Quantum Computing Cybersecurity Preparedness Act

ข้อมูลที่โดดเด่นคือ สหรัฐอเมริกา ได้มีการออกกฎหมาย Quantum Computing Cybersecurity Preparedness Act (H.R.7535) ซึ่งตราเป็นกฎหมายในปี 2022 กฎหมายฉบับนี้มุ่งเน้นให้หน่วยงานของรัฐบาลกลางเตรียมพร้อมรับมือกับความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่อาจเกิดขึ้นจากคอมพิวเตอร์ควอนตัม โดยกำหนดให้มีการจัดทำบัญชีรายการระบบเทคโนโลยีสารสนเทศที่อาจมีความเปราะบางต่อการถูกถอดรหัสด้วยคอมพิวเตอร์ควอนตัม และพัฒนากลยุทธ์ในการเปลี่ยนผ่านไปใช้การเข้ารหัสแบบทนทานต่อควอนตัม (post-quantum cryptography)

นอกจากสหรัฐอเมริกาแล้ว ยังมีประเทศและกลุ่มประเทศอื่น ๆ ที่กำลังดำเนินการในเรื่องนี้อย่างจริงจัง:

  • สหภาพยุโรป (EU): แม้ว่าจะไม่ได้มีชื่อกฎหมายเฉพาะเจาะจงแบบเดียวกับสหรัฐอเมริกา แต่ EU ก็มีกรอบการทำงานด้านความมั่นคงปลอดภัยทางไซเบอร์ที่กว้างขวาง เช่น NIS2 Directive และ Cyber Resilience Act ซึ่งแม้จะไม่ได้มุ่งเน้นเรื่องควอนตัมโดยตรง แต่ก็สร้างพื้นฐานที่สำคัญสำหรับการรับมือกับภัยคุกคามทางไซเบอร์ในอนาคต รวมถึงภัยจากควอนตัม นอกจากนี้ หน่วยงานอย่าง ANSSI (ฝรั่งเศส) และ BSI (เยอรมนี) ก็มีการเผยแพร่แนวทางและเริ่มวางแผนสำหรับการเปลี่ยนผ่านไปสู่การเข้ารหัสแบบทนทานต่อควอนตัม
  • แคนาดา: มีการริเริ่มและเผยแพร่แนวปฏิบัติระดับชาติเพื่อเตรียมความพร้อมสำหรับควอนตัม (National Quantum-Readiness: Best Practices and Guidelines) และมีแผนที่จะนำเสนอมาตรฐานการเข้ารหัสแบบทนทานต่อควอนตัม
  • สหราชอาณาจักร (UK): กำลังเร่งพัฒนาเทคโนโลยีควอนตัมและให้ความสำคัญกับการยกระดับการป้องกันภัยไซเบอร์ที่เกี่ยวข้อง
  • จีน: ได้จัดตั้งโครงการวิจัยควอนตัมระดับชาติและลงทุนจำนวนมากเพื่อสนับสนุนการพัฒนาเทคโนโลยีนี้ ซึ่งรวมถึงการพิจารณาด้านความปลอดภัยที่เกี่ยวข้องด้วย มีรายงานเกี่ยวกับการวิจัยและการประยุกต์ใช้การเข้ารหัสแบบทนทานต่อควอนตัม
  • ออสเตรเลีย: มีแผนที่จะเปลี่ยนผ่านไปใช้การเข้ารหัสที่ทนทานต่อควอนตัมภายในปี 2030
  • สิงคโปร์: หน่วยงาน Monetary Authority of Singapore (MAS) ได้ออกคำแนะนำเกี่ยวกับความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่เกี่ยวข้องกับควอนตัมสำหรับภาคบริการทางการเงิน

จะเห็นได้ว่า หลายประเทศตระหนักถึงความสำคัญของปัญหาและกำลังอยู่ในขั้นตอนต่าง ๆ ของการเตรียมความพร้อม ตั้งแต่การออกกฎหมายเฉพาะ การกำหนดนโยบายและยุทธศาสตร์ระดับชาติ การวิจัยและพัฒนามาตรฐานการเข้ารหัสแบบใหม่ ไปจนถึงการสร้างความตระหนักรู้และให้คำแนะนำแก่หน่วยงานภาครัฐและเอกชน

สิ่งสำคัญที่ควรทราบคือ:

  • คำว่า “พระราชบัญญัติ” หรือ “Act” อาจไม่ได้ถูกใช้ในทุกประเทศ รูปแบบของมาตรการทางกฎหมายและนโยบายอาจแตกต่างกันไป
  • การพัฒนาด้านเทคโนโลยีควอนตัมและความปลอดภัยทางไซเบอร์เป็นไปอย่างรวดเร็ว ข้อมูลเกี่ยวกับกฎหมายและมาตรการต่าง ๆ อาจมีการเปลี่ยนแปลงและปรับปรุงอยู่เสมอ

ดังนั้น แม้ว่าสหรัฐอเมริกาจะมีกฎหมายที่ใช้ชื่อ “Quantum Computing Cybersecurity Preparedness Act” อย่างชัดเจน แต่ประเทศอื่น ๆ ก็มีมาตรการและการดำเนินการในลักษณะเดียวกันหรือเทียบเคียงได้ เพื่อเตรียมพร้อมรับมือกับผลกระทบของการประมวลผลควอนตัมต่อความมั่นคงปลอดภัยทางไซเบอร์

ร่างกฎหมาย H.R.7535 หรือที่รู้จักในชื่อ “Quantum Computing Cybersecurity Preparedness Act” เป็นกฎหมายของสหรัฐอเมริกาที่มีเป้าหมายเพื่อเตรียมความพร้อมด้านความมั่นคงไซเบอร์ของหน่วยงานรัฐบาลกลางต่อภัยคุกคามจากคอมพิวเตอร์ควอนตัม โดยกฎหมายนี้มีผลบังคับใช้เมื่อวันที่ 21 ธันวาคม 2022 ภายใต้กฎหมายหมายเลข 117-260 congress.gov+10congress.gov+10congress.gov+10

วัตถุประสงค์หลักของกฎหมาย

  1. การย้ายระบบ IT ไปสู่การเข้ารหัสที่ทนทานต่อควอนตัม (Post-Quantum Cryptography): เนื่องจากคอมพิวเตอร์ควอนตัมมีศักยภาพในการถอดรหัสข้อมูลที่เข้ารหัสด้วยวิธีการปัจจุบัน กฎหมายนี้จึงกำหนดให้หน่วยงานบริหารของรัฐบาลกลางเตรียมพร้อมโดยการย้ายระบบ IT ไปสู่การเข้ารหัสที่สามารถต้านทานการถอดรหัสด้วยคอมพิวเตอร์ควอนตัมในอนาคต
  2. การจัดทำบัญชีระบบเข้ารหัส: ภายใน 180 วันหลังจากกฎหมายมีผลบังคับใช้ สำนักงานบริหารและงบประมาณ (OMB) ต้องออกแนวทางให้หน่วยงานบริหารจัดทำและรักษาบัญชีของระบบเข้ารหัสที่ใช้อยู่ เพื่อระบุระบบที่อาจเสี่ยงต่อการถูกถอดรหัสโดยคอมพิวเตอร์ควอนตัม
  3. การพัฒนาแผนการย้ายระบบ: หลังจากที่สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ออกมาตรฐานการเข้ารหัสที่ทนทานต่อควอนตัม OMB จะต้องออกแนวทางให้หน่วยงานบริหารพัฒนาแผนการย้ายระบบ IT ของตนไปสู่การเข้ารหัสดังกล่าว
  4. การรายงานต่อสภาคองเกรส: OMB ต้องรายงานต่อสภาคองเกรสเกี่ยวกับกลยุทธ์ในการจัดการความเสี่ยงจากการถอดรหัสโดยคอมพิวเตอร์ควอนตัม ความต้องการงบประมาณสำหรับการปกป้องระบบ IT และความพยายามในการประสานงานระหว่างหน่วยงานเพื่อพัฒนามาตรฐานการเข้ารหัสที่ทนทานต่อควอนตัม
ระดับการบังคับใช้ (Federal Enforcement)
  • บังคับใช้จริงกับหน่วยงานรัฐบาลกลาง
    • หน่วยงานต้องจัดทำบัญชีระบบที่ใช้การเข้ารหัส
    • ต้องเตรียมแผนย้ายระบบไปสู่การเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม (Post-Quantum Cryptography, PQC)
    • อยู่ภายใต้การกำกับของ OMB (Office of Management and Budget)
  • ไม่บังคับใช้กับเอกชน
    • แต่ภาคเอกชน เช่น ธนาคารหรือผู้ให้บริการด้านโครงสร้างพื้นฐาน อาจต้องเตรียมพร้อมเพราะจะได้รับแรงกดดันทางอ้อมจากนโยบายและมาตรฐานของ NIST
  • เป็นแรงผลักดันสำคัญระดับโลก
    • เพราะรัฐบาลกลางสหรัฐฯ เป็นต้นแบบของการจัดซื้อจัดจ้าง และความมั่นคงไซเบอร์ระดับชาติ
    • ภาคอุตสาหกรรมที่รับจ้างรัฐบาล (เช่น Defense Contractors) จะต้องปฏิบัติตามกฎหมายนี้โดยปริยาย