สกมช. กางสถิติ เตือนเว็บรัฐเสี่ยง จี้อัพเกรดตามมาตรฐานใหม่ด่วน

19 ก.ย. 2568 | 20:25 น.
อัปเดตล่าสุด :20 ก.ย. 2568 | 01:15 น.

สกมช. สรุปภาพรวมภัยไซเบอร์ ชี้หน่วยงานรัฐถูกโจมตีสูงสุด เร่งออกมาตรฐานเว็บไซต์บังคับใช้ตามราชกิจจาฯ พร้อมวางไทม์ไลน์รับมือ 'ควอนตัม' ตั้งเป้าเปลี่ยนผ่านทั้งประเทศปี 2035

KEY

POINTS

  • สกมช. เผยสถิติหน่วยงานภาครัฐเป็นเป้าหมายการโจมตีทางไซเบอร์สูงสุด จึงประกาศ "มาตรฐานความมั่นคงปลอดภัยสำหรับเว็บไซต์" ฉบับใหม่ บังคับให้หน่วยงานรัฐต้องปฏิบัติตาม
  • เตือนภัยคุกคามในอนาคตจากคอมพิวเตอร์ควอนตัม ที่สามารถถอดรหัสข้อมูลที่ใช้ในปัจจุบันได้ โดยเฉพาะการโจมตีแบบ "Harvest Now, Decrypt Later" (เก็บข้อมูลก่อน ถอดรหัสทีหลัง)
  • เปิดแผน "ควอนตัม 2035" เพื่อเตรียมความพร้อมของประเทศ โดยตั้งเป้าให้เปลี่ยนผ่านสู่ระบบการเข้ารหัสที่ทนทานต่อควอนตัม (PQC) อย่างสมบูรณ์ภายในปี พ.ศ. 2578

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้สรุปภาพรวมสถานการณ์ภัยคุกคามทางไซเบอร์ของไทยและแผนการรับมือที่สำคัญ ในงานสัมมนา “Building the Digital Future” เมื่อวันที่ 19 ก.ย. 68 โดยชี้ให้เห็นถึงความจำเป็นที่หน่วยงานภาครัฐต้องเร่งยกระดับความปลอดภัยตามมาตรฐานใหม่ที่ประกาศในราชกิจจานุเบกษา พร้อมทั้งเปิดเผยแผนระยะยาวในการเตรียมความพร้อมรับมือกับภัยคุกคามแห่งอนาคตจาก "คอมพิวเตอร์ควอนตัม" ที่มีความสามารถในการถอดรหัสลับที่ใช้กันอยู่ในปัจจุบัน

พลอากาศตรี เฉลิมชัย วงษ์เกตุ ผู้อำนวยการศูนย์วิจัยความมั่นคงปลอดภัยไซเบอร์ สกมช. กล่าวว่าจากสถิติพบว่าสถิติการโจมตีทางไซเบอร์ในประเทศไทยรวมกว่า 3,172 เหตุการณ์ ซึ่งเมื่อพิจารณาตามประเภทหน่วยงาน จะเห็นว่า 

  • หน่วยงานภาครัฐถูกโจมตีสูงที่สุดถึง 32%
  • ภาคการศึกษา ตามมาที่ 23% 

โดยรูปแบบการโจมตีที่พบบ่อยคือ เว็บไซต์ปลอม (Fake Website) และ ข้อมูลประจำตัวรั่วไหล (Credential Leak)

เพื่อแก้ไขปัญหาดังกล่าว สกมช. จึงได้ประกาศ "มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ พ.ศ. ๒๕๖๘" ใน ราชกิจจานุเบกษา ซึ่งมีผลบังคับใช้กับหน่วยงานภาครัฐ รวมถึงหน่วยงานที่ดูแลโครงสร้างพื้นฐานสำคัญของประเทศ

พลอากาศตรี เฉลิมชัย วงษ์เกตุ ผู้อำนวยการศูนย์วิจัยความมั่นคงปลอดภัยไซเบอร์ สกมช.

พลอากาศตรี เฉลิมชัย ได้ย้ำชัดเจนว่า หน่วยงานใดที่เป็นหน่วยงานตามไซเบอร์ คุณไม่มีข้อยกเว้น ต้องปฏิบัติตาม โดยประเมินตนเองปีละ 1 ครั้ง ขณะที่ในภาคเอกชนเป็นเพียงคำแนะนำ หรือส่งเสริมให้ดำเนินการเท่านั้น เนื่องจากเป็นเรื่องของความเสี่ยงที่แต่ละองค์กรต้องบริหารจัดการเอง

นอกจากนี้ยังได้เน้นย้ำถึงความสำคัญของการใช้ การยืนยันตัวตนหลายชั้น (Multi-Factor Authentication - MFA) โดย พลอากาศตรี เฉลิมชัย ได้เปรียบเทียบว่า MFA เปรียบเสมือนยาสามัญที่ควรต้องมีไว้ติดตัว เพื่อใช้เป็นเกราะป้องกันพื้นฐาน และการประเมินความเสี่ยงของเว็บไซต์จะใช้หลักการ "High Water Mark" ซึ่งหมายความว่าหากเว็บไซต์มีความเสี่ยงระดับ "สูง" ในด้านใดด้านหนึ่งจาก 4 ด้าน (การเงิน/ทรัพย์สิน, การปฏิบัติการ, ประชาชน, และความมั่นคงของชาติ) การประเมินความเสี่ยงโดยรวมจะถือว่าอยู่ในระดับสูงทั้งหมด

ข่าวที่เกี่ยวข้อง
1 วันที่แล้ว

เตือนภัยมือถือ Android สกมช.แนะ รีบอัปเดตด่วน พบช่องโหว่เสี่ยงถูกแฮก

3 วันที่แล้ว

กรุ๊ปซีอีโอทรู ลงพื้นที่น้ำท่วมหาดใหญ่ เร่งฟื้นฟู 18 รร.คอนเน็กซ์อีดี-ชุมชน

3 วันที่แล้ว

Alibaba เปิดตัวของเล่นใหม่ Quark AI Glasses แว่นตาอัจฉริยะพลัง AI

3 วันที่แล้ว

คำค้นหายอดนิยมปี 68 บน Google คนไทยสนใจ AI-ภัยพิบัติ-นโยบายรัฐ

3 วันที่แล้ว

NT ต่อยอดระบบ แจ้งเตือนภัย SMS ผ่านหอกระจายข่าว 6 หมื่นหมู่บ้าน

ความท้าทายแห่งอนาคต: ภัย 'Harvest Now, Decrypt Later' จากควอนตัม

ในส่วนของการรับมือกับภัยคุกคามแห่งอนาคต ดร.สุจิตรา พงศ์พิศุทธิ์โสภา ผู้อำนวยการฝ่ายวิเคราะห์และประมวลผลข้อมูล สกมช. ได้อธิบายถึงศักยภาพของ คอมพิวเตอร์ควอนตัม ที่สามารถแก้ปัญหาทางคณิตศาสตร์บางประเภทที่คอมพิวเตอร์ทั่วไปไม่สามารถทำได้ โดยชี้ถึงความเสี่ยงที่น่ากังวลที่สุดคือ "Harvest Now, Decrypt Later (HNDL)" ซึ่งหมายถึงการที่ผู้ไม่ประสงค์ดีจะเก็บข้อมูลที่เข้ารหัสลับไว้ก่อน แล้วรอเวลาให้คอมพิวเตอร์ควอนตัมเกิดขึ้นเพื่อนำมาถอดรหัสในภายหลัง

ดร.สุจิตรา พงศ์พิศุทธิ์โสภา ผู้อำนวยการฝ่ายวิเคราะห์และประมวลผลข้อมูล สกมช.

 

ผลกระทบต่อระบบเข้ารหัสจะแตกต่างกันไป

รหัสลับแบบกุญแจอสมมาตร (Asymmetric/Public-Key Cryptography): เช่น RSA, DH, ECC มีความเสี่ยงสูงสุดที่จะถูกโจมตีด้วย Shor's Algorithm ซึ่งส่งผลกระทบต่อการแลกเปลี่ยนกุญแจและการลงลายมือชื่อ รายงานของ Gutsan ในปี 2021 ระบุว่าการเข้ารหัสที่มีคีย์ 2048 คีย์ อาจถูกถอดรหัสได้ภายใน 177 วัน

รหัสลับแบบกุญแจสมมาตร (Symmetric Cryptography): เช่น AES มีความเสี่ยงน้อยกว่าจากการโจมตีด้วย Grover's Algorithm โดยสามารถเพิ่มความยาวกุญแจเพื่อรับมือได้ แต่จะส่งผลให้ประสิทธิภาพการทำงานลดลง

สกมช. กางสถิติ เตือนเว็บรัฐเสี่ยง จี้อัพเกรดตามมาตรฐานใหม่ด่วน

แผนการเปลี่ยนผ่านของ สกมช. สู่ยุคควอนตัมและสถานการณ์โลก

สกมช. ได้กำหนดแผนปฏิบัติการเพื่อเตรียมความพร้อมของประเทศไว้ชัดเจนตามแนวทางที่เผยแพร่ในปี 2566 โดยมีแนวทางสำคัญ 7 ข้อ ได้แก่

  1. การจัดทำแผน (Road Map)
  2. การสร้างความตระหนักรู้
  3. การกำหนดหน้าที่ความรับผิดชอบ
  4. การสำรวจสินทรัพย์ที่เกี่ยวข้องกับการเข้ารหัส (Cryptographic Inventory)
  5. การประเมินความเหมาะสมในการเลือกเทคโนโลยี
  6. การทดลอง/ทดสอบ
  7. การติดตามความต่อเนื่อง

สกมช. กางสถิติ เตือนเว็บรัฐเสี่ยง จี้อัพเกรดตามมาตรฐานใหม่ด่วน

นอกจากนี้ยังมีโครงการนำร่องที่ได้รับการสนับสนุนจากกองทุน DE เพื่อสำรวจสินทรัพย์ของ 7 หน่วยงานนำร่อง โดยมีแผนจะเข้าเยี่ยมเพื่อประเมินความต้องการและจัดทำแผนการเปลี่ยนผ่าน (Migration Plan) ในช่วงปลายปี 2567 และจะนำบทเรียนที่ได้ไปถ่ายทอดให้แก่ 93 หน่วยงาน อื่น ๆ โดยมี 7 หน่วยงานแรกเป็นพี่เลี้ยง

สกมช. ได้กำหนดเป้าหมายที่สำคัญสำหรับประเทศไทยไว้ดังนี้

  • ปัจจุบัน (ปี 2568): มีการสร้างความตระหนักรู้เกี่ยวกับ PQC และมีการตั้งคณะทำงาน
  • ปี 2030 (2573): โครงการใหม่ที่เกี่ยวข้องกับข้อมูลสำคัญต้องเริ่มใช้การเข้ารหัสแบบ PQC (Post-Quantum Cryptography) หรือ Hybrid (ใช้ร่วมกับระบบเดิม)
  • ปี 2035 (2578): ประเทศไทยควรเปลี่ยนผ่านสู่ระบบ PQC อย่างสมบูรณ์

แผนการดังกล่าวสอดคล้องกับไทม์ไลน์ของหลายประเทศ เช่น สหรัฐอเมริกาและสหราชอาณาจักรที่ตั้งเป้าหมายการเปลี่ยนผ่านสำเร็จในปี 2035 เช่นกัน รวมถึงการดำเนินงานที่โดดเด่นของประเทศอื่น ๆ เช่น จีนที่เน้นการพัฒนาเครือข่ายดาวเทียมเพื่อการสื่อสารควอนตัม และเกาหลีใต้ที่จัดตั้งเครือข่าย QKD ระยะทางกว่า 800 กิโลเมตร

นอกจากนี้ สกมช. ยังมีแผนที่จะพัฒนา แพลตฟอร์ม Self-assessmentเพื่อให้หน่วยงานอื่น ๆ สามารถประเมินความพร้อมของตนเองได้ โดยคาดว่าจะเริ่มใช้ได้ในเดือนพฤศจิกายนนี้ รวมถึงการจัดการฝึกอบรมขนาดใหญ่ และการสร้างเครือข่ายความร่วมมือกับหน่วยงานที่พัฒนาเทคโนโลยีควอนตัมทั่วโลก เพื่อให้ประเทศไทยสามารถรับมือกับความท้าทายด้านความมั่นคงปลอดภัยไซเบอร์ในอนาคตได้อย่างมีประสิทธิภาพ