โลกกำลังก้าวสู่ยุคควอนตัม เราพร้อมหรือยัง? คำถามนี้มักถูกหยิบยกขึ้นทั้งในหน่วยงานภาครัฐและเอกชน
ช่วงที่ผ่านมาได้มีโอกาสรับเชิญเข้าร่วมวงเสวนาที่จัดโดย สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เพื่อเตรียมความพร้อมระบบสารสนเทศสู่ยุคควอนตัมสำหรับผู้บริหาร โดยมุ่งให้ความรู้ด้านเทคโนโลยีความปลอดภัยเชิงควอนตัม และแนวทางยกระดับการป้องกันภัยไซเบอร์แห่งอนาคต
ครอบคลุมทั้งมิติด้านนโยบายสำหรับผู้บริหาร และด้านการปฏิบัติสำหรับผู้ปฏิบัติงาน พร้อมกันนี้ สกมช. ได้พัฒนา QUANTA แพลตฟอร์มระดับชาติเพื่อใช้ในการเรียนรู้ ประเมิน และติดตามความพร้อมของประเทศไทยในการก้าวสู่ยุคควอนตัมอย่างมั่นคงและปลอดภัย
ประเด็น Q-Day หรือวันที่คอมพิวเตอร์ควอนตัมมีศักยภาพเพียงพอในการถอดรหัสระบบเข้ารหัสปัจจุบัน รวมถึงความเสี่ยงด้านความมั่นคงไซเบอร์แห่งอนาคต เป็นหนึ่งในหัวข้อที่ Institute for Critical Infrastructure Technology (ICIT) ให้ความสำคัญ
ICIT เป็นสถาบันวิจัยอิสระที่ไม่แสวงหากำไรและดำเนินงานอย่างเป็นกลาง มุ่งเน้นการยกระดับความมั่นคงและการพัฒนาโครงสร้างพื้นฐานสำคัญของสหรัฐอเมริกา จากเอกสารล่าสุดได้มีการนำเสนอข้อเสนอแนะเชิงปฏิบัติสำหรับหน่วยงานภาครัฐฝ่ายพลเรือน เพื่อให้สามารถเริ่มดำเนินการลดช่องว่างต่าง ๆ ได้ตั้งแต่ปัจจุบัน
ประเด็นสำคัญคือ กรอบเวลาการรับมือที่เร่งขึ้นจากปี 2035 ไปสู่เป้าหมายปี 2030 และอาจเร็วขึ้นเป็นปี 2029 ส่งผลให้ต้องวางแผนปรับปรุงระบบอย่างเป็นขั้นตอนและเร่งจัดลำดับความสำคัญ ขณะที่หน่วยงานยังมีช่องว่างด้านการกำกับดูแลและแผนการดำเนินงานระบบ รวมถึงข้อจำกัดด้านงบประมาณ
โดยมีความเสี่ยงสำคัญจากความกังวล “Harvest now, decrypt later (HNDL)” ที่กระทบต่อข้อมูลระยะยาว และยังต้องเร่งสื่อสารให้เข้าใจถึงความเร่งด่วนและแนวทางดำเนินการของ Post-Quantum Cryptography (PQC)
ซึ่งคือ เทคโนโลยีการเข้ารหัสยุคใหม่ที่ออกแบบมาให้ยังคงปลอดภัยแม้ในอนาคตเมื่อคอมพิวเตอร์ควอนตัมมีความสามารถในการถอดการเข้ารหัสแบบเดิมได้ มาร่วมศึกษาข้อแนะนำจาก ICIT กันครับ
1) Empower PQC Points of Contact
หน่วยงานควรแต่งตั้ง PQC Lead อย่างเป็นทางการ พร้อมมอบอำนาจเพียงพอในการขับเคลื่อนภารกิจ พร้อมมีการปรับปรุงรายชื่อผู้ประสานงานด้าน PQC ให้เป็นปัจจุบันเสมอ โดยผู้ได้รับมอบหมายต้องมีอำนาจเหมาะสมในการปฏิบัติหน้าที่ตามบทบาทที่กำหนด
ควรบูรณาการผู้ประสานงานเข้ากับหน่วยงานด้านเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ การเงิน และสถาปัตยกรรมองค์กร เพื่อให้การเปลี่ยนผ่านสู่ PQC เป็นส่วนหนึ่งของการวางแผนด้านความมั่นคงปลอดภัย การปรับปรุงระบบ การจัดสรรงบประมาณ และการพัฒนาองค์กรโดยรวม ภายใต้กรอบงบประมาณปกติ แทนการดำเนินงานแบบแยกส่วน
ควรกำหนดกลไกการประสานงานและแลกเปลี่ยนข้อมูลระหว่างหน่วยงานอย่างเป็นทางการ และมีโครงสร้างชัดเจน เพื่อให้การดำเนินงานมีความสอดคล้องกันทั่วทั้งองค์กร สนับสนุนการแลกเปลี่ยนแนวปฏิบัติที่ดี และเร่งรัดการเปลี่ยนผ่านระบบ ไปสู่ PQC ให้มีประสิทธิภาพ
2) Prioritize via enterprise architecture
หน่วยงานควรเริ่มจากการระบุ สินทรัพย์สำคัญ (High Value Assets) และ ระบบที่มีความสำคัญต่อภารกิจ (mission-critical systems) ซึ่งควรให้ความสำคัญในลำดับต้นของการดำเนินการเปลี่ยนผ่านไปสู่ PQC
ในกระบวนการดังกล่าว การใช้เครื่องมืออัตโนมัติสำเร็จรูปสำหรับการค้นหาและจัดทำบัญชีรายการการเข้ารหัส มีบทบาทสำคัญในการยกระดับความสามารถในการสำรวจระบบในระดับองค์กรขนาดใหญ่ และเพิ่มความชัดเจนในการมองเห็นการใช้งานการเข้ารหัสที่ซับซ้อนภายในระบบต่าง ๆ
เมื่อดำเนินการจัดทำข้อมูลครบถ้วนแล้ว หน่วยงานควรทำแผนที่การใช้งานการเข้ารหัส (cryptography mapping) ครอบคลุมทุกสภาพแวดล้อมของระบบ รวมถึงระบบเดิม (legacy systems) และเทคโนโลยีที่ใช้งานอยู่ซึ่งมักมีข้อจำกัดในการประเมินหรือปรับปรุงแก้ไข
ในการดำเนินงานดังกล่าว หน่วยงานภาครัฐและผู้ดูแลโครงสร้างพื้นฐานสำคัญควรทำงานร่วมกับภาคอุตสาหกรรมอย่างใกล้ชิด เพื่อสนับสนุนการประเมิน วางแผน และดำเนินการ โดยเฉพาะในสภาพแวดล้อมที่เป็นระบบเก่า (legacy) ระบบควบคุมอุตสาหกรรม (OT) และระบบควบคุมโครงสร้างพื้นฐาน (ICS)
ซึ่งอาจมีข้อจำกัดด้านประสิทธิภาพการประมวลผลหรือความเข้ากันได้กับอัลกอริทึม PQC และจำเป็นต้องได้รับการประเมินความเสี่ยงอย่างรอบด้านร่วมกับผู้เชี่ยวชาญจากภาคอุตสาหกรรม
ผลจากการประเมินและการมองเห็นภาพรวมดังกล่าว ควรถูกนำมาใช้เป็นฐานในการจัดทำแผนการเปลี่ยนผ่านสู่ PQC แบบเป็นลำดับขั้น โดยมีแผนปฏิบัติการและแผนกำกับติดตามรองรับอย่างเป็นระบบ
ทั้งนี้ การดำเนินแผนดังกล่าวจำเป็นต้องอาศัยการประสานงานอย่างใกล้ชิดกับผู้พัฒนาระบบและผู้ให้บริการ โดยเฉพาะในกรณีที่หน่วยงานพึ่งพาผลิตภัณฑ์เชิงพาณิชย์หรือระบบเดิมที่มีอายุการใช้งานยาวนาน ซึ่งมักเป็นส่วนที่มีความท้าทายสูงที่สุดในการปรับปรุงแก้ไข
ในทางปฏิบัติ หน่วยงานควรคาดการณ์ได้ว่าภาระของการเปลี่ยนผ่านจะไม่เท่ากัน โดยระบบเพียงส่วนน้อยอาจเป็นตัวกำหนดต้นทุนและความพยายามส่วนใหญ่ของโครงการ
เพื่อให้เกิดประสิทธิภาพสูงสุด ควรบูรณาการการดำเนินงานดังกล่าวเข้ากับรอบการปรับปรุงระบบและการยกระดับเทคโนโลยีตามปกติของหน่วยงาน เพื่อช่วยลดผลกระทบต่อการดำเนินงาน เพิ่มประสิทธิภาพการใช้ทรัพยากร และสนับสนุนให้การเปลี่ยนผ่านสู่ PQC เป็นไปอย่างราบรื่นและมีประสิทธิผลมากยิ่งขึ้น
3) Manage data lifecycle and long-term risk
เป้าหมายสำคัญคือการลดความเสี่ยงจาก การเก็บข้อมูลไว้ เพื่อถอดรหัสในอนาคต (harvest now, decrypt later) โดยหน่วยงานควรเริ่มจากการระบุข้อมูลและระบบที่ต้องการความลับในระยะยาว ซึ่งมีความเสี่ยงสูงต่อการถูกถอดรหัสในอนาคต
เมื่อระบุได้แล้ว ควรกำหนดแนวทางการติดป้ายกำกับ (tagging) และการจัดชั้นข้อมูล (classification) ให้ชัดเจน เพื่อสะท้อนระดับความอ่อนไหว เงื่อนไขการเข้าถึง และระยะเวลาที่ข้อมูลต้องได้รับการคุ้มครอง
แนวทางดังกล่าวจะเป็นปัจจัยสำคัญในการกำหนดนโยบายการเก็บรักษาข้อมูล (retention policies) การบริหารจัดการข้อมูลที่จัดเก็บถาวร (archived data) และการตัดสินใจว่าข้อมูลใดจำเป็นต้องได้รับการปกป้องในระยะยาวเป็นพิเศษ
ผลการประเมินควรถูกนำไปใช้ทบทวนนโยบายการเก็บรักษาข้อมูล ระบบเข้ารหัสข้อมูลที่จัดเก็บ (encrypted archives) และแนวทางการบริหารจัดการข้อมูลโดยรวม เเพื่อป้องกันการคงอยู่ของข้อมูลที่ยังใช้มาตรฐานการเข้ารหัสเดิมเป็นเวลานานเกิน ซึ่งอาจก่อให้เกิดความเสี่ยงเพิ่มเติมโดยไม่จำเป็น
นอกจากนี้ หน่วยงานควรให้ความสำคัญกับการวางแผน การเข้ารหัสใหม่ สำหรับชุดข้อมูลที่มีความสำคัญสูง และมีอายุความอ่อนไหวยาวนานกว่าระยะเวลาการคุ้มครองของเทคโนโลยีเข้ารหัสในปัจจุบัน
โดยรวม แนวทางเหล่านี้จะช่วยเสริมความแข็งแกร่งให้กับมิติด้านข้อมูลภายใต้กรอบ Zero Trust และทำให้การวางแผน PQC ไม่ได้พิจารณาเฉพาะการปรับปรุงระบบเท่านั้น แต่ครอบคลุมถึง อายุและความอ่อนไหวของข้อมูล ซึ่งเป็นปัจจัยสำคัญของการปกป้องความมั่นคงปลอดภัยในระยะยาวอีกด้วย
4) Align PQC with existing budget cycles
หน่วยงานควรเชื่อมโยงการดำเนินงานด้าน PQC เข้ากับรอบการลงทุนด้านเทคโนโลยี เพื่อให้สามารถจัดสรรงบประมาณได้อย่างมีประสิทธิภาพ โดยทางปฏิบัติในบางประเทศ การลงทุนด้าน AI และ PQC มักอยู่ภายใต้กรอบระยะเวลาและแผนการลงทุนที่ใกล้เคียงกัน
ทั้งนี้ หน่วยงานควรบูรณาการการย้ายสู่ PQC เข้ากับโครงการปรับปรุงและยกระดับระบบเทคโนโลยีสารสนเทศที่มีอยู่ แทนการพึ่งพางบประมาณใหม่โดยเฉพาะสำหรับ PQC
เนื่องจากโดยทั่วไปแล้วมีโอกาสจำกัดที่หน่วยงานจะได้รับงบประมาณเพิ่มเติมเฉพาะกิจสำหรับการเปลี่ยนผ่านดังกล่าว อีกทั้งควรมอง PQC เป็นองค์ประกอบหนึ่งของสถาปัตยกรรม Zero Trust ในภาพรวม
ในขณะเดียวกัน หน่วยงานสามารถพิจารณาใช้แหล่งงบประมาณที่มีอยู่แล้ว เช่น กรอบกฎหมายหรือโครงการสนับสนุนที่เกี่ยวข้อง รวมถึงแหล่งทุนในระดับรัฐ ท้องถิ่น เพื่อสนับสนุนการวางแผนและการดำเนินงานเท่าที่มีความเหมาะสม
ในเชิงการสื่อสาร ภาพรวมของ AI สามารถใช้เป็น สะพานในการสื่อสารเชิงนโยบาย เพื่อช่วยยกระดับความเข้าใจของผู้บริหาร เนื่องจาก AI และควอนตัมมักถูกพิจารณาอยู่ภายใต้กรอบการลงทุนและระยะเวลาเชิงยุทธศาสตร์ที่ใกล้เคียงกัน
อย่างไรก็ตาม ไม่ควรนำ PQC ไปผูกเป็นเพียงองค์ประกอบเสริมของโครงสร้างพื้นฐาน AI เนื่องจากจะทำให้การแก้ไขมีต้นทุนสูงและซับซ้อนมากขึ้น
ขณะเดียวกัน ควรหลีกเลี่ยงการผสมประเด็นระหว่างเป้าหมายด้านนวัตกรรม AI กับหลักการพื้นฐานของการเปลี่ยนผ่านสู่ PQC ซึ่งมีความแตกต่างกันอย่างชัดเจน
อย่างไรก็ดี ในกรณีที่เหมาะสม หน่วยงานสามารถใช้เครื่องมือที่ขับเคลื่อนด้วย AI เพื่อสนับสนุนการค้นหา (discovery) การทำแผนที่สินทรัพย์ (asset mapping) และการจัดลำดับความสำคัญ (prioritization) เพื่อเพิ่มประสิทธิภาพของกระบวนการเปลี่ยนผ่านที่มีความเป็นระบบมากยิ่งขึ้น
5. Enhance communication and education
หน่วยงานควรสื่อสารเรื่อง PQC ในเชิงปฏิบัติและเชิงการดำเนินงาน มากกว่าการนำเสนอในลักษณะเชิงทฤษฎีหรือวิชาการ เพื่อสร้างความตระหนักรู้ในวงกว้าง โดยเน้นว่าความเข้าใจในระดับองค์กรมีความสำคัญมากกว่าความเชี่ยวชาญเชิงลึกเฉพาะด้าน และบุคลากรไม่จำเป็นต้องมีความรู้ระดับผู้เชี่ยวชาญทางฟิสิกส์เพื่อเริ่มต้นดำเนินการ
ควรเน้นการสื่อสารเป็น ขั้นตอนที่เป็นรูปธรรมและทำได้จริง ภายใต้กรอบงบประมาณที่มีอยู่ พร้อมทั้งปรับการสื่อสารให้สอดคล้องกับกลไกต่าง ๆ ที่เกี่ยวข้อง รวมถึงคณะกรรมาธิการและกฎระเบียบ เพื่อสนับสนุนการขับเคลื่อนในระดับนโยบาย
ในขณะเดียวกัน ควรตระหนักว่าระดับความพร้อมและความเข้าใจเกี่ยวกับ PQC ยังไม่เท่ากันในแต่ละภาคส่วน โดยภาคการเงินมีความก้าวหน้ามากกว่า ขณะที่ผู้ดูแลโครงสร้างพื้นฐานสำคัญจำนวนไม่น้อยยังไม่ได้ติดตามประเด็นนี้อย่างใกล้ชิด
ดังนั้น การสื่อสารและการสร้างความตระหนักรู้ควรถูกออกแบบให้เหมาะสมกับระดับความพร้อมของแต่ละกลุ่มเป้าหมาย โดยเน้นแนวทางที่ชัดเจนและเป็นรูปธรรม เพื่อย้ำว่า PQC ไม่ใช่ความเสี่ยงในอนาคตอันไกล แต่เป็นประเด็นที่ต้องเริ่มดำเนินการในปัจจุบันอย่างเร่งด่วน
การเปลี่ยนผ่านสู่ Post-Quantum Cryptography (PQC) ต้องเริ่มดำเนินการทันที และเป็นกระบวนที่ไม่สามารถดำเนินการให้แล้วเสร็จได้ในระยะสั้น จำเป็นต้องมีการจัดสรรทรัพยากรอย่างเหมาะสม เสริมสร้างความพร้อมของหน่วยงาน และขยายการรับรู้ไปยังผู้ดูแลโครงสร้างพื้นฐานสำคัญ
ทั้งนี้ เราได้ร่วมศึกษากรอบแนวทางเพื่อใช้เป็นฐานในการขับเคลื่อนการเปลี่ยนผ่านสู่ PQC และสนับสนุนการยกระดับความมั่นคงปลอดภัยด้านควอนตัมอย่างยั่งยืน.