لا أحد يعرف بالضبط متى ستصل الحوسبة الكمومية، لكن التقدم المتسارع يدفع قادة الأمن وتكنولوجيا المعلومات إلى إدراك المخاطر المحتملة. مع الاختراقات شبه الأسبوعية في الحوسبة الكمومية واسعة النطاق، ومع المنظمين و كبار اللاعبين في مجال الأمن السيبراني إن التعامل مع هذه القضية باعتبارها تهديدات عاجلة وموجهة كميًا بدأت الآن في الظهور على جداول أعمال مجالس الإدارة.
إذًا كيف تبدأ المؤسسات في تنفيذ التشفير ما بعد الكمي (PQC)؟ في هذه المقالة، سأضع الخطوط العريضة لخارطة طريق للاستعداد ما بعد الكمي وأسلط الضوء على المخاطر الأكثر شيوعًا التي يواجهها كبار صناع القرار على طول الطريق.
أولاً، لا تنتظر أن يقال لك. لقد حددت هيئات مثل NIST، وNCSC، وANSSI، وBSI، وNSA بالفعل اتجاه التشفير ما بعد الكمي. مع الإلغاء التدريجي لـ RSA وECC، تم وضع تفويضات PQC الرسمية وستكون البنية التحتية الحيوية في المقدمة. لا ينبغي التعامل مع الحماية الكمومية كمربع اختيار للامتثال ولكن كميزة منتج مدمجة تعمل على تعزيز الأمان على المدى الطويل. ومع استكشاف العملاء بشكل متزايد لحلول جاهزة للكم، يشير السوق إلى أن الاستعداد أصبح ميزة استراتيجية، وليس مجرد التزام.
تقييم البنية التحتية الخاصة بك من قبل البائع. تحتاج المؤسسات إلى تقييم النظام البيئي للبائعين لديها الآن، وتحديد أماكن وجود ثغرات ما بعد الكم، وكيف ستتناسب PQC مع البنية الحالية. ينبغي استخدام المشتريات كأداة لجعل PQC المتطلب الافتراضي عبر المتصفحات ومراكز البيانات وأنظمة البريد الإلكتروني والخدمات الحيوية – خاصة وأن مقدمي الخدمات على نطاق واسع يتحركون بالفعل في هذا الاتجاه، مع تقدير Cloudflare ذلك بحوالي 50% من حركة المرور على شبكة الإنترنت العالمية على شبكتها أصبحت الآن آمنة PQC. يجب تحدي أي موردين لا يخططون بشكل نشط لهذا التحول، ويجب دفع المحادثة عبر الأنظمة البيئية الشريكة لتسريع الاستعداد على نطاق واسع.
تحديد الأولويات والتخطيط. وعندما تظهر الهجمات الكمية في نهاية المطاف – على الأرجح من الدول القومية أو غيرها من الجهات الفاعلة ذات الموارد الجيدة – ستحتاج المنظمات إلى إعطاء الأولوية للدفاع من خلال التركيز أولاً على الأنظمة التي تتمتع بأطول فترة تعرض. وهذا يعني تأمين البنية التحتية الأساسية ومنتجات دورة الحياة الطويلة حيث لا يمكن استبدال التشفير بسهولة، والتأكد من أن منصات SaaS تتبنى معايير آمنة الكم في وقت مبكر حتى لا تصبح حلقات ضعيفة في السلسلة. ومن خلال حماية المكونات التي يصعب ترقيتها أو الأكثر أهمية في العمليات، يمكن للمؤسسات أن تقلل بشكل كبير من نقاط ضعفها على المدى الطويل.
قد تبدو فكرة استئصال المكونات القديمة وتعديل البدائل الجاهزة للتصنيع الكمي أمرًا شاقًا، ولكن من الناحية العملية، لا يزال من الممكن تأمين الأنظمة الحالية. تتيح مكتبات التشفير المحسنة للغاية – والمصممة للبيئات المدمجة ذات القيود الصارمة – اتخاذ إجراءات مضادة قائمة على البرامج تعمل على رفع الأجهزة الموجودة إلى مستوى آمن كميًا دون استبدال بالجملة.
تجميع فريق. ابدأ ببناء فريق متعدد الوظائف يمكنه اكتشاف نقاط الضعف في سلسلة التوريد وتوجيه خطة PQC الخاصة بك. لا تحتاج إلى تعيين مجموعة جديدة كاملة من المتخصصين، ولكنك بحاجة إلى مساعدة فرقك الحالية – خاصة في DevOps – على تطوير فهمهم لمخاطر التشفير والأمان وسبب أهميتها الآن. عندما يقوم كل من الجانب الفني ومجلس الإدارة بتطوير معرفتهما معًا والبقاء على توافق، فإنك تنشئ الأساس لعملية طرح منسقة.
التحديات
- تعقيد سلسلة التوريد: هدف NIST وNCSC هو الانتقال الكامل إلى التشفير ما بعد الكمي بحلول عام 2035 تعمل بالفعل على تسريع وتيرة العمل عبر الحكومات وهيئات المعايير. ورغم أن عام 2035 قد يبدو بعيدا، فإن واقع سلاسل التوريد الرقمية الحديثة ــ التي تشمل الأجهزة والبرمجيات والخدمات السحابية وإنترنت الأشياء ــ يجعل هذا التحول هائلا ويستغرق وقتا طويلا. إن تغيير التشفير ليس عملية “رفع وتحويل” بسيطة. فهو يتطلب اتباع نهج تدريجي وشامل يمس كل طبقة من طبقات النظام البيئي، مع مراجعة برامج التغيير الحالية لدمج متطلبات انتقال PQC.
- دورات حياة المنتج الطويلة: ستظل الأجهزة والبرامج التي يتم نشرها اليوم عبر القطاعات الحيوية قيد التشغيل لمدة تتراوح من خمس إلى عشر سنوات قادمة – أو لفترة أطول. وأي نقاط نهاية غير آمنة يتم تقديمها الآن ستصبح متأصلة بعمق في بيئات معقدة يصعب تعديلها ومكلفة. لذلك، تحتاج المؤسسات إلى التصرف الآن عبر مشاريع الشراء والتطوير والنشر الحالية لبناء متطلبات الانتقال إلى PQC. إذا كانت الأنظمة التي يتم طرحها في السوق اليوم غير متوافقة مع PQC، فإن المؤسسات تخاطر بتراكم ديون التشفير طويلة الأجل والتي يصبح من الصعب بشكل متزايد التخلص منها.
- مشكلة “الرئيسان التنفيذيان وثلاثة CISO”: إن المخاطر التي نشأت اليوم لن تقع على عاتق خليفة بعيد بعد عدة دورات قيادية من الآن. وبالنسبة للسلع والخدمات الحالية، فإن نافذة التهديد أقرب من العمر التشغيلي للمنتجات التي يتم نشرها، وهذا يعني أن المسؤولية ــ والعواقب ــ سوف تقع على عاتق قيادة اليوم، وليس قيادة الغد. تعمل إدارة التهديدات والحوكمة القوية على إعداد المؤسسات لمواجهة مخاطر اليوم، لكن القيادة العظيمة تضمن أن تكون المنظمة أيضًا مستعدة للمخاطر التي تظهر بعد فترة طويلة من ترك القائد لمنصبه.
- مشهد التهديد المتطور: إن الحديث حول التهديد السيبراني الكمي قد بدأ في النضج، وأصبح من الواضح الآن أن هناك نوعين متميزين من التهديد. الأول هو هجمات السرية، والتي يشار إليها عادة باسم “الحصاد الآن، وفك التشفير لاحقًا” (HNDL)، والتي تركز على جمع بيانات عالية القيمة اليوم لفك التشفير في المستقبل، غالبًا للحصول على فدية أو إعادة بيعها، وخاصة في قطاعات مثل الخدمات المالية. والثاني هو هجمات المصادقة، التي تستهدف بيانات الاعتماد وآليات الثقة لتعطيل العمليات والتسبب في أضرار واسعة النطاق عبر البنية التحتية الحيوية، بما في ذلك شبكات الطاقة والمستشفيات.
عندما يتعلق الأمر بالخطوات العملية التي يمكن للمطورين اتخاذها في عام 2026، فإن الأولوية هي التعامل مع الأمان كميزة مرنة بدلاً من كونه شيئًا مشفرًا، حتى تتمكن المؤسسات من الحفاظ على المرونة مع تطور وضعها الأمني. وتصبح هذه العقلية أكثر أهمية مع تسارع الابتكار. مع النمو السريع للذكاء الاصطناعي والنماذج المتزايدة التعقيد التي تدفع المزيد من النشاط إلى الحافة، فإن سرعة التطوير تدفع السلوك بشكل أسرع مما تستطيع العمليات الأمنية التقليدية مواكبته. ويتمثل التحدي الآن في ضمان بقاء الأمن قابلاً للتكيف بما يكفي للتطور جنباً إلى جنب مع وتيرة التغيير هذه.
بالنسبة للأنظمة الحالية، من الضروري التصرف الآن. لا تدع المثالية تقف في طريق الخير – فتأمين الأنظمة الأكثر أهمية للمهام في وقت مبكر يؤدي إلى بدء رحلة PQC الخاصة بك دون انتظار إصلاح النظام البيئي بأكمله مرة واحدة. والهدف هو تخفيف المخاطر، وليس القضاء عليها بشكل كامل.
بن باكمان هو كبير مسؤولي الإستراتيجية في PQShield
