在应对量子计算的问题上，我们面临的紧迫性甚至超过了技术本身的挑战。

重大技术革新的速度之快已经超出我们的想象。临界点一旦到来，我们往往会严重低估其影响——正如近期生成式人工智能的爆发所示。而在量子计算领域，这种低估可能给企业带来灾难性后果。

现在是敲响警钟的时刻。ISACA最新的《量子计算趋势调查》显示：62%的受访者担心量子计算将破解现有互联网加密技术，但55%的企业尚未采取任何应对措施——尽管52%认为量子技术将改变企业所需的技能，46%认为其将催生革命性创新。更值得警惕的是，“先收集，后解密”（harvest now, decrypt later）的攻击模式正成为重大威胁。攻击者当前窃取的加密数据，可能在量子计算成熟后被解密。

NIST标准指明方向

此前，安全界因缺乏明确指导而踌躇不前，但如今已无借口拖延。2024年，美国国家标准与技术研究院（NIST）正式发布了后量子密码（PQC）标准，旨在抵御量子计算机的攻击。这一事件具有里程碑意义，意味着企业可以基于权威标准采取行动，但调查显示，除了Chrome浏览器已嵌入量子加密等少数例外，大多数组织仍无动于衷。

为应对所谓的“Q日”（即量子计算机破解现有加密的未知时点），我们亟需行动。企业应立即着手重新加密数据，若缺乏相关基础设施或未清点需加密的数据，将面临巨大风险。另一紧迫挑战是升级物联网（IoT）设备——这类设备难以迁移至后量子密码算法，可能导致传感器、摄像头、工业设备及公共设施管理系统暴露于威胁中。

此外，我们必须推动浏览器和网站支持NIST新算法。符合联邦信息处理标准（FIPS）的数字签名与加密方案将抵御量子攻击。这是一场与时间赛跑的战役：我们需在量子计算机成熟前完成全面迁移。不同于“千年虫”危机，我们无法预知最终期限，但这场竞赛已不容拖延。

当前量子计算机的研发难点不仅在于规模扩展，更在于降低错误率。现有设备的错误率过高，距离破解加密仍需数年。但若行业在纠错技术上取得突破，时间线可能大幅缩短。

不存在“一键切换”的魔法

开源代码与众多供应商已支持新标准，企业无需自行编写加密程序。但许多公司仍未开始评估哪些数据需重新加密及具体实施方案。

问题的关键在于，迁移不可能“一键完成”，必须按优先级分步推进。审计、风险与安全专家可围绕以下问题展开行动：

• 我们在哪些场景使用加密？能否切换至NIST后量子密码标准？

• 如何用新算法重新加密历史数据？

• 数字签名如何迁移至NIST后量子密码标准？

ISACA社区应引领行业为量子计算做好准备

调查显示，仅5%的受访者将量子威胁视为近期业务重点，这凸显了安全界的集体懈怠。有人辩称“量子计算机破解加密仍需数十年”，但这忽视了“先收集，后解密”的隐患。而这一隐患恰恰要求我们必须立即采取行动。更何况，倘若某些预测者的判断有误呢？假如量子计算机不是在 10 到 15 年后，而是在四五年内就破解了现代加密技术呢？当技术突破发生时，时间线可能会迅速且出人意料地被压缩。既然我们终究将面对这项工作，为何还要等待，让更多敏感数据面临被盗风险呢？

拖延只会让问题积重难返。若不立即着手数据重加密、数字签名迁移和算法升级，我们将陷入愈发被动的境地。

网络安全从业者、IT审计师及ISACA社区成员必须带头了解这些风险。观望阶段已结束。越早行动，我们越有机会避免量子灾难。

作者：Rob Clyde, ISACA董事会前主席， Crypto Quantique 董事会主席