كنت جالساً مقابل أحد كبار أعضاء مجلس الإدارة في مؤسسة كبيرة. إنه حاد، وذو خبرة مع عقود من الحكم التجاري. كنا نتحدث عن التهديد الكمي. وضع قهوته وسألني مباشرة: “يا إستي، انسي الضجيج للحظة. ما الذي يجب أن أفعله الآن، كعضو في مجلس الإدارة؟”
إنه السؤال الصحيح. حقيقة أنه كان يسأل ذلك، بدلًا من الإيماء برأسه بأدب والمضي قدمًا، أخبرتني أنه كان بالفعل متقدمًا على الجميع.
المحادثة الكم لديها مشكلة. إنه يتأرجح بين نقيضين: الخيال العلمي الذي لاهث من جهة، والمصطلحات التقنية الكثيفة من جهة أخرى. ولا يخدم أي منهما الأشخاص الذين يحتاجون إلى التحرك. أعضاء مجلس الإدارة ليسوا متخصصين في التشفير. لا يجب أن يكونوا كذلك. لكنهم بحاجة إلى أن يفهموا ما يكفي لطرح الأسئلة الصحيحة على الإدارة، ومعرفة ما إذا كانت الإجابات التي يحصلون عليها جدية أم لا.
لذلك اسمحوا لي أن أبدأ حيث تتخطا معظم الإحاطات: المصطلحات.
QKD وPQC – كلمتان وفكرتان مختلفتان تمامًا
عندما يأتي موضوع الأمن الكمي في العروض التقديمية، فمن المؤكد أنك ستسمع اختصارين: QKD وPQC. إنها تبدو متشابهة، لكنها ليست كذلك.
يعد التشفير ما بعد الكمي (PQC) هو الحل لمشكلة برمجية. يعتمد التشفير الأكثر استخداماً على نطاق واسع اليوم – RSA وخوارزميات المنحنى الإهليلجي التي تحمي حركة المرور على الإنترنت، والمعاملات المصرفية، والتوقيعات الرقمية – على مشاكل رياضية لا تستطيع أجهزة الكمبيوتر التقليدية حلها في وقت معقول. يمكن لجهاز كمبيوتر كمي قوي بما فيه الكفاية حل هذه المشكلات. تستبدلها PQC بخوارزميات رياضية جديدة، مصممة خصيصًا لتكون صعبة الاختراق على أجهزة الكمبيوتر الكمومية. من المهم أن تفهم أن PQC يعمل على أجهزتك الحالية والشبكات الموجودة لديك. في عام 2024، نشر المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) المعايير الثلاثة الأولى النهائية لجودة الجودة، بعد منافسة عالمية استمرت ثماني سنوات. لقد غادر القطار المحطة.
يعد توزيع المفتاح الكمي (QKD) نهجًا مختلفًا تمامًا. أنها لا تحل محل الرياضيات. ويستخدم قوانين فيزياء الكم لتوزيع المفاتيح التي تقفل وتفتح البيانات المشفرة. يرسل QKD مفاتيح التشفير المشفرة في فوتونات فردية. إذا اعترض أي شخص هذه الفوتونات، تتغير الحالة الكمومية، ويصبح التنصت قابلاً للاكتشاف. إنه ضمان أمني قائم على الفيزياء وليس ضمانًا حسابيًا. المشكلة هي أن QKD يتطلب بنية تحتية مخصصة للألياف أو وصلات عبر الأقمار الصناعية، ويعمل على مسافات محدودة دون أجهزة إعادة إرسال، كما أن نشره على نطاق واسع مكلف للغاية. إنه ليس بديلاً مباشرًا لكيفية عمل الإنترنت اليوم.
هذه هي الوجبات الجاهزة العملية لعضو مجلس الإدارة. يمكنك التفكير في PQC على أنه ترقية أقفالك إلى أقفال لا يمكن فتحها بواسطة قفل يعمل بالطاقة الكمومية. فكر في QKD كخدمة بريد سريع تفرضها الفيزياء للمفتاح نفسه. كلاهما مهم. بالنسبة لمعظم المؤسسات، PQC هو المكان الذي يمكنك البدء فيه. وهو قابل للنشر الآن، على نطاق واسع، دون الحاجة إلى أجهزة جديدة. يعد QKD أحد الاعتبارات طويلة المدى لروابط الاتصالات الأكثر حساسية وعالية القيمة، مثل الاتصالات بين مراكز البيانات والاتصالات الحكومية والبنى التحتية الحيوية.
الفكرة الرئيسية هي أنهما متكاملان، وليسا متنافسين. إذا أخبرك أحد الموردين أن QKD وحده هو إستراتيجيتك الأمنية الكمومية، فاطرح أسئلة أصعب.
التهديد موجود بالفعل، ومعظم المجالس لا تعرف ذلك
الافتراض القياسي هو أن Q-Day – اللحظة التي سيتمكن فيها الكمبيوتر الكمي ذو الصلة بالتشفير من كسر التشفير اليوم – لا يزال أمامنا عدة سنوات. الوقت سيخبرنا. ومع ذلك، فإن هذا يخطئ هذه النقطة تماما.
هناك سببان واضحان وراء حلول وقت العمل الآن، وكلاهما يستحق أن يفهمه كل مجلس إدارة بوضوح.
السبب الأول هو “الحصاد الآن، وفك التشفير لاحقًا”. الأشرار، الذين نشير إليهم بالأعداء، يقومون بالفعل بالتقاط البيانات المشفرة. اتصالات شركتك، ملكيتك الفكرية، خططك الإستراتيجية، عقودك الحساسة. لا يمكنهم قراءتها اليوم. إنهم يقومون بتخزينها لليوم الذي سيتمكنون فيه من القيام بذلك.
إذا كانت مؤسستك تتعامل مع بيانات ذات مدة صلاحية طويلة، مثل البيانات الطبية والاتصالات القانونية وعقود الدفاع وأبحاث الملكية، فقد تكون بعض هذه البيانات قد تم اختراقها بالفعل بطريقة لن تعرفها لسنوات.
هذا التهديد نشط اليوم، بغض النظر عن موعد وصول يوم Q-Day.
السبب الثاني هو الجدول الزمني للهجرة. إن ترحيل PQC ليس شيئًا تكمله خلال عطلة نهاية الأسبوع. إن استبدال البنية التحتية للتشفير عبر المؤسسة – عبر جميع أنظمتك، والموردين، والأنظمة الأساسية السحابية، وواجهات برمجة التطبيقات، والبرامج الوسيطة القديمة، ووحدات التحكم الصناعية – سيستغرق سنوات من العمل المنهجي. التزمت كل من Google وCloudflare علنًا بإكمال عمليات ترحيل PQC الخاصة بهما بحلول عام 2029.
السؤال الذي ينبغي على كل مجلس إدارة أن يطرحه على الإدارة هو: ما هو جدولنا الزمني؟ الجواب “نحن نراقب الوضع” ليس خطة. إنها مخاطرة.
وبقراءة هذين السببين معًا، يشكلان منطقًا واحدًا عاجلاً: نافذة التعرض تتراكم الآن، والعلاج يتطلب سنوات قبل نشره.
اللوحة التي تنتظر عمل Q-Day ستجد أن الساعة قد نفدت بالفعل.
ما الذي يجب على أعضاء مجلس الإدارة فعله الآن
لا تحتاج إلى فهم التشفير القائم على الشبكة لممارسة الرقابة والحوكمة الفعالة بشأن هذه المسألة. إليك ما تحتاجه:
التكليف بجرد التشفير. قبل أن تتمكن مؤسستك من الترحيل، يجب أن تعرف أين يكمن تعرضها للتشفير. وهذا يعني رسم خريطة لكل نظام وتطبيق وعلاقة مع البائع تعتمد على تشفير المفتاح العام. غالبًا ما يُطلق عليها اسم فاتورة المواد المشفرة (CBOM). وبدون ذلك، أنت تطير أعمى. اسأل الإدارة عما إذا كان هذا المخزون موجودًا وما الذي يغطيه.
المطالبة بخريطة طريق للاستعداد الكمي. ليست شريحة من صفحة واحدة. اطلب خطة مؤرخة ومرحلية، مع تحديد الأنظمة ذات الأولوية العالية، وتحديد معالم الترحيل وتعيين الملكية. أصدرت حكومة الولايات المتحدة تفويضات للوكالات الفيدرالية، وبدأت الهيئات التنظيمية المالية في اتباعها. سواء كانت الجهة التنظيمية الخاصة بك قد اتخذت إجراءً بعد أم لا، فإن الترحيل يستغرق وقتًا أطول من نافذة التحذير.
الإصرار على مرونة التشفير. أحد أهم الأسئلة التي يجب أن تطرحها على CISO الخاص بك هو: هل يمكننا تبديل خوارزميات التشفير دون إعادة كتابة أنظمتنا الأساسية؟ ولا يقتصر الأمر على الانتقال إلى PQC اليوم فحسب، بل لأن المعايير نفسها ستستمر في التطور. هذه الخاصية – خفة الحركة في العملات المشفرة – ليست ساحرة. ومع ذلك، فإن هذا هو الفارق بين الانتقال المنظم والهجرة بسبب الأزمة تحت الضغط.
اسأل البائعين الخاص بك. سلسلة التوريد الخاصة بك هي جزء من سطح الهجوم الخاص بك. إذا كانت الأنظمة الأساسية للبرامج وموفري الخدمات السحابية وموردي الأجهزة الذين تعتمد عليهم مؤسستك غير موجودة في خريطة طريق PQC، فستصبح نقاط ضعفهم في النهاية ثغرتك. يجب أن يكون الاستعداد الكمي للبائع معيارًا للشراء.
ضعه على جدول الأعمال. ليس بمثابة إحاطة التكنولوجيا. بانتظام، كعنصر خطر. يقع الاستعداد الكمي عند تقاطع الأمن السيبراني والامتثال التنظيمي واستمرارية الأعمال على المدى الطويل. إنه ينتمي إلى نفس المحادثة مثل الكشف عن مخاطر المناخ وحوكمة الذكاء الاصطناعي.
ما وراء الأمن: الكم كمحرك للميزة التنافسية
تركز معظم المناقشات الكمية على مستوى مجلس الإدارة بشكل حصري على المخاطر. وهذا أمر ضروري، لكنه نصف المحادثة فقط. الحوسبة الكمومية، مع نضوجها، تصبح قدرة على تسخيرها. وستكون المنظمات التي تبدأ في بناء محو الأمية الآن في وضع يمكنها من استيعاب هذا الجانب الإيجابي.
وهذا ليس الأفق البعيد. تقدم شركات IBM وGoogle ومجموعة من الشركات الناشئة ذات التمويل الجيد إمكانية الوصول المبكر إلى الحوسبة الكمومية لعملاء المؤسسات. تستثمر الحكومات في الكم كبنية تحتية استراتيجية، وليس كأبحاث أساسية.
وما يعنيه هذا بالنسبة لمجالس الإدارة هو تفويض مزدوج. الموقف الدفاعي – ترحيل PQC، وخفة حركة التشفير، واستعداد البائع – أمر عاجل وغير قابل للتفاوض. ومع ذلك، يجب على مجالس الإدارة أيضًا أن تفهم أين يمكن للكم أن يعرقل صناعتك أو يخلق ميزة تنافسية. السؤال الكامل الذي يجب على مجلس الإدارة طرحه هو “هل نحن محميون وهل نحن في وضع جيد؟”
التوازي مع عام 2000، ولماذا هو أكثر أهمية هذه المرة
لقد كتبت من قبل عن تشبيه عام 2000، وأعود إليه لأنه لا يزال الأكثر إفادة. السبب وراء عدم تسبب عام 2000 في الكارثة التي كان يخشاها الكثيرون هو أن المنظمات أخذت الأمر على محمل الجد في وقت مبكر بما يكفي للتحرك. لقد قاموا بجرد أنظمتهم، وقاموا بتصحيح الكود القديم، وتعاملوا مع الموعد النهائي على أنه حقيقي.
التحول الكمي أصعب. إن البنية التحتية الرقمية التي نحميها أكبر بكثير وأكثر ترابطا مما كانت عليه في عام 1999. أما الهجرة فهي أكثر تعقيدا. الجدول الزمني ليس مؤكدا. يقوم الأشرار بجمع البيانات بنشاط.
كانت إجابتي لعضو مجلس الإدارة: لست بحاجة إلى فهم الفيزياء. ويتعين عليك أن تفهم مدى إلحاح الأمر، وأن تطرح الأسئلة الصحيحة، وأن ترفض قبول عبارة “نحن نراقب الوضع” كإجابة كافية.
الاستعداد الكمي هو ضرورة حتمية للحوكمة. إن المجالس التي تطرح الأسئلة الصحيحة اليوم ستكون هي التي ستظل محل ثقة غدًا.
