ความก้าวหน้าทางเทคโนโลยีในปัจจุบันไม่ได้จำกัดอยู่เพียงความสำเร็จของปัญญาประดิษฐ์ (AI) เท่านั้น แต่ยังมีความเคลื่อนไหวของคลื่นลูกใหม่ที่กำลังก่อตัวและมีศักยภาพในการเปลี่ยนแปลงรากฐานความมั่นคงปลอดภัยไซเบอร์ของโลกอย่างสิ้นเชิง นั่นคือ “คอมพิวเตอร์ควอนตัม” (Quantum Computing) แม้เทคโนโลยีนี้จะถูกพัฒนาขึ้นด้วยเป้าหมายเพื่อไขปริศนาทางวิทยาศาสตร์ที่ซับซ้อน แต่ในอีกมิติหนึ่ง มันคือเครื่องมือที่ทรงอานุภาพซึ่งสามารถทำลายระบบการเข้ารหัสข้อมูล (Encryption) ที่ใช้ปกป้องธุรกรรมทางการเงินและความมั่นคงของชาติในปัจจุบัน
จากการเสวนาในหัวข้อ “เส้นทางสู่ความยืดหยุ่นและความพร้อมรับมือภัยคุกคามจากยุคควอนตัม” ซึ่งระดมสมองผู้บริหารระดับสูงจากภาครัฐและเอกชน สะท้อนให้เห็นข้อเท็จจริงว่าประเทศไทยกำลังเผชิญกับเงื่อนเวลาสำคัญที่เรียกว่า “Q-Day” และระยะเวลาในการเตรียมความพร้อมอาจสั้นกว่าที่หลายภาคส่วนคาดการณ์ไว้
นับถอยหลังสู่ปี 2029: รุ่งอรุณแห่งยุค Fault Tolerance
อโณทัย เวทยากร กรรมการผู้จัดการใหญ่ และผู้บริหารส่วนงานเทคโนโลยี บริษัท ไอบีเอ็ม ประเทศไทย จำกัด ได้ฉายภาพวิวัฒนาการของเทคโนโลยีควอนตัมว่า ปี 2025 ถือเป็นวาระครบรอบ 100 ปีของทฤษฎีควอนตัมฟิสิกส์ แต่พัฒนาการในเชิงปฏิบัติที่ส่งผลกระทบต่อโลกธุรกิจเพิ่งเกิดขึ้นอย่างก้าวกระโดดในช่วงทศวรรษที่ผ่านมา โดยปัจจุบันเรากำลังอยู่ในช่วงเปลี่ยนผ่านสำคัญเข้าสู่ระยะสุดท้ายก่อนถึงเป้าหมายสูงสุดที่เรียกว่า “Fault Tolerance”
สภาวะ Fault Tolerance คือหัวใจสำคัญของเรื่องนี้ เนื่องจากธรรมชาติของอนุภาคควอนตัมมีความละเอียดอ่อนและเกิดข้อผิดพลาด (Error) ได้ง่ายจากการรบกวนของสภาพแวดล้อม การบรรลุสภาวะ Fault Tolerance จึงหมายถึงการที่คอมพิวเตอร์ควอนตัมสามารถแก้ไขข้อผิดพลาดได้ด้วยตนเองและทำงานประมวลผลได้อย่างเสถียรแม่นยำ ซึ่งไอบีเอ็มได้ประกาศแผนงาน (Roadmap) ผ่านโครงการ Starling Project ว่าภายในปี ค.ศ. 2029 โลกจะได้เห็นคอมพิวเตอร์ควอนตัมที่ทำงานได้สมบูรณ์แบบในระดับ 200 Logical Qubits
ตัวเลข 200 Logical Qubits อาจดูน้อยในมุมมองของคอมพิวเตอร์ดั้งเดิม แต่ในเชิงควอนตัม นี่คือจุดเปลี่ยนทางประวัติศาสตร์ ข้อมูลทางเทคนิคระบุว่า 1 Logical Qubit เกิดจากการทำงานร่วมกันของ Physical Qubits จำนวนมาก (ประมาณ 80 ตัวขึ้นไป) เพื่อความเสถียร เมื่อระบบสามารถประมวลผลได้ถึงระดับนี้ จะทำให้เกิดพลังการคำนวณที่เหนือจินตนาการ โดยมีการคาดการณ์ว่า หากขยายขีดความสามารถไปถึง 300 Logical Qubits ในระยะเวลาใกล้เคียงกัน เครื่องควอนตัมจะมีพลังประมวลผลเหนือกว่าซูเปอร์คอมพิวเตอร์ที่ทรงพลังที่สุดในปัจจุบันถึง 10 ยกกำลัง 43 เท่า (1 ตามด้วยศูนย์ 43 ตัว)
ด้วยสมรรถนะระดับนี้ อัลกอริทึมทางคณิตศาสตร์ที่ใช้ในการเข้ารหัสข้อมูลปัจจุบัน (Cryptography) ซึ่งซูเปอร์คอมพิวเตอร์ต้องใช้เวลาถอดรหัสนับล้านปี จะถูกควอนตัมคอมพิวเตอร์แก้สมการได้ภายในระยะเวลาเพียงไม่กี่นาทีหรือวินาที ตามทฤษฎีของ Shor (Shor’s Algorithm) ส่งผลให้กุญแจความปลอดภัยทางดิจิทัลทั่วโลกถูกทำลายลงอย่างสมบูรณ์ ด้วยเหตุนี้ สกมช. และหน่วยงานมาตรฐานโลกจึงกำหนดให้ปี ค.ศ. 2030 เป็นเส้นตายของ “Y2Q” (Years to Quantum) หรือยุค Post-Quantum ซึ่งองค์กรทั่วโลกต้องเตรียมพร้อมก่อนภัยคุกคามนี้จะมาถึง
ภัยคุกคามรูปแบบใหม่ “Harvest Now, Decrypt Later”: อันตรายที่มองไม่เห็นในวันนี้
ความเข้าใจคลาดเคลื่อนประการสำคัญที่ทำให้หลายองค์กรชะลอการเตรียมตัว คือความคิดที่ว่า “ภัยคุกคามยังมาไม่ถึง เพราะคอมพิวเตอร์ควอนตัมยังสร้างไม่เสร็จ” แต่ในความเป็นจริง ผู้เชี่ยวชาญเตือนว่าสงครามไซเบอร์รูปแบบใหม่ได้เริ่มต้นขึ้นแล้วผ่านยุทธวิธีที่เรียกว่า “Harvest Now, Decrypt Later” (เก็บเกี่ยววันนี้ ถอดรหัสวันหน้า)
ดร.ภูมิพงศ์ ไชยวงศ์คต นักวิจัยอาวุโส และผู้ร่วมก่อตั้งบริษัท ควอนตัม เทคโนโลยี ฟาวเดชั่น (ประเทศไทย) จำกัด หรือ QTFT และ ดร.สุจิตรา พงศ์พิสุทธิ์โสภา ผู้อำนวยการฝ่ายวิเคราะห์และประมวลผลข้อมูล ศูนย์วิจัยความมั่นคงปลอดภัยไซเบอร์ (NCSA) หรือ สกมช. อธิบายถึงกลไกของภัยคุกคามนี้ว่า แฮกเกอร์และอาชญากรไซเบอร์ หรือแม้แต่หน่วยงานระดับรัฐ (State-sponsored attackers) ได้เริ่มปฏิบัติการดักจับและคัดลอกข้อมูลที่ถูกเข้ารหัสที่วิ่งอยู่บนเครือข่ายอินเทอร์เน็ตในปัจจุบัน แล้วนำไปจัดเก็บไว้ในพื้นที่จัดเก็บข้อมูลที่มีราคาถูกลงเรื่อย ๆ แม้ว่า ณ วันนี้เทคโนโลยีปัจจุบันจะยังไม่สามารถอ่านข้อมูลเหล่านั้นได้ แต่ข้อมูลจะถูก “ดอง” ไว้เพื่อรอวันที่คอมพิวเตอร์ควอนตัมพร้อมใช้งาน ซึ่งคาดว่าจะเป็นช่วงปี 2029-2030 เมื่อถึงเวลานั้น ข้อมูลมหาศาลที่ถูกเก็บสะสมไว้จะถูกนำมาถอดรหัสออกมาพร้อมกัน
ความเสี่ยงนี้มุ่งเป้าไปที่ “ข้อมูลที่มีมูลค่าระยะยาว” (Long-term Value Data) เป็นหลัก โดยวิทยากรได้จำแนกประเภทข้อมูลที่มีความเสี่ยงสูงไว้ดังนี้
ข้อมูลความมั่นคงและการทหาร (National Security & Defense): ข้อมูลยุทธศาสตร์ แผนการป้องกันประเทศ หรือข้อมูลข่าวกรอง เป็นข้อมูลที่มีความอ่อนไหวสูงสุด หากถูกถอดรหัสได้ในอีก 5 หรือ 10 ปีข้างหน้า ก็ยังคงสร้างความเสียหายร้ายแรงต่อความมั่นคงของชาติ
ข้อมูลธุรกรรมทางการเงินและสินทรัพย์ดิจิทัล (Financial & Digital Assets): คุณอโณทัย ชี้ให้เห็นว่า แม้ข้อมูลธุรกรรม (Transactional Data) จะดูเหมือนมีอายุสั้น แต่เมื่อถูกเก็บสะสมไว้ในรูปแบบของ สัญญาดิจิทัล (Digital Contracts) หรือประวัติการทำธุรกรรมย้อนหลัง ข้อมูลเหล่านี้สามารถนำมาวิเคราะห์เพื่อสร้างความเสียหาย เจาะระบบ หรือขโมยสินทรัพย์ดิจิทัลได้ในอนาคต
ข้อมูลทรัพย์สินทางปัญญา (Intellectual Property): สูตรการผลิตยา นวัตกรรมทางเคมี หรือความลับทางการค้าขององค์กรชั้นนำ (Trade Secrets) เป็นข้อมูลที่มีมูลค่ามหาศาลและมีอายุการใช้งานยาวนาน หากรั่วไหลออกไปย่อมส่งผลกระทบต่อความสามารถในการแข่งขันทางธุรกิจ
ข้อมูลส่วนบุคคลและพันธุกรรม (Healthcare & Genomics): ข้อมูลประวัติการรักษา โดยเฉพาะข้อมูลรหัสพันธุกรรม (DNA) เป็นสิ่งที่ติดตัวมนุษย์ไปตลอดชีวิต ไม่สามารถเปลี่ยนแปลงได้เหมือนรหัสผ่าน หากข้อมูลนี้ถูกถอดรหัสได้ ก็จะกลายเป็นความเสี่ยงถาวรต่อเจ้าของข้อมูล
ดังนั้น แนวคิดการบริหารความเสี่ยงจึงต้องเปลี่ยนไป เราไม่สามารถรอให้ถึงปี 2030 แล้วค่อยเริ่มป้องกัน เพราะข้อมูลที่ส่งผ่านเครือข่ายในวันนี้ อาจกำลังถูกบันทึกเพื่อนำไปใช้โจมตีเราในอนาคต
สถานะความพร้อมของประเทศไทย: ช่องว่างที่ต้องเร่งแก้ไข
แม้ภัยคุกคามจะใกล้เข้ามา แต่สถานการณ์ความพร้อมของประเทศไทยยังคงมีช่องว่างที่น่ากังวล โดยจากการสำรวจเชิงลึกของสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ในปี 2567 ที่ครอบคลุมหน่วยงานสำคัญกว่า 300 แห่งทั่วประเทศ พบข้อเท็จจริงที่บ่งชี้ถึงความเปราะบางของระบบนิเวศดิจิทัลไทย
ดร.สุจิตรา เปิดเผยว่า ผลการสำรวจประเมินความพร้อมใน 3 มิติหลัก ได้แก่ การกำกับดูแล (Governance), การสร้างความตระหนักรู้ (Awareness) และด้านเทคนิค (Technical) พบว่า “ระดับความพร้อมในภาพรวมของประเทศยังอยู่ในเกณฑ์ค่อนข้างต่ำ” โดยปัญหาหลักที่พบคือ หน่วยงานส่วนใหญ่ยังขาดการจัดทำบัญชีคุมสินทรัพย์ดิจิทัล (Asset Inventory) ที่ถูกต้อง ทำให้ไม่ทราบว่าตนเองมีการใช้งานการเข้ารหัส (Cryptography) อยู่ที่จุดใดบ้าง ส่งผลให้การวางแผนเพื่อเปลี่ยนผ่านระบบเป็นไปได้ยาก
นอกจากนี้ พรพรหม ประภากิตติกุล ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิสก์ (ETDA) ได้ชี้ให้เห็นถึงความท้าทายในระดับโครงสร้างพื้นฐานสำคัญของประเทศ (Critical Infrastructure) โดยเฉพาะบริการความเชื่อมั่นทางดิจิทัล เช่น ลายมือชื่อดิจิทัล (Digital Signature) และ ระบบการยืนยันตัวตนแห่งชาติ (National Digital ID) ระบบเหล่านี้เปรียบเสมือนกระดูกสันหลังของเศรษฐกิจดิจิทัลไทย หากกุญแจเข้ารหัสรากฐาน (Root Keys) ถูกทำลาย ความน่าเชื่อถือของธุรกรรมอิเล็กทรอนิกส์ทั้งหมดจะพังทลายลง
ความท้าทายทางเทคนิคที่ซับซ้อนคือ การตรวจสอบความปลอดภัยไม่สามารถทำได้เพียงแค่ระดับแอปพลิเคชัน (Application Layer) แต่ต้องเจาะลึกไปถึงระดับ Library ของซอฟต์แวร์ และ Hardware ที่ใช้งานอยู่เบื้องหลัง ว่าชิปเซ็ตหรือโมดูลความปลอดภัยที่ใช้นั้นรองรับอัลกอริทึม PQC หรือไม่ ซึ่งเป็นกระบวนการที่ต้องใช้ความเชี่ยวชาญสูงและใช้เวลานาน
อีกหนึ่งช่องว่างสำคัญคือ ความเหลื่อมล้ำของการตระหนักรู้ ในขณะที่สถาบันการเงินและองค์กรขนาดใหญ่เริ่มตื่นตัวและมีทรัพยากรในการศึกษาผลกระทบ แต่กลุ่มวิสาหกิจขนาดกลางและขนาดย่อม (SMEs) รวมถึงภาคประชาชน ยังขาดความเข้าใจและมองว่าเรื่องควอนตัมเป็นเรื่องไกลตัว ซึ่งถือเป็นจุดอ่อนที่แฮกเกอร์สามารถใช้เป็นช่องทางในการโจมตีห่วงโซ่อุปทาน (Supply Chain Attack) ได้ในอนาคต
เพื่อให้เห็นภาพการแก้ปัญหาที่เป็นรูปธรรม ดร.ภูมิพงศ์ เสนอแนะว่า องค์กรไม่จำเป็นต้องรอให้มีความพร้อม 100% จึงจะเริ่มลงมือทำ แต่ควรเริ่มจากการทำ Pilot Test หรือการทดสอบในวงจำกัด เช่น ลองเลือกเครื่องคอมพิวเตอร์มา 10 เครื่อง หรือแอปพลิเคชัน 5-50 รายการ แล้วทดลองเปลี่ยนมาตรฐานการเข้ารหัสดูว่าระบบยังทำงานได้หรือไม่ (Interoperability Check) การทดสอบเล็กๆ นี้จะช่วยให้องค์กรประเมินเวลาและทรัพยากรที่ต้องใช้จริงได้แม่นยำขึ้น ดีกว่าการรอวางแผนใหญ่แต่ไม่ได้เริ่มลงมือปฏิบัติ
โรดแมปสู่ความอยู่รอด: PQC และกลยุทธ์ 3 ขั้นตอน (Discover – Prioritize – Enforce)
เมื่อ “รหัสผ่าน” เดิมกำลังจะหมดอายุลง ทางออกของวิกฤตนี้ไม่ใช่การรื้อถอนระบบไอที (Infrastructure) ทั้งหมดทิ้งแล้วสร้างใหม่ แต่คือการเปลี่ยนผ่านสู่มาตรฐานการเข้ารหัสยุคใหม่ที่เรียกว่า Post-Quantum Cryptography (PQC) ซึ่งเป็นอัลกอริทึมทางคณิตศาสตร์ที่ได้รับการออกแบบมาให้มีความซับซ้อนสูงจนคอมพิวเตอร์ควอนตัมไม่สามารถเจาะได้ ปัจจุบันสถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ (NIST) ได้รับรองมาตรฐาน PQC แล้ว 3 อัลกอริทึม ได้แก่ CRYSTALS-Kyber, CRYSTALS-Dilithium และ SPHINCS+ โดยที่ไอบีเอ็มมีบทบาทสำคัญในการร่วมพัฒนาถึง 2 ใน 3 ของมาตรฐานโลกนี้
เพื่อให้องค์กรไทยสามารถรับมือกับการเปลี่ยนผ่านนี้ได้อย่างเป็นรูปธรรม คุณอโณทัย ได้เสนอกรอบการดำเนินงานเชิงกลยุทธ์ 3 ขั้นตอน หรือ “Journey to Quantum Safe” ดังนี้
1. Discover: เปิดไฟให้เห็นปัญหาด้วยการทำ Cryptographic Bill of Materials (CBOM) ก้าวแรกที่สำคัญที่สุดไม่ใช่การซื้อเครื่องมือป้องกัน แต่คือการสร้าง “ความรู้แจ้ง” (Visibility) องค์กรส่วนใหญ่มักไม่ทราบว่าซอฟต์แวร์หรือแอปพลิเคชันที่ตนใช้อยู่มีการฝังอัลกอริทึมการเข้ารหัสไว้ที่จุดใดบ้าง สิ่งที่ต้องทำคือการจัดทำบัญชีสินทรัพย์ด้านการเข้ารหัส หรือ Cryptographic Bill of Materials (CBOM) ซึ่งเปรียบเสมือนการสแกนร่างกายอย่างละเอียด (X-Ray) เพื่อค้นหาว่าใน Source Code, ข้อมูล (Data), การรับส่งข้อมูลบนเครือข่าย (Network Transmission) และแอปพลิเคชันต่างๆ มีการใช้มาตรฐานการเข้ารหัสที่ล้าสมัยหรือมีความเสี่ยงอยู่หรือไม่ การมี CBOM จะช่วยให้องค์กรประเมินสถานะความเสี่ยงของตนเองได้อย่างแม่นยำ
2. Prioritize & Migrate: จัดลำดับความสำคัญและเริ่มอัปเกรดอย่างมียุทธศาสตร์ การเปลี่ยนกุญแจบ้านทั้งหลังในวันเดียวเป็นเรื่องที่เป็นไปไม่ได้และใช้ทรัพยากรมหาศาล องค์กรจึงต้องบริหารจัดการความเสี่ยงด้วยการ “จัดลำดับความสำคัญ” (Prioritize) โดยมุ่งเน้นไปที่ข้อมูลที่มีความอ่อนไหวสูงสุด (High Value Assets) หรือข้อมูลที่เป็นความลับทางธุรกิจก่อน จากนั้นจึงวางแผนการย้าย (Migrate) จากอัลกอริทึมเดิมที่ไม่ปลอดภัย ไปสู่อัลกอริทึม PQC ที่ได้รับมาตรฐาน การดำเนินการในขั้นตอนนี้ต้องอาศัยความเข้าใจว่าการเปลี่ยนผ่านไม่ใช่ภารกิจวันเดียวจบ (One-day job) แต่เป็นการเดินทางต่อเนื่องที่ต้องทำควบคู่ไปกับการดำเนินธุรกิจปกติ
3. Enforce & Observe: สร้างภูมิคุ้มกันด้วย Crypto-Agility ขั้นตอนสุดท้ายคือการสร้างระบบการกำกับดูแลที่ยั่งยืน การเปลี่ยนมาใช้ PQC ในวันนี้ไม่ได้การันตีความปลอดภัยตลอดไป เพราะเทคโนโลยีมีการเปลี่ยนแปลงเสมอ องค์กรจึงต้องสร้างขีดความสามารถที่เรียกว่า “Crypto-Agility” หรือความยืดหยุ่นในการเข้ารหัส ซึ่งหมายถึงความสามารถในการสลับสับเปลี่ยนอัลกอริทึมความปลอดภัยได้ทันทีเมื่อเกิดภัยคุกคามใหม่ โดยไม่ต้องรื้อโครงสร้างสถาปัตยกรรม (Architecture) ของระบบทั้งหมด นอกจากนี้ ยังต้องมีระบบการตรวจสอบ (Monitor) สถานะความปลอดภัยอย่างต่อเนื่อง (Enforce) เพื่อให้มั่นใจว่าทุกเลเยอร์ของระบบ ตั้งแต่ฮาร์ดแวร์ การส่งข้อมูล จนถึงแอปพลิเคชัน ปฏิบัติตามมาตรฐานความปลอดภัยใหม่อย่างเคร่งครัด
วาระแห่งชาติและการสร้าง “คน” คือหัวใจสำคัญ
ท้ายที่สุด เทคโนโลยีเป็นเพียงองค์ประกอบหนึ่ง แต่ “บุคลากร” คือปัจจัยชี้วัดความสำเร็จ ดร.ภูมิพงศ์ เน้นย้ำว่าประเทศไทยกำลังเผชิญกับภาวะขาดแคลนบุคลากร ไม่ใช่เพียงนักวิทยาศาสตร์ที่สร้างเครื่องควอนตัม แต่สิ่งที่ขาดแคลนอย่างยิ่งคือ “Quantum Security Experts” หรือผู้เชี่ยวชาญที่เข้าใจทั้งบริบทของความปลอดภัยไซเบอร์และเทคโนโลยีควอนตัม
ไอบีเอ็มได้ดำเนินการเพื่อลดช่องว่างนี้โดยเปิดโอกาสให้นักพัฒนาเข้าถึงระบบควอนตัมผ่านคลาวด์และชุดเครื่องมือ Qiskit มาตั้งแต่ปี 2017 เพื่อส่งเสริมงานวิจัย อย่างไรก็ตาม การเตรียมความพร้อมรับมือภัยคุกคามระดับนี้เกินกว่าศักยภาพขององค์กรเดี่ยว แต่จำเป็นต้องยกระดับเป็น “วาระแห่งชาติ” ที่ภาครัฐ สถาบันการศึกษา และภาคเอกชน ต้องผนึกกำลังเพื่อสร้างระบบนิเวศ พัฒนาหลักสูตร และกำหนดมาตรฐาน เพื่อให้ประเทศไทยมีเกราะป้องกันทางดิจิทัลที่แข็งแกร่งเพียงพอเมื่อรุ่งอรุณของยุคควอนตัมมาถึง
ข่าวอื่น ๆ ที่น่าสนใจ
LINE MAN Wongnai เผยยอดสั่ง ‘มัตจะ’ โต 300% อานิสงส์ส่ง ‘ชาเขียวนม’ ขึ้นที่ 1 แทน ‘กาแฟดำ’
เจาะ 8 เทรนด์ AI 2026: สู่ยุค Agentic AI และสงครามเทคโนโลยีครองโลก
