NIST เผยแพร่แนวทางสำหรับความปลอดภัยของรหัสผ่าน (Password) ซึ่งระบุในเอกสาร 800-63B ภาพรวมนั้นคล้ายกับแนวทางที่เคยระบุในเอกสารฉบับก่อนหน้า แต่มีการเปลี่ยนแปลงบางหัวข้อ ซึ่งหลายคนอาจคุ้นเคยว่าเป็นแนวทางตั้งรหัสผ่านที่ปลอดภัย แต่ NIST เปลี่ยนคำแนะนำแล้ว

โดยหัวข้อหนึ่ง NIST บอกว่า ต้องไม่กำหนดให้ตั้งรหัสผ่านที่ซับซ้อน ซึ่งมีทั้งอักษรตัวเล็ก-ตัวใหญ่ ตัวเลข และอักขระพิเศษ (Shall Not) แต่ต้องกำหนดให้รหัสผ่านยาวอย่างน้อย 8 ตัวอักษร (Shall) และแนะนำให้กำหนดอย่างน้อย 15 ตัวอักษร (Should) ซึ่งนักวิจัยของ NIST ให้ข้อมูลว่า รหัสผ่านที่ยาวกว่านั้นปลอดภัยกว่า และดีกว่าการไปกำหนดให้ตั้งรหัสผสมอักขระ

NIST เปิดรับความเห็นร่างเอกสาร NIST SP-800-63B มาตรฐานการยืนยันตัวตนที่เคยอัพเดตไปเมื่อปี 2017 โดยรอบนี้มีจุดสำคัญคือการเพิ่มมาตรฐานความปลอดภัยของ Passkey ที่ใช้ล็อกอินโดยไม่ต้องการรหัสผ่าน และยังสามารถซิงก์ข้ามอุปกรณ์ได้

เอกสารเรียกการยืนยันตัวตนแบบนี้ว่า Syncable Authenticator พร้อมกำหนดแนวทางการพัฒนาว่าต้องใช้กระบวนการเข้ารหัสลับที่ได้รับการรับรอง, เก็บกุญแจลับในรูปแบบที่เข้ารหัสเสมอ, แม้จะซิงก์ผ่านคลาวด์ก็ต้องอ่านค่าได้โดยผู้ใช้เท่านั้น, กระบวนการเข้าถึงกุญแจต้องยืนยันตัวตนผู้ใช้ในระดับ AAL2 ขึ้นไป, และระบบต้องมีตัวเลือกห้ามซิงก์ข้ามอุปกรณ์ (non-exportability) ซึ่งจำเป็นสำหรับการยืนยันตัวตนระดับ AAL3

NIST ประกาศมาตรฐานการเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม (post-quantum cryptography - PQC) ชุดแรก 3 อัลกอริทึม จาก 4 อัลกอริทึมที่ผ่านมาการคัดเลือกตั้งแต่ปี 2022 โดยตัวที่ 4 คือ Falcon จะตามมาในปลายปีนี้ ตอนนี้ทั้งสามอัลกอริทึม ได้แก่

ทีมวิจัยของ NIST หน่วยงานออกมาตรฐานอุตสาหกรรมสหรัฐฯ รายงานถึงการพัฒนาเซ็นเซอร์กลูโคสโดยอาศัยการดัดแปลงจากเซ็นเซอร์แม่เหล็กที่มีในโทรศัพท์สมัยใหม่แทบทุกเครื่องอยู่แล้ว

กระบวนการวัดระดับน้ำตาลจริงๆ จะอาศัยแผ่นไฮโดรเจลที่ยืดหรือหดลงเมื่อระดับน้ำตาลในตัวอย่างที่นำมาทดสอบต่างกันไป ที่ปลายแผ่นไฮโดรเจลติดสารแม่เหล็กเอาไว้ทำให้ระดับสนามแม่เหล็กเปลี่ยนไป และนำมาแปลงค่าแสดงในโทรศัพท์มือถือด้วยเซ็นเซอร์เข็มทิศอีกที

NIST ออกชุดเอกสาร NIST’s cybersecurity framework (CSF) เวอร์ชั่น 2.0 สำหรับการวางโครงสร้างองค์กรให้พร้อมรับมือภัยไซเบอร์ หลังจากออกเวอร์ชั่น 1.0 มาตั้งแต่ปี 2014 ตามคำสั่งฝ่ายบริหารของรัฐบาลโอบามา โดยรอบนี้พยายามทำเอกสารให้ครอบคลุมองค์กรทุกประเภท และทุกระดับความเสี่ยงภัยไซเบอร์

NIST องค์การมาตรฐานอุตสาหกรรมสหรัฐฯ ออกเอกสารรวบรวมภัยจากการโจมตี machine learning และแนวทางเพื่อลดความเสี่ยงลง พร้อมกับเตือนว่าตอนนี้ยังไม่มีทางใดที่ป้องกันการโจมตีได้ทั้งหมด และนักพัฒนาควรระมัดระวัง

เอกสาร NIST AI 100-2e2023 ไม่ใช่มาตรฐานอุตสาหกรรมแต่เป็นการรวบรวมการโจมตีรูปแบบต่างๆ และแนวทางการลดความเสี่ยงเท่านั้น โดยเอกสารจัดรูปแบบการโจมตี 4 รูปแบบใหญ่ๆ ได้แก่

Filippo Valsorda นักวิทยาการเข้ารหัสลับผู้ดูแลโมดูล crypto ในภาษา Go และผู้สร้างโครงการ mkcert ประกาศรางวัลมูลค่า 12,288 ดอลลาร์ (12 KiUSD) สำหรับผู้ที่ค้นหาต้นทางของค่าคงที่ใน Elliptic Curve P-192, P-224, P-256, P-384, และ P-521 ที่ประกาศโดย NIST แต่สร้างมาโดย Jerry Solinas ที่ทำงานอยู่ NSA

ค่าคงที่เหล่านี้เผยแพร่โดย NIST ตามมาตรฐาน FIPS 186 ที่เป็นมาตรฐานความปลอดภัยทำให้มีการใช้งานเป็นวงกว้างอย่างมาก โดยค่าคงที่ในกระบวนการเข้ารหัสนั้นเป็นสิ่งที่ผู้ใช้งานต้องเชื่อใจว่าผู้เลือกค่าคงที่ไม่ได้เลือกมาอย่างเจาะจงให้มีช่องโหว่ กระบวนการเลือกค่าคงที่ของ NIST เองนั้นมีแนวทางว่าที่มาของค่าคงที่ต้อง “สุ่มอย่างตรวจสอบได้”

รัฐบาลสหรัฐอเมริกา นำโดยประธานาธิบดีไบเดน เปิดตัวตราสัญลักษณ์รูปโล่ U.S. Cyber Trust Mark เพื่อบ่งชี้ว่าอุปกรณ์ IoT มีความปลอดภัยไซเบอร์มากเพียงพอ ไม่กลายเป็นช่องโหว่ให้ถูกโจมตี

โครงการตราสัญลักษณ์ U.S. Cyber Trust Mark ริเริ่มโดย FCC หรือ กสทช. สหรัฐ จะใช้งานกับอุปกรณ์ทุกรูปแบบที่เชื่อมต่อเครือข่าย เช่น สมาร์ททีวี, ตู้เย็นอัจฉริยะ, เตาไมโครเวฟ, ฟิตเนสแทร็คเกอร์, สมาร์ทมิเตอร์ ฯลฯ โดยมีแบรนด์สินค้าบางราย เช่น Amazon, Best Buy, Google, LG, Logitech, Samsung Electronics ประกาศเข้าร่วมโครงการแล้ว โครงการจะเริ่มดำเนินการจริงในปีหน้า 2024

แบรนด์ที่จะได้ตราสัญลักษณ์ U.S. Cyber Trust Mark จำเป็นต้องผ่านเกณฑ์ด้านความปลอดภัยที่กำหนดโดย National Institute of Standards and Technology (NIST) ซึ่งยังไม่เปิดเผยรายละเอียดในตอนนี้

NIST ประกาศผลประกวดกระบวนการเข้ารหัสลับและการแฮชข้อมูลสำหรับอุปกรณ์ขนาดเล็ก จากที่มีผู้ส่งประกวด 57 ราย ได้ผู้ชนะคือ Ascon ที่พัฒนาโดยทีมวิจัยร่วมระหว่าง Graz University of Technology, Infineon Technologies, Lamarr Security Research, และ Radboud University

NIST ออกเอกสาร FIPS 186-5 มาตรฐานการเซ็นลายเซ็นดิจิทัลโดยปรับปรุงจากมาตรฐานเดิม FIPS 186-4 ที่ออกมาตั้งแต่ปี 2013 มีการปรับปรุงถอดอัลกอริทึม DSA (Digital Signature Algorithm) ออกจากมาตรฐาน หลังจากอยู่ในมาตรฐานมาตั้งแต่ปี 1994

DSA คิดค้นโดย David W. Kravitz เจ้าหน้าที่ NSA ในปี 1991 แม้จะยื่นจดสิทธิบัตรไว้แต่ NIST ก็เปิดให้ใช้งานได้โดยไม่คิดค่าใช้จ่ายทำให้ได้รับความนิยมเป็นวงกว้าง เอกสาร FIPS 186-5 ยังอนุญาตให้ไลบรารีต่างๆ รองรับลายเซ็นแบบ DSA ได้เฉพาะการตรวจสอบลายเซ็นในเอกสารเดิมเท่านั้น ไม่อนุญาตให้เซ็นเอกสารใหม่เพิ่มเติม

สำหรับการเซ็นเอกสารด้วยกระบวนการแบบ RSA มาตรฐานใหม่นี้ยังยกเลิกการเซ็นเอกสารด้วยกุญแจ RSA-1024 ออกไป โดยกุญแจขั้นต่ำต้องเป็น RSA-2048 ขึ้นไปเท่านั้น

NIST หน่วยงานออกมาตรฐานอุตสาหกรรมสหรัฐฯ ประกาศแผนการถอดมาตรฐานการแฮช SHA-1 ออกจากมาตรฐานทั้งหมดภายในปี 2030 แม้ว่าจะแนะนำให้เลิกใช้งานเร็วที่สุดที่เป็นไปได้ก็ตาม

กระบวนการแฮชแบบ SHA-1 ถูกใช้งานในมาตรฐานหลายตัวของ NIST โดยเอกสารหลักคือ FIPS-180 เอกสารที่ระบุกระบวนการเข้ารหัสที่ยอมให้ใช้งานที่ NIST ใส่ SHA-1 ไว้ตั้งแต่เวอร์ชั่นแรกของเอกสารที่ออกปี 1993

การถอด SHA-1 ออกจากเอกสารจะทำให้หน่วยงานรัฐบาลกลางสหรัฐฯ ไม่สามารถซื้อซอฟต์แวร์หรือฮาร์ดแวร์ที่ใช้งานกระบวนการแฮช SHA-1 เพื่อรักษาความปลอดภัยได้อีกต่อไป การที่ NIST ประกาศล่วงหน้านานถึง 8 ปีเช่นนี้เพราะโครงการภาครัฐหลายโครงการกินเวลานานหลายปีจึงต้องให้เวลาบริษัทต่างๆ ปรับข้อเสนอโครงการกันแต่เนิ่นๆ

NIST ประกาศผลการคัดเลือกอัลกอริทึมเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม โดยชุดแรกมี 4 อัลกอริทึมที่จะเข้าสู่กระบวนการจัดทำมาตรฐานต่อไป แบ่งเป็นกระบวนการเข้ารหัสแบบกุญแจลับ/กุญแจสาธารณะ 1 รายการ และกระบวนการสร้างลายเซ็นดิจิทัล 3 รายการ

ประธานาธิบดีโจ ไบเดน เซ็นคำสั่งตั้งคณะกรรมการควอนตัมคอมพิวเตอร์แห่งชาติ (National Quantum Initiative Advisory Committee) เพื่อกำหนดทิศทางนโยบายด้านควอนตัมคอมพิวเตอร์ของสหรัฐอเมริกา โดยมีตัวแทนจากสถาบันวิชาการ หน่วยวิจัยภาครัฐ และบริษัทเอกชนเข้าร่วม

คำสั่งนี้ดูเหมือนเป็นการตั้งคณะกรรมการด้านวิทยาศาสตร์-งานวิจัยแขนงอื่นๆ ทั่วไป แต่ในคำอธิบายของทำเนียบขาว มีประเด็นน่าสนใจว่า ในอนาคตอันไม่ไกลนัก เมื่อควอนตัมคอมพิวเตอร์พัฒนาจนดีพอ จะสามารถเจาะการเข้ารหัสลับคอมพิวเตอร์ที่เป็นพื้นฐานด้านความมั่นคงออนไลน์ได้ง่าย

NIST ประกาศแนวปฎิบัติสำหรับการทดสอบซอฟต์แวร์ขั้นต่ำ (Guidelines on Minimum Standards for Developer Verification of Software) ตามคำสั่งของรัฐบาลโจ ไบเดนที่ให้ NIST วางแนวทางที่เกี่ยวข้องเพื่อปรับปรุงความปลอดภัยไซเบอร์

แม้จะเป็นคำสั่งสำหรับเพิ่มความปลอดภัยไซเบอร์ แต่แนวทางปฎิบัติของ NIST ก็เป็นแนวทางสำหรับกระบวนการพัฒนาซอฟต์แวร์ที่ดี โดยกำนหนดเงื่อนไขการพัฒนาซอฟต์แวร์ไว้หลายอย่าง เช่น

NIST ออกร่างเอกสารเฟรมเวิร์คการจัดการความเสี่ยงมัลแวร์เรียกค่าไถ่ NISTIR-8374 ระบุถึงแนวทางการจัดการความเสี่ยงมัลแวร์เรียกค่าไถ่หรือ ransomware วางแนวทางให้องค์กร

เนื้อหาในเอกสารส่วนใหญ่ระบุถึงความเสี่ยงต่างๆ ของมัลแวร์เรียกค่าไถ่แล้วย้อนกลับไปถึงแนวทางการจัดการความปลอดภัยไซเบอร์รูปแบบอื่นๆ ที่มีเอกสารแนวทางมาก่อนหน้านี้แล้ว แต่ต้วเอกสารเองก็มีคำแนะนำโดยรวม เช่น

ประธานาธิบดีโดนัลด์ ทรัมป์ ลงนามในกฎหมาย NIST Small Business Cybersecurity Act แล้วเมื่อสัปดาห์ที่ผ่านมา หลังจากกฎหมายผ่านโหวตในสภาตั้งแต่ต้นเดือนที่ผ่านมา ทำให้กฎหมายมีสภาพบังคับ ให้ NIST ที่เคยออกมาตรฐานความปลอดภัยให้รัฐบาลกลาง ต้องออกมาตรฐาน, แนวปฎิบัติ, คำแนะนำ, และเครื่องมือต่างๆ เพื่อช่วยให้ธุรกิจขนาดเล็กพัฒนาความปลอดภัยไซเบอร์ง

NIST ออกมาตรฐานความปลอดภัยหลายอย่าง ที่เป็นมาตรฐานสำคัญ เช่น NIST FIPS-140-2 มาตรฐานความปลอดภัยกระบวนการเข้ารหัสลับ หรือแนวปฎิบัติ NIST SP-800-63 ที่กำหนดแนวทางการพิสูจน์ตัวตนสำหรับบริการออนไลน์

กฎหมายนี้ระบุให้ NIST ต้องออกแนวทาง สำหรับธุรกิจขนาดเล็ก โดยมีเงื่อนไข เช่น

NIST ออกเอกสารแนะนำการใช้เครือข่ายไร้สายในโรงงาน NIST AMS 300-4 เป็นครั้งแรกที่ NIST ออกแนวทางการใช้เครือข่ายไร้สายในโรงงาน จากเดิมที่มีการออกแนวทางการรักษาความปลอดภัยในโรงงานมาตั้งแต่ปี 2013

เอกสารออกมาเพื่อวิศวกรที่ดูแลระบบควบคุมโรงงานอยู่เดิม จึงปูพื้นตั้งแต่ระบบเครือข่ายและระบบไร้สาย ไปจนถึงไปการจัดการคลื่นความถี่ นอกจากนี้แนะนำไปถึงข้อแตกต่างระหว่างระบบควบคุมแบบมีสายในโรงงานเดิม กับระบบไร้สาย โดยเตือนให้วิศวกรต้องคำนึงถึงความเสี่ยงที่แพ็กเก็ตจะสูญหาย, ระยะเวลาหน่วงที่ยอมรับได้, และจำนวนอุปกรณ์บนเครือข่าย

มาตรฐานการยืนยันตัวตน NIST 800-63 เพิ่งออกใหม่ไปเมื่อไม่กี่เดือนก่อน ทาง Wall Street Journal ก็ไปสัมภาษณ์ Bill Burr ผู้จัดการของ NIST เมื่อปี 2003 และเป็นผู้เขียน NIST 800-63A เวอร์ชั่นแรก ระบุว่ารหัสผ่านต้องมีความซับซ้อนด้วยการผสมประเภทอักขระ (ตัวเล็ก, ตัวใหญ่, ตัวเลข, สัญลักษณ์) พร้อมๆ กับระบุให้รหัสผ่านมีวันหมดอายุ

มาตรฐานการยืนยันตัวตน NIST SP 800-63 (มีเอกสารย่อยอีก 4 ฉบับ) เปิดรับฟังความเห็นมาตั้งแต่ปีที่แล้ว ตอนนี้กระบวนการรับฟังความเห็นได้จบลงแล้วและเอกสารตัวจริงออกมาให้องค์กรต่างๆ นำไปใช้งานต่อไป

ความเปลี่ยนแปลงสำคัญในเวอร์ชั่นใหม่ ได้แก่

ร่างมาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ NIST SP 800-63B ที่เปิดรับฟังความเห็นเมื่อปีที่แล้วตอนนี้ปิดช่วงรับฟังความเห็นและมีการแก้ไข จุดเพิ่มเติมสำคัญคือการกำหนดให้บริการไม่ตรวจสอบความซับซ้อนของรหัสผ่าน และไม่บังคับให้ผู้ใช้เปลี่ยนรหัสผ่านตามระยะเวลาอีกต่อไป

ทุกวันนี้บริการต่างๆ มักกำหนดความซับซ้อนของรหัสผ่าน เช่น ต้องมีตัวอักษรเล็ก, อักษรใหญ่, ตัวเลข, สัญลักษณ์ ผสมกัน แต่ในความเป็นจริงการโจมตีรหัสผ่านมักอาศัยการใช้รหัสผ่านที่รั่วออกมาจากบริการอื่นๆ ไม่ว่ารหัสจะมีความซับซ้อนแค่ไหนก็ไม่ได้ช่วยในกรณีเหล่านี้

NIST เปิดตัวมาตรการการเข้ารหัสแบบรักษาฟอร์แมตข้อมูล (Format-Preserving Encryption - FPE) มาตั้งแต่ปีที่แล้ว ตอนนี้ทาง HPE ประกาศว่าโซลูชั่น SecureData ของบริษัทเป็นโซลูชั่นแรกที่ได้รับการรับรอง (validated) ตามมาตรฐานนี้

HPE SecureData with Hyper FPE ใช้กระบวนวิธีเข้ารหัสแบบ AES-FF1 เป็นหนึ่งในสามกระบวนวิธีที่มาตรฐานของ NIST รับรองให้ใช้งาน

ทาง HPE ระบุว่าบริษัทได้รับการรับรองจาก NIST ตั้งแต่วันที่ 13 เมษายนที่ผ่านมา ผมเองตรวจสอบรายชื่อในเว็บของ NIST ยังไม่พบ แต่หากไม่มีอะไรผิดพลาดก็น่าจะมีรายการสินค้าที่ได้รับการรับรองเร็วๆ นี้

NIST ประกาศตั้งแต่เดือนสิงหาคมที่ผ่านมาว่าจะเริ่มกระบวนการสรรหาอัลกอริทึมเข้ารหัสสำหรับหลังยุคคอมพิวเตอร์ควอนตัม ตอนนี้กติกาการแข่งขันก็เสร็จสิ้นแล้ว ถึงเวลาเปิดรับอัลกอริทึมจากนักวิจัยกันต่อไป

อัลกอริทึมที่เข้าแข่งขันต้องเข้ามาตรฐาน FIPS 186-4 ที่เป็นอัลกอริทึมสำหรับการสร้างลายเซ็นดิจิตอล และมาตรฐาน SP-800-56A และ SP-800-56B อัลกอริทึมเข้ารหัสลับแบบกุญแจลับ-กุญแจสาธารณะ

การเสนออัลกอริทึมในชั้นแรกจะสิ้นสุดกำหนดในเดือนพฤศจิกายน 2017 นี้

ปัญหาแรงงานด้านความปลอดภัยไซเบอร์ไม่เพียงพอทำให้หลายหน่วยงานไม่สามารถป้องกันระบบของตัวเองได้ แม้แต่ประเทศต้นกำเนิดอย่างสหรัฐฯ เองก็ยังเป็นปัญหา หน่วยงานออกมาตรฐานความปลอดภัยไซเบอร์อย่าง NIST เองก็ต้องลงมาเว็บ CyberSeek แสดงโอกาสความก้าวหน้าในอาชีพด้านนี้

ในสหรัฐฯ มีตำแหน่งงานด้านความปลอดภัยไซเบอร์ที่เปิดรับอยู่ถึงกว่าเจ็ดแสนตำแหน่ง เฉพาะงาน Incident Analyst ที่เป็นระดับเริ่มต้นก็มีรายได้เฉลี่ยปีละ 70,000 ดอลลาร์ นับว่าต่ำที่สุดในสายงานเดียวกัน

เว็บ CyberSeek แสดงให้ผู้สนใจเห็นว่าตำแหน่งงานในสายความมั่นคงปลอดภัยไซเบอร์ต้องมีความรู้ด้านใด มีวุฒิระดับใด ไปจนถึงผู้ว่าจ้างมักต้องการใบรับรองประเภทใดบ้าง

การโจมตีไซเบอร์ในช่วงหลังมีความท้าทายสำคัญคือองค์กรต่างๆ ไม่ยอมแบ่งปันข้อมูลระหว่างกัน ทำให้องค์กรที่ใช้งานซอฟต์แวร์หรืออุปกรณ์ประเภทเดียวกันถูกโจมตีตามๆ กันไป การที่องค์กรไม่ยอมแบ่งปันข้อมูลส่วนหนึ่งมาจากความกลัวเสียชื่อเสียงว่าถูกโจมตี แต่อีกทางหนึ่งก็กลัวที่จะปล่อยข้อมูลสำคัญให้กับองค์กรอื่นด้วย ตอนนี้ NIST ออกแนวทางการแบ่งปันข้อมูลภัยไซเบอร์

เอกสารนี้แนะนำให้องค์กรกำหนดแนวทางการแบ่งปันข้อมูลภัยไซเบอร์ของตัวเอง สำรวจว่ามีหน่วยงานใดที่ควรต้องมีการแบ่งปันข้อมูลบ้างไม่ว่าจะเป็นภายในหรือภายนอกองค์กร จากนั้นสำรวจแหล่งข้อมูลที่พบภัยไซเบอร์ สร้างกฎการแบ่งปันข้อมูลเพื่อให้กระบวนการแบ่งปันข้อมูลสามารถทำได้โดยง่าย

กฎการแบ่งปันข้อมูลตาม NIST SP 800-150 แนะนำให้กำหนดแนวทาง

เจ้าหน้าที่ฝ่ายไอทีกับผู้ใช้ในองค์กรคงมีปัญหากันบ่อยๆ เมื่อผู้ใช้ไม่ได้ระมัดระวังตัวเองกับความปลอดภัยต่างๆ หรือหาทางข้ามมาตรการที่องค์กรวางไว้อยู่เรื่อยๆ แต่รายงานใหม่ของ NIST ระบุว่าปัญหานี้อาจจะไม่ใช่ปัญหาของตัวผู้ใช้เองแต่เป็นระบบที่ออกแบบไม่ได้คำนึงถึงผู้ใช้

รายงาน "Security Fatigue" เป็นการสำรวจผู้ใช้ด้วยการสัมภาษณ์ผู้ใช้งาน 40 คน คนละ 45-60 นาที โดยสอบถามถึงการใช้งานระบบความปลอดภัย ตั้งแต่ไอคอน เครื่องมือ และคำศัพท์ต่างๆ ที่ผู้ใช้ต้องเจอ และวิเคราะห์ว่าอะไรเป็นสาเหตุทำให้ผู้ใช้เหนื่อยล้ากับความมั่นคงปลอดภัย และผลเมื่อผู้ใช้เหนื่อยล้ากับระบบขึ้นมา