เตือนภัยคุกคามไซเบอร์ และการเตรียมความพร้อมก่อนถึงวัน Q-Day

“คอมพิวเตอร์ควอนตัมที่กำลังจะเกิดขึ้นในอนาคต อาจทำลายการเข้ารหัสทางไซเบอร์ และสามารถถอดรหัสระบบความปลอดภัยและกุญแจเข้ารหัสข้อมูลที่ใช้กันอยู่ในปัจจุบันได้อย่างสิ้นเชิง จำเป็นอย่างยิ่งที่ต้องเตรียมการ เพื่อรับมือการเปลี่ยนผ่านไปสู่การเข้ารหัสหลังควอนตัมในอนาคตอันใกล้นี้

ในบรรดาเทคโนโลยีเกิดใหม่ในปัจจุบัน ก็มีเพียง AI เชิงตัวแทน (Agentic AI) เท่านั้น ที่เทียบเคียงได้กับคอมพิวเตอร์ควอนตัม (Quantum computers) ในแง่ของกระแสความนิยมและผลกระทบที่มีต่อองค์กรธุรกิจ 

ศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติ (NCSC: National Cyber Security Centre) ของสหราชอาณาจักร ได้ออกคำเตือนไว้ว่า คอมพิวเตอร์ควอนตัมที่กำลังจะเกิดขึ้นในอนาคต (Q-Day) ซึ่งเป็นวันที่คอมพิวเตอร์ควอนตัม มีศักยภาพสูงพอที่จะถอดรหัสระบบความปลอดภัยและกุญแจเข้ารหัสข้อมูล (Cryptographic)  

โดยเรียกร้องให้ธุรกิจและหน่วยงานของรัฐนั้น ได้เริ่มเตรียมการสำหรับยุคหลังควอนตัมก่อนที่จะสายเกินไป อ้างข้อมูลใน คู่มือฉบับล่าสุดของศูนย์ NCSC ได้เผยแพร่และแนะนำให้องค์กรต่างๆ ระบุระบบที่มีช่องโหว่ภายในปี ค.ศ.2028 และจัดลำดับในความสำคัญการอัพเกรดที่ต้องทำภายในปี ค.ศ.2031 

รวมถึงได้คาดการณ์ไว้ว่า จะมีการเปลี่ยนผ่านครั้งสำคัญ หลังจากกำหนดให้ต้องเข้ารหัสที่มีความปลอดภัยจากการโจมตีด้วยคอมพิวเตอร์ควอนตัม (PQC: Post-Quantum Cryptography) อย่างเต็มรูปแบบภายในปี ค.ศ.2035

เหนือสิ่งใดศูนย์ NCSC เตือนว่า ในปี ค.ศ.2035 ผู้ไม่หวังดีอาจกำลังรวบรวมข้อมูลที่เข้ารหัสไว้สำหรับการถอดรหัสในอนาคตอยู่แล้ว (Harvest now, Decrypt later) อันทำให้องค์กรต่างๆ ต้องมีการเตรียมการล่วงหน้าตั้งแต่ตอนนี้”

โดยบทความในฉบับมีมุมมองและรายละเอียดที่น่าสนใจดังนี้

เหตุใดองค์กรต่างๆ ต้องมีการเตรียมการล่วงหน้าตั้งแต่ตอนนี้ 

ชุมชนด้านความปลอดภัยกำลังทำงาน เพื่อพัฒนาการเข้ารหัสหลังควอนตัมที่ทนทานต่อภัยคุกคามจาคอมพิวเตอร์ควอนตัม เนื่องจากความสามารถของคอมพิวเตอร์ควอนตัมในการทำลายอัลกอริทึมที่มีใช้อยู่ในปัจจุบันกำลังใกล้เข้ามา จุดที่คอมพิวเตอร์ควอนตัมจะสามารถทำลายอัลกอริทึมการเข้ารหัสที่มีใช้อยู่ได้นั้น รู้จักกันในชื่อ Q-Day ที่กำลังใกล้เข้ามา 

ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์บางคนเชื่อว่า Q-Day จะเกิดขึ้นภายในทศวรรษหน้า ซึ่งอาจทำให้ข้อมูลดิจิทัลทั้งหมดมีความเสี่ยงภายใต้โปรโตคอลการเข้ารหัสปัจจุบันที่ใช้อยู่ 

แม้ว่าเวลาทศวรรษหน้า (ราว 10 ปีนับจากนี้) อาจดูเหมือนไกล แต่การเข้ารหัสหลังควอนตัม (PQC) กำลังกลายเป็นสิ่งสำคัญลำดับต้นๆ ของ ชุมชนด้านความปลอดภัยอย่างรวดเร็ว เนื่องจาก PQC ได้เกิดขึ้นตามประกาศของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST: National Institute for Standards and Technology) ในปีค.ศ.2023 

อัลกอริธึมการเข้ารหัส 3 ใน 4 แบบ อันได้แก่ CRYSTALS-Khyber, CRYSTALS Dilithium และ SPHINX+ ได้รับการสร้างมาตรฐานอีกทั้งพร้อมใช้งาน เพื่อสร้างความเข้าใจและนำการเข้ารหัสที่สามารถทนต่อภัยคุกคามจากคอมพิวเตอร์ควอนตัม รวมทั้งการโจมตีในอนาคต 

ดีแลน รูดี้ หัวหน้านักวิทยาศาสตร์ของทีมวิทยาศาสตร์ควอนตัม Booz Allen ได้กล่าวกับ csoonline.com ว่า “การย้ายสู่ PQC เปิดโอกาสให้กลับมาประเมินความปลอดภัยทางไซเบอร์ในวงกว้างขึ้น” 

“ด้วยการผสานรวมอัลกอริธึม PQC ใหม่เข้ากับสถาปัตยกรรมแบบ Zero Trust ทำให้โครงสร้างพื้นฐานด้านความปลอดภัยทางไซเบอร์นั้นถูกออกแบบใหม่ ให้เป็นกรอบการทำงานในการเข้ารหัสที่คล่องตัวยิ่งขึ้น” 

ประเด็นที่สำคัญก็คือข้อเท็จจริงที่ว่า คอมพิวเตอร์ควอนตัมที่มีพลังมากพอ อาจบ่อนทำลายรากฐานทางคณิตศาสตร์ของวิธีการเข้ารหัสในปัจจุบัน 

เหล่าผู้เชี่ยวชาญคาดการณ์คอมพิวเตอร์ควอนตัมที่มีพลังมากพอจะยังต้องใช้เวลาอีกหลายปี แต่ก็มีความจำเป็นที่องค์กรต่างๆ ต้องมีการเตรียมการล่วงหน้า (Early preparations are needed) อันเนื่องมาจากกระบวนการอัพเกรดนั้นซับซ้อนมาก ก็อาจใช้เวลาหลายปีในหลายสภาพแวดล้อม โดยเฉพาะอย่างยิ่งสำหรับเหล่าองค์กรที่ได้อยู่ในภาคส่วน ซึ่งมีความปลอดภัยสูง (High-security sectors) 

เช่น ภาคส่วนด้านการเงินและภาคส่วนด้านความปลอดภัยทางไซเบอร์ ที่รู้สึกกันอย่างแรงถึงภัยคุกคามจากการโจมตีแบบ “เก็บเกี่ยวข้อมูลก่อนและถอดรหัสทีหลัง” สิ่งที่สำคัญก็คือการรอให้ผลิตภัณฑ์และบริการการเข้ารหัสหลังควอนตัมที่พร้อมใช้งานหรือพัฒนาจนสมบูรณ์นั้น ถือเป็นการตัดสินใจที่ผิดพลาด 

เหล่าองค์กรที่ได้เริ่มใช้งานก่อน สามารถใช้ประโยชน์จากผลิตภัณฑ์และบริการแบบไฮบริด (Hybrid products and services) ที่มีอยู่ในปัจจุบันได้ เนื่องจากจะช่วยให้องค์กรเหล่านั้นสามารถเริ่มย้ายข้อมูลได้ทันที แทนที่จะต้องมารอจนการพัฒนาแล้วเสร็จอย่างสมบูรณ์

ข้อคิดที่ฝากไว้

ภาคส่วนต่างๆ ที่ต้องจัดการข้อมูลละเอียดอ่อน (Sensitive data)ในระยะยาวนั้น เช่น ภาคส่วนด้านธนาคารและด้านความปลอดภัยทางไซเบอร์ ที่เผชิญความเสี่ยงมากขึ้น จะต้องเริ่มวางแผนการเปลี่ยนผ่านไปสู่การเข้ารหัสหลังควอนตัม (PQC) ตั้งแต่ตอนนี้ เพื่อหลีกเลี่ยงการเปิดเผยข้อมูล

ในขณะที่เทคโนโลยีควอนตัมมีความก้าวหน้ามากขึ้นอย่าง การพัฒนาชิปควอนตัม มาโจรานา 1 (Majorana 1) ซึ่งเร่งให้การพัฒนาคอมพิวเตอร์ควอนตัมที่สมบูรณ์เกิดขึ้นได้ภายในเวลาเพียงไม่กี่ปี 

ศูนย์ NCSC ระบุไว้ในคู่มือล่าสุดว่า “การเปลี่ยนผ่านไปสู่การเข้ารหัสหลังควอนตัม เป็นการเปลี่ยนแปลงระบบไอที (IT: Information Technology) และเทคโนโลยีปฏิบัติการ (OT: Operational Technology) ในระดับโลก” 

“เมื่อมองต้นทุนการเงินทั้งหมดในการเปลี่ยนผ่านไปสู่การเข้ารหัสหลังควอนตัม ต้นทุนรวมของการเปลี่ยนผ่านฯ อาจมีราคาสูง ทำให้การจัด ทำงบประมาณล่วงหน้ามีความสำคัญสำหรับองค์กรต่างๆ”

ดังนั้นจึงจำเป็นอย่างยิ่งที่ท่าน… จะต้องจัดสรรงบประมาณให้เหมาะสม ทั้งหมดรวมถึงกิจกรรมในการเตรียมการและการเปลี่ยนผ่านไปสู่การเข้ารหัสหลังควอนตัม (PQC) ที่เกิดขึ้นจริงด้วย

อ่านบทความทั้งหมดของ น.อ.สรรสิริ สิริสันตคุปต์

Featured Image: freepik