המרוץ נגד הזמן: מהפכת ההצפנות הפוסט-קוונטיות

בעשור הקרוב צפויה תשתית האבטחה של המערכת הפיננסית העולמית לעמוד בפני האתגר הגדול ביותר מאז המצאת ההצפנה המודרנית. על פי הערכת גרטנר, עד שנת 2030 לפחות 20% מהארגונים הגלובליים יידרשו להטמיע הצפנה פוסט-קוונטית כדי להגן על מידע רגיש מפני מחשבי קוונטום מתקדמים. מומחים מעריכים, כי שוק זה צפוי לצמוח מ-0.42  מיליארד דולר ב-2025 ל-2.84 מיליארד דולר עד 2030, עם שיעור גידול שנתי של כ-46.2%. במקביל, באוגוסט 2024 פרסם המכון האמריקני לתקנים (NIST) את הסטנדרטים הראשונים להצפנה פוסט-קוונטית, צעד שמסמן מעבר חד משלב המחקר לשלב האימוץ התעשייתי. בעקבות כך, רגולטורים ברחבי העולם כבר דוחקים במוסדות פיננסיים להתחיל במעבר באופן מיידי. לדוגמה, הרגולציה האירופית דורשת היערכות מלאה עד 2030. המשמעות ברורה: עבור בנקים וגופים פיננסיים, ההיערכות לעידן הקוונטי אינה שאלה של חדשנות, אלא של הישרדות.

היום כבר לא מדברים על איום עתידי רחוק. גורמים עוינים אוספים כבר היום מידע מוצפן רגיש, בידיעה שבעתיד הקרוב יוכלו לפענח אותו באמצעות מחשבי קוונטום. המעבר להצפנה פוסט-קוונטית הוא החלטה אסטרטגית קריטית, שתקבע אילו ארגונים ישרדו את המהפכה הטכנולוגית הזאת.

בשעה שמחשבי קוונטום הופכים במהירות ממדע בדיוני למציאות מוחשית, חברת קינדריל השלימה לאחרונה פרויקט חלוצי להטמעת הצפנה פוסט-קוונטית במיינפריים של בנק שוויצרי מוביל. ההכרזה של קינדריל על השלמת הפרויקט מגיעה בתקופה שבה חברות רבות מכריזות על התקדמות משמעותית בתחום. לדוגמה, גוגל פרסמה באוקטובר השנה הדגמה של העליונות הקוונטית שהשיגה לטענתה, וחברת SEALSQ השיקה בחודש נובמבר האחרון את השבב הראשון בעולם המכיל הצפנה פוסט-קוונטית ברמת החומרה – סימן ברור שהתעשייה עוברת משלב המחקר לשלב היישום המעשי.

"חשוב לעבוד לפי מתודולוגיה מסודרת להערכת מוכנות ארגונים לעידן הקוונטי ולהטמעת פתרונות מתאימים. אין זה רק עדכון תוכנה, אלא מדובר בטרנספורמציה מקיפה. הדורשת מיפוי של כל המערכות הקריפטוגרפיות בארגון, הכשרת צוותים ובניית יכולת "crypto-agility", שמאפשרת להחליף אלגוריתמי הצפנה במהירות בהתאם לאיומים המתפתחים"

מחשבי קוונטום מאיימים לשבור את שיטות ההצפנה המסורתיות כמו RSA ו-ECC, שעליהן מבוססות ההצפנות במערכת הפיננסית העולמית. מומחים מעריכים, שעם הפעלתם של מחשבי קוואנטום, תוך שנים ספורות יוכל להיפרץ מידע מוצפן, שכיום יידרשו אלפי שנים לפיצוח שלו על ידי מחשבי על, תוך שעות בודדות.

התופעה המכונה "Harvest Now, Decrypt Later" (קצור עכשיו, פענח מאוחר יותר) כבר מתרחשת: האקרים אוספים מידע מוצפן של בנקים ומוסדות פיננסיים, וממתינים ליום שבו יוכלו לפענח אותו. מידע פיננסי רגיש – מפרטי כרטיסי אשראי ועד נתוני עסקאות בשווי מיליארדים – נמצא בסיכון ממשי.

חשוב לעבוד לפי מתודולוגיה מסודרת להערכת מוכנות ארגונים לעידן הקוונטי ולהטמעת פתרונות מתאימים. אין זה רק עדכון תוכנה, אלא מדובר בטרנספורמציה מקיפה. הדורשת מיפוי של כל המערכות הקריפטוגרפיות בארגון, הכשרת צוותים ובניית יכולת "crypto-agility", שמאפשרת להחליף אלגוריתמי הצפנה במהירות בהתאם לאיומים המתפתחים.

למשל, הפרויקט בבנק השוויצרי, שארך כמה חודשים, כלל לא רק החלפת אלגוריתמי הצפנה, אלא גם התאמת תשתיות, אופטימיזציה של ביצועים והכשרת צוותי IT. הבעיה היא, שבעוד שבנקים מובילים בעולם כמו JPMorgan, HSBC ו-Intesa Sanpaolo כבר משקיעים מיליונים במעבר להצפנה פוסט-קוונטית, המגזר הפיננסי הישראלי עדיין אינו ערוך במלואו.

הבנקים הישראליים חייבים להתעורר! מי שיתחיל את המסע היום יהיה מוכן בזמן. מי שיחכה, עלול למצוא את עצמו חשוף לאיומים חסרי תקדים. בנקים וארגונים פיננסיים חייבים לנקוט מיידית כמה צעדים, בהם: מינוי צוות ייעודי לנושא הקוונטום בכל ארגון פיננסי, ביצוע מיפוי מקיף של כל המערכות הקריפטוגרפיות, פיתוח תוכנית מעבר מדורגת עם יעדי זמן ברורים, השקעה בהכשרת צוותי IT ואבטחת מידע והתחלת פיילוטים במערכות לא קריטיות.

הזמן לפעול הוא עכשיו. בעולם שבו איומי סייבר מתפתחים במהירות הבזק, היערכות להצפנה פוסט-קוונטית היא לא עניין של יוקרה טכנולוגית אלא הכרח קיומי להבטחת היציבות הפיננסית של ישראל.

הכותב הוא מנכ"ל קינדריל ישראל.