بقلم: كيفن بوتشيك، نائب الرئيس الأول للابتكار لدى “سايبر أرك”
على الرغم من أننا لم نصل بعد إلى حقبة ما بعد الحوسبة الكمية، ولكننا نقترب منها في واقع الأمر بخطى متسارعة، إذ ما أن تصل الحواسيب الكمية إلى النضج العملي المطلوب سيكون بمقدورها كسر أنظمة التشفير التي تستند إليها كل التفاعلات الرقمية التي نعتمد عليها في الوقت الراهن تقريباً، الأمر الذي سيؤدي إلى جعل كل من المدفوعات عبر الإنترنت، والبريد الإلكتروني الآمن، والشبكات الخاصة الافتراضية (VPN)، وأنظمة البلوك تشين، وحتى رمز القفل الخاص ببروتوكول نقل النص التشعبي الآمن (HTTPS) في المتصفح، معرضة لمخاطر الاختراق.
ويعكس هذا الأمر الطبيعة التي يتسم بها عالم ما بعد الحوسبة الكمية والذي لن تتكشف خصائصه تدريجياً، بل إنها ستأتي على شكل موجة مفاجئة من التغيرات الجذرية، وسنصل إلى ذلك اليوم الذي يُنظر فيه إلى التشفير التقليدي بوصفه أداة موثوقة ولكنه سيصبح عديم الجدوى في اليوم التالي.
وبالرغم من حجم التحديات المقبلة إلا أننا سنكون قادرين من خلال الاستجابة الاستراتيجية المركّزة على بناء أنظمة لا تقتصر على كونها آمنة لحقبة ما بعد الحوسبة الكمية فحسب، بل ستتمتع بالمرونة اللازمة للوقوف في وجه ما هو قادم مثل التهديدات التي تعمل بسرعة الآلة والمدفوعة بالذكاء الاصطناعي العام (AGI). كما يتوجب علينا أن نستعد لمواجهة تعقيدات أكبر وأساليب هجوم أكثر تطوراً، وليس هذا فحسب، بل علينا أن نتوقع ظهور رياضيات جديدة بالكامل ناتجة عن تقاطع الذكاء الاصطناعي العام مع عالم ما بعد الحوسبة الكمية.
مشهد مخاطر يلوح في الأفق
تعد الحوسبة الكمية تهديداً مباشراً للتشفير الحديث، وقد يفرض الذكاء الاصطناعي العام بدوره تحدياً أوسع وأكثر ديناميكية أمام الطريقة التي نقوم من خلالها نحن والآلات التي تحمي عالمنا الرقمي، بمعرفة ما هو الجيد أو السيئ ومن الصديق أو العدو. وتؤدي هذه العوامل عند جمعها إلى خلق عاصفة مثالية ستكون الهوية فيها العنصر الأكثر أهمية على الإطلاق في إطار جهود التحكم الأمني.
ولن يقوم الذكاء الاصطناعي العام باستخدام نفس أساليب المهاجمين التقليديين، بل سيعمل على انتحال الهويات، والتكيف، وتسريع الهجمات. ولفهم تبعات مثل هذا الأمر علينا تخيل أثر محاولات التصيد الاحتيالي المعززة بالذكاء الاصطناعي العام الذي يتمتع بمعرفة آنية بسلوك الهدف وأنماط لغته، أو البرمجيات الخبيثة القادرة على أن تعيد باستمرار كتابة وتحسين أوامرها البرمجية اعتماداً على ملاحظات مباشرة متعلقة بالاستجابات على التهديدات.
وإضافة إلى ما سبق، فإن هناك الخطر الحقيقي الذي تفرضه الحوسبة الكمية في الوقت الراهن الذي من المرجح أن يتم استغلاله على نطاق واسع في المستقبل والمتمثل في أسلوب: “جمع البيانات المشفرة في الوقت الحالي وفك تشفيرها لاحقاً” (Harvest Now, Decrypt Later). ومن شبه المؤكد أن هناك الكثير من الدول والجهات الأخرى التي تقوم حالياً بجمع البيانات من حركة البيانات على الإنترنت ومن البيانات المشفرة المخزنة وذلك إما عن طريق خروقات أمنية أو عبر القيام بذلك دون علم المستخدمين.
وستتمكن الحواسيب الكمية المستقبلية على الأرجح من فك تشفير هذه البيانات بهدف توظيفها في انتحال الهوية وتنفيذ هجمات متطورة. وستشهد مستويات التهديدات وإمكانية تطوير أساليب هجوم جديدة توسعاً غير مسبوق في حال جمع هذه الأدوات مع الذكاء الاصطناعي العام الذي يتمتع بمعرفة شبه كاملة.
ولا تعد هذه الجوانب مجرد تصورات نظرية بل إنها حقائق آخذة في التشكّل، ومن المتوقع أن يعمل الذكاء الاصطناعي العام بسرعة الآلات ما يعني أن الدفاعات المحيطية التقليدية والكشف اليدوي عن التهديدات والاستجابة البشرية للحوادث قد تصبح غير فعالة إلى حد كبير. ولذلك يجب على الاستراتيجيات الدفاعية العمل بنفس الوتيرة، والتمتع بالقدرة على التكيف، وأن تكون مستقلة، ومستندة إلى الركيزة الأساسية للأمن الرقمي وهي الهوية.
نطاق الحماية الجديد
لقد أصبحت الهوية ولا سيما الآلية نطاق الحماية الجديد وذلك في خضم مشهد التهديدات الذي يرسم معالمه كل من فك التشفير الكمي ومخاطر الاختراق بواسطة الذكاء الاصطناعي العام.
ويشكل التواصل بين الآلات في الوقت الحالي النسبة الأكبر من أنشطة المؤسسات، ما يعني أن الهويات الآلية ستكون هي خط الدفاع الأمامي على الأرجح.
ويتزايد اعتماد واجهات برمجة التطبيقات، وحاويات البيانات (Containers)، وأحمال العمل السحابية، والخدمات المصغّرة (Microservices)، ووكلاء الذكاء الاصطناعي، على الهويات الآلية المعززة بالذكاء الاصطناعي ليس فقط لأغراض الاتصال، بل لتنفيذ أبسط المهام الأساسية. وفي هذا السياق تؤدي الإدارة السيئة للهويات الآلية (مثل الشهادات الرقمية أو مفاتيح واجهات برمجة التطبيقات) أو تعرضها للاختراق أو انتهاء صلاحيتها، إلى فتح المجال أمام الجهات التخريبية لانتحال الهوية، وزيادة الامتيازات التي استولت عليها، وسرقة البيانات على نطاق واسع.
وتحتاج معالجة هذا الأمر لأكثر من مجرد إدارة الأسرار أو الشهادات أو المفاتيح على النحو الذي نقوم به حالياً، إذ يجب أن تكون الهويات الآلية في هذا السياق:
- مرنة من حيث التشفير، وقادرة على التكيف السريع ومواكبة تطور معايير التشفير.
- جاهزة للعمل بسرعة الآلة، وقادرة على الإنشاء والتوثيق والإلغاء خلال أجزاء الميلي ثانية وليس خلال دقائق.
- آلية بالكامل، وقادرة على العمل طوال دورة حياتها التشغيلية وعلى نطاق واسع دون أي تدخل بشري.
ويمثل هذا الأمر المستوى التالي من التطور في مشهد الأمن السيبراني: طبقة أمن قادرة على التصدي لتهديدات سريعة تقودها آلات في بيئات سحابية أصيلة ومعززة بالذكاء الاصطناعي.
إنشاء دليل الهوية في عالم ما بعد الحوسبة الكمية
بالرغم مما سبق، فإن الخبر السار هو أنه يمكننا اتخاذ خطوات عملية الآن، إذ أن أركان الاستعدادات لما بعد الحوسبة الكمية بدأت تتبلور بالفعل انطلاقاً من رؤية شاملة.
ويجب على المؤسسات التركيز على الاطلاع الشامل والآني على جميع جوانب الهويات ضمن بيئاتها، وخاصة الهويات الآلية. ويشمل ذلك شهادات أمان طبقة النقل (TLS)، ومفاتيح الغلاف الآمن (SSH)، ومفاتيح واجهات برمجة التطبيقات، وحسابات الخدمات، والأسرار المضمّنة في مسارات التكامل المستمر/النشر المستمر (CI/CD)، وشهادات توقيع الرموز، ورموز الوصول، وهويات مزوّدي الخدمات السحابية، والتي لا يزال العديد منها غير مكتشفاً ضمن إطار الممارسات الأمنية المعمول بها حالياً.
وبمجرد تحقيق الرؤية، تصبح المعرفة الأولوية التالية، إذ يتوجب على فرق الأمن السيبراني عدم الاكتفاء بمعرفة وجود الهوية فحسب، بل عليها إدراك السياق والسلوك المتعلقين بها، وطرح أسئلة من قبيل: ما هي الخدمات التي تعتمد عليها؟ كم مرة يتم الوصول إليها ومن أي مواقع أو أنظمة يتم ذلك؟ وفي هذا الإطار، يعتبر وضع خط أساس سلوكي واكتشاف الانحرافات عنه من الأمور الجوهرية بهدف دعم تطبيق السياسات الديناميكية القائمة على المخاطر.
وتعتبر الأتمتة الركن الثالث والأكثر أهمية، إذ لا يمكن للإدارة اليدوية للهوية الآلية مواكبة البيئات الحديثة الحالية، وغالباً لا تزال تستخدم جداول بيانات لأداء هذه المهام إلى الآن. وقد لا ينجح هذا الأمر على الإطلاق خاصة وأن جوجل ومايكروسوفت وآبل قد اتفقت على ألا تتجاوز مدى سريان كل شهادة عامة 47 يوماً، ولا تتمتع أي مؤسسة أو حكومة في العالم بأي خيار في هذا السياق، لذلك يجب أتمتة كامل دورة حياة الهوية الآلية بدءاً من الاكتشاف، ومروراً بالتدوير (Rotation)، وصولاً إلى الإلغاء (Revocation)، وذلك حتى تتمكّن المؤسسات من الاستجابة الفورية والقضاء على المخاطر الناجمة عن الأخطاء البشرية.
كما ينبغي أن تشتمل الاستعدادات على المرونة في التشفير، إذ يجب أن تبدأ المؤسسات باختبار ودمج الخوارزميات المقاومة للحوسبة الكمية بشكل تدريجي. وتعني المرونة هنا القدرة على استبدال مكتبات التشفير ومكوناتها الأساسية دون الحاجة لإعادة هيكلة التطبيقات من الصفر، وهو أمر تتمتع بعض المؤسسات فقط بالقدرة على القيام به في الوقت الحالي.
وأخيراً، يجب توسيع نطاق مبدأ “الثقة الصفرية” (Zero Trust) لما هو أبعد من المستخدمين ليشمل الآلات أيضاً. ويجب التحقق من كل خدمة سحابية أو حاوية أو واجهة برمجة تطبيقات أو وكيل ذكاء اصطناعي، ومنح كل منها التفويض في كل مرة. كما ينبغي أن تستند الثقة إلى السياق، وأن يتم فرضها أثناء التشغيل، وأن تجري إدارتها وفقاً لمبادئ الحد الأدنى للامتياز.
وفي حال تحقق فرضية وجود الذكاء الاصطناعي العام، فإن الخطر لن يكون محصوراً في الأمن السيبراني فقط، بل سيمتد ليشمل العالم الرقمي بأكمله، ما يزيد الحاجة إلى أنظمة قادرة على التحقق من حقيقة البيانات ومن أصالة هوية الآلات ومن مشروعية أفعالها.
وتكمن مشكلة الهوية في قلب هذه المسألة، إذ لم يعد بالإمكان النظر إلى الهويات الآلية التي تسهم في ضمان أمن العالم الرقمي على أنها ستكون متواجدة ومناسبة دائماً، كما هو الحال مع مسألة الهوية البشرية التي استطعنا تجاوزها. ويجب أن تخضع الهوية الآلية للتحقق والتطبيق المستمرين، الأمر الذي يتيحه أمن الهوية الآلية التي ستكون الركن الأساسي للاقتصاد الرقمي والمجتمع ككل وذلك في عالم تتحدد معالمه بالحوسبة الكمية والذكاء الاصطناعي العام.
ويمكن للمؤسسات من خلال التركيز على الهوية الآلية والاستعداد من الآن للانتقال إلى عالم ما بعد الحوسبة الكمية، التحضير لاجتياز هذه المرحلة الانتقالية بنجاح.
