前言:
隨著量子運算技術演進,傳統加密機制面臨急速瓦解的風險。CISO 扮演著橋梁角色,在技術與管理之間溝通,以確保企業保持彈性和安全性。本報告站在「台灣應用軟件」角度,深入解析 Jordan Avnaim 的受訪內容,並提出具體可行的落地策略。
第一章:理解威脅 — 無預警降臨的「Y2Q」
Avnaim 指出,量子電腦的出現無法預測,與 Y2K 有明顯差異:Y2K 有固定時間點,而所謂的「Y2Q」卻沒有倒數計時,一旦來臨,整個敏感資料系統將瞬間暴露於風險之中。這種特點使得「風險語言」比「技術術語」更容易被管理層所接納。因此,他主推 KICS 原則:「Keep It Cybersecurity Simple」,以簡單清晰的風險術語向董事會傳達量子威脅的重要性。
第二章:PQC 同時具備長期與短期挑戰
對於後量子密碼學(PQC)而言,Avnaim 強調「既是長期風險,也是近期操作挑戰」。他指出,今年是建立量子安全基礎設施的重要時刻,各界開始落實這項基礎。其中,「現在收集、日後解密」(harvest now, decrypt later) 是一種極具危害性的策略,攻擊者當下窃取加密資料,等到量子技術成熟後再行解密,這種風險目前很多組織還尚未意識到。
第三章:2025 年 CISO 的 PQC 路徑圖
- 盤點加密資產
Avnaim 建議,CISOs 必須了解組織當前的加密資產範圍,包括密鑰、憑證與協定等。他強調,目前許多組織的加密設施分散,缺乏統一管理機制,這將造成安全風險。
- 關注標準與規範走向
利用 NIST 已發布的量子安全演算法,及英國國家網路安全中心(NCSC)所制定的三步驟遷移計畫,幫助組織為未來可能的量子威脅做好準備。
- 部署加密敏捷性(crypto-agility)
Avnaim 建議組織選用能配合內部加密標準與流程的產品與供應商,並建立相應密鑰管理與 PKI 等機制,為未來做足準備,避免一次性大規模改造。
- 強化數位信任與韌性
未來的數位信任環境將以 PQC 為基礎,因為傳統加密在量子威脅來臨時「秒破」並不足以保障信任。因此,採用 PQC 是維持組織韌性與信任的唯一途徑。
第四章:台灣企業的實務建議
- 高階溝通策略:導入 KICS
向董事會簡明呈現量子威脅,不談演算法細節,而聚焦於可能造成的風險與損害,提升溝通效率。
- 防止「harvest now, decrypt later」
對高敏感性資料採用量子安全加密標準,即使攻擊者成功截取,也難以日後解密。
- 全面加密資產可視化
建議台灣企業建立集中管理平台,統一掌握密鑰生命週期、憑證與安全政策。
- 甄選 crypto-agile 供應商與架構
尋找具備加密演算法替換彈性與密鑰更新能力的解決方案,快速因應威脅演變。
- 參照國際趨勢與標準
利用 NIST、NCSC 等單位發表的 PQC 標準與計畫進行規劃,提升策略前瞻性。
- 整合數位信任策略
PQC 不僅是技術升級,更是重建企業信任基石的必要步驟。
結語:量子革命中的安全準備路徑
在量子時代的曙光尚未出現前,企業面臨的是「突如其來」的挑戰,而非可預見的倒數。透過 KICS 風險導向溝通策略,以及採取 PQC、crypto-agility 與統一管理等措施,CISO 才能真正為組織爭取韌性與數位信任的未來。讀者可藉此報告,全面理解後量子密碼學的重要性,並從風險溝通、技術落地到架構規劃進行具體部署,為未來量子安全時代奠定堅實基石。
資料來源:https://www.helpnetsecurity.com/2025/08/07/jordan-avnaim-entrust-pqc-trust/