行業新聞與博客

“你應該非常擔心，”英國國家量子計算中心首席科學家 Elshan Kashefi 警告説。卡謝菲扮演希臘神話女祭司卡桑德拉的角色，在量子計算機發揮作用之前就向篩選峯會發出了關於量子計算機構成的嚴重威脅的警告。

如今，惡意行為者正在大量竊取機密的加密數據，以便稍後使用功能正常的量子設備進行解密。這些“先收穫，後解密”(HNDL) 攻擊意味着具有“保質期”的敏感信息（或將持續敏感且需要 5 到 10 年內安全的信息）面臨很高的被盜風險。

鑑於金融機構掌握的信息數量和類型，它們在尋求實施這些攻擊的不法行為者名單中名列前茅。量子計算機很容易被誤認為是諾蘭的情節，在銀行和金融基礎設施出現之前就對它們構成了最重大的網絡威脅。

那麼，銀行應該採取什麼措施呢？ 

為什麼銀行極其脆弱

銀行極其脆弱，因為其龐大而龐大的基礎設施使它們面臨着獨特的保護挑戰。現代銀行的成功本質上與其互聯性息息相關，這決定了它們促進貨幣、貿易和業務流動的能力。然而，互連性也增加了風險暴露，並使防範威脅變得更加困難。

如果一條鏈條的強度取決於其最薄弱的一環，那麼銀行系統（即世界）的安全性取決於最薄弱的銀行。黑客可以利用加密“後門”和弱點將敏感信息訪問到更廣泛的網絡中，從而將銀行的互連性從強大轉變為嚴重弱點。

令人震驚的是，紐約聯邦儲備銀行發表的研究表明，對一家資產規模低於 100 億美元的脆弱中型銀行的攻擊可能會導致整個美國銀行系統崩潰。作為參考，持股比例低於高盛 5% 的銀行可能會無意中造成不可挽回的財務損失，並失去對銀行的信任。

安全可靠的密碼學是我們金融體系和社會穩定的關鍵——與密碼學相關的量子威脅可能會破壞這一點，並使 2008 年全球金融危機和大蕭條的損失黯然失色。

上述風險模型仍然低估了量子影響。如果一家銀行今天成為勒索軟件攻擊的受害者，儘管聽起來很糟糕，但絕對有補救措施。如果銀行願意付款，就可以恢復其系統，並且此次勒索軟件事件不會永久影響所有其他同行銀行、供應商和客户。

相關性風險相對較低且不具有傳染性。量子攻擊將更加系統化，影響整個行業，並且補救措施將需要更長的時間（如果可能的話），除非您更早開始遷移。更好的風險預測是幾年前的新冠病毒封鎖，當時既沒有治癒方法，也沒有辦法知道誰被感染了。這裏唯一的區別是，如果你還沒有完成量子遷移以使自己自給自足，那麼就沒有治癒方法，因為沒有人可以再相信你的信息。

到目前為止正在做什麼？

至少目前，已經存在能夠先發制人的解決方案。後量子密碼學可用於防範量子計算機，類似於公鑰加密防範經典計算機的方式。在過去 12 個月中，Google Chrome、Signal 和 Apple 宣佈在其平台內進行後量子集成，以保護用户的安全。

在金融領域處於領先地位的國際清算銀行 (BIS) 宣佈了 Project Leap，這是法蘭西銀行和德意志銀行之間的抗量子安全通信通道，並在今年早些時候概述了另外六個項目。

令人鼓舞的是，我們還看到量子威脅成為美國立法者關注的焦點，《量子計算網絡安全準備法案》在雙邊國會支持下獲得通過。 

然而，由於風險如此之大，僅僅鼓勵還不夠。此外，這些項目還不夠充分，暴露了最後一英里的漏洞，互操作性的範圍很小。例如，Project Leap 保護從外圍到外圍的通信，而不是最終用户之間的通信，這為黑客提供了最後一英里的漏洞和明顯的目標。

銀行應如何構建量子安全基礎設施

希望我已經讓大家認識到了防量子銀行基礎設施的重要性，那麼銀行應該做什麼呢？

儘管我們看到了一些自上而下的監管舉措，但銀行不能等待。美國或英國的國家預算中都沒有提及金融量子安全法規。我建議金融機構創建自己的端到端安全基礎設施。

首先評估您的 IT 系統和基礎設施以識別漏洞，並優先考慮保護易受 HNDL 攻擊的敏感長壽命信息。從那裏開始，保護整個基礎設施的通信（也許使用端到端量子安全信使）。

為了避免與互操作性相關的問題，請參考互聯網工程任務組 (IETF)，該組織最近批准了一項 VPN 協議，該協議允許將多種後量子和經典加密算法合併到 VPN 中，確保不會中斷現有 IT 的功能系統。

由於銀行業互聯互通的性質，總會有交易對手成為受害者而無法解決問題。至少，您必須定期將最關鍵的信息存檔在您自己的帶外安全數據存儲庫中。

如果發生索賠，您可以向監管機構和承保人證明索賠的準確性、有效性和完整性。因此，一旦發生違規行為，您將最有能力説服監管機構、提出保險索賠，更重要的是，從破產銀行吸引新客户。這聽起來可能有些極端，但我相信這將是一個贏家通吃的未來。

在過去 20 年裏，量子計算機的出現已經從理論走向了絕對。量子計算研究的勢頭正在增強，每天的量子計算時間也在縮短。保持領先和果斷行動的重要性怎麼強調也不為過。如果我們繼續沿着目前的軌道前進，即使是最先進的量子遷移也無法及時完成。

所以，我同意卡謝菲的觀點：除非我們採取行動——你們都應該非常擔心。