ความยั่งยืน

การบริหารความเสี่ยงเเละภาวะวิกฤต

ความยั่งยืน

การบริหารความเสี่ยงเเละภาวะวิกฤต

การสนับสนุนเป้าหมายการพัฒนาที่ยั่งยืน





โอกาสและความท้าทาย

ความท้าทายจากสถานการณ์ความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security)

ปัจจุบันภัยคุกคามทางด้าน Cyber Security มีสถิติเพิ่มมากขึ้นอย่างรวดเร็ว ก่อให้เกิดความเสี่ยงกับองค์กรในด้านต่าง ๆ อาทิเช่น การถูกขโมยข้อมูล (Data Breach) การเรียกค่าไถ่ (Ransomware)การขู่กรรโชก (Cyber Extortion) การสูญเสียภาพลักษณ์และชื่อเสียง (Image & Reputation) ไปจนถึงอาจจะทำให้ธุรกิจต้องหยุดชะงัก (Business Interruption)

ปตท. ตระหนักและให้ความสำคัญต่อภัยคุกคามทางด้าน Cyber Security เป็นอย่างยิ่ง โดยถือให้เป็นหนึ่งในปัจจัยความเสี่ยงขององค์กร (Corporate Risk) มาอย่างต่อเนื่องทุกปี ซึ่งมีการติดตามและถูกวัดผลลัพธ์อย่างใกล้ชิด รวมไปถึงมีแผนในการปรับเพิ่มประสิทธิภาพเพื่อลดระดับความเสี่ยงและผลกระทบอย่างต่อเนื่อง ไม่ว่าจะเป็นการลงทุนในเทคโนโลยี (Technology) การเพิ่มประสิทธิภาพของกระบวนการทำงาน (Process) รวมไปถึงการเพิ่มความตระหนักรู้ถึงภัยคุกคามทางด้านไซเบอร์ให้กับบุคลากร (People) ภายในองค์กร

ความท้าทายจากสถานการณ์แพร่ระบาดของโรคโควิด 19 (COVID-19)

จากสถานการณ์การแพร่ระบาดโรคโควิด 19 ตั้งแต่ช่วงปลายปี 2562 เป็นต้นมา ปตท. ต้องเผชิญกับภาวะชะลอตัวของเศรษฐกิจทั่วโลก รวมถึงมาตรการที่เกี่ยวข้องของภาครัฐที่ส่งผลกระทบเชิงลบต่ออุปสงค์และราคาผลิตภัณฑ์บริษัทในกลุ่ม ปตท. ซึ่งเป็นความท้าทายในการดำเนินธุรกิจปิโตรเลียมและปิโตรเคมีของกลุ่ม ปตท. ทั้งนี้ เพื่อลดผลกระทบดังกล่าว ปตท. ได้ติดตามสถานการณ์อย่างใกล้ชิด เพื่อดำเนินการบริหารความเสี่ยงด้านต่าง ๆ เช่น ด้านผลประกอบการและความแข็งแกร่งทางการเงิน ด้านห่วงโซ่อุปทานและกระบวนการดำเนินธุรกิจ และด้านสุขภาพและความปลอดภัยของบุคลากร เป็นต้น และกำหนดมาตรการที่เหมาะสมและสอดคล้องกับแต่ละสถานการณ์

ความท้าทายจากสถานการณ์การเปลี่ยนผ่านพลังงาน (Energy Transition)

นวัตกรรมหรือเทคโนโลยีที่ก้าวหน้าอย่างรวดเร็วเปลี่ยนรูปแบบการประกอบธุรกิจ (Disruptive Technology) รวมถึงความตระหนักด้านสิ่งแวดล้อมทั่วโลกก่อให้เกิดแนวคิดด้านการเปลี่ยนผ่านพลังงาน (Energy Transition) จากการใช้พลังงานรูปแบบดั้งเดิมมาเป็นการใช้พลังงานสะอาดในรูปแบบใหม่ ส่งผลกระทบต่อความต้องการของลูกค้าและการดำเนินธุรกิจของ ปตท. เป็นอย่างมาก เพื่อรองรับการเปลี่ยนแปลงของทิศทางเศรษฐกิจ สังคม พลังงาน เทคโนโลยี พฤติกรรมผู้บริโภคที่เปลี่ยนแปลงตามแนวโน้มใหญ่ (Mega Trend) ของโลก ปตท. จึงกำหนดกลยุทธ์การดำเนินธุรกิจและแสวงหาโอกาสและพัฒนาธุรกิจรูปแบบใหม่อย่างต่อเนื่อง ได้แก่ การดำเนินธุรกิจ LNG แบบครบวงจร การสร้างธุรกิจ New S-Curve เช่น การลงทุนในธุรกิจยานยนต์ไฟฟ้า พลังงานทดแทน (Renewable Energy) Life Science รวมถึงการเตรียมความพร้อมของบุคลากรรองรับการขยายธุรกิจอย่างมีประสิทธิภาพ โดยมีการทบทวนวิสัยทัศน์ ทิศทางและกลยุทธ์ของการดำเนินธุรกิจในอนาคต การบูรณาการแผนบริหารความเสี่ยงควบคู่กับแผนธุรกิจ และติดตามผลการดำเนินงานของกลุ่ม ปตท. อย่างสม่ำเสมอ เพื่อสร้างความมั่นใจว่าผลประกอบการจะเป็นไปตามเป้าหมาย

แนวทางการจัดการ

การบริหารความเสี่ยงและภาวะวิกฤตGRI102-11, GRI102-30

ปตท. ตระหนักถึงความสำคัญของการบริหารความเสี่ยงภายใต้ความไม่แน่นอนต่าง ๆ โดยถือว่าการบริหารความเสี่ยงเป็นองค์ประกอบที่สำคัญของทุกกระบวนการในการดำเนินธุรกิจที่มีความเชื่อมโยงกันทุกระดับ จึงได้กำหนดเป็นนโยบายบริหารความเสี่ยงทั่วทั้งองค์กรที่พนักงานทุกคนต้องปฏิบัติตาม และจัดทำกรอบการดำเนินงานและขั้นตอนการบริหารความเสี่ยงที่สอดคล้องกับหลักเกณฑ์ของ The Committee of Sponsoring Organizations of the Treadway Commission (COSO) Enterprise Risk Management (ERM) และมาตรฐานสากลหลักการและแนวทางการบริหารความเสี่ยง (ISO31000) (Risk Management - Principles and Guidelines) เพื่อให้ผู้ที่เกี่ยวข้องมีความเข้าใจหลักการบริหารความเสี่ยงและนำไปประยุกต์ใช้ได้อย่างเหมาะสม

ปตท. กำหนดโครงสร้างกำกับดูแลความเสี่ยงในระดับองค์กร ประกอบด้วย คณะกรรมการบริหารความเสี่ยงองค์กร (Enterprise Risk Management Committee: ERMC) ทำหน้าที่ในการกำหนดนโยบาย กรอบการบริหารความเสี่ยง กำกับดูแลและสนับสนุนให้การดำเนินงานด้านการบริหารความเสี่ยงองค์กรสอดคล้องกับกลยุทธ์และเป้าหมายทางธุรกิจ รวมถึงให้ข้อเสนอแนะแนวทาง ติดตาม และประเมินผลการบริหารความเสี่ยงต่อ คณะกรรมการแผนวิสาหกิจและบริหารความเสี่ยง (Corporate Plan and Risk Management Committee: CPRC) ซึ่งเป็นระดับจัดการ โดยมีการรายงานต่อคณะกรรมการตรวจสอบ และคณะกรรมการ ปตท. ตามที่กำหนดด้วย เพื่อทบทวนและให้ข้อคิดเห็นการปรับปรุงประสิทธิภาพของการบริหารจัดการความเสี่ยงอย่างไม่หยุดนิ่ง สามารถตอบสนองได้อย่างทันท่วงทีและสร้างความพร้อมในการรองรับความเสี่ยงของธุรกิจในทุก ๆ ด้าน  สำหรับความเสี่ยงในระดับกลุ่มธุรกิจ หน่วยธุรกิจและระดับสายปฏิบัติงานจะอยู่ภายใต้การกำกับดูแลของผู้บริหารที่รับผิดชอบ โดยถือเป็นหน้าที่รับผิดชอบของทุกหน่วยงานในการบริหารจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้

เพื่อให้การกำกับดูแลการบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิภาพ ได้จัดให้มีหลักสูตรอบรมเกี่ยวกับการบริหารความเสี่ยงให้แก่คณะกรรมการ ปตท. รวมทั้งมีการปฐมนิเทศเรื่องการบริหารความเสี่ยงองค์กรให้แก่กรรมการบริหารความเสี่ยงท่านใหม่ที่เข้ารับตำแหน่งตลอดจนการเสริมสร้างความรู้ความเข้าใจเรื่องสัญญาอนุพันธ์ทางการเงินและการบริหารความเสี่ยงอัตราแลกเปลี่ยนเงินตราต่างประเทศ การประเมินผลการบริหารผู้มีส่วนได้ส่วนเสียผ่าน KM Session เพื่อให้คณะกรรมการบริหารความเสี่ยงองค์กรสามารถกำกับดูแลการดำเนินงานให้ตรงตามวัตถุประสงค์

เอกสารอ้างอิง: นโยบายการบริหารความเสี่ยงของบริษัท ปตท. จำกัด (มหาชน)
โครงสร้างองค์กรของ ปตท.

ความเสี่ยงระดับองค์กร
GRI102-15

กระบวนการบริหารความเสี่ยงของ ปตท. ถูกออกแบบให้มีความเชื่อมโยงกับกระบวนการวางแผนกลยุทธ์ในแต่ละขั้นตอน มีการวิเคราะห์และประเมินความเสี่ยง เพื่อจัดทำความเสี่ยงระดับองค์กรที่สอดคล้องกับเป้าหมายองค์กรและแผนกลยุทธ์เป็นประจำทุกปี โดยพิจารณาสภาวการณ์ที่เปลี่ยนแปลงไปทั้งภายในและภายนอกภายใต้การวิเคราะห์การเปลี่ยนแปลงของภาวะแวดล้อมตลอดเวลา เช่น ความไม่แน่นอนทางการเมือง อุปสงค์อุปทานของปิโตรเลียมและปิโตรเคมีที่มีความผันผวน ความคาดหวังที่หลากหลายของกลุ่มผู้มีส่วนได้ส่วนเสีย การเปลี่ยนแปลงระเบียบและข้อบังคับต่าง ๆ ความก้าวหน้าของเทคโนโลยี และผลกระทบต่อสิ่งแวดล้อมอันเนื่องมาจากการทำธุรกิจ เป็นต้น นอกจากนี้ ยังวิเคราะห์ความเสี่ยงจากปัจจัยภายในของกลุ่มธุรกิจ หน่วยธุรกิจ และสายงานสนับสนุน เพื่อให้ทราบถึงจุดแข็งและจุดอ่อนขององค์กร รวมถึงความเสี่ยงจากปัจจัยภายนอกที่มาจากการวิเคราะห์โอกาสและอุปสรรค ตลอดจนสถานการณ์ต่าง ๆ ที่อาจส่งผลกระทบรุนแรงต่อองค์กรทั้งในเชิงบวกและลบ อีกทั้งเพิ่มการวิเคราะห์ความเสี่ยงระดับสากล โดยระบุปัจจัยความเสี่ยงหลักและปัจจัยที่เป็นโอกาสที่ส่งผลกระทบต่อองค์กรในระยะสั้นและระยะยาว ครอบคลุมด้านสิ่งแวดล้อม สังคม เศรษฐกิจ และเทคโนโลยี

ปัจจัยความเสี่ยงหลักของ ปตท. สามารถจำแนกเป็น 4 ด้าน ได้แก่ ความเสี่ยงด้านกลยุทธ์ ความเสี่ยงด้านปฏิบัติการ การประกอบธุรกิจ และความเสี่ยงทางการเงิน ที่อาจส่งผลกระทบต่อผลประกอบการ พนักงาน ลูกค้า คู่ค้า ชื่อเสียงองค์กร สาธารณชน และสิ่งแวดล้อม รวมทั้งพิจารณาความเสี่ยงจากเหตุการณ์ต่าง ๆ ทั่วไป ความเสี่ยงที่เกิดขึ้นใหม่ และเหตุการณ์ที่มีโอกาสเกิดไม่สูง แต่หากเกิดแล้วก่อให้เกิดความเสียหายและผลกระทบที่รุนแรงต่อธุรกิจ โดยความเสี่ยงแต่ละรายการจะมีสายงาน/หน่วยงานเจ้าของความเสี่ยงดูแลรับผิดชอบการจัดทำแผนบริหารความเสี่ยงและกำหนดดัชนีชี้วัดความเสี่ยง โดยมีการติดตามและรายงานผลต่อคณะกรรมการแผนวิสาหกิจและบริหารความเสี่ยงทุกเดือน รายงานต่อคณะกรรมการบริหารความเสี่ยงองค์กรทุกไตรมาส และรายงานต่อคณะกรรมการตรวจสอบทุกปีตามกระบวนการที่ ปตท. กำหนดไว้ 


การปรับปรุงกระบวนการบริหารความเสี่ยงจากการทบทวนโดยคณะกรรมการบริหารความเสี่ยงองค์กร 

ปตท. ปลูกฝังจิตสำนึกด้านการบริหารความเสี่ยงให้แก่พนักงานทุกคน รวมถึงการสร้างบรรยากาศและวัฒนธรรมในการบริหารความเสี่ยง มุ่งเน้นให้มีการจัดสรรทรัพยากรและให้การสนับสนุนในด้านต่าง ๆ อย่างเหมาะสม โดยบูรณาการเข้ากับกระบวนการทำงานที่สำคัญของ ปตท. เพื่อส่งเสริมการบริหารจัดการความเสี่ยงให้มีประสิทธิผล
  1. ปรับปรุง “ความเสี่ยงที่ยอมรับได้” (Risk Appetite Statement) ให้สอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไป
  2. พิจารณาผลกระทบจากแผนธุรกิจต่อผู้มีส่วนได้ส่วนเสีย นำไปสู่การจัดทำแผนงานเพื่อลดผลกระทบตามรูปแบบการบริหารจัดการที่เหมาะสม
  3. กำกับดูแลการจัดการนวัตกรรมองค์กรให้มีความครบถ้วนสมบูรณ์ สามารถเพิ่มประสิทธิผลด้านนวัตกรรมที่สอดคล้องตามวัตถุประสงค์เชิงยุทธศาสตร์และเป้าหมายหลักของ ปตท.
  4. พิจารณาให้ข้อคิดเห็นวาระโครงการลงทุนขนาดใหญ่และสัญญาที่มีภาระผูกพันในระยะยาว มีความซับซ้อนเชิงธุรกิจ และมีความเสี่ยงที่ส่งผลกระทบต่อ ปตท. อย่างมีนัยสำคัญก่อนนำเสนอขออนุมัติต่อคณะกรรมการ ปตท.
  5. พิจารณากลั่นกรองรายการความเสี่ยงองค์กรประจำปี ก่อนนำเสนอขออนุมัติต่อคณะกรรมการ ปตท. พร้อมแผนวิสาหกิจประจำปี โดยให้มีการบูรณาการรายการความเสี่ยงและแผนบริหารความเสี่ยงองค์กรควบคู่ไปกับการจัดทำแผนวิสาหกิจ เพื่อให้มีความชัดเจน สอดคล้องกับทิศทาง เป้าหมาย กลยุทธ์การดำเนินธุรกิจ มีการถ่ายทอดสู่การปฏิบัติทั่วทั้งองค์กร
  6. ติดตามการบริหารความเสี่ยงอย่างใกล้ชิดเป็นประจำทุกไตรมาส โดยกำหนดให้มีตัวชี้วัดความเสี่ยงเพื่อเฝ้าระวังและเตือนภัยล่วงหน้า รวมถึงการวัดประสิทธิผลของการบริหารความเสี่ยง และให้ข้อเสนอแนะแก่ฝ่ายจัดการในการทบทวนแผนบริหารความเสี่ยงให้สอดคล้องกับกลยุทธ์และสภาพแวดล้อมทางธุรกิจที่เปลี่ยนแปลงไป และมีการรายงานผลการดำเนินงานต่อคณะกรรมการ ปตท.


การกำกับดูแลความปลอดภัยทางไซเบอร์ 

คณะกรรมการ ปตท. มีการทบทวนวิสัยทัศน์ ทิศทาง กลยุทธ์ นโยบายและแผนงานที่สำคัญของบริษัท รวมทั้งพิจารณาประเด็นความเสี่ยงที่อาจจะเกิดขึ้นเป็นประจำทุกปี โดยความปลอดภัยด้านไซเบอร์ (Cyber Security) ได้ถูกบรรจุให้เป็นหนึ่งในปัจจัยเสี่ยงขององค์กร (ความเสี่ยงด้านปฏิบัติการ) มาอย่างต่อเนื่อง โดยมีประธานเจ้าหน้าที่ปฏิบัติการกลุ่มธุรกิจใหม่และโครงสร้างพื้นฐาน (Chief New Business and Infrastructure Officer: CNBO) ทำหน้าที่กำกับดูแล กำหนดกลยุทธ์ นโยบาย มาตรฐานด้านดิจิทัลและความปลอดภัยด้านไซเบอร์ให้สอดรับกับทิศทางกลยุทธ์ขององค์กร และมีการกำหนดมาตรการ/ แผนควบคุมเพื่อลดโอกาสเกิด (Control) มาตรการเพื่อลดผลกระทบ (Mitigation Plan) และตัวชี้วัดความเสี่ยง (Key Risk indicator : KRI) ซึ่งมีการรายงานความก้าวหน้าตามโครงสร้างกำกับดูแล เป็นรายไตรมาส 


การรักษาความปลอดภัยของข้อมูล และความพร้อมของระบบ

ปตท. ได้ดำเนินกิจกรรมและกรอบในการบริหารจัดการตามมาตรฐานระบบบริหารจัดการความปลอดภัยของข้อมูล (Information Security Management Systems: ISMS) หรือ ISO/IEC 27001 และระบบการจัดการข้อมูลส่วนบุคคล (Privacy Information Management System : PIMS) หรือ ISO/IEC 27701 เพื่อเพิ่มประสิทธิภาพความมั่นคงปลอดภัยของข้อมูล รวมถึงพัฒนานโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศให้ครอบคลุมทั้งในส่วนของ Information Technology (IT) และ Operation Technology (OT) ซึ่งเป็นหัวใจของการดำเนินธุรกิจของ ปตท. ไปพร้อมกันด้วย

ปตท. มอบหมายให้บริษัท PTT Digital Solutions ทำหน้าที่ในการดำเนินงาน (Operate) และให้บริการ (Services) งานทางด้าน Cyber Security ให้กับบริษัทในกลุ่ม ปตท. (PTT Group) พร้อมกับมีศูนย์ Cyber Security Operation Center (CSOC) ที่ทำหน้าที่เป็นศูนย์เฝ้าระวังและตรวจสอบความผิดปกติจากการโจมตีทางด้านไซเบอร์ (Cyber Attack) ให้กับบริษัทในกลุ่ม ปตท. อยู่ตลอด 24 ชั่วโมง ด้วยเครื่องมือ Monitoring ที่ใช้เทคโนโลยีขั้นสูง เช่น Machine Learning พร้อมด้วยบุคลากรที่ได้รับใบรับรองในระดับสากล มีการซ้อมรับภัยการโจมตีทางไซเบอร์ (Cyber Drill) อย่างสม่ำเสมอทุกปี และมีแผนรองรับการตอบสนองการเกิดเหตุด้านไซเบอร์ (Security Incident Response) อย่างชัดเจน รวมถึงมีบริการเพื่อตอบสนองเหตุการณ์ภัยคุกคาม (Incident Response Retainer) จากผู้เชี่ยวชาญระดับโลกมาช่วยสนับสนุนอีกทางหนึ่งด้วย พร้อมกันนี้ยังได้มีการประสานงานร่วมกับศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) และ Community สากลอื่น ๆ เพื่อแลกเปลี่ยนข้อมูลปัจจุบันล่าสุดของเหตุการณ์ทางด้าน Cyber Security ระหว่างกันอีกด้วย

วัฒนธรรมความเสี่ยงภายในองค์กร

ปตท. ปลูกฝังจิตสำนึก สร้างบรรยากาศและวัฒนธรรมด้านการบริหารความเสี่ยงให้แก่พนักงานทุกคน มุ่งเน้นการจัดสรรทรัพยากรและให้การสนับสนุนในด้านต่าง ๆ อย่างเหมาะสม เพื่อส่งเสริมการบริหารจัดการความเสี่ยงให้มีประสิทธิผล มีการเผยแพร่คู่มือบริหารความเสี่ยงทั่วทั้งองค์กรทางเว็บไซต์ที่พนักงานทุกคนเข้าถึงได้ จัดสื่อความและจัดหลักสูตรฝึกอบรมด้านการบริหารความเสี่ยง สำรวจความคิดเห็นและความรู้ความเข้าใจของบุคลากรเกี่ยวกับการบริหารความเสี่ยงองค์กรเป็นประจำทุกปี เพื่อการปรับปรุงประสิทธิภาพของการบริหารความเสี่ยงองค์กรอย่างต่อเนื่อง

การบริหารความต่อเนื่องทางธุรกิจ

ปตท. มีความมุ่งมั่นสูงสุดเพื่อสร้างความมั่งคงด้านพลังงานให้กับประเทศไทย คุ้มครองผลประโยชน์ คงไว้ซึ่งความเชื่อใจ ความปลอดภัยและความมั่นคงของผู้มีส่วนได้ส่วนเสียทุกภาคส่วน ปตท. จึงได้พัฒนาระบบการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management System: BCMS) ตามกรอบมาตรฐานระบบการบริหารความต่อเนื่องทางธุรกิจกลุ่ม ปตท. (PTT Group BCMS Standard) โดยอ้างอิงจากมาตรฐานการบริหารความต่อเนื่องทางธุรกิจ (ISO22301) และมาตรฐานอื่นที่เกี่ยวข้อง ครอบคลุมการป้องกัน การตอบสนอง การรองรับ และการฟื้นฟู โดยแบ่งการดำเนินงานเป็น 3 ช่วง ได้แก่ ช่วงการป้องกัน/ เตรียมความพร้อม ช่วงการตอบสนอง/ การดำเนินธุรกิจต่อเนื่อง และช่วงการฟื้นฟู ภายใต้การกำกับดูแลของคณะกรรมการบริหารความยั่งยืน ด้วยสภาพแวดล้อมในปัจจุบันที่มีการเปลี่ยนแปลงอย่างต่อเนื่อง จึงเป็นสิ่งท้าทายสำหรับการดำเนินธุรกิจให้บรรลุเป้าหมายอย่างต่อเนื่อง หลายครั้งเกิดวิกฤตการณ์ที่ไม่คาดคิด ภัยธรรมชาติ ความไม่สงบทางการเมือง การก่อการร้าย โรคระบาด และภัยคุกคามหลากหลายรูปแบบ ซึ่งส่งผลกระทบต่อความสามารถในการดำเนินธุรกิจ และอาจก่อให้เกิดการหยุดชะงักของกระบวนการที่สำคัญ ซึ่งหาก ปตท. ไม่สามารถฟื้นฟูความสามารถในการดำเนินงานให้กลับสู่สภาพปกติได้จะเกิดความเสียหายต่อทรัพย์สินหรือชีวิตรวมทั้งส่งผลกระทบอย่างกว้างขวางต่อประเทศชาติ สังคม ชุมชน และผู้มีส่วนได้ส่วนเสียทุกกลุ่ม ปตท. จึงให้ความสำคัญในการกำหนดกลยุทธ์บริหารจัดการในระดับองค์กรที่สอดคล้องกัน กำหนดมาตรการป้องกัน การเตรียมความพร้อม การฝึกซ้อม การส่งเสริมความตระหนักรู้และความรับผิดชอบตามกรอบระบบบริหารความต่อเนื่องทางธุรกิจอย่างเต็มความสามารถ

ปตท. จัดทำแผนเตรียมพร้อมด้านความปลอดภัยและตอบสนองต่อเหตุฉุกเฉิน/ ภาวะวิกฤต โดยแบ่งเป็น 4 ระดับตามความรุนแรงของเหตุการณ์ กล่าวคือ ระดับที่ 1 เป็นเหตุการณ์ที่ ปตท. สามารถระงับเหตุได้ด้วยตนเอง โดยกำหนดให้ตั้งศูนย์ควบคุมเหตุฉุกเฉิน เพื่ออำนวยการแก้ไขสถานการณ์ กรณีเป็นเหตุการณ์ที่ ปตท. จำเป็นต้องขอความช่วยเหลือเพิ่มเติมจากหน่วยงานภายนอกในระดับท้องถิ่น ระดับจังหวัด หรือระดับประเทศ จะพิจารณายกระดับเหตุฉุกเฉิน/ ภาวะวิกฤตขึ้นสู่ระดับ 2, 3 และ 4 ตามลำดับ พร้อมทั้งจัดตั้งศูนย์บริหารจัดการเหตุฉุกเฉิน/ ภาวะวิกฤตและบริหารความต่อเนื่องทางธุรกิจ โดยกำหนดผู้รับผิดชอบพร้อมมอบอำนาจในการบริหารจัดการในแต่ละระดับชั้นอย่างเหมาะสม เพื่อให้การแก้ไขปัญหาเป็นไปอย่างมีประสิทธิภาพ ตอบสนองต่อหน่วยงานทั้งภาครัฐและภาคเอกชน ตลอดจนชุมชมรอบข้างได้อย่างทันท่วงที ปตท. เชื่อมั่นว่าการสร้างภูมิคุ้มกันและมีเครื่องมือสนับสนุนการบริหารงานให้เกิดความต่อเนื่องของกระบวนการธุรกิจได้ในภาวะวิกฤตจะสามารถสร้างความเชื่อมั่นต่อผู้มีส่วนได้ส่วนเสียและสร้างความได้เปรียบในการแข่งขันได้อย่างยั่งยืน

สำหรับการตอบสนองต่อเหตุฉุกเฉิน/ ภาวะวิกฤตนั้น ปตท. แต่งตั้งผู้ประสานงานประจำหน่วยงาน เพื่อทำหน้าที่เป็นสื่อกลางในการส่งผ่านข้อมูลที่สำคัญ เช่น สิ่งที่พนักงานต้องปฏิบัติ หมายเลขโทรศัพท์ที่สำคัญ สถานที่ปฏิบัติงานสำรอง และการเปลี่ยนแปลงที่สำคัญในแต่ละปี เป็นต้น นอกจากนี้ ปตท. ยังมี Emergency & Business Continuity Management Web Portal เพื่อใช้เป็นช่องทางสื่อสารเรื่ององค์ความรู้เกี่ยวกับการบริหารจัดการเหตุฉุกเฉิน/ภาวะวิกฤต และบริหารความต่อเนื่องทางธุรกิจ ตลอดจนความเคลื่อนไหวต่าง ๆ ทั้งภายในและภายนอกองค์กร เพื่อให้พนักงานในองค์กรสามารถเข้าไปค้นคว้าหาความรู้เพิ่มเติม 

ตัวอย่างโครงการหรือกิจกรรมที่สำคัญ

การดำเนินการเพื่อเพิ่มประสิทธิภาพความมั่นคงปลอดภัยของข้อมูล
ระบบยืนยันตัวตนสองขั้นตอน (2-Factor Authentication: 2FA)SDGs 16.10

คือ เทคโนโลยีที่ยอมรับให้เป็นมาตรฐานในการยืนยันตัวตนก่อนการใช้งานอุปกรณ์ หรือ Application เพื่อป้องกันการเข้าถึงข้อมูลจากบุคคลอื่นที่ไม่ได้รับอนุญาต โดยหลักการง่าย ๆ ของเทคโนโลยี 2FA คือการยืนยันตัวตนอีกครั้งหลังจากใส่รหัสผ่าน ด้วยรูปแบบที่กำหนด เช่น การกรอกรหัส OTP (One Time Password) หรือ การกด Approve/Deny จาก Application บนอุปกรณ์ Smartphone ของเจ้าของข้อมูล เพื่อตรวจสอบและยืนยันตัวตนผู้ใช้งานว่าเป็นผู้มีสิทธิ์เข้าใช้งานจริง ๆ เพื่อประโยชน์ในการป้องกันและลดการสูญเสียข้อมูล ลดความสูญเสียทางการเงินจากการถูกโจรกรรม ลดค่าใช้จ่ายในการกู้คืนข้อมูล การสูญเสียชื่อเสียง และความเชื่อมั่นขององค์กร โดย ปตท. ทำการเปิดการใช้งานระบบยืนยันตัวตนสองขั้นตอน (2-Factor Authentication: 2FA) สำหรับการเข้าถึง Email และระบบงานภายในองค์กรแล้ว

โครงการ Phishing Test CampaignSDGs 16.10

คือ กิจกรรมในการทดสอบเพื่อสร้างความตระหนักรู้ (Awareness) ให้กับพนักงานถึงภัยคุกคามทางด้านไซเบอร์ โดยเป็นการส่ง Email หลอกลวง (Phishing Email) เพื่อโน้มน้าวให้ User ทำการกดเปิดไฟล์ หรือ กรอกข้อมูล User / Password ซึ่งถือว่าเป็นพฤติกรรมที่เพิ่มความเสี่ยงให้กับองค์กรเป็นอย่างมาก โดยปัจจุบัน ปตท. ทำการทดสอบเช่นนี้ไตรมาสละ 1 ครั้ง พร้อมกับทำการเฉลยเพื่อให้พนักงานได้ทราบและซึมซับกับภัยคุกคามทางไซเบอร์ไม่ให้หลงเป็นเหยื่อได้โดยง่าย 

โครงการ Roaming Security & PostureSDGs 16.10

ด้วยการทำงานในยุคปัจจุบันที่ User ต้องทำงานได้จากทุกที่ (Work from Anywhere) นั้น ยิ่งเพิ่มโอกาสให้องค์กรมีความเสี่ยงเพิ่มมากขึ้น ปตท. จึงได้นำเอาระบบ Roaming Security มาใช้กับอุปกรณ์ขององค์กร เพื่อช่วยและป้องกัน User ไม่ให้เข้าถึง Website ที่ไม่ปลอดภัย ไม่ว่าจะทำงานจากที่ไหนก็ตาม รวมถึงมีการกลั่นกรองและตรวจสอบ (Posture) อุปกรณ์ (Device) ที่ User ใช้ในการ VPN เข้ามาทำงานภายในองค์กร ว่ามีความปลอดภัยเป็นไปตามมาตรฐานที่ ปตท. กำหนดหรือไม่ ก่อนที่จะให้สิทธิ์เชื่อมต่อเข้าระบบของ ปตท.

การดำเนินงานในอนาคต

ปตท. มีการกำหนดแผนการดำเนินงานด้านการรักษาความปลอดภัยทางไซเบอร์ (Cyber Security Roadmap) โดยได้วางแนวทางในการดำเนินงานเป็นระยะเวลา 3 ปี ภายใต้กรอบการบริหารจัดการตามแนวคิด หรือ ทฤษฎี Zero Trust Security Model ซึ่งเป็นแนวคิดของการไม่เชื่อถือซึ่งกันและกัน และจะต้องตรวจสอบสิทธิก่อนเสมอ (Never Trust, Always Verify) ครอบคลุมทั้งในด้าน People, Process และ Technology โดยมีโครงการที่สำคัญ อาทิเช่น

  • โครงการ Privileged Access WorkstationsSDGs 16.10
     คือ การเพิ่มความมั่นคงปลอดภัยต่อการเข้าถึงระบบ Active Directory (AD) ขององค์กรให้มีมากยิ่งขึ้นกว่าปัจจุบัน
  • โครงการ Network Segmentation AssessmentSDGs 16.10
     คือ การวิเคราะห์และออกแบบ Network Segmentation อย่างละเอียด เพื่อเป็นการให้สิทธิให้กับ User ให้น้อยที่สุดเท่าที่จะทำได้ เพื่อลดผลกระทบหากเกิดกรณี Cyber Attack
  • โครงการ Attack Surface ManagementSDGs 16.10
     คือ ระบบที่ช่วยทำให้องค์กรมี Visibility ในการเห็นว่าระบบงานไหนขององค์กรที่มีการเชื่อมต่อกับ Internet บ้าง เพื่อบริหารจัดการ Attack Surface ให้เหลือจำนวนน้อยที่สุด
     และลดความเสี่ยงที่จะเกิดขึ้นกับองค์กรได้