המפקח על הבנקים (בנק ישראל) פנה בשבוע שעבר לגופים עליהם הוא מפקח - כגון תאגידים בנקאיים וגורמים בעלי רישיון למתן שירותי תשלום - במכתב העוסק בהיערכות המערכת הבנקאית לסיכוני סייבר הנובעים מיכולות מחשוב קוונטי. המכתב מבאר את חובות אבטחת המידע והגנת הסייבר שהגורמים המפוקחים חייבים בהן לפי הוראת ניהול בנקאית תקין 364 (נב"ת), העוסקת בניהול טכנולוגיית המידע, אבטחת המידע והגנת הסייבר, שפרסם הפיקוח על הבנקים בחודש נובמבר האחרון.
מחשוב קוונטי היא טכנולוגיה המאפשרת לייצר מחשבים עם יכולות חישוב גדולות עשרות מונים ממחשבים סטנדרטיים. טכנולוגיה זו תאפשר, בין היתר, לפרוץ את מערכות ההצפנה הקיימות כיום בשוק, שמשתמשות בהצפנה אסימטרית. בשל כך, קיים סיכון למידע "במנוחה" (מידע שנמצא באחסנה פיזית במאגר מידע) שמוצפן בטכנולוגיה עכשווית ונשמר לטווח ארוך. הסיכון נובע מפרקטיקת "קצור עכשיו, פענח אחר כך" ("Harvest Now, Decrypt Later"), במסגרתה תוקפים גונבים מידע מוצפן בהווה, שומרים אותו, ומפענחים אותו עם היווצרות טכנולוגיה שמאפשרת זאת.
המפקח על הבנקים הגדיר שעל הגופים המפוקחים לבנות תכנית היערכות ראשונית כבר כעת, ולהעבירה לבדיקתו עד ינואר 2026. במסגרתה, על הבנקים לתת מענה לשלושת הנושאים הבאים לכל הפחות -
- העלאת מודעות לתחום המחשוב הקוונטי – על הבנקים להגביר את המודעות והבקיאות לתחום ולהתפתחויות בו בכל רמות הארגון, להתחשב בו בעת ניהול סיכונים ובהתקשרויות מול ספקים חיצוניים, ולבקר את ההיערכות הארגונית לסיכונים אלו;
- מיפוי וניהול נכסי מידע מוצפנים – על הבנקים למפות נכסי מידע ב'מנוחה' שחשופים לפרקטיקת "קצור עכשיו, פענח אחר כך", בתוך הארגון ומחוצה לו, ולמפות תהליכי העברת מידע שמשתמשים בהצפנה אסימטרית שחשופה לסיכון.
- היערכות לפיתוח יכולות ומיומנויות להתמודדות עם האיומים – על הבנקים לפעול בהווה לפתח יכולות ומיומנויות עתידיות, אם באמצעות הכשרת עובדים, בחינת ושדרוג תשתיות המחשוב, החלפת אלגוריתמים ותהליכים פגיעים, או הגדרת משאבים למהלכים כאלו.
המפקח על הבנקים אינו הגורם הראשון שמתריע מפני איומי סייבר הנובעים ממחשוב קוונטי או מחייב את מפוקחיו לפעול לקראתה. הבית הלבן הורה על היערכות כזו בממשל הפדרלי בארה"ב לפני כשנתיים, ובאותה שנה התריע על כך גם מערך הסייבר הלאומי בישראל.