قانون المرونة التشغيلية الرقمية (DORA) وترحيل التشفير الآمن الكمي

حوسبة Quantum هي نموذج جديد لديه القدرة على معالجة المشكلات التي لا تستطيع الحواسيب الكلاسيكية حلها اليوم. لسوء الحظ، يؤدي هذا أيضًا إلى ظهور تهديدات على الاقتصاد الرقمي والقطاع المالي على وجه الخصوص.

قانون المرونة التشغيلية الرقمية (DORA) هو إطار عمل تنظيمي يحدد متطلبات موحدة عبر الاتحاد الأوروبي لتحقيق "مستوى عالٍ من المرونة التشغيلية" في قطاع الخدمات المالية. من المتوقع أن تمتثل الكيانات التي يغطيها قانون المرونة التشغيلية الرقمية (DORA) — مثل مؤسسات الائتمان ومؤسسات الدفع وشركات التأمين ومقدمي خدمات تكنولوجيا المعلومات والاتصالات (ICT) وما إلى ذلك — بحلول 17 يناير 2025.

يحدد قانون المرونة التشغيلية الرقمية (DORA) مجموعة من المتطلبات فيما يتعلق بإدارة مخاطر تكنولوجيا المعلومات والاتصالات، والإبلاغ عن الحوادث، واختبار المرونة التشغيلية، ومشاركة المعلومات المتعلقة بالتهديدات السيبرانية والثغرات الأمنية، وإدارة مخاطر الجهات الخارجية. وكجزء من هذه المتطلبات وفي سياق حماية البيانات والتشفير، ينص القانون في المادة 9 ("الحماية والوقاية") على أن الكيانات المالية "يجب أن تستخدم حلول تكنولوجيا المعلومات والاتصالات وعملياتها" التي "(أ) تضمن أمان وسائل نقل البيانات" أو "(ج) تمنع [...] الإضرار بالموثوقية والسلامة، وانتهاك السرية وفقدان البيانات."

يشار إلى العناصر الأخرى التي يجب مراعاتها في سياق المادة 9 في المادة 15 وترد في (مسودة) المعايير الفنية التنظيمية ذات الصلة، والتي نشرتها الهيئات الرقابية الأوروبية في 17 يناير 2024. وعلى وجه الخصوص، يوفر تقرير اللجنة المشتركة JC 2023 86 متطلبات مفصلة حول إرشادات التشفير. وبالإضافة إلى ذلك، فقد نص في ديباجته على ما يأتي:

"نظرًا إلى التطورات التكنولوجية السريعة في مجال تقنيات التشفير، فإن الكيانات المالية [...] يجب أن تبقى على اطلاع بالتطورات ذات الصلة في تحليل الشفرات وتأخذ في الحسبان الممارسات والمعايير الرائدة، ومن ثَمَّ يجب اتباع نهج مرن قائم على التخفيف والمراقبة للتعامل مع المشهد الديناميكي للتهديدات المتعلقة بالتشفير، بما في ذلك تلك الناتجة عن التطورات الكمية."

فيما يلي، سنوضح أكثر "التهديدات المتعلقة بالتشفير" المشار إليها والتداعيات التي قد تترتب على المؤسسات المالية في سياق حوسبة Quantum.

بينما لا تزال الحواسيب الكمية الحالية تواجه الصعوبات مع الضوضاء ولا "تتحمل الأعطال" بعد، فقد حققت إنجازات مثيرة للإعجاب تثبت جدواها. بالنظر إلى حجم الاستثمارات التي تُوجّه إلى كل من القطاع الخاص والأوساط الأكاديمية، فمن المتوقع أن تتوسع هذه التقنية وتتحسن بصورة كبيرة مع مرور الوقت. وفي أثناء ذلك، سيزداد التهديد المحتمل للاقتصاد الرقمي.

في عام 1994، قدم الفيزيائي Peter Shor خوارزمية والتي، عند تشغيلها على جهاز كمبيوتر كمي واسع النطاق، يمكن أن تكسر خوارزميات تشفير المفتاح العام مثل Rivest-Shamir-Adleman (RSA)، وDiffie-Hellman، وElliptic Curve Cryptography (ECC). ويعتمد القطاع المالي على هذه الخوارزميات لضمان سرية وسلامة المعاملات المصرفية، ومصداقية عملائها، وصحة المستندات الموقعة رقميًا، وسرية البيانات المالية للعملاء. إذا لم يعد من الممكن الوثوق بالتشفير الداعم، فإن القطاع المالي بأكمله في خطر.

التهديدات الكمية التي تشكل خطرًا على التشفير

لكسر التشفير الحالي، يجب إنشاء ما يسمى بأجهزة الحوسبة الكمّية ذات التأثير على التشفير (CRQC) (ويقدر بعض الخبراء أنه قد يحدث في أوائل ثلاثينيات القرن الحادي والعشرين). ومع ذلك، في حين أن التأثير سيكون في المستقبل، فإننا بالفعل في خطر. يمكن للمرء أن يتخيل مهاجمًا يجمع البيانات السرية المشفرة اليوم لفك تشفيرها لاحقًا.

لحسن الحظ، يخضع التشفير "الكَمي الآمن" الجديد لعمليات التوحيد القياسي، حيث يبذل المعهد الوطني الأمريكي للمعايير والتقنية (NIST) أكبر جهد حقيقي في هذا المجال. في عام 2016، أطلق معهد NIST مسابقة تضم أكثر من 80 طلبًا لتوحيد شكل جديد من التشفير يعمل على الأنظمة العادية (مثل الكمبيوتر المحمول، السحابة، إلخ) لكنه سيكون مقاومًا للمهاجم الكمي لأنه يعتمد على مسائل رياضية يصعب حلها بواسطة الحاسوب الكمي (والكلاسيكي).

ووقع الاختيار على أول أربع خوارزميات للتوحيد القياسي من قِبل معهد NIST في يوليو 2022 (وقد شاركت IBM في تطوير ثلاث منها). وعلى الرغم من التخطيط لإصدار المعايير في عام 2024، لا يزال المرشحون البديلون الإضافيون قيد النظر.

الجدول الزمني لتوحيد معايير NIST للتشفير الكمي الآمن (المعروف أيضًا باسم التشفير "ما بعد الكمّي")

أصبح معيار التشفير الكمي الآمن يلوح في الأفق. لكن لسوء الحظ، وبسبب تعقيد القطاع المالي على وجه الخصوص، لا تزال أمامنا رحلة طويلة. يفترض المعهد الوطني الأمريكي للمعايير والتقنية (NIST) أن "خمسة إلى 15 عامًا أو أكثر ستنقضي [...] قبل اكتمال التنفيذ الكامل لتلك المعايير." إذا طبقنا هذا مع الجداول الزمنية لتطوير أجهزة الحوسبة الكمّية ذات التأثير في التشفير (CRQC)، سندرك أنه يجب على الكيانات أن تبدأ هذه الرحلة اليوم.

في حال وقوع التهديدات الكمية، فإنها قد تؤثر تأثيرًا كبيرًا في مرونة العمليات في الكيانات المالية وقد تعطل الاقتصاد عالميًا. لحسن الحظ، تتوفر خوارزميات جديدة للتشفير الكمي الآمن (مع وجود معايير سيتم نشرها قريبًا جدًا)، والتي ستكون ضرورية للتخفيف من تلك التهديدات.

وإذا ربطنا هذا بمتطلبات قانون المرونة التشغيلية الرقمية (DORA)، فيمكننا استخلاص عدة روابط مباشرة. لتلبية متطلبات المادة 9، ستحتاج الكيانات المالية إلى اعتماد وسائل نقل بيانات آمنة كميًا، بالإضافة إلى آليات آمنة كميًا بهدف "منع [...] الإضرار بالموثوقية والسلامة، وانتهاك السرية وفقدان البيانات."

وهذا يعني ضرورة اعتماد بروتوكولات نقل البيانات الآمنة كميًا مثل أمان طبقة النقل (TLS) الآمن كميًا أو الشبكات الخاصة الافتراضية (VPNs) الآمنة كميًا، بالإضافة إلى آليات آمنة كميًا لتوقيع المستندات (الملزمة قانونيًا) أو المعاملات البنكية. ونتيجة لذلك، ستحتاج الكيانات المالية إلى تنفيذ بنية تحتية داعمة مثل البنية التحتية للمفتاح العام (PKI) وأنظمة إدارة المفاتيح الآمنة كميًا.

بالإضافة إلى ذلك، غالبًا ما تكون عمليات التنفيذ اليوم في أيدي موردي الجهات الخارجية. ولزيادة التعقيد، في كثير من الحالات، ستؤثر البرامج الحالية، مثل تنفيذ "الانتقال إلى السحابة" أو "الثقة الصفرية"، على عدة عناصر مذكورة أعلاه.

في أسوأ الحالات، إذا لم تعالج مؤسسات الخدمات المالية التهديدات الكمية في النظام البنائي الرقمي، فقد يؤثر ذلك في مرونة أعمالها من خلال:

• عدم القدرة على التحقق من المستخدمين المصرح لهم على شبكتهم والذي يؤدي إلى ارتباك وانعدام كامل للثقة في النظام البنائي الرقمي.
• عدم القدرة على الامتثال للوائح خصوصية البيانات بسبب نقص الثقة في الآليات (مثل التشفير) المستخدمة لحماية هذه البيانات.
• زيادة خطر التعرض للتهديدات الخارجية نتيجة لوجود بروتوكولات وخوارزميات تشفير ضعيفة على الشبكات بين الشركات وسلسلة التوريد.
• تعطيل الأعمال اليومية بسبب فترة التعطل المطلوبة لمعالجة الخدمات والتطبيقات الرقمية.

بالنظر إلى متطلبات المسودة الحالية وفقًا لتقرير اللجنة المشتركة JC 2023 86، يمكن توقع أنه بعد فترة قصيرة من توحيد التشفير الكمي الآمن، ستُعد ممارسة رائدة في الحسابات. لذا، بغض النظر عن موعد ظهور التهديدات الكمية، فإن المتطلبات التنظيمية، مثل قانون المرونة التشغيلية الرقمية (DORA)، ستفرض ضمنيًا اعتماد التشفير الكمي الآمن في القطاع المالي قريبًا.

وفي الوقت نفسه، يجب على المؤسسات اغتنام الفرصة لتحسين مرونتها التشفيرية العامة من خلال تحديث طريقة تنفيذ التشفير اليوم وجعل التغييرات المستقبلية أكثر سرعة وكفاءة من حيث التكلفة.

من الواضح أن تنفيذ التشفير الآمن الكمي لن يكون أمرًا سهلاً. إن مثل هذا البرنامج للترحيل سيتطلب المرونة كما أنه يوفر إمكانية الاستفادة من ميزة التحرك المبكر. سيتطلب ذلك نهجًا متعدد الجوانب، يشمل ترتيب أولويات العمل من أعلى إلى أسفل، بالإضافة إلى ترتيب القدرات التقنية من أسفل إلى أعلى.

نوصي بالخطوات التالية التي ينبغي للمؤسسات التي يشملها قانون المرونة التشغيلية الرقمية (DORA) اتخاذها على الأقل:

• تقييم وضع التشفير في المؤسسة ومراجعتها وتحديد العناصر (التطبيقات، والشبكات، والمشروعات الإستراتيجية، إلخ) التي قد تتأثر بالتهديدات الكمية.
• وضع خطة بناءً على أولويات الأعمال وأخذ التآزر في الحسبان مع برامج التحول الحالية، ووضع نهج لمعالجة الخدمات الرقمية المتأثرة والأنظمة المقابلة لها.
• تحسين وضع التشفير من خلال إدخال قدرات الاكتشاف والمخزون في التشفير. إدخال ميزة قابلية الملاحظة التشفيرية للتحقق من الامتثال التشفيري باستمرار، بما في ذلك الاستفادة من "قائمة مواد التشفير". ستعمل هذه العناصر على زيادة المرونة التشفيرية لمؤسستك.
• التأكد من أن عمليات التغيير والمشروعات الإستراتيجية الحالية تأخذ في الحسبان تأثير التشفير ووضع أحكام لتنفيذ المعالجة بأقل قدر من التعطيل.
• دعم برنامج لمتابعة الخطوات المذكورة أعلاه باستمرار.

وقبل كل شيء، لا تؤجل بدء تنفيذ هذه الخطوات. نوصي بشدة بأن تحدد المؤسسات برنامج ترحيل آمنًا كميًا اليوم.