|
世界经济论坛白皮书:量子就绪工具包--构建量子安全经济 远望智库开源情报中心 忆竹编译
量子计算的加速发展给网络安全带来了新的挑战。量子计算机的兴起有可能危及现有的密码系统,使安全通信和数据保护面临风险。领导者在制定企业安全战略时必须调整其安全实践和治理,需要了解并考虑量子威胁,以应对巨大的威胁。
一、引言 量子就绪工具包为组织安全地导航量子计算时代提供了一套指导原则。这些原则涵盖了关键领域,如面向未来的技术战略、将量子风险融入治理结构和风险管理流程,以及获取必要的人才。通过采用主动的安全和风险管理方法,组织可以更好地了解和减轻与量子计算相关的风险。 该工具包强调将量子风险与现有风险并列为优先事项的重要性,并倡导对网络安全和治理量子风险采取全球跨境办法。它为组织提供了一个评估其量子就绪性的框架,并确定了优先考虑和增强其量子安全措施的步骤。尽管组织在规模、行业和成熟度方面各不相同,但该工具包提供了一个为量子就绪性开发定制战略的起点。 通过接受这一指导,组织可以应对量子计算的挑战,并在这个新的技术时代保护其关键资产和信息。这些原则的核心是关注风险管理,并需要使用技术和软技能采取主动的安全方法。组织必须更好地了解他们所面临的风险,以便采取正确的措施来降低风险。这需要愿意投资于必要的工具和经验,成为量子网络就绪。 展望未来,量子计算无疑将带来新的挑战和机遇。但是,通过正确的方法,组织可以做好准备,以便能够驾驭这一新环境,保护其关键资产和信息。希望本白皮书中提出的原则将成为组织寻求增强量子安全就绪性的宝贵资源。 尽管一台完全成熟的、商业上可行的量子计算机的时间表仍在争论中,但人们一致认为,未来真的有可能会出现一台这样的计算机。真正的问题是:升级基础架构需要多长时间,数据的预期生命周期是多长?如果你还不知道这些问题的答案,现在就行动吧!
二、量子网络就绪的五项指导原则:深入分析 这里有五项指导原则可以为组织量子安全经济提供了实用指南,帮助组织了解如何开始量子安全过渡。这些原则可以帮助组织了解他们所处的位置,确定他们在准备量子安全方面的差距,并改善他们实现量子安全的初始步骤。每个原则都定义了额外的考虑因素和简要的指导,以展示有效的采用和实施。 在了解量子时代的复杂性时,量子就绪工具包确保我们不仅能够承受量子安全过渡,而且能够在其中脱颖而出。 指导原则1:确保组织治理结构将量化风险制度化 量子威胁要求组织通过定义明确的目标、角色和责任,并创建领导层进行有效实施变革,使其治理结构与其量子网络就绪性过渡保持一致。 清晰有序的治理对于建设一个能够抵御当前和未来量化风险的组织至关重要,如量化安全过渡方案、分配的责任以及更新的政策和操作程序。为了提高就绪程度,组织治理结构应该将量化风险制度化,允许有效地实施变更。组织需要清楚地制定他们的量子安全目标和角色。 主要考虑因素 (1)平衡指令性与开放式指导:不存在缓解量化风险的“一刀切”方法。制定(国际)标准和建立跨地域的共识有助于大型组织防止需求冲突。 (2)从小处着手:从一个小团队和任务开始,遵循互动的逐步方法,配合社会化活动,让所有利益相关方参与进来。将过渡划分为几个小的部分(例如,局限于组织或产品套件的特定部分)为采用和社会化提供了时间,降低了进入壁垒,并最大限度地利用了在未来阶段学到的集成经验。 (3)确立降低量子风险成为常规业务的一部分:使量子成为常规网络安全活动的一部分。将量子风险和未来的密码风险嵌入现有的网络安全运营模式。 指导原则2:提高整个组织的量化风险意识 揭开量子威胁的神秘面纱是关键。这不仅要求量子网络就绪专家,而且要求高级领导和风险经理了解威胁对组织的风险和影响。 对后量子安全采取行动的重要性怎么强调都不为过。组织经常想知道从什么时候开始,如何开始,谁应该是涉众等等。量子网络准备试图回答这些问题并继续前进。 对于许多利益相关者来说,量子风险是一个新概念,对于企业领导人来说,它常常被误解或视为一个高度复杂的技术话题。这种感知的复杂性诱使许多利益相关者推迟任何有意义的行动,或者完全忽视这个主题。为了提高对量子风险的认识,组织应该积极理解和识别量子风险,并向相关的内部和外部利益相关者传播关于量子风险的重点知识。 主要考虑因素 (1)避免传播恐惧、不确定性或怀疑:许多围绕管理量子风险的对话都聚焦于恐惧。像对待其他(新出现的)网络威胁一样对待量子威胁有助于澄清问题,并在充分准备的情况下,减少围绕该主题的整体恐慌。 (2)制定创造性的人才战略:人才稀缺,不是每个人都需要成为量子物理、数学或计算机科学方面的专家。可用人才的缺乏意味着组织应该创造性地雇用和重新培训现有人才,以帮助确保有足够的专业知识可用。 (3)定制意识和教育活动:各种功能,包括更广泛的安全社区,应该与量子威胁的进展保持同步。然而,如果没有足够的背景,与量子威胁相关的新闻可能会引发组织领导人带着恐惧和恐慌来处理这个问题,而不是冷静和深思熟虑的策略。因此,更新应该将创新和发展放在适当的环境中。 指导原则3:将量子风险与现有的网络风险一起处理并区分优先级 量子网络准备组织遵循结构化的方法来评估和管理量子风险,并将减轻这种风险纳入现有的网络风险管理程序。 量子就绪工具包是网络安全领导者和从业者的宝贵资源,因为他们准备将网络安全基础设施过渡到量子弹性状态的战略。该工具包为治理、提高认识和技术采用途径提供了明确的指导。相信对于负责管理网络安全量子风险的专业人士来说,这是一笔重要资产。 许多组织意识到,为了实现数字化发展,他们必须有效地管理风险,同时允许并促进业务繁荣。量子计算机对当前加密方法的风险属于网络风险管理的范畴。为了处理量子风险并确定其优先级,组织应遵循结构化方法,将量子风险作为网络风险进行评估和管理,并将其作为组织现有网络风险管理计划的一部分。 主要考虑因素 (1)承认组织有不同的优先事项:他们还会在采取什么行动使其组织做好量子就绪方面有所不同。这意味着管理量化风险的具体目标和方法可能因组织而异。 (2)从以前的(网络安全)过渡中吸取经验教训:从以前的过渡中吸取的成功因素和经验教训可以而且应该得到重复利用。类似地,从量子安全过渡中汲取的经验教训也应该应用于缓解未来新出现的威胁。 (3)通过结合风险管理、有效和最新的文档以及技术工具来降低量化风险。记录一个组织的技术及其正确工作的要求可以与创建一个加密的“物料清单”(CBOM)相结合,该清单包括整个组织的应用程序和服务中使用的所有加密组件。理想情况下,组织将采用模块化方法,并将加密技术从应用程序中分离出来,这是加密灵活性的起点。 指导原则4:为未来的技术采用做出战略决策 管理量子风险为组织提供了重新评估其技术前景的机会,特别是加密技术的使用。为了充分利用有助于降低量子风险的技术解决方案,组织应该做出支持“加密灵活性”的战略技术决策,以实现其安全目标。 开发和分享有用的工具,让我们的数字平台在量子时代变得安全,同时管理密码破解技术进步带来的系统性网络风险也变得越来越重要,这将促进全球经济向更安全、更有弹性的加密基础发展。 降低量子风险要求组织重新评估其技术基础设施,特别是关于加密技术的使用,并做出战略决策以维护数据的机密性、可用性和完整性。这包括考虑新的概念,如加密灵活性,并投资于新兴的技术。为了对未来的技术采用做出战略决策,组织需要提前考虑,实现加密灵活性,并确保网络安全能力能够适应不断变化的威胁环境。 主要考虑因素 (1)使用易于安全使用且设计安全的工具和应用程序:确保工具在设计时考虑了主动安全目标,开发人员可以通过使最终用户难以引发网络安全事件来帮助最终用户。 (2)现在就开始试验和评估,以便以后采用:组织可能不完全了解加密敏捷性是什么样子,或者标准化后量子加密对他们的影响和有效性可能意味着什么。参与这些概念和标准将有助于理解和增强以后采用的信心。组织可以开始试验小规模的概念验证,或者评估采用这些技术对他们和他们的风险状况可能意味着什么。 (3)利用技术采用来降低现有的网络安全风险:组织可以利用量子安全技术的实施作为解决长期已知的网络安全缺陷的机会(例如,实施证书自动更新以减少系统停机时间)。 指导原则5:鼓励跨生态系统的协作 量子风险是一种系统性风险。有效的量子安全策略包括与其他组织合作和共享信息,以识别整个生态系统和供应商的风险,从而共同减轻这些风险。 在当今组织参与其中的超互联数字经济中,数据是跨生态系统共享和存储的。许多网络安全风险是系统性的,因此无法通过单个组织来缓解。为了帮助整个生态系统做好量子网络准备,组织必须与同行、第三方、政府和学术界联系和互动,以识别和揭示量子风险及其系统性影响。因此,鼓励跨生态系统的合作可以让组织一起工作,分享与(减轻)量子风险相关的信息和见解。 主要考虑因素 (1)合作了解整个生态系统的系统风险:一个组织向另一个组织提供关键部件而不考虑量子安全性,可能会导致下游组织在其产品或网络中使用这些关键部件时出现未知漏洞。 (2)帮助培养整个生态系统的统一、广泛的观点:这包括广泛的利益相关方,包括供应商、供应链合作伙伴和学术界。生态系统可以分享最佳实践,在行业内创造紧迫感,并合作降低供应链内多个参与者的风险。与学术界和学生的合作将有助于创新速度和获得对最新研究的见解。
三 结束语 德勤美国公司总经理科林·苏塔尔(Colin Soutar)说,“随着全球各地的组织制定他们的计划来减轻量子计算的网络风险,这五项原则将使他们能够制定出符合该技术带来的真实威胁的路线,并与他们更普遍的网络风险管理实践相一致。” 足够强大的量子计算机对当今的数字经济和数据保护构成了严重威胁,要求组织开始进行量子安全过渡。这个量子就绪工具包为组织提供了指导方针,他们可以使用这些指导方针来评估、优先排序和立即采取行动。为促进这些原则的成功实施,各组织应考虑: (1)提高对量子风险以及立即降低风险的必要性的认识。为决策者提供清晰一致的信息,以建立有意义的伙伴关系并推动行动。尽管量子风险有很深的技术层面,但减轻其风险将是一项以人为本的业务,需要一支理解并优先考虑风险的员工队伍。 (2)认识到没有灵丹妙药。没有一个单独的量子安全解决方案、政策或聘请的专家会让一个组织在一夜之间实现量子安全。它需要各种适应环境的工具和以人为本的用例治理和技术,使组织能够抵御当前和未来的加密风险,量子风险只是其中之一。 (3)立即行动。没有人确切知道一台足够强大的量子计算机什么时候会到来,但是时间表正在缩短。每个人都知道转变需要时间,没有人想太晚。组织应该从现在开始,给自己足够的时间从小处着手,进行试验,了解挑战和成功因素,从而实现量子安全过渡。监管者可以在推动跨生态系统的及时行动方面发挥重要作用,但他们应该考虑鼓励采用和支持组织变得量子安全的护栏。 这个量子就绪工具包是一个有意义的步骤,它根据全球多元化专家社区的意见,为组织提供了量子安全指南。随着越来越多的组织意识到现在就采取行动的必要性,这也可能导致人们对评估同行组织在多大程度上变得量子安全更感兴趣。推动和协调系统性变革需要政府和组织的集体行动和支持,提供额外的指导、展示实例和量化指标。 随着全球各地的组织制定计划来减轻量子计算的网络风险,这五项指导原则将使他们能够制定出符合该技术所带来的真实威胁的路线,并与他们更普遍的网络风险管理实践相一致。
|
|
|
来自: 小飞侠cawdbof0 > 《经济金融》
