สรุปสั้น
ประธานาธิบดีนายโดนัลด์ ทรัมป์ ลงนามคำสั่งพิเศษ Executive Order 14409 เมื่อวันที่ 23 มิถุนายน 2569 เพื่อเร่งรัดให้หน่วยงานรัฐบาลกลางสหรัฐฯ เปลี่ยนผ่านระบบเข้ารหัสไปสู่ Post-Quantum Cryptography (PQC) โดยตั้งเป้าให้สินทรัพย์มูลค่าสูงและระบบที่มีผลกระทบระดับสูงทั้งหมดต้องใช้ PQC สำหรับการแลกเปลี่ยนกุญแจเข้ารหัสภายในวันที่ 31 ธันวาคม 2573 และสำหรับลายเซ็นดิจิทัลภายในวันที่ 31 ธันวาคม 2574 คำสั่งดังกล่าวมุ่งรับมือภัยคุกคามแบบ “harvest now, decrypt later” ที่ผู้โจมตีเก็บข้อมูลเข้ารหัสไว้ก่อนเพื่อรอถอดรหัสด้วยคอมพิวเตอร์ควอนตัมในอนาคต
คำสั่งนี้กำหนดให้หน่วยงาน OMB, NIST, NSA, DHS และ CISA ร่วมกันพัฒนาแนวทางทางเทคนิคเพื่อช่วยหน่วยงานรัฐนำ PQC ไปใช้ พร้อมทั้งบังคับให้ผู้รับจ้างภาครัฐปฏิบัติตามมาตรฐาน NIST ภายในสิ้นปี 2573 กระทรวงพาณิชย์จะดำเนินโครงการนำร่องถึงสิ้นปี 2570 เพื่อเป็นตัวอย่างการย้ายระบบที่สำเร็จ
รายละเอียดข่าว
เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 23 มิถุนายน 2569 ว่า ประธานาธิบดีนายโดนัลด์ ทรัมป์ ลงนาม Executive Order 14409 เพื่อเสริมความแข็งแกร่งในการปกป้องข้อมูลของรัฐบาลกลาง เตรียมพร้อมรับมือการมาถึงของคอมพิวเตอร์ควอนตัมระดับใช้งานจริง โดยคำสั่งดังกล่าวเน้นย้ำภัยคุกคามจากกลยุทธ์ “harvest now, decrypt later” ที่กลุ่มผู้โจมตีทางไซเบอร์ขโมยข้อมูลที่เข้ารหัสไว้ในปัจจุบัน เพื่อรอถอดรหัสด้วยคอมพิวเตอร์ควอนตัมในอนาคต
คำสั่งพิเศษนี้มอบหมายให้ 5 หน่วยงานหลัก ได้แก่ OMB, NIST, NSA, DHS และ CISA ร่วมกันพัฒนาและกำกับดูแลแนวทางทางเทคนิคที่ครอบคลุมเพื่อช่วยหน่วยงานรัฐบาลกลางนำ PQC ไปใช้ โดยทุกหน่วยงานต้องสำรวจรายการสินทรัพย์มูลค่าสูง (high-value assets) และระบบที่มีผลกระทบสูง (high-impact systems) พร้อมทั้งเปลี่ยนผ่านไปยัง PQC สำหรับ key establishment ภายในวันที่ 31 ธันวาคม 2573 และสำหรับ digital signatures ภายในวันที่ 31 ธันวาคม 2574 นอกจากนี้ทุกหน่วยงานต้องแต่งตั้ง PQC migration lead เป็นผู้รับผิดชอบหลัก
กระทรวงพาณิชย์สหรัฐฯ จะดำเนินโครงการนำร่อง (pilot program) ถึงสิ้นปี 2570 เพื่อสาธิตการย้ายระบบที่สำเร็จและเป็นตัวอย่างให้หน่วยงานอื่น ในขณะที่กระทรวงการต่างประเทศได้รับมอบหมายให้สนับสนุนผู้ดำเนินการโครงสร้างพื้นฐานสำคัญและรัฐบาลต่างประเทศในการเปลี่ยนผ่านสู่ PQC เช่นกัน ส่วนกระทรวงกลาโหม NASA และ General Services Administration ได้รับคำสั่งให้หาโอกาสประหยัดต้นทุน ผู้รับจ้างภาครัฐจะถูกบังคับให้ปฏิบัติตามมาตรฐาน NIST ในการใช้อัลกอริทึมที่เข้ากันได้กับ PQC ภายในสิ้นปี 2573
นาย Garfield Jones รองประธานบริหารฝ่ายกลยุทธ์และวิจัยของบริษัท QuSecure ให้ความเห็นว่า คำสั่งนี้ส่งสัญญาณชัดเจนว่าเวลากำลังหมดลงสำหรับทุกองค์กรที่ทำธุรกิจกับรัฐบาลกลาง โดยเฉพาะเดดไลน์ปี 2573 สำหรับ key establishment ซึ่งเป็นเส้นตายที่จับต้องได้ องค์กรที่ยังไม่เริ่มสำรวจ cryptographic inventory ถือว่าล้าหลังแล้ว
รายละเอียดคำสั่งพิเศษ
Executive Order 14409 กำหนดกรอบเวลาและความรับผิดชอบไว้ชัดเจนหลายระดับ ได้แก่ การสำรวจสินทรัพย์และระบบสำคัญ, การเปลี่ยนผ่าน key establishment ภายในปี 2573 และ digital signatures ภายในปี 2574, โครงการนำร่องของกระทรวงพาณิชย์ถึงสิ้นปี 2570 และการบังคับผู้รับจ้างภาครัฐใช้อัลกอริทึมตามมาตรฐาน NIST
ภาคเอกชนรายใหญ่อย่างบริษัท Google, Dell และ HP ได้เริ่มก้าวสำคัญสู่ PQC แล้ว แต่รัฐบาลสหรัฐฯ ต้องการสร้างแผนงานที่ชัดเจน (roadmap) เพื่อเร่งรัดการเปลี่ยนผ่านของภาครัฐให้ทันกำหนด คำสั่งนี้ออกมาไม่นานหลังจากนายทรัมป์ลงนามคำสั่งพิเศษอีกฉบับเกี่ยวกับกรอบการตรวจสอบโมเดล AI ขั้นสูงก่อนเผยแพร่สู่สาธารณะ
ผลกระทบต่อไทย
คำสั่งพิเศษนี้มีนัยสำคัญต่อประเทศไทยหลายประการ องค์กรไทยที่เป็นผู้รับจ้างหรือคู่ค้ากับรัฐบาลสหรัฐฯ จะต้องปรับตัวให้สอดคล้องกับมาตรฐาน PQC ของ NIST ภายในปี 2573 มิฉะนั้นอาจสูญเสียสัญญาหรือโอกาสทางธุรกิจ หน่วยงานภาครัฐไทยโดยเฉพาะกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) และธนาคารแห่งประเทศไทย ควรเริ่มวางแผนเปลี่ยนผ่านระบบเข้ารหัสสำคัญเช่นกัน เนื่องจากภัยคุกคาม harvest now, decrypt later ไม่จำกัดเฉพาะสหรัฐฯ ข้อมูลรัฐบาลและข้อมูลทางการเงินของไทยที่เข้ารหัสด้วยอัลกอริทึมปัจจุบันก็มีความเสี่ยงเช่นกัน
คำแนะนำ
- เริ่มสำรวจ cryptographic inventory ขององค์กร ระบุระบบที่ใช้อัลกอริทึม RSA, ECC หรือ Diffie-Hellman ที่อาจถูกถอดรหัสด้วยคอมพิวเตอร์ควอนตัม
- ติดตามมาตรฐาน PQC ของ NIST (FIPS 203, 204, 205) และเริ่มทดสอบการนำไปใช้ในระบบที่ไม่สำคัญก่อน
- จัดลำดับความสำคัญของข้อมูลที่ต้องปกป้องระยะยาว เช่น ข้อมูลสุขภาพ ข้อมูลความมั่นคง และข้อมูลทางการเงิน เพื่อย้ายไปใช้ PQC ก่อน
- องค์กรที่ทำธุรกิจกับรัฐบาลสหรัฐฯ ควรเตรียมแผนปฏิบัติตาม NIST PQC compliance ก่อนเดดไลน์ปี 2573
