當董事會開始問量子風險,你的答案準備好了嗎?
文/劉虹君
金管會《金融業後量子密碼遷移參考指引》正式發布。對許多人來說,這或許只是又一份新的監理文件。但對金融業而言,這可能是一個重要訊號:量子安全,正式從技術議題走向治理議題。未來幾年,金融機構面對的挑戰,不再只是防堵駭客攻擊,而是如何證明自己已經準備好面對量子時代。
當這個議題被帶進董事會,第一個被叫進會議室的,往往不是資訊部門主管。
是 CIO、CISO,甚至是董事。原因很簡單。過去談量子運算,大家總覺得那是未來的事情。現在,它已經成為監理機關開始關注的現在進行式。
最近與幾位金融業主管交流,大家最常問的不是:「PQC 是什麼?」而是:
「金管會到底希望我們做到什麼程度?」「如果主管機關明天來問,我該怎麼回答?」「我們要從哪裡開始,預算又該怎麼編?」
這三個問題透露出同一件事。金融業已經意識到量子風險正在靠近。但多數機構還不知道自己的起點在哪裡。
這與過去金融業面對個資法、雲端治理、零信任架構時的情況非常相似。
監理方向先出現–市場開始討論–先行者開始布局。
等到真正變成稽核要求時,大家才發現時間不夠用了。PQC 遷移,很可能也是同樣的劇本。
量子風險最大的特徵,就是它不像勒索病毒那樣會突然出現在新聞版面,也不像資料外洩事件會立即造成損失。它更像是一場正在倒數的計時器。所有人都知道它會到來。差別只在於,誰開始準備,誰還在等待。
從治理角度來看,這次指引最大的意義,不是要求金融機構立刻全面更換加密演算法,是在要求金融機構開始回答一個問題:「我們到底有多少系統會受到量子風險影響?」
這也是目前大部分金融機構最難回答的問題。
多年來的資訊系統建設,往往經歷了不同世代的技術演進。核心主機是一套。
網銀是一套。行動銀行又是一套。保險核心系統可能又是另一套。甚至同一個系統裡,不同模組使用的加密方式都可能不同。
許多金融機構花了數十年打造數位服務,卻未必完整掌握自身加密資產的全貌。
當董事會問:「我們的量子風險有多大?」
當稽核單位問:「哪些系統仍使用 RSA 或 ECC?」
當主管機關要求說明:「目前 PQC 遷移進度到哪裡?」
很多時候,會議室裡最大的風險,不是答案不夠好。而是根本沒有答案。
這也是為什麼我認為,未來一到兩年,金融業最大的需求未必是 PQC 產品,而是 PQC 盤點。
沒有盤點,就沒有治理。沒有治理,就沒有遷移計畫。沒有遷移計畫,就無法建立預算、排定時程,更不可能向主管機關說明準備進度。在量子安全議題上,看不見風險,本身就是最大的風險。
許多人以為 PQC 遷移是一個技術專案。其實更像是一個治理專案。技術只是最後一步。真正困難的,是知道哪些系統要改、哪些系統能改、哪些系統根本改不了。這些問題遠比演算法本身更複雜。這也是全球金融產業目前普遍面臨的挑戰。
站在長期觀察這個產業的角度,我認為金融業目前最需要的並不是更多的技術名詞。而是三件事。第一,是現況盤點。第二,是遷移路徑。第三,是可驗證的成果。因為董事會需要的是決策依據。主管機關需要的是進度證明。資訊部門需要的是執行路徑。而不是一份充滿專業術語的簡報。
金管會指引發布後,我最常聽到的問題不是技術規格,是:「我們現在的曝險範圍有多大?」「哪些系統未來可能需要調整?」「如果主管機關明天要求提出進度報告,我們手上有數據嗎?」
說到底,大家擔心的從來不是量子電腦。而是不知道自己的準備進度在哪裡。
在進行任何遷移規劃之前,首先必須建立完整的加密資產盤點與風險評估機制。先把看不見的風險看見。先把不知道的問題量化。先把模糊的討論變成具體數據。
當董事會需要報告時,有資料可談。當預算需要編列時,有依據可循。當主管機關詢問時,有進度可回覆。
真正重要的從來不是工具本身。而是能否讓決策者知道,自己目前站在哪裡。
事實上,金管會此次發布的並不只是原則性建議,而是已經提出明確的推動時程。
從 2026 至 2027 年的準備與盤點階段開始,到 2028 至 2030 年的遷移與驗證階段,再到 2031 至 2035 年完成金融業關鍵系統的後量子密碼轉換,代表金融業已正式進入量子安全治理的倒數計時。
換句話說,留給金融機構思考「要不要做」的時間已經不多。現在真正的問題,不是是否遷移。而是是否知道該從哪裡開始。
每一次監理政策出現,都會創造兩種機構。一種是在觀望。一種是在準備。
觀望的人,通常在期限將近時開始追趕。準備的人,則利用時間建立優勢。
過去如此。未來也不會例外。
金管會的指引不是終點,而是金融業量子安全治理的起點。從今天來看,PQC 仍然是一個未來議題。但從監理角度來看,它已經是現在進行式。
金管會發布的,不只是一份技術指引。更是一份金融業量子安全治理的路線圖。
從今天開始,比的已經不是誰先導入 PQC。而是誰先看見自己的風險。
因為所有遷移計畫的第一步,都不是換系統。而是先知道自己在哪裡。 知己,才能知戰。
