จาก Y2K สู่ Y2Q 'สกมช.' ปลุกแบงก์รับมือ 'ควอนตัม' ถอดรหัสลับทำลายระบบเงิน
เลขาฯ สกมช. เทียบชัด Y2K ถึง Y2Q เตือน 'ควอนตัม' จ่อถอดรหัสลับแบงก์ในปี 2030 ชี้ภัย "ฉกข้อมูลวันนี้ รอถอดรหัสวันหน้า" กระทบความเชื่อถือรุนแรง แนะบอร์ดสถาบันการเงินเร่งวางแผน PQC ยกระดับความมั่นคงไซเบอร์ก่อนระบบล่มสลาย
KEY
POINTS
- สกมช. เตือนภาคการเงินให้เตรียมรับมือภัยคุกคามจากควอนตัมคอมพิวติ้ง (Y2Q) ที่มีศักยภาพทำลายระบบการเข้ารหัสแบบเดิมและส่งผลกระทบต่อความมั่นคงของระบบการเงิน
- ภัยคุกคาม Y2Q แตกต่างจาก Y2K โดยแฮกเกอร์สามารถดักเก็บข้อมูลที่เข้ารหัสไว้ในปัจจุบัน เพื่อรอถอดรหัสในอนาคตด้วยควอนตัมคอมพิวเตอร์ (Harvest Now, Decrypt Later)
- สกมช. และ ธปท. กำลังจัดทำแผนรับมือ Post-Quantum Cryptography (PQC) และกระตุ้นให้คณะกรรมการของแต่ละธนาคารเป็นผู้นำในการเปลี่ยนผ่านระบบ โดยตั้งเป้าประกาศแผนระดับชาติภายในปีหน้า
ธนาคารแห่งประเทศไทย (ธปท.) ได้มีการจัดงานสัมมนาระดับผู้บริหาร “Quantum Readiness for Financial Institutions” เพื่อเตรียมความพร้อมของภาคการเงินไทยสู่ยุคควอนตัมคอมพิวติ้ง เมื่อวันที่ 18 มีนาคม 2569 ณ โดยเชิญ พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) บรรยายพิเศษในหัวข้อ “National Quantum Resilience: National Roadmap and the Transition of Financial Sector”
ชี้ให้เห็นว่า เทคโนโลยีควอนตัมคอมพิวติ้งกำลังพัฒนาอย่างก้าวกระโดด และมีศักยภาพในการทำลายระบบการเข้ารหัสแบบดั้งเดิม เช่น RSA และ ECDSA ซึ่งถูกใช้อย่างแพร่หลายในระบบการเงินและโครงสร้างพื้นฐานสำคัญของประเทศ อันอาจส่งผลกระทบต่อความมั่นคงปลอดภัยของข้อมูลในวงกว้าง
พลอากาศตรี อมร ให้สัมภาษณ์พิเศษกับ "ฐานเศรษฐกิจ" โดยนิยามให้เห็นชัดเจนถึงภัยคุกคามที่กำลังจะมาถึง ซึ่งถูกเรียกว่ายุค "Y2Q" (Year to Quantum) โดยคาดการณ์ว่าเทคโนโลยีนี้จะสามารถถอดรหัสลับในโลกไซเบอร์ได้ภายในปี 2030
บทเรียนจาก Y2K สู่ความท้าทายที่ไร้จุดจบของ Y2Q
พลอากาศตรี อมร ได้เปรียบเทียบความแตกต่างระหว่างยุค Y2K ในอดีตกับ Y2Q ว่า ในยุค Y2K ปัญหามีจุดตัดที่ชัดเจน (Cut-off) คือเมื่อผ่านเที่ยงคืนวันที่ 31 ธันวาคม 1999 ข้ามสู่ปี 2000 ไปแล้วระบบยังทำงานได้ก็ถือว่าปลอดภัย แต่สำหรับ Y2Q นั้นไม่มีจุดตัดที่แน่นอน
ความน่ากลัวคือการที่แฮกเกอร์ใช้กลยุทธ์ "Harvest Now, Decrypt Later" คือการลักลอบเก็บเกี่ยวข้อมูลที่เข้ารหัสลับในปัจจุบันไปเก็บไว้ก่อน เพื่อรอให้ควอนตัมคอมพิวเตอร์ในอนาคตที่มีประสิทธิภาพสูงมาถอดรหัสในภายหลัง ซึ่งหมายความว่าเราอาจตกเป็นเหยื่อได้ตั้งแต่วันนี้โดยไม่รู้ตัว
ควอนตัมคอมพิวเตอร์: ดาบสองคมที่เขย่าเสถียรภาพการเงิน
ในแง่บวก ควอนตัมคอมพิวเตอร์สามารถประมวลผลและทดลองทำหลายสิ่งได้พร้อมกันนับพันอย่างในเวลาเดียว ซึ่งช่วยในงานวิจัยและการคำนวณที่ซับซ้อน แต่ในทางกลับกัน ความเร็วมหาศาลนี้สามารถถอดรหัสลับมาตรฐานปัจจุบัน เช่น RSA และ ECDSA ที่ใช้คุ้มครองระบบการเงินและโครงสร้างพื้นฐานสำคัญของประเทศได้อย่างง่ายดาย
พลอากาศตรี อมร เน้นย้ำว่า "ธนาคารอยู่ได้ด้วยความเชื่อถือ" หากความลับถูกเปิดเผยและประชาชนขาดความมั่นใจจนแห่มาถอนเงิน ระบบธนาคารอาจล่มสลายได้ทันที
ความยากของการเปลี่ยนผ่าน: ภารกิจที่ Board แต่ละแบงก์ต้องนำทัพ
การเตรียมรับมือครั้งนี้มีความซับซ้อนสูง เนื่องจากแต่ละธนาคารอาจมีระบบงานนับพันระบบที่ใช้วิธีเข้ารหัสต่างกัน พลอากาศตรี อมร เปรียบเทียบว่า สกมช. และ ธปท. สามารถแจกแผนที่สู่ความปลอดภัยให้ได้ แต่ละธนาคารต้องหาให้เจอด้วยตัวเองก่อนว่า "You are here" หรือตำแหน่งความเสี่ยงปัจจุบันของตนเองอยู่ที่ไหน
"ดังนั้น Board of Directors ของสถาบันการเงินต้องเป็นผู้สั่งการและติดตามแผนงานด้วยตนเอง จะฝากความหวังไว้ที่ฝ่ายไอทีเพียงอย่างเดียวไม่ได้ เพราะฝ่ายไอทีอาจไม่เห็นภาพรวมธุรกิจหรือขาดแรงสนับสนุนด้านนโยบาย การขับเคลื่อนต้องทำร่วมกันทั้งระบบ เพราะหากมีธนาคารใดธนาคารหนึ่งไม่ปรับตัว ก็อาจส่งผลกระทบต่อการแลกเปลี่ยนข้อมูลและทำธุรกรรมร่วมกันทั้งในและต่างประเทศได้"
เดดไลน์สำคัญปี 2029 และโรดแมประดับชาติ
พลอากาศตรี อมร ยังระบุถึงความเปลี่ยนแปลงเร่งด่วนในปี 2029 โดยตั้งแต่วันที่ 15 มีนาคม 2029 เป็นต้นไป มาตรฐานใบรับรองอิเล็กทรอนิกส์ (Digital Certificate) บนเว็บเบราว์เซอร์จะถูกกำหนดให้หมดอายุทุกๆ 47 วัน เพื่อลดความเสี่ยงจากการถูกดักจับข้อมูล ซึ่งหน่วยงานต่างๆ ต้องเตรียมระบบบริหารจัดการอัตโนมัติรองรับตั้งแต่เนิ่นๆ
สำหรับแผนงานในอนาคต สกมช. ร่วมกับ ธปท. และ TB-CERT (Thailand Banking Sector Computer Emergency Response Team) หรือ ศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคารกำลังจัดทำแผน Post-Quantum Cryptography (PQC) Migration Plan โดยจะให้ความสำคัญกับการปกป้องข้อมูลที่เป็นความลับระยะยาวเป็นอันดับแรก
"และตั้งเป้าประกาศ National Post Quantum Cryptography Migration Plan ที่ชัดเจนภายในปีหน้า เพื่อยืนยันว่าประเทศไทยเป็นพื้นที่ปลอดภัยในสายตาโลก"
วิกฤตคือโอกาส: สร้าง New S-Curve ด้านความมั่นคงไซเบอร์
สุดท้าย พลอากาศตรี อมร มองว่าความท้าทายนี้เป็นโอกาสในการสร้างธุรกิจใหม่ โดยส่งเสริมให้เกิดบริษัทสัญชาติไทยที่มีความเชี่ยวชาญด้าน Post-Quantum Migration เพื่อเข้าไปช่วยปรับปรุงระบบให้องค์กรต่างๆ ทั่วประเทศ ซึ่งจะเป็นการสร้างทีมงานและธุรกิจที่มั่นคงไปพร้อมกับการปกป้องอธิปไตยทางไซเบอร์ของไทยในระยะยาว
"เพราะภาคการเงินถือเป็นโครงสร้างพื้นฐานสำคัญของประเทศ ที่ต้องมีมาตรการป้องกันขั้นสูง เนื่องจากเป็นเป้าหมายหลักของการโจมตีทางไซเบอร์ในระดับโลก การเตรียมความพร้อมล่วงหน้าจึงมีความสำคัญอย่างยิ่งต่อการรักษาเสถียรภาพทางเศรษฐกิจและความเชื่อมั่นของประชาชน"