מערך הדיגיטל הלאומי פרסם השבוע הנחיות מקיפות בנוגע לאיומי הפריצה הקוונטית. התייחסות המערך לנושא המורכב והקריטי זה מגיעה באיחור יחסי, לאחר שמדינות רבות בעולם כבר החלו להיערך לאתגר.
בשנה שעברה סקרנו בהרחבה את החשיבות שבפיתוח פתרונות להגנה מפני איומי סייבר קוונטי, והדגשנו את האתגרים האבטחתיים המורכבים המחייבים התייחסות ברמה הלאומית. בשוק התקשורת הישראלי, חברת בזק הייתה החלוצה כשהתקשרה עם HEQA Security, חברה מובילה בתחום הפצת מפתחות קוונטיים (QKD – Quantum Key Distribution), במטרה להטמיע את הטכנולוגיה ברשת התקשורת שלה.
למרות חשיבות הנושא, מלבד בזק, חברות תשתית התקשורת האחרות טרם העמידו את האבטחה הקוונטית בראש סדר העדיפויות שלהן. משרד התקשורת, שלפני כשנה התקשה להבין את מלוא משמעות האתגר, מגלה כעת מעורבות גוברת. זאת לאור החשיפה של חברות תשתיות התקשורת המפוקחות (בזק, IBC, סלקום, פרטנר, הוט) ולקוחותיהן לאיום החדש. בקרוב צפויות להתפרסם הנחיות משרד התקשורת בנושא, אשר ישתלבו במאמץ הכולל של מערך הסייבר הלאומי להתמודד עם האתגר.
ניר בר- לב , מנכ"ל HEQA Security ציין, "חברת HEQA Security כמי שמייצגת ישראלית יחידה בתחום ההגנה הקוואנטית ומובילה עולמית עם טכנולוגיית התקשורת הקוואנטית להפצת מפתחות ( QKD), מספקת מענה לביקושים ההולכים וגדלים המגיעים בעיקר מחברות תקשורת, ממרכזי המחשוב (Data Center) של הבנקים הגדולים בעולם וחברות ענן בינלאומית. כשהבנו שכבר כיום, יש מי שמקליט את התעבורה על גבי רשתות הסיבים בעולם על מנת שיוכל לפענח מאוחר יותר ( Man-in-the-middle ) הבנו שבזק (כמחזיקה של כ- 70% מתעבורת ה- DATA ע"ג רשת הסיבים שלה), היא השותף האופטימאלי עבורנו בישראל (הן לטובת ההגנה על רשת הסיבים שלה והן לטובת ההגנה על לקוחותיה). בחרנו לחבור יחד ולהוביל את המהלך כמהלך אסטרטגי, גם ללא מעורבותם של גורמי הרגולציה בישראל, זאת למרות שבמדינות רבות בעולם הרגולטור כבר הוציא הנחיות להקמת רשתות QKD.
גם הפיקוח על הבנקים הורה בחודש שעבר להיערך לסיכוני סייבר. במכתב של דניאל חחיאשוילי המפקח על הבנקים, הוא דורש היערכות המערכת הבנקאית הישראלית לעידן המחשוב הקוונטי ומפרסם הנחיות חדשות בנושא. המסמך החדש משקף שינוי תפיסתי מהותי בהערכת האיומים הקוונטיים על המערכת הפיננסית, כאשר לוח הזמנים המוערך להתממשות האיום התקצר משמעותית לעשור הקרוב.
האתגר המרכזי שמציב המחשוב הקוונטי למערכת הבנקאית נוגע ליכולתו לפצח שיטות הצפנה מקובלות, במיוחד הצפנה אסימטרית, המשמשת כיום להגנה על תקשורת פיננסית ועסקאות בנקאיות. סיכון מיוחד מתגלם בתופעת "Harvest now, Decrypt later", שבה גורמים עוינים אוספים כבר היום מידע מוצפן במטרה לפענחו בעתיד באמצעות מחשבים קוונטיים.
בתגובה לאיומים אלה, הפיקוח על הבנקים מחייב את המערכת הבנקאית לנקוט בשורת צעדים מקיפה. התאגידים הבנקאיים נדרשים לבצע מיפוי מקיף של כל נכסי המידע המוצפנים שלהם, להעלות את המודעות לנושא בקרב ההנהלה והדירקטוריון, ולעקוב באופן שוטף אחר התפתחויות טכנולוגיות בתחום. במקביל, נדרשת בחינה מעמיקה של שרשרת האספקה והספקים, תוך דגש על היערכותם לעידן הקוונטי.
הבנקים מחויבים להכין תוכנית היערכות מקיפה תוך שנה, שתכלול פיתוח יכולות ומיומנויות רלוונטיות, הכשרת עובדים, והקמת תשתיות מתאימות. התוכנית צריכה להתייחס גם לתרחישים שבהם לא ניתן להסב מערכות קיימות להצפנה פוסט-קוונטית, או למקרה שהאיום יתממש מוקדם מהצפוי.
הנחיות אלו משקפות את ההכרה הגוברת בצורך בהיערכות מוקדמת ומקיפה לאתגרי העידן הקוונטי, תוך הבנה שההגנה על המערכת הפיננסית מחייבת התאמה מתמדת לאיומים המתפתחים בזירה הטכנולוגית. ההיערכות המוקדמת נועדה להבטיח את המשך פעילותה התקינה והבטוחה של המערכת הבנקאית גם בעידן שבו מחשוב קוונטי יהפוך למציאות מעשית.
ניתן להניח שאחת המשימות המרכזיות של תת אלוף במיל' יוסי כראדי המועמד לראשות מערך הסייבר, תהיה להתמודד עם איום הסייבר הקוונטי ושיביא את ניסיונו הצבאי בתחום.
המרוץ העולמי להגנה מפני איומי סייבר קוונטיים מתאפיין בשלושה מישורים מקבילים: פיתוח טכנולוגי, רגולציה ממשלתית, והיערכות המגזר העסקי. בארצות הברית, הממשל הפדרלי הוביל מהלך משמעותי כאשר פרסם ב-2022 את המזכר הנשיאותי NSM-10, המחייב את כל הגופים הפדרליים לבצע מיפוי של מערכות ההצפנה שלהם ולהיערך למעבר לאלגוריתמים עמידים בפני מחשוב קוונטי.
בסין, המדינה משקיעה משאבים עצומים בפיתוח תשתית תקשורת קוונטית. הדוגמה הבולטת ביותר היא רשת ה-QUESS (Quantum Experiments at Space Scale), הכוללת לוויין ייעודי המאפשר תקשורת קוונטית מאובטחת למרחקים ארוכים. האירופאים, מצדם, השיקו את תוכנית EuroQCI שמטרתה לבנות תשתית תקשורת קוונטית מאובטחת ברחבי האיחוד האירופי.
בתחום העסקי, ענקיות טכנולוגיה כמו IBM, Google ו-Microsoft משקיעות מיליארדי דולרים בפיתוח פתרונות הצפנה פוסט-קוונטית. חברות פיננסיות מובילות כמו JPMorgan Chase כבר החלו בניסויים מעשיים בטכנולוגיית QKD להגנה על העברות כספים רגישות.
מגמה מעניינת נוספת היא שיתופי פעולה בין-מדינתיים בתחום. לדוגמה, בריטניה ויפן חתמו על הסכם לשיתוף פעולה בפיתוח טכנולוגיות הגנה קוונטית, כאשר המטרה היא לאחד משאבים ולהאיץ את קצב החדשנות. גם דרום קוריאה וסינגפור הודיעו לאחרונה על שותפות אסטרטגית בתחום.
במישור התקינה הבינלאומית, ארגון NIST האמריקאי מוביל את המאמץ העולמי לסטנדרטיזציה של אלגוריתמי הצפנה פוסט-קוונטיים. בשנת 2022, NIST בחר ארבעה אלגוריתמים מועמדים שצפויים להפוך לתקן העולמי החדש להצפנה עמידה בפני מחשוב קוונטי. תהליך האימוץ של אלגוריתמים אלו כבר החל במגזר הפרטי, כאשר חברות כמו Google מטמיעות אותם במערכות הדגל שלהן.
חשוב לציין כי המגמה העולמית מצביעה על כך שהאיום הקוונטי אינו תיאורטי בלבד. מומחים מעריכים כי תוך 5-10 שנים יהיו מחשבים קוונטיים מספיק חזקים כדי לשבור את שיטות ההצפנה הנוכחיות. תופעה מדאיגה שכבר מתרחשת היא "אגירת מידע מוצפן" על ידי גורמים עוינים, בתקווה לפענח אותו בעתיד באמצעות מחשבים קוונטיים.
בהקשר זה, ישראל ניצבת בפני הזדמנות משמעותית להוביל בתחום, בזכות היתרון היחסי שלה בתעשיית הסייבר העולמית. אולם, כדי לממש פוטנציאל זה, נדרשת השקעה ממשלתית משמעותית והירתמות של כלל הגורמים במשק, בדומה למתרחש במדינות המובילות בעולם.
ממשרד התקשורת נמסר בתגובה: "המשרד באמצעות יחידת הסייבר המגזרי עוסק יחד עם גורמים מדינתיים בלימוד הנושא באופן שוטף. בימים אלו נבחנות הנחיות נוספות להגנה על מאגרי מידע נוספים".
