行业新闻与博客

为什么银行应该非常重视量子安全

“你应该非常担心,”英国国家量子计算中心首席科学家 Elshan Kashefi 警告说。卡谢菲扮演希腊神话女祭司卡桑德拉的角色,在量子计算机发挥作用之前就向筛选峰会发出了关于量子计算机构成的严重威胁的警告。

如今,恶意行为者正在大量窃取机密的加密数据,以便稍后使用功能正常的量子设备进行解密。这些“先收获,后解密”(HNDL) 攻击意味着具有“保质期”的敏感信息(或将持续敏感且需要 5 到 10 年内安全的信息)面临很高的被盗风险。

鉴于金融机构掌握的信息数量和类型,它们在寻求实施这些攻击的不法行为者名单中名列前茅。量子计算机很容易被误认为是诺兰的情节,在银行和金融基础设施出现之前就对它们构成了最重大的网络威胁。

那么,银行应该采取什么措施呢? 

为什么银行极其脆弱

银行极其脆弱,因为其庞大而庞大的基础设施使它们面临着独特的保护挑战。现代银行的成功本质上与其互联性息息相关,这决定了它们促进货币、贸易和业务流动的能力。然而,互连性也增加了风险暴露,并使防范威胁变得更加困难。

如果一条链条的强度取决于其最薄弱的一环,那么银行系统(即世界)的安全性取决于最薄弱的银行。黑客可以利用加密“后门”和弱点将敏感信息访问到更广泛的网络中,从而将银行的互连性从强大转变为严重弱点。

令人震惊的是,纽约联邦储备银行发表的研究表明,对一家资产规模低于 100 亿美元的脆弱中型银行的攻击可能会导致整个美国银行系统崩溃。作为参考,持股比例低于高盛 5% 的银行可能会无意中造成不可挽回的财务损失,并失去对银行的信任。

安全可靠的密码学是我们金融体系和社会稳定的关键——与密码学相关的量子威胁可能会破坏这一点,并使 2008 年全球金融危机和大萧条的损失黯然失色。

上述风险模型仍然低估了量子影响。如果一家银行今天成为勒索软件攻击的受害者,尽管听起来很糟糕,但绝对有补救措施。如果银行愿意付款,就可以恢复其系统,并且此次勒索软件事件不会永久影响所有其他同行银行、供应商和客户。

相关性风险相对较低且不具有传染性。量子攻击将更加系统化,影响整个行业,并且补救措施将需要更长的时间(如果可能的话),除非您更早开始迁移。更好的风险预测是几年前的新冠病毒封锁,当时既没有治愈方法,也没有办法知道谁被感染了。这里唯一的区别是,如果你还没有完成量子迁移以使自己自给自足,那么就没有治愈方法,因为没有人可以再相信你的信息。

到目前为止正在做什么?

至少目前,已经存在能够先发制人的解决方案。后量子密码学可用于防范量子计算机,类似于公钥加密防范经典计算机的方式。在过去 12 个月中,Google Chrome、Signal 和 Apple 宣布在其平台内进行后量子集成,以保护用户的安全。

在金融领域处于领先地位的国际清算银行 (BIS) 宣布了 Project Leap,这是法兰西银行和德意志银行之间的抗量子安全通信通道,并在今年早些时候概述了另外六个项目。

令人鼓舞的是,我们还看到量子威胁成为美国立法者关注的焦点,《量子计算网络安全准备法案》在双边国会支持下获得通过。 

然而,由于风险如此之大,仅仅鼓励还不够。此外,这些项目还不够充分,暴露了最后一英里的漏洞,互操作性的范围很小。例如,Project Leap 保护从外围到外围的通信,而不是最终用户之间的通信,这为黑客提供了最后一英里的漏洞和明显的目标。

银行应如何构建量子安全基础设施

希望我已经让大家认识到了防量子银行基础设施的重要性,那么银行应该做什么呢?

尽管我们看到了一些自上而下的监管举措,但银行不能等待。美国或英国的国家预算中都没有提及金融量子安全法规。我建议金融机构创建自己的端到端安全基础设施。

首先评估您的 IT 系统和基础设施以识别漏洞,并优先考虑保护易受 HNDL 攻击的敏感长寿命信息。从那里开始,保护整个基础设施的通信(也许使用端到端量子安全信使)。

为了避免与互操作性相关的问题,请参考互联网工程任务组 (IETF),该组织最近批准了一项 VPN 协议,该协议允许将多种后量子和经典加密算法合并到 VPN 中,确保不会中断现有 IT 的功能系统。

由于银行业互联互通的性质,总会有交易对手成为受害者而无法解决问题。至少,您必须定期将最关键的信息存档在您自己的带外安全数据存储库中。

如果发生索赔,您可以向监管机构和承保人证明索赔的准确性、有效性和完整性。因此,一旦发生违规行为,您将最有能力说服监管机构、提出保险索赔,更重要的是,从破产银行吸引新客户。这听起来可能有些极端,但我相信这将是一个赢家通吃的未来。

在过去 20 年里,量子计算机的出现已经从理论走向了绝对。量子计算研究的势头正在增强,每天的量子计算时间也在缩短。保持领先和果断行动的重要性怎么强调也不为过。如果我们继续沿着目前的轨道前进,即使是最先进的量子迁移也无法及时完成。

所以,我同意卡谢菲的观点:除非我们采取行动——你们都应该非常担心。

需要帮助吗?联系我们的支持团队 在线客服