28 มิ.ย. 2569

ธุรกิจ · การจัดการ · คนเปลี่ยนโลก

Cover Story

TRIS เตรียมรับมือ ควอนตัม ป้องกันการถอดรหัสทำลายข้อมูลดิจิทัล

TRIS เตรียมรับมือ ควอนตัม ป้องกันการถอดรหัสทำลายข้อมูลดิจิทัล

Suwatcharee Pormbunmee · 1 เม.ย. 2569 · อ่าน 2 นาที

p22-23-weekly-tris-01.jpg

การก้าวเข้าสู่โลกดิจิทัล ข้อมูลเฉพาะบุคคลไม่ว่าจะเป็นข้อความ ข้อมูลการเงิน ข้อมูลสุขภาพ ถูกปกป้องด้วยการเข้ารหัสแบบอัลกอริทึม แต่ปัจจุบันรูปแบบการประมวลผลเชิงควอนตัมกำลังถูกพัฒนา และมีประสิทธิภาพมากพอที่จะทำลายการเข้ารหัสแบบเดิมที่ทุกคนกำลังใช้อยู่ นั่นหมายความว่าความลับหรือข้อมูลอิเล็กทรอนิกส์กำลังอยู่ในความเสี่ยง และเพื่อให้รับมือจากภัยคุกคามนี้ มีบริษัทเอกชนที่พัฒนาวิธีการเข้ารหัสแบบใหม่ที่สามารถป้องกันการโจมตีได้จากคอมพิวเตอร์ควอนตัม เรียกว่า Post-quantum cryptography หรือ PQC และ TRIS Corporation คือหนึ่งในบริษัทที่นำบริการนี้เข้ามานำเสนอให้แก่ภาคเอกชน และภาครัฐ

TRIS Corporation (บริษัท ทริส คอร์ปอเรชั่น จำกัด) เป็นบริษัทที่ปรึกษาและวิจัยชั้นนำของไทยที่เน้นการพัฒนาองค์กร หลายคนอาจจะคุ้นชื่อ “TRIS Rating” ที่จัดอันดับความน่าเชื่อถือทางเครดิต แต่ปัจจุบันทั้งสองบริษัทแยกการดำเนินงานออกจากกันชัดเจน

p22-23-weekly-tris-02.jpg

ปัจจุบัน TRIS Corporation ให้บริการอยู่ 4 ด้าน คือ

Consulting (ที่ปรึกษาองค์กร): วางแผนกลยุทธ์ การบริหารความเสี่ยง และการบริหารจัดการนวัตกรรม

Business Research (งานวิจัย): สำรวจข้อมูลการตลาด ความพึงพอใจลูกค้า และข้อมูลเชิงลึกทางธุรกิจ

Evaluation (การประเมินผล): ประเมินผลการดำเนินงานของรัฐวิสาหกิจและหน่วยงานภาครัฐ

TRIS Academy (การฝึกอบรม): พัฒนาบุคลากรในด้านต่างๆ เช่น Digital Transformation, ESG และ Cybersecurity

ดร. อัมพร แสงมณี กรรมการผู้จัดการ บริษัท ทริส คอร์ปอเรชั่น จำกัด เล่าว่า TRIS ขยับตัวเข้าสู่เรื่อง Quantum ในฐานะ “ที่ปรึกษาเชิงยุทธศาสตร์และการบริหารความเสี่ยง” โดยมองว่าเทคโนโลยีนี้คือความท้าทายใหม่ที่องค์กรต้องเตรียมพร้อม เพื่อกระตุ้นให้องค์กรไทยตระหนักถึงผลกระทบของ Quantum Computing ที่จะเข้ามาเปลี่ยนโลกธุรกิจ การบริหารความเสี่ยง (Risk Management)

“TRIS ให้คำปรึกษาในการประเมินความเสี่ยงที่เกิดจาก Quantum เช่น การที่คอมพิวเตอร์ควอนตัมอาจสามารถถอดรหัสลับ (Encryption) ที่เราใช้อยู่ในปัจจุบันได้ในอนาคตPost-Quantum Cryptography (PQC) ในบทบาทของที่ปรึกษาด้าน Cybersecurity TRIS ผลักดันเรื่องการปรับตัวสู่ Post-Quantum Cryptography หรือการเข้ารหัสลับที่ทนทานต่อการโจมตีจากคอมพิวเตอร์ควอนตัม เพื่อป้องกันข้อมูลสำคัญขององค์กรไม่ให้ถูกจารกรรมในอนาคต

p22-23-weekly-tris-03.jpg

TRIS จะเข้ามาช่วยองค์กรวาง Roadmap ว่าควรจะเริ่มลงทุนหรือปรับเปลี่ยนระบบไอทีเมื่อไหร่ เพื่อให้ก้าวทันยุค Quantum โดยไม่เสียความเปรียบเทียบทางธุรกิจ TRIS ไม่ได้เป็นผู้สร้างเครื่องคอมพิวเตอร์ควอนตัม แต่เป็น “คนวางแผนและเตรียมความพร้อม” ให้องค์กรไทยรับมือกับโอกาสและความเสี่ยงจากเทคโนโลยีนี้”

แม้ว่าเทคโนโลยี Quantum Computing จะเป็นเรื่องไกลตัวสำหรับประชาชนทั่วไป แต่แท้จริงแล้ว ทุกคนล้วนแต่ต้องเจอกับความเสี่ยง โดยเฉพาะในด้านข้อมูลส่วนบุคคลที่ถูกเก็บไว้กับภาครัฐและภาคเอกชน

ดร. อัมพรอธิบายให้เข้าใจถึงความเสี่ยงหลักจาก Quantum Computing ที่องค์กรควรตระหนักออกเป็น 5 ด้าน ได้แก่

1. ความเสี่ยงด้านการจารกรรมข้อมูล (Harvest Now, Decrypt Later) นี่คือความเสี่ยงที่วิกฤตที่สุดในปัจจุบัน แม้คอมพิวเตอร์ควอนตัมที่ทรงพลังจะยังไม่แพร่หลาย แต่แฮกเกอร์สามารถ “เก็บรวบรวมข้อมูลที่เข้ารหัสในวันนี้ เพื่อรอไปถอดรหัสในอนาคต”

ผลกระทบ: ข้อมูลที่มีอายุการใช้งานยาวนาน (Long-lived Data) เช่น ข้อมูลความลับทางการค้า, ข้อมูลสุขภาพ หรือข้อมูลโครงสร้างพื้นฐาน จะถูกเปิดเผยย้อนหลังได้ทั้งหมด

2. ความเสี่ยงด้านความน่าเชื่อถือของการยืนยันตัวตน (Identity & Trust) ระบบลายเซ็นดิจิทัล (Digital Signature) และการระบุตัวตนที่ใช้กันอยู่ในปัจจุบัน (เช่น RSA, ECC) จะไม่ปลอดภัยอีกต่อไป

ผลกระทบ: เสี่ยงต่อการถูกปลอมแปลงลายเซ็นอิเล็กทรอนิกส์ การสวมรอยทำธุรกรรมทางการเงิน หรือการส่งซอฟต์แวร์ปลอมที่ดูเหมือนมีใบรับรองถูกต้อง (Malicious Software Updates)

p22-23-weekly-tris-04.jpg

3. ความเสี่ยงด้านความต่อเนื่องทางธุรกิจ (Operational Continuity) เมื่อถึงจุดที่ต้องเปลี่ยนผ่านสู่มาตรฐาน Post-Quantum Cryptography (PQC) หากองค์กรไม่มีการเตรียมพร้อม ระบบไอทีเดิมอาจทำงานร่วมกับมาตรฐานใหม่ไม่ได้ (Incompatibility)

ผลกระทบ: เกิดการหยุดชะงักของระบบงานสำคัญ (Downtime) หรือต้องใช้ต้นทุนมหาศาลในการแก้ไขระบบแบบเร่งด่วน (Emergency Migration)

4. ความเสี่ยงด้านการปฏิบัติตามกฎหมายและมาตรฐาน (Compliance & Regulatory) ในอนาคตอันใกล้ หน่วยงานกำกับดูแล (เช่น ธปท. หรือ กสทช.) อาจออกข้อกำหนดให้องค์กรต้องใช้มาตรฐาน PQC เพื่อคุ้มครองข้อมูลส่วนบุคคล (PDPA)

ผลกระทบ: หากปรับตัวไม่ทันตามกรอบเวลาที่กฎหมายกำหนด องค์กรอาจเผชิญกับค่าปรับทางแพ่งและอาญา รวมถึงเสียชื่อเสียงและความเชื่อมั่นจากคู่ค้าและลูกค้า

5. ความเสี่ยงด้านห่วงโซ่อุปทาน (Supply Chain Vulnerability) แม้ระบบภายในของเราจะปลอดภัย แต่หาก “คู่ค้า” หรือ “ผู้ให้บริการ Cloud” ยังไม่ปรับตัวสู่ PQC ข้อมูลที่รับส่งระหว่างกันก็ยังมีความเสี่ยง

ผลกระทบ: ภัยคุกคามอาจลามเข้ามาผ่านช่องโหว่ของ Third-party ซึ่งเป็นจุดที่ควบคุมได้ยากที่สุดหากไม่มีการทำ Risk Assessment ร่วมกันตั้งแต่เนิ่นๆ

ดร. อัมพรมองว่า องค์กรทั้งภาครัฐและเอกชน ที่อาจต้องเผชิญกับความเสี่ยงเหล่านี้ไม่เพียงแค่ ‘เปลี่ยน’ แต่ต้อง ‘ปรับ’ ด้วยกลยุทธ์เหล่านี้ “หน่วยงานต่างๆ ในช่วงเปลี่ยนผ่าน แนะนำให้ใช้ PQC ควบคู่ไปกับการเข้ารหัสเดิม (เช่น RSA หรือ ECC) เพื่อป้องกันกรณีที่อัลกอริทึม PQC ใหม่ยังไม่เสถียร หรือมีช่องโหว่ที่ยังไม่ถูกค้นพบCrypto-Agility (ความยืดหยุ่นทางรหัสผ่าน) การออกแบบระบบให้สามารถ ‘ถอดเปลี่ยน’ อัลกอริทึมได้ง่ายในอนาคต โดยไม่ต้องรื้อโครงสร้างพื้นฐานใหม่ทั้งหมด หากพบว่ามาตรฐานมีการเปลี่ยนแปลง ก่อนจะลงมือเปลี่ยน ต้องทำ Cryptographic Asset Inventory เพื่อสำรวจว่าในองค์กรมีการใช้การเข้ารหัสอยู่ที่จุดไหนบ้าง และจุดไหน ‘เสี่ยงที่สุด’ เช่น ข้อมูลที่ต้องเก็บรักษาความลับนานกว่า 10 ปี”

p22-23-weekly-tris-05.jpg

G7 Cyber Expert Group (กลุ่มผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของกลุ่มประเทศ G7) ให้ข้อมูลว่า ปี 2026 เป็นปีแห่ง “Risk Assessment & Planning” องค์กรควรเริ่มประเมินความเสี่ยงและจัดทำ Roadmap การเปลี่ยนผ่าน และปี 2030 คือเส้นตายที่คาดว่ากลุ่มโครงสร้างพื้นฐานควรจะเริ่มใช้งาน PQC เป็นมาตรฐานเริ่มต้น

องค์กรหรืออุตสาหกรรมที่ควรเริ่มปรับตัวเข้าสู่ Post-Quantum Cryptography คือกลุ่มที่ถือครองข้อมูลที่มีคุณค่าในระยะยาว (Long-lived Data) ซึ่งหากถูกโจรกรรมไปในวันนี้ แม้จะยังถอดรหัสไม่ได้ แต่ข้อมูลนั้นจะยังมีความสำคัญหรือเป็นอันตรายหากถูกถอดรหัสได้ในอีก 5-10 ปีข้างหน้า คือ 1. กลุ่มการเงินและการธนาคาร เพราะเกี่ยวข้องกับธุรกรรมและสินทรัพย์โดยตรง เพราะอาจเกิดความเสี่ยงกับระบบการโอนเงินระหว่างประเทศ โครงสร้างพื้นฐานการชำระเงิน ข้อมูลบัญชีลูกค้า ประวัติการทำธุรกรรม ระบบลายเซ็นดิจิทัลที่ใช้ยืนยันตัวตน2. หน่วยงานความมั่นคงภาครัฐ ข้อมูลทางการทูต ทหาร ทะเบียนราษฎร์ 3. อุตสาหกรรมโครงสร้างพื้นฐาน พลังงาน ไฟฟ้า การสื่อสาร โทรคมนาคม 4. ข้อมูลสุขภาพ 5. กลุ่มเทคโนโลยีและผู้ให้บริการคลาวด์

การจะสื่อสารเรื่องเทคโนโลยีควอนตัม ที่ดูเป็นเรื่องไกลตัวและเข้าใจยาก ให้ประชาชนทั่วไปเข้าใจ “ต้องพูดเรื่องผลกระทบ ถึงจะสร้างความเข้าใจได้มากกว่า โดยเฉพาะเรื่องเงิน ทรัพย์สิน ตัวตน เพราะนี่ไม่ใช่แค่เรื่องสแกมเมอร์ หรือคอลเซ็นเตอร์ที่หลอกลวงดูดเงินจากบัญชี แต่สามารถขโมยตัวตนของคุณไปได้เลย” ดร.อัมพรทิ้งท้าย.

แท็ก