خطر در کمین است: دنیای کوانتوم و امنیت سایبری در ایران

به‌طور خلاصه و بدون ورود به جزئیات علمی پیچیده، تکنولوژی کوانتوم به استفاده از قوانین فیزیک کوانتومی برای انجام محاسبات، ارتباطات و اندازه‌گیری‌هایی اشاره دارد که با فناوری کلاسیک ممکن یا عملی نیستند.

در رایانش کلاسیک، کوچک‌ترین واحد اطلاعات «بیت» است که فقط می‌تواند صفر یا یک باشد. در دنیای کوانتوم، این واحد «کیوبیت» است. کیوبیت می‌تواند به‌صورت هم‌زمان در حالت صفر و یک باشد (برهم‌نهی) و چند کیوبیت می‌توانند به‌صورت فیزیکی به هم وابسته شوند (درهم‌تنیدگی). نتیجه این دو ویژگی، توان محاسباتی بسیار بالاتر برای مسائل خاص است، نه همه مسائل.

مهم‌ترین حوزه‌های کاربردی کوانتوم سه دسته‌اند. اول، رایانش کوانتومی که می‌تواند برخی مسائل مانند شکستن الگوریتم‌های رمزنگاری نامتقارن، بهینه‌سازی‌های پیچیده و شبیه‌سازی رفتار مولکولی را سریع‌تر حل کند. دوم، ارتباطات کوانتومی که امکان توزیع کلید رمزنگاری با تشخیص ذاتی شنود را فراهم می‌کند. سوم، سنسورهای کوانتومی که دقت اندازه‌گیری را در پزشکی، ناوبری و صنایع دفاعی به‌شدت افزایش می‌دهند.

نکته کلیدی این است که کوانتوم جایگزین رایانش کلاسیک نمی‌شود، بلکه آن را تکمیل می‌کند. برای امنیت سایبری، خطر اصلی کوانتوم در کوتاه‌مدت «حمله فوری» نیست، بلکه تغییر مفروضات بلندمدت امنیت و رمزنگاری است. به همین دلیل، کوانتوم امروز یک موضوع استراتژیک و ریسک‌محور است، نه صرفاً یک پیشرفت آزمایشگاهی.

اگر بخواهیم کوانتوم را کاملاً با لنز یک مدیر CISO و مدرس CISSP و رویکرد Risk‑Based بررسی کنیم، باید از همان نقطه‌ای شروع کنیم که CISSPهمیشه روی آن حساس است:

تهدید مهم نیست؛ ریسک مهم است.

در چارچوب CISSP کوانتوم نه یک «مشکل فنی رمزنگاری» است و نه یک پروژه تحقیق‌وتوسعه؛ کوانتوم یک تغییر در مفروضات ریسک است. سال‌هاست فرض پایه ما این بوده که شکستن RSA/ECC از نظر اقتصادی و زمانی غیرعملی است. کامپیوتر کوانتومی این فرض را تضعیف می‌کند، و در CISSPهر وقت یک فرض امنیتی تغییر می‌کند، یعنی باید ریسک دوباره محاسبه شود.

از نگاه مدیریت ریسک، سؤال اول این نیست که «کوانتوم کی می‌رسد؟» بلکه این است که:

اگر داده‌ای که امروز محافظت می‌کنم، عمرش از عمر الگوریتم رمزنگاری بیشتر باشد، Impact آن چیست؟

اینجاست که سناریوی Harvest Now, Decrypt Later به‌عنوان یک Risk Scenario واقعی وارد ERM می‌شود. حتی اگر Likelihood امروز پایین باشد، Impact بالقوه می‌تواند بسیار بالا و بلندمدت باشد؛ و طبق CISSP همین عدم تقارن کافی است تا ریسک از سطح قابل‌چشم‌پوشی خارج شود.

در ادامه، CISSP تأکید می‌کند که بدون دارایی‌محوری (Asset‑Based Risk Assessment) تصمیم‌سازی ممکن نیست. اگر سازمان نداند کجا از RSA و ECC استفاده می‌کند، عملاً نمی‌تواند Exposure واقعی به کوانتوم را بسنجد. نبود Crypto Inventory یعنی ناتوانی در تحلیل ریسک، نه صرفاً ضعف فنی.

از منظر حاکمیتی، کوانتوم یک ریسک استراتژیک است، نه عملیاتی. این ریسک باید:

- مالک داشته باشد (Risk Owner در سطح مدیریت ارشد)

- به زبان کسب‌وکار ترجمه شود (حقوقی، اعتباری، رگولاتوری)

- و به‌صورت رسمی پذیرفته، کاهش داده یا منتقل شود

در مدل CISSP تصمیم درست معمولاً نه «اقدام فوری پرهزینه» است و نه «نادیده‌گرفتن». بلکه اتخاذ موقعیت ریسک آگاهانه است: شروع برنامه‌ریزی، کاهش وابستگی‌های بحرانی، فشار بر Vendorها و آماده‌سازی مسیر مهاجرت تدریجی به PQC.

جمع‌بندی برای یک CISO ساده است:

کوانتوم خطری نیست که چیزی چونSOC حلش کند؛

کوانتوم ریسکی است که اگر امروز در Governance دیده نشود، فردا هیچ کنترل فنی‌ای جبرانش نخواهد کرد.