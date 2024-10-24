يتزايد استخدام أجهزة الكمبيوتر الكمومية كأدوات مفيدة بعدما كانت كلامًا نظريًا بحتًا في الأبحاث. ويتم استخدامها حاليًا في مختلف القطاعات والمؤسسات لاستكشاف آفاق التحديات في مجالات الرعاية الصحية وعلوم الحياة، وفيزياء الطاقة العالية، وتطوير المواد والخامات، وعمليات التحسين، والاستدامة. ومع توسّع قدرات أجهزة الكمبيوتر الكمومية، ستكون هذه الأجهزة قادرة كذلك على حل أصعب المشكلات الرياضية التي يعتمد عليها التشفير بالمفتاح العام المعمول به اليوم. بل قد يكسر الكمبيوتر الكمومي ذو الصلة بالتشفير (CRQC) خوارزميات التشفير غير المتماثل المستخدَمة عالميًا، والتي تساعد حاليًا على ضمان سرية وسلامة البيانات والتأكد من موثوقية الوصول إلى الأنظمة.
تترتب على الكمبيوتر الكمومي ذي الصلة بالتشفير (CRQC) مخاطر واسعة النطاق تشمل: احتمالية اختراق البيانات، وتعطيل البنية التحتية الرقمية، بل والتلاعب العالمي واسع الأثر. فأجهزة الكمبيوتر الكمومية المستقبلية هذه ستكون من أكبر المخاطر التي تهدد الاقتصاد الرقمي، وستشكل خطرًا إلكترونيًا كبيرًا على الشركات
وهناك بالفعل خطر قائم اليوم ونشط. حيث يعكف بعض مجرمي الإنترنت حاليًا على جمع البيانات المشفّرة بهدف فك تشفيرها لاحقًا عندما يصبح الكمبيوتر الكمومي ذو الصلة بالتشفير تحت تصرفهم، وهو تهديد يُعرف باسم "اجمع الآن، وفك التشفير لاحقًا". وما دامت إمكانية الوصول إلى الكمبيوتر الكمومي ذي الصلة بالتشفير (CRQC) متاحة لهؤلاء المجرمين، سيمكنهم فك تشفير البيانات بأثر رجعي، والحصول على وصول غير مصرَّح به إلى معلومات حساسة جدًا.
لحسن الحظ، تم توحيد معايير خوارزميات التشفير المقاوم للحوسبة الكمومية (PQC)، القادرة على حماية الأنظمة والبيانات الحالية اليوم. فقد أصدر المعهد الوطني الأمريكي للمعايير والتقنية (NIST) مؤخرًا المجموعة الأولى المكونة من ثلاثة معايير:
طوَّرت شركة IBM اثنين من المعايير (وهما ML-KEM وML-DSA) بالتعاون مع شركاء خارجيين، بينما تم تطوير المعيار الثالث (SLH-DSA) بمشاركة أحد العلماء الذين انضموا لاحقًا إلى شركة IBM.
وسيتم اعتماد هذه الخوارزميات من قِبل الحكومات والصناعات في جميع أنحاء العالم كجزء من بروتوكولات الأمن مثل "أمن طبقة النقل" (TLS) والعديد غيرها.
والخبر السار هو أن هذه الخوارزميات أصبحت في متناول أيدينا للحماية من المخاطر الكمومية. لكن الخبر غير السار هو أنه يجب المؤسسات ترحيل مجموع أصولها التقنية لتبني معايير التشفير المقاوم للحوسبة الكمومية (PQC) الجديدة هذه.
لقد استغرقت برامج ترحيل خوارزمية التشفير السابقة سنوات لإكمالها. اسأل نفسك كمؤسسة: كم من الوقت استغرق برنامج الترحيل لديك من خوارزمية SHA-1 إلى SHA-2؟ ماذا عن برنامج ترقية البنية التحتية للمفتاح العام (PKI) الخاص بك، حيث إنك زدت حجم مفتاح سلسلة الثقة الخاصة بها من مفاتيح 1024 بت إلى مفاتيح 2048 بت أو 3072 بت أو 4096 بت؟ وكم من الوقت استغرق كل هذا ليتم تنفيذه في بيئة مؤسستك المعقدة؟ عدة سنوات؟
يتميز تأثير الحوسبة الكمومية وتطبيق معايير التشفير المقاوم للحوسبة الكمومية (PQC) بسعة النطاق، ويغطي منظومة شاملة لمؤسستك. وتؤثر مخاطر الحوسبة الكمومية على العديد من الأنظمة وأدوات الأمن والخدمات والتطبيقات والبنية الأساسية للشبكات. تحتاج مؤسستك إلى بدء الانتقال فورًا نحو معايير التشفير المقاوم للحوسبة الكمومية (PQC) لحماية أصولك وبياناتك.
لحماية مؤسستك من مخاطر تهديد "اجمع الآن، وفك التشفير لاحقًا"، ننصحك بتنفيذ برنامج تحول آمن في مؤسستك يحميها من التهديدات الكمومية. فهيَّا ابدأ باعتماد الأدوات واستخدام الخدمات التي تسمح لك بطرح معايير التشفير المقاوم للحوسبة الكمومية (PQC) التي أُعلِنَ عنها مؤخرًا.
طورَّت شركة IBM منهجية شاملة لبرنامج كمومي آمن، يجري تشغيلها حاليًا بين عشرات العملاء في عشرات الدول في مختلف الصناعات الرئيسية، بما فيها القطاع الحكومي.
ننصح العملاء باعتماد برنامج يتضمن المراحل الرئيسية التالية:
في المرحلة الأولى من مسار تنفيذ برنامج التحول، يتم التركيز على مجالات محورية، كإطلاق حملة توعية شاملة على مستوى المؤسسة لتثقيف الأطراف المعنية وخبراء الموضوعات الأمنية بشأن المخاطر الكمومية. إيجاد "سفراء" و"أبطال" داخل المؤسسة لتولي مهمة حماية أمن المؤسسة من المخاطر الكمومية، يتابعون هذه المخاطر ومدى تطور الأمن الكمومي ويعملون كنقطة تواصل مركزية لبرنامج التحول ويساعدون على تشكيل استراتيجية المؤسسة ككل.
ثم بعد ذلك، ينبغي إجراء تقييمات المخاطر المتعلقة بالمخاطر الكمومية ضد الأصول التجارية ذات الصلة بالتشفير في مؤسستك؛ والتي تشمل أي أصل يستخدم التشفير أو يعتمد عليه بشكل عام.* على سبيل المثال، ينبغي لتقييم المخاطر والتأثير الخاص بك أن يقيّم الأهمية التجارية لكل أصل من الأصول التقنية للمؤسسة، ودرجة تعقيد بيئته، وصعوبة ترحيله، من بين مجالات تقييم أخرى. وينبغي أن تحدد الثغرات التي في الأصول التجارية، بما في ذلك أي إجراءات عاجلة مطلوبة، وأن تقدّم تقريرًا يسلط الضوء على النتائج إلى الأطراف المعنية الرئيسية، ما يساعدهم على فهم الوضع الكمومي للمخاطر التنظيمية. كما يمكن أن يمثل هذا أساسًا ونقطة انطلاق لوضع قائمة تجرد وتحصر تشفير الأصول المطلوبة في مؤسستك.
في المرحلة الثانية، يتم إرشاد الأطراف المعنية إلى كيفية معالجة المجالات ذات الأولوية المحددة والثغرات المحتملة في التشفير والمخاطر الكمومية. ثم يمكنك فصل إجراءات المعالجة، مثل تسليط الضوء على الأنظمة التي قد لا تكون قادرة على دعم خوارزميات التشفير المقاوم للحوسبة الكمومية (PQC). وأخيرًا، تأتي خطوة التعبير عن أهداف برنامج الترحيل.
في هذه المرحلة، تساعد شركة IBM العملاء على تحديد خريطة طريق لترحيل آمن كموميًا توضح مبادرات الأمن الكمومي المطلوبة لمؤسستك لتحقيق أهدافها.
كما ننصح عملاءنا بما يلي: ضَع في اعتبارك المبادرات الحيوية في خرائط الطريق الخاصة بك، مثل تطوير إطار عمل حوكمة للتشفير، وتحديد الأولوية للأنظمة والبيانات لترحيلها إلى معايير التشفير المقاوم للحوسبة الكمومية (PQC). وينبغي لك تحديث ممارساتك وإرشاداتك لتطوير البرمجيات الآمنة لاستخدام التشفير المقاوم للحوسبة الكمومية (PQC) كجزء أصيل من التصميم، وإصدار فواتير المواد التشفيرية (CBOM). وعليك أن تتعاون مع المورِّدين لفهم الاعتماديات على الأطراف الثالثة والمكونات التشفيرية. ويجب عليك أيضًا تحديث عمليات الشراء للتركيز على الحلول والخدمات التي تدعم التشفير المقاوم للحوسبة الكمومية (PQC)، لمنع ظهور أي تكلفة مستقبلية لازمة لتحديث حلول تشفير قديمة، وتفادي تراكم تقنيات قديمة يصعب تحديثها.
إحدى القدرات الأساسية المطلوبة هي "قابلية ملاحظة التشفير"، وهي قائمة حصر تشفيري تتيح للأطراف المعنية مراقبة تقدم تنفيذ التشفير المقاوم للحوسبة الكمومية (PQC) طوال مسيرتك نحو الأمن الكمومي. وينبغي دعم قائمة الحصر والجرد هذه بعمليات آلية تشمل جمع البيانات، وتحليل البيانات، وإدارة وضعية المخاطر والامتثال.
في المرحلة الثالثة، تُشغّل مؤسستك برنامج الترحيل الآمن كموميًا من خلال تنفيذ المبادرات بناءً على أولويات الأنظمة/المخاطر/التكلفة، والأهداف الاستراتيجية، والقدرة على التنفيذ، ونحو ذلك. وينبغي لك وضع استراتيجية آمنة كموميًا يتم تطبيقها من خلال معايير وسياسات أمن المعلومات التنظيمية الخاصة بمؤسستك.
نفّذ ترحيل التقنيات باستخدام بُنى مرجعية موحَّدة ومُختبَرة ومُثبَتة، بالإضافة إلى نماذج الترحيل والمخططات الإرشادية التفصيلية.
أدخل تمكين مرونة التشفير ضمن حلول التطوير والترحيل، وطبِّق فصل التشفير من خلال تجريد معالجة التشفير المحلية ونقلها إلى خدمات منصة مركزية، ومحوكمة، وسهلة التكيف.
أدرج حلقة تعليقات وملاحظات في برنامجك تتضمن الدروس المستفادة، مع السماح بالابتكار والاختبار السريع للنهج والحلول الجديدة لدعم برنامج الترحيل في السنوات المقبلة.
هناك العديد من العناصر يصعب ترحيلها. على سبيل المثال، ستكون المكونات الأساسية للبنية التحتية للإنترنت، مثل الشبكات واسعة النطاق (WAN)، والشبكات المحلية (LAN)، ومُركِّزات الشبكات الافتراضية الخاصة (VPN)، وروابط الاتصال من موقع إلى موقع، أكثر تعقيدًا في ترحيلها. لذلك، تتطلب هذه العناصر اهتمامًا أكبر من تلك التي لها استخدام محدود داخل المؤسسة. فمثلًا من الأشياء التي تُعدُّ معقدة الترحيل: خدمات التشفير الأساسية مثل البنية التحتية للمفاتيح العامة (PKI)، وأنظمة إدارة المفاتيح، وأنظمة الدفع الآمنة، وتطبيقات التشفير أو البنى الخلفية مثل الوحدات الأمنية للأجهزة (HSMs)، ومشفِّرات الروابط، وأجهزة الكمبيوتر المركزي. كما يجب أن نأخذ في الاعتبار الاعتماديات على التطبيقات المختلفة، بما في ذلك مشاكل التوافق التقني؛ بمعنى قابلية التشغيل البيني للتقنيات.
يجب عليك أيضًا النظر في اختبار الأداء لمعايير التشفير المقاوم للحوسبة الكمومية (PQC) مقابل أنظمتك الداخلية وسير عمل البيانات لديك لضمان التوافق والأداء المقبول وتحديد أي نقاط تمثل مصدر قلق ومخاوف. على سبيل المثال، تتطلب معايير التشفير المقاوم للحوسبة الكمومية (PQC) أحيانًا أحجام مفاتيح أو نصًا مشفَّرًا أو توقيعًا أطول مقارنةً بالخوارزميات المستخدمة حاليًا، وهو ما سيتطلب أخذه في الحسبان عند التكامل واختبار الأداء. ولا تزال بعض التقنيات التي تُعدُّ حيوية للمؤسسة تعتمد على التشفير القديم وقد تجد صعوبة أو حتى استحالة في الترحيل إلى معايير التشفير المقاوم للحوسبة الكمومية (PQC). وقد تكون إعادة هيكلة التطبيق وإعادة تصميمه ضروريًا.
وتشمل التحديات الأخرى نقص المهارات أو نقص الوثائق، مما أوجد فجوات معرفية داخل مؤسستك. كما أن المعلومات المرمزة داخل الأنظمة / ملفات التكوين / النصوص البرمجية، وما إلى ذلك، ستجعل الترحيل أكثر تعقيدًا.
تأكد من تتبع وإدارة مفاتيح التشفير والشهادات الرقمية بدقة. وسيزيد سوء الإدارة من تعقيد عملية الترحيل.
لن يتم اختبار جميع حالات الاستخدام من قِبل مجموعات العمل الدولية الخاصة بالتشفير المقاوم للحوسبة الكمومية (PQC). ستكون هناك العديد من التكوينات الفريدة لمجموعتك، وتحتاج إلى اختبار أنظمتك بدقة من منظور سير العمل من البداية إلى النهاية. سيكون هناك العديد من التوليفات أو التكوينات للتقنيات الفريدة لمنظمتك، ويتعين عليك اختبار أنظمتك بشكل شامل من منظور سير العمل الشامل.
الآن وبعد أن أصدر المعهد الوطني للمعايير والتقنية (NIST) المجموعة الأولى من معايير التشفير المقاوم للحوسبة الكمومية (PQC)، يجب علينا توقع أن اللوائح التنظيمية خارج الولايات المتحدة سوف تتبعها بسرعة. ومن الأمثلة في سياق الصناعة المالية:
لذلك، ننصحك بالتركيز على تطوير إطار عمل لحوكمة التشفير لديك، يتضمن تطوير استراتيجية مقاومة للحوسبة الكمومية لمؤسستك. وينبغي أن يتماشى مع أهدافك الاستراتيجية ورؤيتك وإطارك الزمني المستهدف. كما ينبغي لمركز التميز أن يقدم الدعم والمشورة كجزء من برنامج التحول. ويجب أن يركز إطار عمل الحوكمة على ركائز أساسية مثل الرقابة التنظيمية لمؤسستك، وضمان التشفير وإدارة المخاطر، وبناء القدرات التنفيذية، والتوعية بشأن معايير التشفير المقاوم للحوسبة الكمومية (PQC). يجب أن يدعم تبني أفضل الممارسات ضمن تطوير التطبيقات وبنية أمن الإمدادات ولوحات مراجعة التصميم التقني.
سيكون برنامج التحول طويلًا ومعقدًا. وسيتطلب مشاركة متعددة بين الأقسام والإدارات ومجموعة كبيرة من المهارات. فتأكد من إدارة ومراقبة معنويات الفريق ومراعاة ثقافة العمل وممارسات إدارة التغيير في مؤسستك لضمان تماسك البرنامج على مدار سنوات التنفيذ.
ضع في اعتبارك أيضًا تطوير الشراكات، حيث تعتمد العديد من المؤسسات على العديد من المورِّدين المتخصصين في صناعتها ومنظومتها المتكاملة. تعاون مع الآخرين داخل قطاعك لتعلم ومشاركة الأفكار لمعالجة المخاطر الكمومية وترحيل معايير التشفير المقاوم للحوسبة الكمومية (PQC) معًا من خلال مجموعات العمل ومجموعات المستخدمين المتخصصة.
من منظور تشغيلي، ساعد على ضمان وجود كتالوج لتتبع خدمات الأعمال والمؤسسة الرئيسية، يكون مُعيَّنًا (مربوطًا) باللوائح والقوانين، وابدأ بتخطيط جدول زمني لعملية الانتقال لكل خدمة على حدة.
* ملاحظة: في العديد من الحالات، نجد أنه حتى استخدام التشفير المتماثل سيعتمد على شكل من أشكال تشفير المفتاح العام، لتبادل المفاتيح على سبيل المثال.
