรับใช้งานเทคโนโลยีดิจิทัลที่เหมาะสม การนำเทคโนโลยีดิจิทัลมาปรับใช้ในการดำเนินธุรกิจทั่วทั้งองค์กรนั้น ปตท. มุ่งเน้นการผสมผสานระหว่างการพัฒนาความสามารถและศักยภาพของบุคลากรและเทคโนโลยีไปพร้อมกัน ปตท. ได้กำหนดทิศทางกลยุทธ์การพัฒนาและปรับปรุงกรอบยุทธศาสตร์เพื่อการพัฒนาเทคโนโลยีดิจิทัลของ ปตท.  เป็นแผนระยะยาวประจำปี 2567 - 2571  ซึ่งมีเป้าหมายในการดำเนินงาน 6 เรื่องหลักได้แก่

1. การสนับสนุนทุกกระบวนการทางธุรกิจเพื่อให้เกิดความยั่งยืน
2. เป้าหมายความมั่นคงปลอดภัยด้านไซเบอร์ที่มุ่งตามหลักแนวคิด Zero-trust
3. เป้าหมายการนำเทคโนโลยีด้านการวิเคราะห์ข้อมูลมาและ AI ช่วยในการสนับสนุนการตัดสินใจทางธุรกิจ
4. เป้าหมายการกำกับดูแลการดำเนินงานด้านดิจิทัลที่สามารถตรวจสอบได้ตลอดจนการคำนึงถึงการนำดิจิทัลมาช่วยสร้างคุณค่าให้กับธุรกิจ
5. เป้าหมายการสนับสนุนการนำเทคโนโลยีดิจิทัลมาใช้กับธุรกิจใหม่
6. เป้าหมายการนำเทคโนโลยีดิจิทัลมาใช้ประโยชน์เพื่อสร้างประสบการณ์ที่ดีให้กับลูกค้า

• มิติทรัพยากรคน (People) เตรียมความพร้อมของบุคลากร ปตท. ตั้งแต่ระดับผู้บริหารที่สามารถกระตุ้นและผลักดันให้เกิดการเปลี่ยนแปลงเชิงนโยบาย จนถึงพนักงานที่สามารถนำเทคโนโลยีที่ทันสมัยมาใช้ในกระบวนการทำงานและการให้บริการของหน่วยงานได้อย่างเหมาะสมและมีประสิทธิภาพ และมีการส่งเสริม Digital Culture ภายในองค์กรอย่างสม่ำเสมอ เพื่อให้มั่นใจว่า ปตท. จะยังคงอยู่ในระดับแนวหน้าของความสามารถในการแข่งขันทางดิจิทัล รวมถึงมุ่งเน้นให้พนักงานและผู้ที่เกี่ยวข้องตระหนักถึงความสำคัญของความมั่นคงปลอดภัยด้านไซเบอร์ เพื่อให้องค์กรสามารถขับเคลื่อนไปสู่เป้าหมายได้อย่างมีประสิทธิภาพ
• มิติกระบวนการทำงาน (Process) มีกระบวนการจัดทำแผนปฏิบัติการดิจิทัล หรือ Digital Roadmap โดยรวบรวมข้อมูลปัจจัยภายใน ได้แก่ ทิศทางในการดำเนินงานของแต่ละหน่วยธุรกิจ ปัญหาและความต้องการของหน่วยธุรกิจ และผลการดำเนินงานด้านดิจิทัลที่ผ่านมา ข้อมูลปัจจัยภายนอก ได้แก่ ประเด็นความเสี่ยงด้านเทคโนโลยีและเศรษฐกิจตามสถานการณ์ของโลก แนวโน้มการพัฒนาของเทคโนโลยีในอนาคต และนโยบายภาครัฐหรือกฎหมายที่เกี่ยวข้อง นำมาวิเคราะห์และกำหนดวิสัยทัศน์ กลยุทธ์ เป้าหมาย ด้านการดำเนินงานดิจิทัล เพื่อกำหนดแผนเป็นงานด้านดิจิทัล โดย ปตท. มีการกำหนดโครงสร้างการลงทุนด้านดิจิทัล กำหนดเกณฑ์ในการพิจารณาการลงทุน และประเมินความคุ้มค่าของการลงทุนด้านดิจิทัล รวมถึงมีกระบวนการบริหารโครงการและการดำเนินงานด้านเทคโนโลยีดิจิทัล กระบวนการจัดการด้านคุณภาพ อย่างครบถ้วนและเป็นระบบ
• มิติการใช้เทคโนโลยี (Technology) ปตท. มีเทคโนโลยีดิจิทัลที่เป็นส่วนสนับสนุนการดำเนินงานด้านดิจิทัลที่สำคัญ ประกอบด้วย เทคโนโลยีด้านการวิเคราะห์ข้อมูล และ AI โดยมุ่งเน้นไปที่การขยายการใช้งาน AI ให้ครอบคลุมทุกหน่วยธุรกิจ จัดเตรียม Enterprise Data Platform (EDP) กำหนดเป็นฐานข้อมูลกลางขององค์กรที่มีการกำกับดูแลและการบริหารจัดการข้อมูล เพื่อให้การได้มาและการนำไปใช้ข้อมูลของหน่วยงาน ได้ถูกต้อง แม่นยำ ครบถ้วน เป็นปัจจุบัน เทคโนโลยีด้าน Cloud Platform ในรูปแบบของ Hybrid Cloud ให้สามารถตอบสนองวัตถุประสงค์การใช้งานได้ครอบคลุมทุกรูปแบบ ทั้งที่ต้องการรักษาความเป็นส่วนตัว (Private Cloud) หรือต้องการขยายการใช้งานในอนาคต (Public Cloud) เทคโนโลยีด้านความมั่นคงปลอดภัยทางไซเบอร์ การบูรณาการระบบเทคโนโลยีสารสนเทศ (IT) เข้ากับระบบเทคโนโลยีปฏิบัติการ (OT)

ความมั่นคงปลอดภัยในสารสนเทศ

เพื่อป้องกันความเสี่ยงการเกิดอาชญากรรมทางไซเบอร์และการรั่วไหลของข้อมูล ซึ่งปัจจุบันมีสถิติเพิ่มมากขึ้นอย่างรวดเร็ว ปตท. ซึ่งถูกกำหนดให้เป็น หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) ด้านพลังงานและสาธารณูปโภค ตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ. 2562 มีการกำกับดูแลและบริหารระบบความมั่นคงปลอดภัยด้านสารสนเทศและไซเบอร์ตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ประกอบด้วย

1. การสนับสนุนทุกกระบวนการทางธุรกิจเพื่อให้เกิดความยั่งยืน
   1. การระบุความเสี่ยง (Identify)
   2. มาตรการป้องกันความเสี่ยงที่อาจจะเกิดขึ้น (Protect)
   3. มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์ (Detect)
   4. มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์ (Response)
   5. มาตรการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์ (Recovery)
2. การดำเนินงานตามแผนการตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
3. การประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
4. การจัดทำแผนการรับมือภัยคุกคามทางไซเบอร์

ซึ่งสอดคล้องตามกรอบความมั่นคงปลอดภัยด้านไซเบอร์ที่ถูกพัฒนาโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของประเทศสหรัฐอเมริกา (National Institute of Standards and Technology: NIST) โดยมีการประกาศนโยบายการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และนโยบายรักษาความมั่นคงความปลอดภัยด้านไซเบอร์ ครอบคลุมทั้งในส่วนของ Information Technology (IT) และ Operation Technology (OT)  เพื่อให้ระบบสารสนเทศของ ปตท. มีการป้องกันภัยคุกคามและมีการบริหารจัดการความเสี่ยงด้านไซเบอร์อย่างมีประสิทธิภาพ และเพื่อให้การดำเนินงานมีความสอดคล้องกับกรอบการดำเนินงานและแนวปฏิบัติที่เป็นมาตรฐานสากล ปตท. ได้นำมาตรฐานการจัดการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management Systems: ISMS) หรือ ISO/IEC 27001 และระบบการจัดการข้อมูลส่วนบุคคล (Privacy Information Management System : PIMS) หรือ ISO/IEC 27701 มาประยุกต์ใช้

ปตท. มอบหมายให้บริษัท พีทีที ดิจิตอล โซลูชั่น จำกัด เป็นผู้ให้บริการและดำเนินงานด้าน Cybersecurity ให้กับบริษัทในกลุ่ม ปตท. โดยมีศูนย์ Cyber Security Operation Center (CSOC) ทำหน้าที่เฝ้าระวังตรวจสอบความผิดปกติจากการโจมตีทางด้านไซเบอร์ (Cyber Attack) ให้กลุ่ม ปตท. ตลอด 24 ชั่วโมง ด้วยเครื่องมือที่ใช้เทคโนโลยีทันสมัย พร้อมด้วยบุคลากรที่มีใบรับรองระดับสากล

ปตท. ซ้อมรับมือภัยการโจมตีทางไซเบอร์ (Cyber Drill) อย่างสม่ำเสมอทุกปี ในรูปแบบ Table Top อย่างน้อย 1 ครั้งต่อปี โดยมีแผนรองรับการตอบสนองการเกิดเหตุด้านไซเบอร์ (Security Incident Response) อย่างชัดเจน รวมถึงมีการจ้างผู้เชี่ยวชาญระดับโลกมาเข้าร่วมกรณีเกิดเหตุการณ์ภัยคุกคาม (Incident Response Retainer) พร้อมกันนี้ยังได้มีการประสานงานร่วมกับศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) และ Community สากลอื่น ๆ เพื่อแลกเปลี่ยนข้อมูลปัจจุบันล่าสุดของเหตุการณ์ทางด้าน Cyber Security ระหว่างกัน

ปตท. ได้จัดให้มีการอบรมเพื่อสร้างความตระหนักรู้ด้านไซเบอร์และการทดสอบส่ง Phishing Mail ให้กับพนักงานและพนักงานสัญญาจ้าง ทุก 2 เดือน รวมทั้งกำหนดให้มีการอบรมผ่าน E-Learning เพิ่มเติม หากพนักงานไม่ผ่านการทดสอบดังกล่าว เพื่อเป็นการทบทวนความเข้าใจและตระหนักถึงผลกระทบของการโจมตีทางไซเบอร์

การกำกับดูแลด้านดิจิทัลและความปลอดภัยทางไซเบอร์

ปตท. มีการกำกับดูแลการบริหารจัดการด้านดิจิทัลขององค์กร ครอบคลุมทั้งในด้านการบริหารจัดการทรัพยากรอย่างเหมาะสม มีการกำหนดความรับผิดชอบด้านดิจิทัลในทุกส่วนขององค์กร ตั้งแต่ คณะกรรมการ ปตท. มีการทบทวนวิสัยทัศน์ ทิศทาง กลยุทธ์ นโยบายและแผนงานที่สำคัญของบริษัท รวมทั้งพิจารณาประเด็นความเสี่ยงที่อาจจะเกิดขึ้นเป็นประจำทุกปี โดยมี คุณชาญศิลป์ ตรีนุชกร (กรรมการอิสระ) ซึ่งเป็น 1 ในคณะกรรมการที่มีประสบการณ์เกี่ยวข้องกับเรื่องดังกล่าว  สำหรับในการระดับจัดการ มีประธานเจ้าหน้าที่ปฏิบัติการกลุ่มธุรกิจใหม่และโครงสร้างพื้นฐาน (Chief New Business and Infrastructure Officer: CNBO) ซึ่งเทียบเท่ากับตำแหน่ง Chief Information Security Officer (CISO) / Chief Security Officer (CSO) ทำหน้าที่เป็นประธานกรรมการ คณะกรรมการดิจิทัล กลุ่ม ปตท. (PTT Group Digital Steering Committee) กำหนดทิศทาง นโยบาย ยุทธศาสตร์และเป้าหมายด้านดิจิทัลของ กลุ่ม ปตท. กำกับดูแล และบริหารความร่วมมือด้านดิจิทัลของบริษัทในกลุ่ม ปตท. ให้เป็นไปในทิศทางเดียวกัน  ผลักดัน นโยบาย มาตรฐาน กลไกการบริหารจัดการ ระบบการบริหารจัดการด้านดิจิทัลกลุ่ม ปตท. ซึ่งครอบคลุมทั้งในส่วนการบริหารจัดการการพัฒนาโครงการ การบริหารจัดการข้อมูล การกำกับดูแลการบริหารงานด้านดิจิทัล การบริหารความมั่นคงปลอดภัยสารสนเทศ เป็นต้น ให้ไปสู่การปฏิบัติของกลุ่ม ปตท. อย่างเหมาะสม และมีประสิทธิภาพ ให้คำปรึกษาและคำแนะนำ แก่หน่วยงานต่าง ๆ ภายใต้การกำกับดูแล พิจารณากลั่นกรอง ติดตามความคืบหน้า และผลการดำเนินงานด้านดิจิทัล (Digital Initiatives) ซึ่งมีบทบาทเทียบเท่ากับ “คณะกรรมการกำกับดูแลงานด้านดิจิทัลและเทคโนโลยี สารสนเทศและความมั่นคงปลอดภัยด้านไซเบอร์ ( Cybersecurity / Information security committee)”  โดย คณะกรรมการฯ มีการจัดประชุมพิจารณาเรื่องต่าง ๆ ที่เกี่ยวข้องกับหน้าที่ข้างต้น อย่างน้อยปีละ 2 ครั้ง หรือตามความจำเป็น และระดับปฏิบัติการ มีฝ่ายกลยุทธ์ดิจิทัล ทำหน้าที่กำหนดกลยุทธ์ของ ปตท. ให้มีความสอดคล้องกับทิศทาง นโยบาย ยุทธศาสตร์และเป้าหมายด้านดิจิทัลที่กำหนด

ปตท. มีกระบวนการเพื่อควบคุมให้การดำเนินงานมีประสิทธิภาพและมีความโปร่งใส รวมถึงควบคุมให้มีการปฏิบัติตาม กฎหมาย ระเบียบข้อบังคับ ที่เกี่ยวข้องกับการพัฒนาเทคโนโลยีดิจิทัลอย่างเคร่งครัด  โดยได้ประกาศใช้นโยบายดิจิทัล  นโยบายการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และนโยบายรักษาความมั่นคงความปลอดภัยด้านไซเบอร์ ลงนามโดย ประธานเจ้าหน้าที่บริหารและกรรมการผู้จัดการใหญ่ เพื่อให้องค์กรสามารถนำเทคโนโลยีดิจิทัลมาใช้เพิ่มประสิทธิภาพและสร้างมูลค่าเพิ่มในการดำเนินธุรกิจให้เติบโตอย่างต่อเนื่อง เกิดความคล่องตัว ฉับไว โปร่งใส และปลอดภัย  เป็นไปตามหลักธรรมาภิบาลที่ดี เพื่อมุ่งสู่องค์กรที่มีศักยภาพเป็นเลิศ  พร้อมสร้างพลังร่วมในการดำเนินธุรกิจของกลุ่ม ปตท. และสนับสนุนให้เกิดความยั่งยืนในการดำเนินธุรกิจพลังงานและปิโตรเคมีครบวงจร และนำไปสู่โอกาสในการพัฒนาธุรกิจรูปแบบใหม่ๆ ด้วยเทคโนโลยีและนวัตกรรม เพิ่มขีดความสามารถในการแข่งขัน ยกระดับคุณภาพการทำธุรกิจและทันต่อแนวโน้มของโลกที่เปลี่ยนแปลงอย่างรวดเร็ว อีกทั้งกำหนดมาตรฐานดิจิทัลขึ้น เพื่อใช้เป็นแนวทางปฏิบัติสำหรับพนักงานปตท. ในทุกระดับ ให้เป็นมาตรฐานและเกิดประสิทธิภาพสูงสุดในทุกด้าน ทั้งด้านอุปกรณ์สารสนเทศ Software มาตรฐานประจำเครื่อง  ระบบงานสารสนเทศ  การพัฒนาระบบงาน Infrastructure Security การฝึกอบรม ตลอดจนการให้บริการ (Service Level Agreement) อันจะส่งผลให้เกิดประโยชน์และประสิทธิผลสูงสุดต่อองค์กร ควบคู่ไปกับการบริหารความเสี่ยงจากภัยคุกคามด้าน Cybersecurity ซึ่งถูกบรรจุให้เป็นหนึ่งในปัจจัยเสี่ยงขององค์กร (ความเสี่ยงด้านปฏิบัติการ) โดยได้มีการกำหนดมาตรการ/ แผนควบคุมเพื่อลดโอกาสเกิด (Control) มาตรการเพื่อลดผลกระทบ (Mitigation Plan) และตัวชี้วัดความเสี่ยง (Key Risk indicator : KRI) ซึ่งมีการรายงานความก้าวหน้าตามที่กำหนดต่อ คณะกรรมการแผนวิสาหกิจและบริหารความเสี่ยง คณะกรรมการบริหารความเสี่ยงองค์กร และคณะกรรมการ ปตท.

แผนงาน/ Initiatives ที่สำคัญ

โครงการ Digital Citizen

เพื่อยกระดับความรู้และทักษะที่จำเป็นในการนำเทคโนโลยีดิจิทัลมาใช้ตามวัตถุประสงค์ของกลุ่มงาน การพัฒนา Competency ของพนักงานแต่ละระดับ และเพื่อส่งเสริมให้เกิด Digital Citizen ปตท. ได้จัดกิจกรรมที่เหมาะสม ได้แก่ หลักสูตรด้านการพัฒนาความรู้พื้นฐานด้านดิจิทัล เช่น ความรู้ด้านความมั่นคงปลอดภัยทางไซเบอร์ หลักสูตรด้านการพัฒนาทักษะการใช้เครื่องมือขั้นพื้นฐาน เช่น Collaboration tools ต่างๆ  การพัฒนาทักษะการใช้เครื่องมือขั้นสูง เช่น การวิเคราะห์ข้อมูล การทำงานให้เป็นอัตโนมัติ การสร้างโมเดลพยากรณ์ ซึ่งพิจารณาจัดรูปแบบให้เหมาะสมกับเนื้อหาและรูปแบบการเรียนรู้ โดยสามารถวัดผลสำเร็จของการเรียนรู้ของพนักงานจากการทดสอบหลังการอบรม (Post-Test) ได้ถูกต้องอย่างน้อย 80% และจะมีการรวบรวมเป็นประวัติการพัฒนา/เรียนรู้ของพนักงาน และเพื่อให้มั่นใจว่าบุคลากรขององค์กรมีการใช้ความสามารถด้านดิจิทัลอย่างมีประสิทธิภาพ นอกจากนั้นยังส่งเสริมการสร้างวัฒนธรรมให้พนักงานและผู้ที่เกี่ยวข้องให้ตระหนักถึงความสำคัญของความมั่นคงและปลอดภัยด้านไซเบอร์ โดยการสร้างความรู้ความเข้าใจและความตระหนักรู้ ผ่านกิจกรรมที่เกี่ยวข้อง ได้แก่ การทดสอบส่ง Phishing Mail, การสื่อความประชาสัมพันธ์ เป็นต้น

โครงการศึกษาความเป็นไปได้ในการนำเทคโนโลยี Generative AI มาประยุกต์ใช้ใน ปตท.

ตามที่ ปตท. มีการพัฒนา Enterprise Data Platform เพื่อกำหนดให้ศูนย์กลางการจัดเก็บข้อมูลขององค์กรที่มีการกำกับดูแลเป็นมาตรฐาน ได้มีการศึกษาเพิ่มเติมในเรื่อง Generative AI ในปี 2566 โดยได้จัดทำ Proof of Concept ครอบคลุมความการใช้ประโยชน์ของ AI ในด้าน การสรุปข้อมูล การแปลงเสียงเป็นข้อความและข้อมูล การนำ AI มาใช้กับฐานข้อมูลความรู้องค์กร เป็นต้น

การดำเนินการเพื่อเพิ่มประสิทธิภาพความมั่นคงปลอดภัยของข้อมูล

ระบบยืนยันตัวตนสองขั้นตอน (Multi-Factor Authentication: MFA)^{SDGs 16.10}
ปตท. นำเทคโนโลยีที่ยอมรับให้เป็นมาตรฐานในการยืนยันตัวตนก่อนการใช้งานอุปกรณ์ หรือ Application เพื่อป้องกันการเข้าถึงข้อมูลจากบุคคลอื่นที่ไม่ได้รับอนุญาต โดยการยืนยันตัวตนอีกครั้งหลังจากใส่รหัสผ่านด้วยรูปแบบที่กำหนด เช่น การกรอกรหัส OTP (One Time Password) หรือ การกด Approve/Deny จาก Application บนอุปกรณ์ Smartphone ของเจ้าของข้อมูล เพื่อตรวจสอบและยืนยันตัวตนผู้ใช้งานว่าเป็นผู้มีสิทธิ์เข้าใช้งานจริง เพื่อประโยชน์ในการป้องกันและลดการสูญเสียข้อมูล ลดความสูญเสียทางการเงินจากการถูกโจรกรรม ลดค่าใช้จ่ายในการกู้คืนข้อมูล การสูญเสียชื่อเสียง และความเชื่อมั่นขององค์กร โดย ปตท. ทำการเปิดการใช้งานระบบยืนยันตัวตนสองขั้นตอน (MFA) สำหรับการเข้าถึง Email และระบบงานภายในองค์กร โดยมีการขยายขอบเขตการบังคับใช้งาน ทั้งกับบุคลากรภายในองค์กรและกับคู่ค้า/ลูกค้า สำหรับการเข้าถึงระบบงานที่เชื่อมต่อโดยตรงกับอินเตอร์เน็ต 

โครงการ Phishing Test Campaign^{SDGs 16.10}
กิจกรรมในการทดสอบเพื่อสร้างความตระหนักรู้ ให้กับพนักงานถึงภัยคุกคามทางด้านไซเบอร์ โดยเป็นการส่ง Email หลอกลวง เพื่อโน้มน้าวให้ User ทำการกดเปิดไฟล์ หรือ กรอกข้อมูล User / Password ซึ่งถือว่าเป็นพฤติกรรมที่เพิ่มความเสี่ยงให้กับองค์กรเป็นอย่างมาก โดยปัจจุบัน ปตท. ทำการทดสอบทุก 2 เดือน พร้อมกับทำการเฉลยเพื่อให้พนักงานได้ทราบและรับรู้ถึงภัยคุกคามทางไซเบอร์เพื่อไม่ให้หลงเป็นเหยื่อโดยง่าย โดยหากพบ Email ต้องสงสัยว่าเป็นอีเมลหลอกลวง สามารถรายงานปัญหาหรือแจ้งข้อสงสัยไปยัง PTT Digital Contact Center ผ่านช่องทางต่างๆเช่น โทรศัพท์ อีเมล Line Official Account : OA   หรือพนักงานสามารถกดปุ่มรายงานอัตโนมัติจาก Email Application ขององค์กรได้ทันที

การค้นหาช่องโหว่ทางไซเบอร์ขององค์กร
ปัจจุบัน ปตท. มีนโยบายสนับสนุนการทำงานแบบ Remote Working หรือ Work from Home การเข้าถึงระบบขององค์กรต้องดำเนินการผ่านเครือข่ายภายนอก ส่งผลให้มีความเสี่ยงที่จะเจอกับการโจมตีทางไซเบอร์ที่พัฒนารูปแบบอย่างต่อเนื่องในทุกๆวันอย่างหลีกเลี่ยงไม่ได้ จึงมีการใช้งานเทคโนโลยี Attack Surface Management (ASM) ที่มีระบบวิเคราะห์ข้อมูลด้วยปัญญาประดิษฐ์ หรือ Artificial Intelligence (AI) มาช่วยในการค้นหาช่องโหว่ที่ออกสู่โลกอินเทอร์เน็ต (Exposed) ครอบคลุมแนวทางการโจมตีและภัยคุกคามรูปแบบใหม่ๆ เพื่อสนับสนุนให้ ปตท. สามารถบริหารจัดการความเสี่ยงได้อย่างเหมาะสม รวมถึงการทำ Vulnerability scanning และ Penetration testing

การซ้อมแผนบริหารความต่อเนื่องทางธุรกิจ
ปตท. มีการการซ้อมแผนบริหารความต่อเนื่องทางธุรกิจในระดับองค์กรเป็นประจำทุกปี โดยในปี 2566 ได้มีการกำหนด Scenario เป็นกรณีเกิดเหตุจากภัยคุกคามทางไซเบอร์ (Cyber Attack) ที่จะสามารถทำให้ผู้มีส่วนได้ส่วนเสียมั่นใจได้ว่า ปตท. มีการเตรียมความพร้อมเมื่อเกิดเหตุภัยคุกคามทางไซเบอร์และมีผลกระทบต่อกระบวนการทำงานหรือระบบงานที่สำคัญ โดยได้คำนึงถึงการป้องกัน การจัดการความต่อเนื่องของการดำเนินการและการฟื้นฟูสู่สภาพเดิม

การดำเนินงานในอนาคต

โครงการพัฒนาความรู้ ความสามารถด้านดิจิทัลของพนักงานผ่านหลักสูตรที่เหมาะสม โดยจะเริ่มต้นจากเป้าหมายในการสร้างให้พนักงานทุกคนเป็น Digital Citizen ในระดับที่มีความรู้ และความสามารถในการนำเทคโนโลยีมาประยุกต์ใช้ภายใน ปตท. แบ่งเป็น 3 Track ได้แก่ Core Track มุ่งเน้นความรู้ และความเข้าใจ ในการใช้เครื่องมือที่กว้างขึ้นด้านดิจิทัลเพื่อเปลี่ยนแปลงวิธีการทำงานและส่งเสริมการนำเทคโนโลยีมาใช้ภายใน ปตท. Innovator Track มุ่งเน้นการพัฒนาความรู้ ความเข้าใจ และทักษะในการนำดิจิทัลเป็นส่วนหนึ่งของกระบวนการสร้างนวัตกรรมนำไปสู่การสร้างธุรกิจใหม่ในอนาคต Expert Track มุ่งเน้นพัฒนาความรู้ ความเข้าใจ และทักษะในการใช้เครื่องมือด้านดิจิทัลอย่างลึกซึ้ง ให้สามารถแก้ปัญหาอย่างมีประสิทธิภาพ และปรับตัวให้เข้ากับการเปลี่ยนแปลงทางเทคโนโลยีที่รวดเร็ว

โครงการขยายการใช้งาน AI ประกอบด้วย การเตรียมความพร้อมในด้านการกำกับดูแล การจัดทำนโยบาย แนวปฏิบัติ และการสื่อความการใช้งาน AI ภายในองค์กร เพื่อให้การใช้งาน AI ของ ปตท. เป็นไปอย่างถูกต้องและเหมาะสม พัฒนา Core AI ที่มีความปลอดภัยรองรับความต้องการของหน่วยธุรกิจ เตรียมความพร้อมการสำหรับการใช้งานเครื่องมือด้าน AI และการจัดกิจกรรมพัฒนาความรู้และทักษะด้าน AI ของพนักงาน

โครงการระบบงานหลักเพื่อรองรับองค์กรดิจิทัล (Powering Digital Organization With ERP Project: POWER) มุ่งเน้นการปรับกระบวนการควบคู่กับการมีระบบ Enterprise Resource Planning หรือ ERP และระบบดิจิทัลที่ทันสมัยพร้อมในการสนับสนุน/ขับเคลื่อนการดำเนินธุรกิจ ตลอดทั้งสร้างการปฏิบัติงานที่เป็นเลิศ

โครงการการเพิ่มประสิทธิภาพในด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) เพื่อการเตรียมตัว และตอบสนองต่อภัยคุกคามทางไซเบอร์ รวมถึงการกู้คืนระบบให้กลับมาดำเนินการได้ตามปกติโดยเร็ว (Cyber Resilience) ทั้ง 3 มุมมอง ได้แก่ การส่งเสริมให้บุคลากรทุกระดับมีความตระหนักรู้ทางด้านความมั่นคงทางไซเบอร์อย่างต่อเนื่อง ตั้งแต่การซ้อม Tabletop ของผู้บริหาร รวมถึงการสื่อความและหลักสูตรอบรมของพนักงานครอบคลุมตั้งแต่วันแรกที่ปฏิบัติงานให้แก่ ปตท. การปรับปรุงกระบวนการกำกับดูแลความมั่นคงทางไซเบอร์ให้ดียิ่งขึ้น ตั้งแต่การจัดทำแผนการปกป้องทางไซเบอร์ให้ครอบคลุมทั้ง IT และ OT, การบริหารจัดการช่องโหว่ และการประเมินระดับความพร้อมทางด้านความมั่นคงปลอดภัยทางไซเบอร์ และการนำเทคโนโลยีที่ทันสมัยเข้ามาเสริมประสิทธิภาพ ตั้งแต่การจำลองสถานการณ์เมื่อถูกโจมตี การกำกับเครื่องคอมพิวเตอร์ส่วนตัวให้มีความปลอดภัยในการใช้งานระดับเดียวกับขององค์กร การปรับปรุง Application ที่ใช้งาน Internet ให้สอดคล้องตามนโยบายความมั่นคงปลอดภัยทางไซเบอร์ของ ปตท.

โครงการปรับปรุงและเพิ่มประสิทธิภาพในการนำดิจิทัลมาประยุกต์ใช้กับทุกส่วนขององค์กร ได้แก่ การลดค่าใช้จ่ายให้สะท้อนกับการใช้งานจริงมากขึ้น การสร้างความเชื่อมโยงระหว่างข้อมูลเพื่อให้สามารถบริหารจัดการ Life Cycle ได้ดีขึ้น การประเมินและจัดทำ Green IT Roadmap เพื่อให้ IT มีส่วนช่วยให้องค์กรบรรลุเป้าหมายในการลดการปล่อยก๊าซเรือนกระจกได้ในอนาคต และการปรับปรุงกระบวนการกำกับดูแลด้านดิจิทัลของ ปตท. ให้เป็นไปตามมาตรฐานสากลและได้รับการรับรอง

รางวัลที่ได้รับ

ISO/IEC 27001:2022 Certificate (ต่อเนื่องเป็นปีที่ 13) ISO/IEC 27701:2019 Certificate ISO/IEC 38500 :2015 Certificate Prime Minister Awards: Thailand Cybersecurity Excellence Award 2022

การทบทวนปรับปรุงที่สำคัญในรอบปีที่ผ่านมา

โครงการ IT Governance Implementation

ดำเนินการทบทวนการกำกับดูแลด้านเทคโนโลยีสารสนเทศให้สอดคล้องตามมาตรฐาน ISO/IEC 38500:2015 โดยมีการประเมินและวิเคราะห์สถานะปัจจุบันของการกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศของ ปตท. รวมถึงออกแบบโครงสร้างในการกำกับดูแลที่เหมาะสมครอบคลุมประเด็นสำคัญ ได้แก่ ความรับผิดชอบ ยุทธศาสตร์ การบริหารจัดการทรัพยากร หลักเกณฑ์และข้อบังคับ รวมถึงแนวปฏิบัติของบุคลากร ที่ได้มีการประกาศใช้นโยบายการกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศ (IT Governance Policy) ครอบคลุมการดำเนินงานในด้านการประเมินการใช้เทคโนโลยีทั้งในปัจจุบันและอนาคต (Evaluate) การกำหนดทิศทางเพื่อให้การใช้เทคโนโลยีสารสนเทศบรรลุตามวัตถุประสงค์ทางธุรกิจ (Direct) การติดตามผลดำเนินการตามแผนงาน (Performance) และผลการดำเนินการตามข้อบังคับ (Conformance) ด้านเทคโนโลยีสารสนเทศ (Monitor) ซึ่ง ปตท. ได้รับการรับรองจากผู้ตรวจประเมินภายนอกตามขอบเขตที่กำหนด

โครงการ Information Security Controls Implementation

ดำเนินการทบทวนการการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศให้สอดคล้องตามมาตรฐาน ISO/IEC 27001:2022 ซึ่งมีการเพิ่ม Security Control ที่สำคัญ เช่น มาตรการควบคุมสภาพแวดล้อมทางภัยคุกคามที่จะเกิดขึ้นกับองค์กร  มาตรการควบคุมการบริหารจัดการการรักษาความมั่นคงปลอดภัยสารสนเทศสำหรับการใช้บริการคลาวด์  มาตรการควบคุมความพร้อมและการทดสอบของระบบสารสนเทศและการสื่อสารให้มีความต่อเนื่องทางธุรกิจและข้อกำหนดด้านความต่อเนื่องด้านสารสนเทศด้านการสื่อสาร และมาตรการควบคุมการตรวจจับและยับยั้งการเข้าถึงกายภาพโดยไม่ได้รับอนุญาต โดยมีการประเมินและวิเคราะห์สถานะปัจจุบันของการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ รวมถึงการทบทวนเอกสารด้านนโยบาย แนวปฏิบัติ คู่มือ กระบวนการ และแบบฟอร์มทั้งหมดที่เกี่ยวข้อง ซึ่ง ปตท. ได้รับการรับรองจากผู้ตรวจประเมินภายนอกตามขอบเขตที่กำหนด

โครงการ Enterprise Architecture Implementation

วิเคราะห์และจัดทำสถาปัตยกรรมองค์กร ด้านเทคโนโลยีสารสนเทศ (Information Technology: IT) เพื่อมุ่งเน้นการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร ทั้งในส่วนของกระบวนการทำงาน การสร้างสรรค์ผลิตภัณฑ์ การตลาด วัฒนธรรมองค์กร และการกำหนดเป้าหมายการเติบโตในอนาคต ให้เป็นไปโดยมีหลักการและเป็นมาตรฐานเดียวกัน ทั้งนี้ได้มีการแต่งตั้งคณะทำงานสถาปัตยกรรมองค์กร เพื่อกำกับกระบวนการบริหารโครงการและการดำเนินงานด้านเทคโนโลยีดิจิทัลโดยอ้างอิงหลักการและเป็นมาตรฐานที่กำหนด

โครงการระบบงานหลักเพื่อรองรับองค์กรดิจิทัล (Powering Digital Organization With ERP Project: POWER) ระยะการประเมินและเตรียมการ (Assessment & Preparation Phase)

ตามที่ระบบ Enterprise Resource Planning (ERP) ที่ ปตท. ใช้งานในปัจจุบัน ได้แก่ SAP ECC 6.0 กำลังจะสิ้นสุดการสนับสนุนจากเจ้าของผลิตภัณฑ์ ปตท. จึงจัดตั้งโครงการเพื่อดำเนินการประเมินปัจจัยต่างๆ และจัดทำแผนงาน และเตรียมการสำหรับพัฒนา SAP S/4HANA ที่ได้รับการพัฒนาเพื่อลดข้อจำกัดต่าง ๆ มาพร้อมเทคโนโลยีอัจฉริยะในตัว เช่น AI, Machine Learning เป็นต้น พร้อมรองรับ Big Data, Business Network ให้สามารถประมวลผลข้อมูลจำนวนมหาศาลและสามารถเข้าถึงข้อมูลได้รวดเร็ว ซึ่งในปี 2566 ดำเนินการประเมินสถานะปัจจุบัน (Assessment Phase) แล้วเสร็จ พร้อมเข้าสู่ Implementation Phase เพื่อให้โครงการแล้วเสร็จในปี 2568