US Customs and Border Protection (CBP) กำลังจัดการเชิงรุกต่อความท้าทายที่เกิดจากความก้าวหน้าในการประมวลผลควอนตัม โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับความปลอดภัยของข้อมูลส่วนบุคคล (PII) และข้อมูลชีวมาตรภายในระบบไอที ด้วยตระหนักถึงศักยภาพของคอมพิวเตอร์ควอนตัมที่จะประนีประนอมวิธีการเข้ารหัสในปัจจุบัน CBP จึงใช้กลยุทธ์หลักหลายประการเพื่อปรับปรุงการปกป้องข้อมูล
“ขณะนี้” CBP กล่าว “การเข้ารหัสทำให้ข้อมูลส่วนบุคคลและข้อมูลระบบปลอดภัยโดยการแปลงข้อมูลหรือข้อมูลให้เป็นรหัส ทำให้ผู้อื่นไม่สามารถอ่านได้หากไม่มีคีย์ที่ถูกต้อง ในไม่ช้า คอมพิวเตอร์ควอนตัมจะสามารถอ่านข้อมูลที่เข้ารหัส/เข้ารหัสได้อย่างง่ายดายโดยไม่ต้องใช้คีย์ สิ่งนี้จะทำให้สิ่งต่าง ๆ เช่นบัญชีธนาคาร บันทึกสุขภาพ ข้อความส่วนตัว และข้อมูลภาครัฐตกอยู่ในความเสี่ยง”
ด้วยเหตุนี้ CBP จึงเป็นหนึ่งในหน่วยงานรัฐบาลกลางกลุ่มแรกๆ ที่สำรวจและบูรณาการการนำการเข้ารหัสหลังควอนตัม (PQC) มาใช้เข้าสู่ระบบของตน โครงการริเริ่มนี้มีจุดมุ่งหมายเพื่อเสริมสร้างความปลอดภัยของข้อมูลต่อภัยคุกคามควอนตัมในอนาคต
CBP กล่าวว่า "PQC จัดการกับภัยคุกคาม 'เก็บเกี่ยวตอนนี้ ถอดรหัสในภายหลัง' โดยที่ผู้ไม่หวังดีอาจรวบรวมข้อมูลที่เข้ารหัสในขณะนี้ โดยมีแผนจะถอดรหัสเมื่อคอมพิวเตอร์ควอนตัมมีความก้าวหน้าเพียงพอ เพื่อตอบสนองต่อภัยคุกคามนี้ CBP ได้ดำเนินการอย่างเด็ดขาด”
Sonny Bhagowalia ประธานเจ้าหน้าที่ฝ่ายข้อมูลของ CBP เน้นย้ำถึงความจำเป็นของแนวทางเชิงรุกนี้ โดยระบุว่า "ขณะนี้มีความจำเป็นต้องเสริมความแข็งแกร่งให้กับข้อมูลของหน่วยงานของเราผ่านการเข้ารหัสการเข้ารหัสหลังควอนตัม เพื่อเตรียมพร้อมสำหรับภัยคุกคามด้านความปลอดภัยในอนาคต"
“เมื่อข้อมูลที่ได้รับการป้องกันก่อนหน้านี้มีความชัดเจนและสามารถอ่านได้ผ่านการถอดรหัสควอนตัม ข้อมูลนั้นก็อาจถูกเปิดเผยได้ ซึ่งอาจนำไปสู่การจารกรรม การฉ้อโกงทางการเงิน และกิจกรรมที่เป็นอันตรายอื่น ๆ ที่อาจมีผลกระทบต่อความมั่นคงและความเจริญรุ่งเรืองของชาติ” สำนักงานสารสนเทศและเทคโนโลยีของ CBP (OIT) กล่าวเสริม ) รองผู้ช่วยกรรมาธิการ ดร.เอ็ด เมส “ในแง่ของความท้าทายที่กำลังจะเกิดขึ้นนี้ จำเป็นอย่างยิ่งที่จะต้องก้าวนำหน้าความท้าทายที่กำลังจะเกิดขึ้นซึ่งอาจจำเป็นต้องบรรเทาลงในระหว่างการเปลี่ยนผ่านไปสู่การเข้ารหัสแบบต้านทานควอนตัม”
รัฐบาลกลางตระหนักถึงความสำคัญของการเข้ารหัสหลังควอนตัมเป็นครั้งแรกด้วยบันทึกข้อตกลงสำนักงานบริหารและงบประมาณ (OMB) M-23-02และพระราชบัญญัติการเตรียมความพร้อมด้านความปลอดภัยทางไซเบอร์ด้วยคอมพิวเตอร์ควอนตัม-
CBP กำลังปรับแนวปฏิบัติด้านการเข้ารหัสให้สอดคล้องกับมาตรฐานของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ในเดือนสิงหาคม 2024 NIST ได้สรุปอัลกอริธึมการเข้ารหัส 3 แบบที่ออกแบบมาเพื่อทนต่อการโจมตีทางไซเบอร์ควอนตัม CBP กล่าวว่า “การปฏิบัติตามมาตรฐานเหล่านี้ทำให้มั่นใจได้ว่าวิธีการเข้ารหัสยังคงแข็งแกร่งต่อความสามารถในการคำนวณควอนตัมที่เกิดขึ้นใหม่”
เพื่อปกป้อง PII และข้อมูลไบโอเมตริกซ์ CBP กำลังดำเนินการตรวจสอบอย่างละเอียด- การตรวจสอบเหล่านี้ระบุองค์ประกอบที่เสี่ยงต่อการโจมตีควอนตัม และอำนวยความสะดวกในการอัปเดตอย่างทันท่วงทีและการบูรณาการอัลกอริทึม PQC ทัศนคติเชิงรุกนี้มีความสำคัญอย่างยิ่งต่อการรักษาความสมบูรณ์ของข้อมูลที่ละเอียดอ่อน
CBP กล่าวว่ายังใช้เทคโนโลยีการจดจำใบหน้าสำหรับการตรวจสอบนักเดินทาง เพื่อให้มั่นใจว่าข้อมูลไบโอเมตริกซ์ได้รับการปกป้องด้วยการป้องกันทางเทคนิคที่แข็งแกร่ง ตัวอย่างเช่น ภาพถ่ายใหม่ของพลเมืองสหรัฐฯ จะถูกลบภายใน 12 ชั่วโมง และภาพถ่ายของชาวต่างชาติส่วนใหญ่จะถูกเก็บไว้อย่างปลอดภัยภายในระบบของกระทรวงความมั่นคงแห่งมาตุภูมิ มาตรการเหล่านี้ออกแบบมาเพื่อจำกัดปริมาณ PII ที่ใช้ในกระบวนการไบโอเมตริกใบหน้า และเพื่อให้สอดคล้องกับภาระผูกพันด้านความเป็นส่วนตัว
CBP ยังลงทุนในโปรแกรมการฝึกอบรมเพื่อให้ความรู้แก่บุคลากรเกี่ยวกับผลกระทบของการประมวลผลควอนตัมต่อความปลอดภัยของข้อมูล ด้วยการส่งเสริมวัฒนธรรมแห่งความตระหนักรู้ CBP ทำให้มั่นใจได้ว่าพนักงานของตนมีความพร้อมที่จะใช้และรักษามาตรการ PQC ได้อย่างมีประสิทธิภาพ
ด้วยความคิดริเริ่มเหล่านี้ CBP กำลังเสริมความแข็งแกร่งให้กับระบบไอทีของตนเพื่อปกป้อง PII และข้อมูลไบโอเมตริกซ์จากภัยคุกคามทางคอมพิวเตอร์ควอนตัมที่เปลี่ยนแปลงไป
CBP กล่าวว่า “บล็อกความพยายามทางไซเบอร์ในเครือข่ายประมาณ 100 ล้านครั้งในแต่ละวันทำงาน” และเน้นว่า “การโจมตีเหล่านี้มีความซับซ้อนมากขึ้น โดยกำหนดเป้าหมายไปที่ระบบของรัฐบาลและโครงสร้างพื้นฐานที่สำคัญ โดยมีจุดประสงค์เพื่อข่มขู่เป้าหมาย ขโมยข้อมูลที่ละเอียดอ่อน หรือขัดขวางการปฏิบัติงาน เมื่อพิจารณาถึงความสำคัญของระบบไอทีของเราและมูลค่ามหาศาลของข้อมูลที่จัดเก็บไว้ในระบบ ภาพรวมภัยคุกคามนี้จึงต้องอาศัยการเฝ้าระวังและนวัตกรรมอย่างต่อเนื่อง”
ในเดือนพฤศจิกายน 2022 CBP ได้ริเริ่มการประชุมเชิงปฏิบัติการกรอบความเสี่ยงที่ปลอดภัยของควอนตัมเพื่อ "กำหนดวิธีที่เราจะจัดทำรายการระบบการเข้ารหัสของเรา และกำหนดเส้นทางไปข้างหน้าสำหรับ PQC ซึ่งเป็นส่วนหนึ่งของโครงการที่กว้างขึ้นของเราสถาปัตยกรรม Zero Trustการดำเนินการ”
การประชุมเชิงปฏิบัติการประกอบด้วยบุคลากรหลักจากองค์กร Chief Information Security Officer และ Chief Technology Officer ของ CBP, สำนักงานผู้อำนวยการด้านไซเบอร์แห่งชาติ และสำนักงาน DHS ของ Chief Information Officer
“ข้อมูลเชิงลึกที่ได้รับนั้นมีประโยชน์ในการระบุระบบการเข้ารหัสที่จำเป็นต้องมีการเปลี่ยนแปลงและพิจารณาปัจจัยต่างๆ เช่น วิธีการแบบไฮบริด การพึ่งพา และไลบรารีของบุคคลที่สาม” CBP กล่าว
การประชุมเชิงปฏิบัติการยังเป็นส่วนสำคัญในการสร้างข้อพิสูจน์แนวคิด CBP PQC ซึ่งแล้วเสร็จในเดือนพฤศจิกายน 2023 และบันทึกไว้ในรายงานขั้นสุดท้ายของการสำรวจ PQC-
CBP กล่าวว่า “การพิสูจน์แนวคิดมุ่งเน้นไปที่การบรรเทาภัยคุกคามด้านความปลอดภัย ซึ่งทำให้ OIT ได้รับความเข้าใจเกี่ยวกับไทม์ไลน์และรายละเอียดทางเทคนิคของการเปลี่ยนไปใช้อัลกอริธึมต้านทานควอนตัม ผลกระทบต่อการดำเนินงานของเรา และการวางแผนที่จำเป็นเพื่อเปลี่ยนผ่านองค์กรอย่างเต็มที่ . โดยเฉพาะอย่างยิ่งในเดือนสิงหาคม 2024 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ได้อนุมัติการห่อหุ้มคีย์คริสตัล-Kyberและอัลกอริธึมลายเซ็นดิจิทัล CRYSTALS-Dilithium ซึ่งเป็นเทคโนโลยีที่ CBP ได้ทำการทดสอบแล้วโดยเป็นส่วนหนึ่งของการพิสูจน์แนวคิดของเรา”
หัวข้อบทความ
-------
