الجزء 7: ما يجب على مسؤولي المعلومات ومسؤولي أمن المعلومات ومجالس الإدارة فعله اليوم
- Bridge Connect
- 8 يوليو
- 2 دقيقة قراءة
لقد تطور التشفير ما بعد الكمي (PQC) من مجرد نقاش أكاديمي إلى ضرورة مؤسسية. مع وضع المعايير النهائية، وبدء التجارب العملية، وظهور اللوائح الوطنية، أصبح التهديد الكمي الآن قضيةً تواجه مجالس الإدارة. توضح هذه المقالة الإجراءات الأكثر إلحاحًا التي يجب على مديري تكنولوجيا المعلومات، ومسؤولي أمن المعلومات، وأعضاء مجالس الإدارة اتخاذها لتقييم التعرض، وتخفيف المخاطر طويلة المدى، وقيادة عملية انتقال منسقة إلى بنية تحتية آمنة كميًا.
1. تحدي الحوكمة: المخاطر الكمية ليست تقنية فحسب
غالبًا ما يُساء فهم مخاطر فك التشفير الكمي على أنها تهديد تقني متخصص. لكن عواقبها استراتيجية:
قد تتعرض البيانات الحساسة طويلة الأمد للخطر بأثر رجعي.
ستفرض اللوائح الوطنية اعتماد PQC في مواعيد نهائية ضيقة.
سيتوقع العملاء والشركاء ضمانًا للمرونة الكمية.
لا تتمثل مسؤولية المجلس في اختيار الخوارزميات، بل في ضمان تمويل الجاهزية الكمية وإدارتها وتنفيذها ضمن إطار مسؤول - تمامًا مثل مخاطر المناخ، أو الأمن السيبراني، أو الامتثال المالي.
2. أسئلة رئيسية لمديري تكنولوجيا المعلومات ومديري أمن المعلومات
ينبغي على مسؤولي المعلومات ومسؤولي أمن المعلومات تعزيز الجاهزية الداخلية من خلال الإجابة على الأسئلة التالية:
أين يتم استخدام التشفير المعرض للخطر في أنظمتنا ومنتجاتنا وتدفقات البيانات؟
ما هو الجدول الزمني للحفاظ على سرية بياناتنا الحساسة (على سبيل المثال، الطبية والمالية والملكية الفكرية)؟
هل لدينا مخزون حالي للتبعيات التشفيرية؟
هل أنظمة البرمجيات والأجهزة لدينا مرنة في التعامل مع التشفير (أي قادرة على التحول إلى PQC دون الحاجة إلى إعادة تصميم كبيرة)؟
هل يتوافق البائعون ومقدمو الخدمات السحابية لدينا مع الجداول الزمنية للانتقال إلى PQC؟
يجب تصعيد الإجابات على هذه الأسئلة وفهمها على مستوى مجلس الإدارة.
3. دليل المبادرة: ما تفعله المؤسسات الرائدة حاليًا
المنظمات الرائدة هي:
تعيين قادة أو مجموعات عمل للاستعداد الكمي
إصدار إرشادات المشتريات
بدء التجارب التجريبية ذات المسار المزدوج
تضمين لغة PQC في طلبات تقديم العروض وعقود الطرف الثالث.
إشراك الفرق القانونية والامتثالية
تعكس هذه الخطوات أفضل الممارسات السابقة للامتثال لقواعد حماية البيانات العامة (GDPR) أو الحوكمة البيئية والاجتماعية والمؤسسية (ESG) - ومن المتوقع أن يتم تطبيقها في مراجعات حوكمة PQC.
4. هيكلة الرقابة على مجلس الإدارة
ينبغي على مجالس الإدارة دمج المخاطر الكمية في أطر الأمن السيبراني ومخاطر المؤسسات الحالية:
أضف الكم إلى سجل المخاطر
اطلب تقارير ربع سنوية
إشراك لجنة التدقيق
ربط الحوافز التنفيذية
لا ينبغي التعامل مع الجاهزية الكمية باعتبارها مشروعًا لمرة واحدة، بل باعتبارها قدرة متطورة.
5. الجدول الزمني: ما يجب فعله الآن، وفي المرحلة التالية، وبحلول عام 2030
مرحلة | فعل |
2025–2026 | جرد أنظمة التشفير؛ إشراك البائعين؛ اختبار تنفيذات PQC التجريبية |
2026–2028 | نقل الأنظمة عالية المخاطر إلى خوارزميات هجينة أو آمنة كميًا |
2028–2030 | استكمال طرح PQC على مستوى المؤسسة بالكامل؛ والتأكد من الامتثال |
من المتوقع أن يتوقع بعض المنظمين (على سبيل المثال، NSA وNCSC) الامتثال الواضح بحلول عام 2027. يجب حماية البيانات طويلة الأمد
تُعدّ المخاطر الكمية مسألة حوكمة. يجب على مجالس الإدارة التعامل مع التقادم التشفيري كأي خطر نظامي آخر: من خلال التمويل والإشراف ووضع خارطة طريق.
الحواشي والمراجع
إرشادات الهجرة NSA CNSA 2.0:
التوصيات الاستراتيجية لوكالة الأمن السيبراني الأوروبية (ENISA):
خارطة طريق الأمن الكمي للمنتدى الاقتصادي العالمي:
نصائح مركز الأمن السيبراني الوطني (NCSC) حول الجاهزية الكمومية:
متطلبات المرونة في مجال التشفير بموجب قانون الاتحاد الأوروبي DORA وeIDAS2:
الجزء التالي في السلسلة: الجزء 8 - ما وراء PQC: توزيع المفاتيح الكمية، ومخاطر البلوك تشين، وما سيأتي بعد ذلك