สกมช. ชงตั้งคณะกรรมการแห่งชาติ รับมือ ‘ควอนตัม’ เป็นวาระประเทศ

วันที่ 2 มีนาคม 2569 ท่ามกลางการเร่งพัฒนาเทคโนโลยีคอมพิวเตอร์ควอนตัมของมหาอำนาจโลก ประเด็นความเสี่ยงด้านความมั่นคงไซเบอร์กำลังถูกยกระดับ เนื่องจากเมื่อขีดความสามารถของ Quantum Computer อาจส่งผลให้ระบบการเข้ารหัสที่ใช้กันอยู่ในปัจจุบันถูกทำลายลงได้ในระยะเวลาไม่กี่ปีข้างหน้า

ในงาน “TRIS FORUM 2026: THE DAY AFTER QUANTUM”

 พล.อ.ต. อมร ชมเชย เลขาธิการ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ในฐานะหน่วยงานหลักด้านความมั่นคงไซเบอร์ของประเทศ ได้ประเมินสถานการณ์และแนวโน้มความเสี่ยงที่กำลังจะเกิดขึ้น  โดยระบุต่อการมาถึงของเทคโนโลยี Quantum Computer ที่กำลังพัฒนาอย่างรวดเร็ว จนถูกเชื่อมโยงกับแนวคิด “Y2Q”

พล.อ.ต. อมร อธิบายว่า สิ่งที่ต้องกังวลมีอยู่ 2 ด้าน ด้านแรกคือโอกาสจาก Quantum Computer ที่จะเข้ามาสร้างประโยชน์ ซึ่งประเทศไทยจำเป็นต้องตั้งคำถามว่าได้เตรียมพร้อมในการใช้ประโยชน์จากเทคโนโลยีนี้หรือเเล้วยัง เนื่องจากหากประเทศอื่นสามารถนำไปใช้ก่อน ก็จะเกิดความได้เปรียบอย่างมีนัยสำคัญ

อีกด้านหนึ่ง แม้ประเทศไทยยังไม่ได้ใช้ Quantum Computer อย่างจริงจัง ก็ยังมีโอกาสตกเป็น “เหยื่อ” ได้ เนื่องจากมีความเป็นไปได้สูงว่า ภายในปี 2030 ระบบการเข้ารหัสข้อมูลที่ใช้อยู่ในปัจจุบัน อาจถูกถอดรหัสได้ทั้งหมด

ส่วนผลกระทบในเชิงโครงสร้าง จะเห็นว่ากลไกสำคัญที่ต้องเร่งดำเนินการคือการประเมินระบบที่มีอยู่ในปัจจุบันว่า ส่วนใดมีความเสี่ยงจากการที่ข้อมูลซึ่งถูกเข้ารหัสไว้ อาจถูกเปิดเผยได้ในอนาคต หากการเข้ารหัสไม่สามารถป้องกันได้อีกต่อไป ก็จะนำไปสู่สถานการณ์ที่บุคคลอื่นสามารถล็อกอินเข้ามาเป็นใครก็ได้ ความลับที่เคยเก็บรักษาไว้อาจถูกนำออกไปใช้ ส่งผลกระทบโดยตรงต่อธุรกรรม การให้บริการ รวมถึงบริการพื้นฐานต่างๆ ของประเทศ นอกเหนือจากประเด็นที่สังคมกังวลในเบื้องต้นอย่างข้อมูลส่วนบุคคลรั่วไหล

เราจะต้องเตรียมตัวกันก็คือ ระบบต่างๆ ที่มีตอนนี้อันไหนมีความเสี่ยง จากสิ่งที่เราเข้ารหัสไว้แล้วคนอื่นเปิดเผยได้หมด ต่อไปอาจจะมีคนมาล็อกอิน เข้ามาเป็นใครก็ได้ หรือความลับที่เราเก็บเอาไว้มีคนได้ไป แล้วก็จะส่งผลกระทบกับเรื่องของธุรกรรมบริการ แล้วก็อาจจะมีผลกระทบกับเรื่องของบริการพื้นฐานต่างๆ ของเราที่เรามีอยู่นอกเหนือจากเรื่องของสิ่งที่เราห่วงใยเป็นขั้นต้นก็คือเรื่องข้อมูลส่วนบุคคลรั่ว

Y2Q จุดเปลี่ยนระบบเข้ารหัส เทียบชั้นวิกฤต Y2K

พล.อ.ต. อมร อธิบายแนวคิด Y2Q ผ่านการเปรียบเทียบกับเหตุการณ์ Y2K ในอดีต โดยระบุว่า Y2K เป็นปัญหาที่มีจุดเวลาแน่นอน คือช่วงที่ปฏิทินเปลี่ยนจากปี 1999 เป็น 2000 ซึ่งทำให้ระบบคอมพิวเตอร์ที่เก็บข้อมูลปีเพียง 2 หลักเกิดความผิดพลาด แต่สำหรับ Y2Q นั้น เป็นการเปรียบเทียบถึงวันที่เทคโนโลยี Quantum Computer สามารถถอดรหัสข้อมูลทั้งหมดได้ ไม่ว่าจะเป็นไฟล์หรือข้อมูลสำคัญต่างๆ ซึ่งรวมถึงความลับที่เคยเชื่อว่าปลอดภัย และอาจส่งผลกระทบในวงกว้างอย่างที่ไม่เคยเกิดขึ้นมาก่อน

โดยมีการยกตัวอย่างที่ใกล้ตัวและมีนัยทางเศรษฐกิจ คือระบบ Bitcoin และ Blockchain ซึ่งอยู่ได้ด้วยความน่าเชื่อถือของการเข้ารหัสข้อมูล ทั้งในเรื่องการยืนยันว่าใครมีเงินเท่าใด เงินถูกโอนไปอย่างไร และข้อมูลทั้งหมดถูกบันทึกด้วยกลไกการเข้ารหัส หาก Quantum Computer สามารถทำงานร่วมกับกระบวนการถอดรหัสได้จนถึงจุดที่เรียกว่า Y2Q ระบบ Blockchain ที่รองรับ Bitcoin ก็อาจไม่สามารถรักษาความลับได้อีกต่อไป

จากเดิมที่เข้าใจกันว่าการจะแฮกระบบต้องควบคุมโหนดจำนวนมหาศาล เช่น ครึ่งหนึ่งของเครือข่าย แต่เมื่อการเข้ารหัสไม่ใช่ความลับอีกต่อไป โอกาสในการขโมยเงินจะเพิ่มขึ้นอย่างมาก และจะกระทบต่อความเชื่อมั่นของ Bitcoin ซึ่งมีมูลค่าตลาดสูงมากในปัจจุบัน แม้ในส่วนของการแก้ไขปัญหาเกี่ยวกับ Bitcoin จะมีการเตรียมแผนรับมือไว้แล้ว เนื่องจากเป็นประเด็นที่ยอมให้เกิดผลกระทบในวงกว้างไม่ได้ แต่สิ่งสำคัญคือปัญหาลักษณะเดียวกันนี้ไม่ได้เกิดขึ้นเฉพาะกับระบบระดับโลกเท่านั้น

ทำให้ความน่าเชื่อถือของเรื่อง Bitcoin ที่ตอนนี้ Market Value เยอะมากจะสูญสลายหายไป แต่ในส่วนของทางแก้เนื่องจากว่ามีผลกระทบในวงกว้างสำหรับปัญหาประเภทที่เกี่ยวข้องกับ Bitcoin ที่จะเกิดขึ้น ก็เลยจะต้องคิดและเตรียมแผนกันแล้ว เพราะตอนนี้คนเดือดร้อนจะเยอะ

อีกมุมหนึ่ง ปัญหาที่เกิดกับภายนอกจะสะท้อนกลับมายังหน่วยงานภายในประเทศด้วย เนื่องจากทุกองค์กรมีการจัดเก็บข้อมูล มีระบบเข้ารหัส มีการใช้ Username และ Password รวมถึงการสื่อสารผ่านอินเทอร์เน็ต เหตุผลที่ระบบเหล่านี้ปลอดภัยในปัจจุบันก็เพราะไม่สามารถถูกแอบอ่านได้ง่าย แต่เมื่อ Quantum Computer เข้ามาและสามารถถอดรหัสได้ ข้อมูลทั้งหมดก็อาจถูกเปิดเผย ไม่ว่าจะเป็นข้อมูลของบุคคล ข้อมูลลูกค้า ความลับทางราชการ หรือแม้แต่ข้อมูลการเจรจาบางอย่างที่มีทั้งฉากหน้าเเละฉากหลังที่ไม่สามารถเผยเเพร่ได้ หากข้อมูลถูกเผยแพร่ ก็จะก่อให้เกิดผลกระทบทั้งในด้านความมั่นคงของประเทศ ความสัมพันธ์ระหว่างประเทศ และปัญหาอื่นๆ ที่ตามมา

Quantum Computer ถ้ามาแล้วถอดรหัสได้แอบดูแอบอ่านข้อมูลได้หมด แล้วอาจจะไม่ใช่แค่เรื่องของคนคนเดียว มันอาจจะเป็นเรื่องของลูกค้าทุกคน มันอาจจะเป็นเรื่องของความลับทางราชการ มันอาจจะเป็นเรื่องที่เราพูดคุยเจรจากันไว้แบบหนึ่ง แต่ฉากหน้าเป็นอีกแบบหนึ่ง

พล.อ.ต. อมร ระบุว่า เรื่องนี้เป็นเรื่องที่ทุกฝ่ายต้องให้ความสำคัญ โดยแบ่งออกเป็น 2 กลุ่มหลัก กลุ่มแรกคือ ประชาชน ซึ่งไม่ควรมองว่าเป็นเรื่องไกลตัวหรือรอให้หน่วยงานอื่นเป็นผู้แก้ไข แต่ควรมีสิทธิเรียกร้องและตั้งคำถามต่อระบบบริการที่ใช้อยู่ในปัจจุบันว่า สามารถรองรับปัญหา Y2Q ได้หรือไม่ เพราะระบบที่มีอยู่ในวันนี้มีโอกาสสูงที่จะยังไม่สามารถป้องกันภัยจาก Quantum ได้อย่างเพียงพอ โดยเฉพาะบริการที่เกี่ยวข้องกับชีวิตประจำวัน เช่น Mobile Banking

หากวันหนึ่งมีผู้สามารถปลอมตัวเป็นเจ้าของบัญชีได้ หรือแก้ไขข้อมูลตัวเลขได้ ก็จะกลายเป็นปัญหาที่กระทบกับทุกคนโดยตรง

อีกกลุ่มหนึ่งคือ หน่วยงานทั้งภาครัฐและเอกชน ซึ่งต้องตระหนักว่าทุกองค์กรจะได้รับผลกระทบ ไม่ใช่เฉพาะภาครัฐเท่านั้น ทุกหน่วยงานจำเป็นต้องเร่งสำรวจจุดอ่อนของระบบที่มีอยู่ในปัจจุบัน ว่าหากในอนาคต Quantum Computer สามารถถอดรหัสได้ จุดอ่อนเหล่านั้นอยู่ตรงไหน และต้องปรับเปลี่ยนอย่างไรเพื่อให้สามารถต้านทานความเสี่ยงดังกล่าวได้

โดยกระบวนการสำรวจนี้ไม่สามารถรอให้ปัญหาเกิดขึ้นก่อนแล้วค่อยแก้ไขได้ เนื่องจากไม่ใช่เรื่องของการจัดหาอุปกรณ์เพียงอย่างเดียว แต่เป็นการปรับเปลี่ยนในระดับระบบ แอปพลิเคชัน และโครงสร้างการทำงานทั้งหมด ว่าจุดใดต้องเปลี่ยน และต้องเปลี่ยนอย่างไรให้เหมาะสมกับระดับความเสี่ยงและทรัพยากรที่มี

ความปลอดภัยพื้นฐานที่ยังจำเป็น MFA และการสำรองข้อมูล

คำแนะนำเชิงปฏิบัติ พล.อ.ต. อมร ระบุว่า การบริหารจัดการขั้นพื้นฐานสำหรับผู้ใช้งานทั่วไปยังคงเป็นสิ่งสำคัญอย่างยิ่ง โดยเฉพาะการจัดการ Username และ Password ในการเข้าถึงระบบต่างๆ ควรมีมาตรการเสริม เช่น การใช้ Multi-factor Authentication ผ่านเครื่องมืออย่าง ThaID หรือ Google Authenticator รวมถึงการตั้งค่าการแจ้งเตือนเมื่อมีความพยายามล็อกอินที่ผิดปกติ เพื่อให้ผู้ใช้งานสามารถรับรู้และควบคุมความเสี่ยงได้ในระดับหนึ่ง

นอกจากนี้ ในยุคที่การทำงานแบบ Work From Home และการใช้ระบบ Cloud เช่น Google Drive หรือ OneDrive กลายเป็นเรื่องปกติ ยิ่งต้องระวังความเสี่ยงจากการสูญหายของข้อมูล ไม่ว่าจะจากความผิดพลาดหรือพฤติกรรมของผู้ใช้งานเอง ดังนั้น การสำรองข้อมูล (Backup) โดยเฉพาะข้อมูลสำคัญไว้กับตัวเอง จึงเป็นอีกมาตรการพื้นฐานที่ไม่ควรมองข้าม

ขณะเดียวกัน ผู้ใช้งานทั่วไปยังสามารถมีบทบาทเชิงรุกได้มากกว่าการป้องกันตัวเอง โดยสามารถสอบถามไปยังผู้ให้บริการหรือหน่วยงานต่างๆ ว่าได้มีการเตรียมรับมือกับปัญหา Post-Quantum Cryptography หรือความเสี่ยงจาก Quantum แล้วหรือยัง ซึ่งเป็นสิทธิ์ที่ผู้ใช้บริการสามารถเรียกร้องได้

ฝั่งผู้ให้บริการทั้งภาครัฐและเอกชน พล.อ.ต. อมร ระบุว่า จำเป็นต้องเริ่มต้นปรับตัวอย่างจริงจัง โดยต้องตั้งคำถามกับระบบที่มีอยู่ก่อนว่า มีการเข้ารหัสหรือไม่ และหากมีการเข้ารหัสนั้นมีคุณภาพเพียงพอหรือไม่ เนื่องจากในหลายกรณี ยังมีองค์กรที่ไม่ได้ให้ความสำคัญกับการเข้ารหัสอย่างเหมาะสมด้วยซ้ำ ทั้งที่โดยเฉพาะระบบที่อยู่บน Cloud จำเป็นต้องมีการบริหารจัดการกุญแจ (Key Management) และการเข้ารหัสฐานข้อมูลอย่างรัดกุม พร้อมทั้งต้องตรวจสอบว่า Library หรือเทคโนโลยีที่ใช้นั้นมีความปลอดภัยเพียงพอหรือไม่

47 วันเปลี่ยนคีย์ ความท้าทายใหม่ของระบบดิจิทัล

พล.อ.ต. อมร ย้ำคือ การเปลี่ยนแปลงด้านการจัดการ Certificate และกุญแจเข้ารหัส โดยมีการกำหนดแนวโน้มว่า ตั้งแต่วันที่ 15 มีนาคม 2029 เป็นต้นไป กุญแจที่ใช้ในแอปพลิเคชันและเว็บเซิร์ฟเวอร์จะมีอายุเพียง 47 วัน ซึ่งหมายความว่า ทุกองค์กรต้องเตรียมระบบสำหรับการอัปเดตกุญแจอย่างสม่ำเสมอในรอบเวลาที่สั้นมาก หากไม่สามารถดำเนินการได้ทัน

เมื่อกุญแจหมดอายุ เว็บไซต์หรือระบบอาจถูกแสดงว่า ไม่ปลอดภัยและส่งผลกระทบต่อความเชื่อมั่นของผู้ใช้งานทันที โดยเฉพาะในกรณีของแอปพลิเคชัน เช่น Mobile Banking ที่ Certificate ถูกฝังอยู่ในเครื่องของผู้ใช้งาน

ทำให้ต้องมีการวางแผนการอัปเดตแอปให้สอดคล้องกับรอบการเปลี่ยนแปลงนี้อย่างมีประสิทธิภาพ ซึ่งประเด็นนี้ต้องเริ่มคิดและวางระบบตั้งแต่วันนี้ เนื่องจากระยะเวลาที่เหลือก่อนถึงกำหนดดังกล่าวมีไม่มากนัก

ตั้งคณะกรรมการระดับชาติ กลไกขับเคลื่อนประเทศ

พล.อ.ต. อมร ชี้ให้เห็นว่าจำเป็นต้องมีกรอบเวลาและกลไกขับเคลื่อนระดับประเทศอย่างชัดเจน โดยเฉพาะการกำหนดให้หน่วยงานภาครัฐ องค์กรมหาชน และองค์กรต่างๆ ต้องมีแผนรองรับเรื่องนี้เป็นตัวชี้วัด ซึ่งหลังจากการจัดตั้งรัฐบาลแล้ว จะมีการผลักดันในเชิงนโยบายต่อไป โดยหนึ่งในแนวทางสำคัญคือการจัดตั้ง “คณะกรรมการแห่งชาติ” เพื่อกำกับดูแลเรื่องนี้โดยเฉพาะ เนื่องจากหากไม่มีโครงสร้างระดับชาติ ก็จะไม่สามารถสื่อสารกับประชาชนได้ว่าประเด็นนี้มีความสำคัญเพียงใด แม้บางคนอาจมองว่าการตั้งคณะกรรมการเป็นเรื่องปกติหรือไม่น่าจริงจัง แต่ในกรณีนี้ถือเป็นกลไกที่จำเป็นในการขับเคลื่อนประเทศ

เดี๋ยวต้องตั้งคณะกรรมการแห่งชาติเรื่องนี้ ต้องมีเป็นตั้งชื่ออีกครั้ง แต่ว่าต้องทำเรื่องนี้ เพราะถ้าไม่ได้ตั้งคณะกรรมการแห่งชาติเพื่อมากำกับดูแลจะสื่อสารกับประชาชนไม่ได้ว่ามันสำคัญก็คือต้องทำงานภายใต้กรอบนี้ รอเราเตรียมที่จะคุยไว้อยู่แล้วแล้วต้องไปคุยกับรัฐมนตรี น่าจะหลังสงกรานต์

Deadline 2029 ทุกองค์กรต้องมีแผนรับมือ

ด้านกรอบเวลา เป้าหมายคือการให้ทุกองค์กรมีแผนรองรับภายในปี 2029 (2572) โดยไม่ควรตั้งเป้าหมายให้เร็วเกินไปจนไม่สามารถทำได้จริง และไม่ควรช้าจนเกิดความเสี่ยงสะสม ระหว่างทางนั้น องค์กรต้องดำเนินการสำรวจช่องโหว่ที่มีอยู่ในปัจจุบัน

โดยเฉพาะความเสี่ยงในลักษณะ “harvest now, decrypt later” ซึ่งเป็นการดักเก็บข้อมูลไว้ก่อนเพื่อรอถอดรหัสในอนาคต จึงต้องลดความเสี่ยงในส่วนนี้ไปพร้อมกัน ขณะเดียวกันก็ต้องสร้างสมดุลระหว่างการลงทุนและความเป็นไปได้ในการปรับระบบ เพื่อไม่ให้เกิดภาระเกินความจำเป็น แต่ยังสามารถลดความเสี่ยงได้อย่างมีประสิทธิภาพ

แรงกดดันจากภาคการเงินและ Virtual Bank

ประเด็นดังกล่าวยังเชื่อมโยงไปถึงภาคการเงิน รวมถึงแนวโน้มใหม่อย่าง Virtual Bank ซึ่งยิ่งทำให้การเตรียมความพร้อมด้านนี้มีความจำเป็นมากขึ้น โดยคาดว่าหน่วยงานที่เกี่ยวข้อง เช่น ธนาคารแห่งประเทศไทย น่าจะเริ่มพิจารณาแนวทางรับมือไว้แล้วในระดับหนึ่ง

ส่วนระบบนิเวศด้านบุคลากรและอุตสาหกรรม พล.อ.ต. อมร ชมเชย มองว่าจำเป็นต้องสร้างบริษัทที่ปรึกษาและผู้เชี่ยวชาญในประเทศจำนวนมาก เพื่อรองรับความต้องการที่จะเกิดขึ้น เนื่องจากทุกองค์กรต้องปรับตัว แต่ในขณะเดียวกันก็ต้องมีมาตรฐานกำกับ เพื่อป้องกันปัญหาการให้บริการที่ไม่มีคุณภาพ เช่น การจัดทำรายงานที่ไม่ตรงกับข้อเท็จจริงหรือคัดลอกมาจากแหล่งอื่นโดยไม่มีความเข้าใจจริง

ทั้งนี้ ลักษณะของการปรับตัวจะแตกต่างกันไปตามขนาดขององค์กร โดยองค์กรขนาดเล็กหรือ SME ที่ใช้ระบบสำเร็จรูปบน Cloud อาจมีภาระในการปรับตัวน้อยกว่า เพียงติดตามว่าผู้ให้บริการมีการอัปเดตระบบให้รองรับหรือไม่ รวมถึงปรับตัวให้ทันกับข้อกำหนดใหม่ เช่น การอัปเดตแอปพลิเคชันตามรอบเวลา ขณะที่องค์กรขนาดใหญ่ซึ่งมีระบบซับซ้อนจำนวนมาก จะต้องพึ่งพาผู้เชี่ยวชาญที่มีความสามารถในการประเมินและวางแผนอย่างเหมาะสม