การเตรียมพร้อมรับมือจึงเป็นสิ่งสำคัญ เพราะการมาของเทคโนโลยีปัญญาประดิษฐ์ หรือ AI ที่มีี “ดีฟเฟก” ปลอมตัวได้เหมือนทั้งภาพและเสียง ไม่นับ “ควอนตัม” ที่กำลังจะมาและมีความสามารถใช้ถอดรหัสได้เพียงเสี้ยววินาที ไทยจะรับมือกับภัยไซเบอร์ที่พัฒนาอย่างรวดเร็วได้อย่างไร? วันนี้มาฟังจากหน่วยงานที่ดูแลเรื่องนี้กัน

พล...อมร ชมเชย เลขาธิการสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) บอกว่า ตลอดระยะเวลา ปีที่ผ่านมา สกมชได้ขับเคลื่อนภารกิจด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศอย่างต่อเนื่อง ส่งผลให้ประเทศไทยได้รับการจัดอันดับ Global Cybersecurity Index 2024 อยู่ในอันดับที่ ของโลก จาก 194 ประเทศ ได้คะแนน  99.22  จาก 100 คะแนน และอยู่ในกลุ่ม T1Role Modelling 
สะท้อนความพร้อมของประเทศทั้งด้านนโยบาย มาตรฐาน การรับมือภัยคุกคาม และความร่วมมือด้านไซเบอร์ในระดับสากล

ขณะเดียวกัน สกมช. ได้ยกระดับความมั่นคงปลอดภัยของโครงสร้างพื้นฐานอินเทอร์เน็ตของประเทศ โดยผลักดัน DNSSEC Validation  จากเดิม 8% เพิ่มขึ้นเป็น 44.86% และขยับอันดับจากอันดับ 11 ขึ้นมาอยู่ในอันดับ 7 ของอาเซียน พร้อมเดินหน้าสร้างการรับรู้และพัฒนากำลังคนไซเบอร์ผ่าน NCSA E-Learning, NCSA MOOC การแข่งขันทักษะทางไซเบอร์ และการสื่อสารเชิงรุกหลายช่องทาง มีผลการดำเนินงานสะสมเข้าถึงกลุ่มเป้าหมายมากกว่า 1.95 ล้านคน

เร่งปรับปรุง กม.ไซเบอร์

อย่างไรก็ตามภัยไซเบอร์ ในปัจจุบันได้ปรับเปลี่ยนรูปแบบอย่างต่อเนื่อง ทาง สกมช. จึงได้เตรียมเดินหน้าปรับปรุงกฎหมายไซเบอร์ของไทยครั้งใหญ่ในรอบ 10 ปี โดยเตรียมเปิดเวทีประชาพิจารณ์ปรับปรุง (ร่าง) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ 2562  ในวันที่ 15 ก.ค.นี้ โดยกฎหมายฉบับนี้ได้ร่างตั้งแต่ปี 59 ผ่านมา 10 ปี อาจไม่ทันกับเทคโนโลยีและภัยคุกคามที่เปลี่ยนไป เพื่ออุดช่องโหว่จากกฎหมายฉบับเดิม ที่เน้นเพียงการสร้างความตระหนักรู้ โดยเนื้อหาอาจจะมีการเพิ่มโทษปรับจากหลักแสนบาทพุ่งทะยานสู่ “หลักล้านบาท” เพื่อดัดหลังกลุ่มแฮกเกอร์และเร่งรัดหน่วยงานรัฐให้ตื่นตัวสร้างระบบป้องกันโดยเร็วที่สุด

ไม่เพียงการแก้กฎหมาย สกมช. จะประกาศบังคับใช้ประกาศด้านความปลอดภัยระบบคลาวด์ วันที่ 10 ก.ย. และมาตรฐานความปลอดภัยเว็บไซต์ (WSS 1.0) ในวันที่ 17 ก.ย.69 นี้ อย่างเป็นทางการ ซึ่งสถิติในรอบ 1 ปีที่ผ่านมาพบเหตุการณ์โจมตีสูงถึง 3,000  กว่าครั้ง และร้อยละ 70 เป็นการแฮกเว็บไซต์หน่วยงานรัฐ โรงเรียน และท้องถิ่น ที่ปล่อยปละละเลยขาดบุคลากรดูแลอย่างต่อเนื่อง 

ต่อจากนี้ภาคเอกชนที่จะเข้ามารับงานรัฐจะต้องถูกบังคับใช้เงื่อนไขการจัดซื้อจัดจ้างอย่างเข้มงวด ตั้งแต่ขั้นออกแบบไปจนถึงแผนฟื้นฟูระบบเมื่อเกิดภัยคุกคาม

กางแผน Quantum-Ready 2030

นอกจากภัยเฉพาะหน้าแล้ว สกมชได้มีการวางรากฐานยุทธศาสตร์ Quantum-Ready 2030เพื่อเตรียมพร้อมประเทศเข้าสู่ยุคหลังควอนตัม (Post-Quantum Cryptography: PQC) ซึ่ง เลขาธิการ สกมชระบุว่า วิกฤตินี้อาจรุนแรงยิ่งกว่ายุค Y2K และถูกเรียกว่าวิกฤติ Y2Qเนื่องจากระบบเข้ารหัสปัจจุบัน เช่น RSA,
Diffie-Hellman และ Elliptic Curve Cryptography หรือ ECC ซึ่งอาจไม่ปลอดภัยเพียงพอ หากคอมพิวเตอร์ควอนตัมพัฒนาไปถึงจุดที่สามารถถอดรหัสได้อย่างง่ายดายในอนาคตอันใกล้ 

หากไทยไม่เร่งปรับตัวจะส่งผลกระทบต่อความเชื่อมั่นด้านการค้าและการลงทุนระหว่างประเทศอย่างรุนแรง สำหรับแนวทาง
คือ การเตรียมเปลี่ยนผ่านไปสู่ Post-Quantum Cryptography  เป็น การปรับวิธีเข้ารหัสให้ทนทานต่อคอมพิวเตอร์ควอนตัม โดยไม่จำเป็นต้องพึ่งพาโครงสร้างพื้นฐานแบบ QKD ทั้งหมด ทั้งยังสามารถอัปเดตผ่านซอฟต์แวร์และวางแผนเปลี่ยนผ่านเป็นลำดับได้

“จะเสนอให้หน่วยงานเริ่มเตรียมความพร้อมตั้งแต่วันนี้ ผ่านการสำรวจสินทรัพย์เข้ารหัส หรือ Crypto Inventory การประเมินความเสี่ยงของระบบเข้ารหัส จัดทำแผนเปลี่ยนผ่านสู่ PQC การทดลองใช้งานจริง และการทยอยย้ายระบบสำคัญขององค์กรไปสู่มาตรฐานใหม่ โดยเฉพาะข้อมูลหรือความลับที่มีอายุยาวนาน”

พล...อมร ชมเชยบอกต่อว่า นอกจากนี้ ยังเตรียมพัฒนา Quanta Center เป็นศูนย์กลางการเรียนรู้ ทดลอง ประเมินความพร้อม และเตรียมบุคลากรด้าน PQC ของประเทศ เพื่อให้องค์กรภาครัฐและเอกชนสามารถวางแผนเปลี่ยนผ่านระบบเข้ารหัสได้อย่างเป็นขั้นตอน ก่อนวันที่เทคโนโลยี Quantum จะกลายเป็นความเสี่ยงจริงต่อระบบสารสนเทศสำคัญ

ชง ครม. งัดระบบยืนยันตัวตน 2 ชั้น 

สำหรับในระยะเร่งด่วนทาง สกมช. จะเร่งผลักดันมาตรการยืนยันตัวตนหลายปัจจัย หรือ Multi-Factor Authentication : MFA สำหรับระบบสำคัญของภาครัฐ ที่เป็นสิ่งจำเป็น เนื่องจากการใช้รหัสผ่านเพียงชั้นเดียวไม่เพียงพออีกต่อไป ท่ามกลางความเสี่ยงจากข้อมูลบัญชีผู้ใช้รั่วไหล การโจมตีแบบเดาสุ่ม และการใช้เครื่องมืออัตโนมัติหรือ AI ช่วยเพิ่มประสิทธิภาพการโจมตี

เดือน ก.ค.นี้ สกมช. เตรียมเสนอต่อที่ประชุมคณะรัฐมนตรี (ครม.) เพื่อบังคับใช้มาตรการยืนยันตัวตนหลายปัจจัยให้เป็นมาตรฐานภาคบังคับของหน่วยงานภาครัฐ เพื่อทดแทนการใช้รหัสผ่านเพียงชั้นเดียว ที่แฮกเกอร์สามารถใช้ AI สุ่มเดาได้ง่าย ภายใต้หลักคิดการบริหาร “AI Security” ยุคใหม่ เพื่อสกัดกั้นขบวนการหลอกลวงแบบเทคโนโลยีขั้นสูง 

ทั้งหมดคือฉากทัศน์ใหม่เรื่องไซเบอร์ซีเคียวริตี้ที่ต้องก้าวข้ามผ่านแนวคิดเดิม ๆ สู่การสร้างรากฐานที่แข็งแกร่ง ไม่ให้ประเทศไทยตกขบวนและต้องเผชิญความสูญเสียที่ไม่อาจประเมินค่าได้.

จิราวัฒน์ จารุพันธ์