量子准备工具包 ： 构建量子安全经济

与德勤合作 量子准备工具包：建立量子安全经济 WHITEPAPERJUNE2023 图片：盖蒂图片社 Contents 1成为量子网络就绪的指导原则5 2成为量子网络就绪的原则：深入分析6 2.1确保组织治理结构制度化6 量子风险 2.2提高整个组织的量子风险意识8 2.3 3.3 3.3鼓励跨生态系统的合作11 免责声明本文档由 世界经济论坛是对项目，见解领域或互动的贡献 。此处表达的发现，解释和结论是世界经济论坛促进和认可的合作过程的结果，但其结果不一定 代表世界经济论坛的观点，也不是其成员、合作伙伴或其他利益攸关方的整体观点。 ©2023年世界经济论坛。保留所有权利。本出版物的任何部分不得以任何形式或通过任何方式复制或传播，包括影印和记录，或通过任何信息存储和检索系统。 2023年6 月 量子准备工具包：建立量子安全经济 前言 领导者在制定企业安全战略时需要了解并考虑量子威胁。 JeremyJurgens世界经济论坛董事总经理 艾萨克·科恩 合伙人，德勤，瑞士 ColinSoutar美国德勤董事总经理 加速量子计算领域的发展将给网络安全领域带来新的挑战。组织将需要适应量子计算机带来的风险，这将有可能打破我们今天依赖的许多安全通信和数据保护的加密系统。 去年，世界经济论坛与德勤合作发布了《向量子安全经济过渡》白皮书，概述了量子计算机的风险，并为组织转变量子时代的治理和安全实践提供了初步指导。即使量子威胁尚未实现，对组织来说也至关重要 开始计划一个安全和及时的量子过渡，以避免在未来更显著的影响。 为了帮助组织为这一新现实做好准备，本白皮书提出了一套原则 组织可以用来帮助确保他们准备安全地进入量子计算时代。这些原则涵盖了一系列领域，从制定面向未来的技术战略 ， 在治理结构和现有风险管理流程中嵌入量子风险，以找到合适的人才来应对这一新挑战。 这些原则的核心是对风险管理的关注，以及使用技术和软技能采取积极主动的安全方法的需要。组织必须更好地了解他们面临的风险，以便他们能够采取正确的措施来减轻这些风险。这需要今天愿意投资于必要的工具和经验，以便为量子网络做好准备。 展望未来，量子计算无疑将带来新的挑战和机遇。然而 ，通过正确的方法，组织可以做好准备，以便他们准备好驾驭这一新的环境，保护他们的关键资产和信息。我们希望 本白皮书中提出的原则将成为组织寻求增强量子安全准备的宝贵资源。 虽然一个完全成熟的商业上可行的量子计算机的时间表仍然存在很多争论，但人们一致认为，未来存在一个真正的可能性。真正的问题是：升级基础设施需要多长时间，数据的预期寿命是多少？如果您还不知道这些问题的答案，现在是采取行动的时候了！。 执行摘要 五项指导原则可以帮助组织接受量子安全经济。 量子计算机为全球的企业和组织提供了变革性的力量，并通过各种 工业。然而，它们也给当前的数字经济带来了巨大的风险。在不久的将来，足够强大和商用的量子计算机将破坏当前保护大多数数字通信和大量敏感数据的加密标准。减轻这种安全风险需要组织实施量子计算机无法破坏的量子安全技术。组织需要进行大规模而复杂的过渡，以适应量子计算机攻击。 需要一种有凝聚力的、全球性的、跨界的方法来处理网络安全和管理量子风险。这个量子准备工具包提供了一个包含五项原则的框架，通过提供评估其量子准备并确定和优先考虑未来行动的步骤，指导组织为量子安全经济做好准备。输入来自世界经济论坛量子安全工作组期间的深入对话。 多利益相关方的努力，汇集了来自企业、政府、监管机构和学术机构的高级网络和量子高管以及专家社区。 组织需要通过定义清晰的路线图，明确的角色和责任，将量子风险与现有风险放在一起。 组织需要提高认识，投资于教育和技术采用，以及与生态系统协作。这个工具包和随附的知识库旨在 为领导者提供必要的指导，以实现全组织对量子的理解风险及其治理-为了在量子安全的经济中蓬勃发展。 Sinceorganizationsvariedinsize,industryandmaturity,thetoolkitdoesnotserveasaone-size-fits-allsolution.所有组织都必须完成自己的量子安全过渡。该工具包作为探索组织的 量子准备的独特策略可以看起来像。 1 成为量子网络就绪的指导原则 旨在指导和实现量子安全过渡的五个原则。 这五个指导原则提供了实际指导，帮助组织了解如何开始量子安全过渡。它可以帮助组织 了解他们在哪里，找出他们准备成为量子安全的差距，并改善他们的量子安全的初始步骤。 Figure1 理解量子安全过渡的指导原则 确保组织治理结构将量子风险制度化 量子威胁要求组织通过定义明确的目标，角色和责任，并建立领导支持以有效实施变革，使其治理结构与量子网络准备过渡保持一致。 提高整个组织的量子风险意识 揭开量子威胁的神秘面纱是关键。这不仅需要量子网络准备专家，而且还需要高级领导者和风险管理者了解威胁对组织的风险和影响。 将量子风险与现有网络风险一起处理并优先考虑 量子网络就绪组织遵循结构化方法来评估和管理量子风险，并将减轻这种风险整合到现有的网络风险管理程序中。 为未来的技术采用做出战略决策 管理量子风险为组织提供了重新评估其技术前景的机会，特别是密码学的使用。为了充分利用有助于减轻量子风险的技术解决方案，组织应该制定战略技术决策，支持“加密敏捷性”以实现其安全目标。 鼓励跨生态系统的协作 量子风险是一种系统性风险，有效的量子安全策略包括与其他组织合作和共享信息，以识别整个生态系统和供应商的风险，从而共同减轻此类风险 。 量子准备工具包：构建量子安全经济5 2 成为量子网络就绪的原则： 深入分析 每个原则的定义都有其他考虑因素和简要指导，以证明有效的采用和实施。 在驾驭量子时代的复杂性时，量子准备工具包确保我们不仅能够承受量子安全转换，而且能够在其中脱颖而出。 DanielCuthbert，全球网络安全研究主管，桑坦德银行 2.1确保组织治理结构将量子风险制度化 清晰和结构化的治理对于建立一个能够抵御当前和未来量子风险的组织至关重要，例如量子安全过渡计划，分配的责任以及更新的政策和操作程序。 为了提高准备程度，组织治理结构应将量子风险制度化，从而有效地实施变革。组织需要明确制定其量子安全目标和角色。 关键考虑因素 -平衡规定性与开放式指南：不存在减轻量子风险的“一刀切”方法。 （国际）标准和建立共识 跨地域可以帮助大型组织防止冲突的需求。 –从小处着手：从一个小团队和任务开始，遵循互动的逐步方法，与社交活动相结合，让所有利益相关者参与进来 。将过渡段拆分为几个小段（例如Procedre限于组织或产品套件的特定部分）为采用和社会化提供了时间，降低了进入壁垒并最大程度地提高了未来阶段的整合经验。 –确定减轻量子风险照常成为业务的一部分：使量子成为公认的风险，是常规网络安全活动的一部分。在现有的网络安全运营模型中嵌入量子风险和未来的加密风险。 TABLE1 确保组织的做法和活动 治理结构将量子风险制度化 任命加密倡导者，将量 子风险的影响社会化，并在组织内推动量子安全计划。 –任命或雇用可以推动和加速量子网络准备的加密冠军，并成为联络点，以提供更广泛的量子风险和见解。 – 组织跨职能协作论坛，以鼓励加密负责人和利益相关者团体（例如安全官员，工程师，IT项目经理）之间的讨论和协 作，以帮助解决与量子相关的问题。 –让相关利益相关者（如加密冠军或量子转型项目团队）对量子安全转型计划进行挑战和反馈，然后将反馈和经验教训纳入量子安全路线图。 制定路线图以实现量子 安全，并使路线图与量子风险评估和组织风险偏好保持一致。 –创建具有明确目标、时间表、里程碑和随时间推移衡量进展的能力的量子安全路线图。 – 在量子安全过渡的早期对潜在成本和时间表进行估计，以指导预期并提高对过渡成本的认识。 – 将量子安全路线图与更广泛的路线图（例如总体网络安全路线图）以及任何相关的相邻安全或技术功能（例如大型云过渡）保持 一致。 –实施反馈机制，将相关受影响的利益相关者团体的输入纳入量子安全路线图。 –记录从量子安全过渡中吸取的经验教训，并积极传播/纳入新战略和大规模转型的制定中。 –使量子风险与组织内的相关长期战略举措保持一致，例如公司责任计划，这将有助于获得更多支持并创造更多战略凝聚力。 根据组织变革定期更新 政策和程序 和相关发展。 –在组织内的加密策略和标准中嵌入或开发量子安全要求。 – 定期更新加密策略，以纳入新颖的见解，组织变革和行业良好实践。 –组织培训课程，帮助团队了解组织变革和新的工作方式。 –集成在第三方合同中使用量子安全技术的要求。 –在整个组织中分配适当的职责，并包括各自拥有减轻量子威胁的职能。这些职能包括但不限于法律顾问，数据官员和运营经理 。 –为从事量子安全过渡的员工提供足够的执行支持和任务，以推动变革。 –向安全、风险或相关职能部门内的负责任和负责任的职能部门领导报告进展和方案风险。 为量子安全项目建立有效的治理和任务。 实践活动 2.2提高量子风险意识整个组织 对量子后安全采取行动的重要性怎么强调都不为过。组织经常想知道何时开始以及如何开始 ，谁应该是利益相关者等。量子准备工具包就是试图回答这些问题并向前迈进。 ReenaDayal，印度理事会量子生态系统和技术主席 量子风险对许多人来说是一个新颖的概念-制定创造性的人才战略：有利益相关者，经常被误解或已查看人才的稀缺性，并不是每个人都需要作为一个高度复杂的技术主题，成为量子物理学的专家，数学领导者。这种感知的复杂性诱使许多或计算机科学。缺乏可用的人才利益相关者推迟任何有意义的行动意味着组织应该具有创造性 ortodisregardthetopiccompletely.Toraisehiringandreskilingexistingtalenttohelpensureawarenessofquantumrisk,organizationsshould有足够的专业知识。 积极理解和辨别量子风险和 将专注于量子风险的知识传播到定制意识和教育活动： 相关的内部和外部利益相关者。各种职能，包括首席执行官和更广泛的 钥匙注意事项 安全社区，应该跟上量子威胁的进步。然而， 如果没有足够的背景，与量子威胁有关的新闻可能会触发组织 领导者带着恐惧和恐惧接近这个话题 -避免散布恐惧，不确定性或怀疑：恐慌而不是头脑清醒-围绕管理量子思考策略的许多对话。因此，更新应该以恐惧为中 心。治疗量子胁在 清晰，并有充分的准备，减少了围绕主题的整体恐慌。 确保组织治理结构将量子风险制度化的实践和活动 像其他（新兴）网络威胁一样，将创新和发展纳入威适当的背景。 TABLE2 实践活动 评估跨利益相关者群体需要哪些知识才能使组织做好准备。 –映射组织内可能受到量子威胁影响的所有相关角色（例如加密人才，人力资源，风险经理）。1 –制定技能矩阵，描述每个角色的知识要求和需求，以帮助确定优先次序和定制意识活动。使用现有指南和示例，例如Quantum-SafeCanada的课程指南2或欧盟的量子技术能力框架：方法论和版本历史3). 增强组织对专门从事量子威胁的人才的获取。 –评估需要什么量子安全人才，并制定一项战略，包括招聘、培训和/或提高人才技能。 –建立伙伴关系和协作网络，以增强量子安全人才。 –为管理量子风险至关重要的职能人才（如密码师、产品开发人员和网络工程师）提供量身定制的培训和开发机会。 在组织中的相关领导者中建立意识和知识。 –制定并实施可操作的社会化计划，旨在提高组织中高级利益相关者对量子准备重要性的认识。 –任命安全，风险管理和相关职能部门的职能负责人，担任负责解决其域内量子风险的大使。 –支持高级领导