ความปลอดภัยทางไซเบอร์และโครงการ/มาตรการต่าง ๆ

ความปลอดภัยทางไซเบอร์และโครงการ/มาตรการต่าง ๆ

ความเสี่ยงไซเบอร์ของบริษัทฯ

บริษัทฯไม่มีระบบสำคัญที่ให้บริการแก่ผู้บริโภคโดยตรง ซึ่งต้องการความพร้อมใช้งานในระดับสูง

บริษัทฯไม่เก็บข้อมูลผู้บริโภคหรือข้อมูลส่วนบุคคลในระดับใหญ่ผ่านแอปพลิเคชันของเรา

บริษัทฯมีโครงสร้างพื้นฐานแบบกระจายสำหรับระบบที่มีความสำคัญ เพื่อหลีกเลี่ยงผลกระทบต่อทั้งองค์กร

ระบบที่มีความสำคัญของเราอยู่ในสภาพแวดล้อมปิด และไม่มีการเข้าถึงจากสาธารณะ

บริษัทฯไม่ใช่ผู้พัฒนานวัตกรรมที่มีทรัพย์สินทางปัญญาหรือความลับทางการค้าสำคัญ ที่หากเกิดการรั่วไหลจะส่งผลกระทบต่อธุรกิจของเรา

แม้ความเสี่ยงจะอยู่ในระดับต่ำ เราก็ยังใช้มาตรการด้านความปลอดภัย IT หลายชั้นและมีการควบคุมภายในอย่างเข้มงวด

มาตรการความปลอดภัยทางไซเบอร์แบบหลายชั้น

ดำเนินการแล้ว

  • รหัสผ่านที่ซับซ้อนและตั้งให้เปลี่ยนทุก 90 วัน
  • การยืนยันตัวตนแบบหลายขั้นตอน (Multi-Factor Authentication)
  • ตัวกรองสแปม (Spam Filters)
  • การฝึกอบรมเพื่อสร้างความตระหนักด้านความปลอดภัยไซเบอร์
  • การควบคุมภายในสำหรับการชำระเงิน

วางแผนไว้

  • การทดสอบจำลองการโจมตีแบบฟิชชิ่ง (Phishing Simulation Testing)

ดำเนินการแล้ว

  • โปรแกรมป้องกันปลายทาง (Trend Micro End Point Protection)
  • OneDrive (สามารถกู้คืนข้อมูลได้ภายใน 30 วัน – ป้องกันการโจมตีด้วยแรนซัมแวร์)

วางแผนไว้

  • บังคับใช้การใช้งาน OneDrive ทั่วโลก
  • การเข้ารหัสข้อมูลส่วนบุคคลที่มีความอ่อนไหว

ดำเนินการแล้ว

  • ไฟร์วอลล์รุ่นใหม่ (Next Gen Firewall) พร้อมด้วย
    • ระบบป้องกันการบุกรุก (IPS – Intrusion Prevention System)
    • การกรองเว็บไซต์ (Web Filtering)
    • การเชื่อมต่อ VPN แบบไซต์ต่อไซต์ (Site to Site VPN)
  • โครงสร้างเครือข่ายแบบกระจาย (Distributed Network)

ดำเนินการแล้ว

  • ใช้ Trend Micro Deep Security สำหรับเซิร์ฟเวอร์ทั้งหมดที่อยู่ในสถานที่ (On-premises)
  • การเข้าถึงระบบจากระยะไกลอย่างปลอดภัย (Secured Remote Access)
  • การกู้คืนระบบจากภัยพิบัติ (Disaster Recovery)
  • ระบบสำรองข้อมูลแบบหลายชั้น (Multi-Layered Backup Systems)

วางแผนไว้

  • การปรับปรุงระบบกู้คืนและสำรองข้อมูลให้มีประสิทธิภาพมากยิ่งขึ้น (Enhanced DR & Backup System)

ดำเนินการแล้ว

  • การจัดการอุปกรณ์เคลื่อนที่ (MDM) สำหรับอุปกรณ์ที่บริษัทจัดหาให้
  • การแยกเครือข่ายสำหรับอุปกรณ์ส่วนตัวของพนักงาน (BYOD – Bring Your Own Device)

ดำเนินการแล้ว

  • ใช้ Trend Micro Deep Security สำหรับเซิร์ฟเวอร์ทั้งหมดที่อยู่บนคลาวด์
  • ใช้ HTTPS และใบรับรอง SSL สำหรับแอปพลิเคชันเว็บและเว็บไซต์ทั้งหมด
  • การประเมินช่องโหว่ (VA – Vulnerability Assessment) และการทดสอบเจาะระบบ (PT – Penetration Testing) สำหรับแอปพลิเคชัน Consolidation (Emerge)

ดำเนินการแล้ว

  • การเชื่อมต่อ VPN สำหรับผู้ใช้งานทั้งหมดที่ทำงานจากระยะไกล

วางแผนไว้

  • การยืนยันตัวตนแบบหลายขั้นตอน (Multi-Factor Authentication) สำหรับการใช้งาน VPN

มาตรการด้านความปลอดภัยที่เฉพาะเจาะจงสำหรับการป้องกันแรนซัมแวร์

ความปลอดภัยของอีเมล

  • รหัสผ่านที่ซับซ้อนและการรีเซ็ตรหัสผ่านทุก 90 วัน
  • การพิสูจน์ตัวตนแบบหลายปัจจัย
  • ตัวกรองสแปม
  • การฝึกอบรมความรู้ด้านความปลอดภัยไซเบอร์
  • การควบคุมภายในสำหรับการชำระเงิน
  • การทดสอบจำลองการโจมตีแบบฟิชชิง

ความปลอดภัยของคอมพิวเตอร์

  • โปรแกรม Trend Micro End Point Protection
  • One Drive (กู้คืนข้อมูลภายใน 30 วัน – ป้องกันแรนซัมแวร์)
  • บังคับใช้การใช้ One Drive ทั่วโลก
  • การเข้ารหัสข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน

ความปลอดภัยของเครือข่าย

  • ไฟร์วอลล์ยุคใหม่ (Next Gen Firewall) พร้อม
    • ระบบป้องกันการบุกรุก (IPS)
    • การกรองเว็บไซต์
    • เครือข่ายส่วนตัวเสมือนแบบไซต์ต่อไซต์ (Site to Site VPN)
  • เครือข่ายแบบกระจาย (Distributed Network)

ความปลอดภัยของเซิร์ฟเวอร์

  • โปรแกรม Trend Micro Deep Security สำหรับเซิร์ฟเวอร์ทั้งหมดภายในองค์กร
  • การเข้าถึงระยะไกลที่ปลอดภัย
  • การกู้คืนจากภัยพิบัติ
  • ระบบสำรองข้อมูลแบบหลายชั้น
  • ระบบกู้คืนและสำรองข้อมูลที่ได้รับการพัฒนาเพิ่มเติม

ความปลอดภัยของอุปกรณ์เคลื่อนที่

  • ระบบจัดการอุปกรณ์เคลื่อนที่ (MDM) สำหรับอุปกรณ์มือถือที่บริษัทจัดหาให้
  • การแยกส่วนเครือข่ายสำหรับอุปกรณ์นำมาใช้เอง (BYOD)

ความปลอดภัยบนคลาวด์

  • โปรแกรม Trend Micro Deep Security สำหรับเซิร์ฟเวอร์ทั้งหมดบนคลาวด์
  • การใช้ HTTPS และใบรับรอง SSL สำหรับแอปพลิเคชันเว็บและเว็บไซต์ทั้งหมด
  • การประเมินช่องโหว่ (VA) และการทดสอบเจาะระบบ (PT) สำหรับแอปพลิเคชันรวม (Emerge)

ความปลอดภัยในการทำงานระยะไกล

  • การใช้ VPN สำหรับการเชื่อมต่อของผู้ใช้ทุกคนจากระยะไกล
  • การพิสูจน์ตัวตนแบบหลายปัจจัยสำหรับ VPN

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)

(Personal Data Protection Act)

แม้ว่าในปัจจุบันเรายังไม่มีแอปพลิเคชันที่เกี่ยวข้องกับผู้บริโภคโดยตรงอย่างสำคัญ แต่เราคาดว่าจะมีขึ้นในอนาคตอันใกล้นี้ ภายใต้โครงการ Health@Home เพื่อกระตุ้นการมีส่วนร่วมของผู้บริโภค

เพื่อเตรียมพร้อมสำหรับสถานการณ์นี้ เรากำลังดำเนินการอย่างจริงจังเพื่อเตรียมตัวให้พร้อมสำหรับการบังคับใช้ PDPA ซึ่งจะเริ่มมีผลตั้งแต่วันที่ 1 มิถุนายน 2565 และบริษัทพร้อมรับมือก่อนเวลานั้น

บริษัทฯได้ว่าจ้างบริษัท ฮันตันเป็นที่ปรึกษาและผู้ให้คำแนะนำสำหรับโครงการนี้

ความปลอดภัยที่เหมาะสมคือเป้าหมายของเรา

บริษัทฯ มุ่งมั่นรักษาความปลอดภัยในระดับปานกลาง ซึ่งสอดคล้องกับโปรไฟล์ความเสี่ยงต่ำในปัจจุบันของเรา และจะติดตามตรวจสอบอย่างต่อเนื่อง พร้อมปรับปรุงและยกระดับเมื่อโปรไฟล์ความเสี่ยงของเราเปลี่ยนแปลงในอนาคต