Odporność sektora finansowego na Q-Day

(@Getty Images)

Od Waszyngtonu po Bazyleę, banki centralne i organy nadzoru finansowego intensyfikują prace nad wdrożeniem kryptografii postkwantowej (post-quantum cryptography, PQC), traktując tę operację jako wyzwanie dla stabilności rynków finansowych porównywalne ze złożonością odejścia od stopy LIBOR. W obliczu ryzyka przechwytywania poufnych danych już teraz (fenomen harvest now, decrypt later), tempo i zakres globalnej koordynacji są kluczowe dla zachowania zaufania w erze kwantowej.

Od fantazji do faktu

Rewolucja kwantowa wykracza poza zwykłą ewolucję mocy obliczeniowej. Zagrożenie jest tym większe, że komputery kwantowe nie stanowią jedynie szybszej wersji obecnych urządzeń, ale wykorzystują zupełnie nowe, nieintuicyjne zasady fizyki. Podstawą tej przeobrażającej mocy jest kubit (qubit) – jednostka, która dzięki superpozycji może istnieć w wielu kombinacjach jednocześnie, a także splątanie kwantowe (quantum entanglement), umożliwiające natychmiastową korelację między odległymi cząstkami. Technologia ta obiecuje rewolucję porównywalną z pojawieniem się tranzystorów i układów scalonych oraz oferuje moc obliczeniową zdolną do rozwiązania najtrudniejszych problemów ludzkości – od medycyny po energetykę i pełne wykorzystanie potencjału sztucznej inteligencji. Właśnie ta przeobrażająca moc, mająca zrewolucjonizować finanse, jest jednocześnie źródłem systemowego ryzyka dla ich bezpieczeństwa cyfrowego.

Dla sektora finansowego, bezpieczeństwo oparte na klasycznej, dotychczasowej kryptografii klucza publicznego, stanowiło niezawodny fundament bezpieczeństwa przez dekady. Jednak pojawienie się obliczeń kwantowych kwestionuje to zaufanie. O ile jeszcze niedawno koncepcja komputera kwantowego, który jest zdolny do złamania powszechnie stosowanych protokołów (cryptanalytically relevant quantum computers, CRQC), bywała lekceważona w środowisku cyberbezpieczeństwa, o tyle dziś panuje powszechna zgoda co do nieuchronności tego przełomu.

Gdy sztuczna inteligencja zostanie bankierem centralnym

Zmiana percepcji jest wspierana przez zróżnicowane, lecz coraz bardziej pesymistyczne prognozy dotyczące Dnia Kwantowego (Q-Day lub Y2Q) – daty, w której obecne szyfry zostaną złamane. Choć niektóre prognozy wskazują na datę około 1 stycznia 2031 r., a eksperci – cytowani przez amerykańską Rezerwę Federalną – sugerują datę przed 2032 r., to inne oceny są bardziej alarmujące – np. Cloud Security Alliance (CSA) określa datę Q-Day już na kwiecień 2030 r.

Technologia, zwłaszcza tak przełomowa jak obliczenia kwantowe, rzadko rozwija się liniowo; często następuje w skokach i nagłych okresach wzrostu wykładniczego. Banki centralne nie mogą sobie pozwolić na oparcie swoich planów na najbardziej łagodnym scenariuszu. Właśnie dlatego proaktywne wdrożenie kryptografii postkwantowej (PQC) staje się obecnie strategicznym celem, a nie tylko planem awaryjnym.

Systemowe ryzyko harvest now, decrypt later

Najbardziej palącym czynnikiem wymuszającym natychmiastowe działanie jest ryzyko harvest now, decrypt later (HNDL), czyli „zbierz teraz, odszyfruj później”. Podmioty o wystarczających zasobach, często będące jednostkami państwowymi, mogą już dziś przechwytywać i archiwizować poufne, klasycznie zaszyfrowane dane. Choć nie są w stanie obecnie ich odszyfrować, to w przyszłości – dzięki mocy kwantowej – będą mogły to zrobić.

Stanowi to szczególnie wysokie ryzyko dla wszelkich danych o długim okresie wrażliwości. Instytucje finansowe, w tym banki centralne i instytucje infrastruktury rynku finansowego, zarządzają ogromną liczbą danych, których poufność musi być utrzymana przez lata lub nawet dekady – od kluczy kryptograficznych, przez transakcje na instrumentach pochodnych, po dane makroekonomiczne i salda bankowe. Możliwość przyszłego przechwycenia danych sprawia, że te przechowywane i przesyłane dziś są już teraz narażone na ataki.

Międzynarodowy Fundusz Walutowy (MFW) wprost ostrzega, że zaniechanie zabezpieczenia cybernetycznego zagrozi w przyszłości stabilności finansowej. Systemowe luki w architekturze kryptograficznej mogą podważyć stabilność finansową na skalę globalną. Zagrożenie to dotyczy kluczowych elementów infrastruktury, takich jak systemy rozliczeniowe w pieniądzu banku centralnego, które muszą działać w czasie rzeczywistym i całodobowo. Ryzyko kwantowe przestaje być zatem ryzykiem przyszłym – jest to aktualne zagrożenie, ale z odroczonym skutkiem.

Kryptografia postkwantowa i polityka koordynacji

Skala i złożoność wymagana do przygotowania migracji do postkwantowej przyszłości podnosi ten problem z wyzwania IT do rangi priorytetu polityki makroekonomicznej i regulacyjnej. Bank Anglii (Bank of England, BoE) wyraźnie podkreśla, że transformacja ta będzie wymagała stałego wysiłku i długofalowego planowania, co jest wyzwaniem porównywalnym ze złożonością przejścia z referencyjnej stopy procentowej LIBOR na nowe stopy procentowe wolne od ryzyka (risk-free rates, RFRs).

Odejście od LIBOR było bowiem globalną, wielosektorową operacją, która wymagała m.in. zmiany architektury systemowej, umów prawnych i kontroli nadzorczej. Wprowadzenie PQC jest równie inwazyjne i wymaga skoordynowanej wymiany protokołów kryptograficznych we wszystkich warstwach systemu finansowego na świecie.

Jak sztuczna inteligencja może zagrozić stabilności finansowej

Świadomość systemowego ryzyka skłoniła najważniejsze instytucje międzynarodowe do zacieśnienia współpracy. Grupa Ekspertów Cybernetycznych G7 (G7 Cyber Expert Group, G7 CEG), współkierowana przez Departament Skarbu USA i Bank Anglii, wydała w 2024 r. oświadczenie, uznając ryzyko kwantowe za krytyczne. G7 CEG podkreśliła, że planowanie transformacji kwantowej jest kluczowe dla bezpieczeństwa i dalszego rozwoju gospodarczego, wzywając instytucje finansowe na świecie do zapewnienia odpowiedniego finansowania i zasobów dla tej transformacji.

Jednocześnie międzynarodowe instytucje, takie jak Bank Rozrachunków Międzynarodowych (BIS) i MFW, tworzą ramy wspierające system finansowy w tej transformacji. BIS podkreśla, że reforma musi rozpocząć się od szerokiej świadomości i szczegółowej inwentaryzacji kryptograficznej. W kontekście koordynacji działań, Bank Włoch (Banca d’Italia) zorganizował we wrześniu 2024 r. warsztaty dla przedstawicieli grupy G7, mające na celu wypracowanie wspólnego planu i agendy politycznej w zakresie odporności kwantowej. Koordynacja międzynarodowa tego przedsięwzięcia jest niezbędna, ponieważ globalne rynki finansowe – w tym dynamicznie rozwijające się obszary, takie jak np. aktywa tokenizowane (np. Project Agorá BIS) – wymagają harmonizacji regulacyjnej.

Zaangażowanie G7 i krajowych instytucji regulacyjnych, jak brytyjskie Narodowe Centrum Cyberbezpieczeństwa, koncentrujących się na najbardziej wrażliwych systemach i zarządzaniu kluczami kryptograficznymi, dowodzi, że PQC jest postrzegana jako zasadnicza kwestia bezpieczeństwa narodowego oraz suwerenności gospodarczej. Ochrona m.in. mechanizmów cenotwórczych, systemów płatniczych i komunikacji rządowej przed złamaniem zabezpieczeń oraz rozszyfrowaniem danych jest strategicznym priorytetem, wykraczającym poza standardowy nadzór cybernetyczny.

Projekty banków centralnych

Banki centralne nie tylko uczestniczą w globalnej koordynacji, ale również aktywnie prowadzą prace pilotażowe w zakresie implementacji PQC. Kluczowym przykładem jest Project Leap – wspólny eksperyment BIS Innovation Hub Eurosystem Centre, Banku Francji i Deutsche Bundesbanku. Celem tego projektu jest praktyczne zabezpieczenie systemów finansowych i procesów banków centralnych przed zagrożeniem kwantowym.

Projekt Leap koncentruje się na specyficznych wyzwaniach integracyjnych – nie tylko na minimalizacji ryzyka złamania szyfrów, ale także na eksploracji potencjału kwantowego w zakresie optymalizacji i analizy makroekonomicznej (np. w celu wykorzystania algorytmów kwantowych w stress testach i wycenie aktywów).

Bank Anglii przyjął kompleksowe podejście, traktując obliczenia kwantowe dwutorowo: jako źródło ryzyka i innowacji. BoE aktywnie rozwija scenariusze ryzyka związane z PQC, takie jak potencjalne luki w zabezpieczeniach systemów oraz ryzyko wynikające z handlu wspomaganego kwantowo (quantum-enhanced trading). Bank centralny Wielkiej Brytanii buduje też zdolności nadzorcze w ramach Prudential Regulation Authority (PRA), aby móc skutecznie reagować na wyzwania postkwantowe w systemie finansowym. Strategia ta obejmuje również zachęcanie do podnoszenia kwalifikacji zawodowych w całym sektorze finansowym, aby poprawić ogólną świadomość ryzyka kwantowego.

Standaryzacja algorytmów

Globalna migracja PQC zależy od powszechnie przyjętej standaryzacji algorytmów odpornych na ataki kwantowe. Narodowy Instytut Standardów i Technologii (NIST) w USA jest na zaawansowanym etapie tego procesu. W marcu 2025 r., algorytm HQC (Hamming Quasi-Cyclic) został wybrany do standaryzacji. Publikacja kluczowych standardów, takich jak FIPS 203 (Federal Information Processing Standard 203), stanowi podstawę do rozpoczęcia wdrożeń przez globalne instytucje finansowe.

Równolegle, brytyjskie Narodowe Centrum Cyberbezpieczeństwa aktywnie wspiera system finansowy, współtworząc globalne standardy (np. RFC 9794), które precyzyjnie definiują terminologię dla hybrydowych schematów PQC. Jest to kluczowe dla dokładnego porównywania standardów bezpieczeństwa i ułatwienia interoperacyjności globalnej architektury finansowej.

Technologiczna transformacja – jak AI rewolucjonizuje finanse

Standaryzacja stanowi zaledwie początek. Algorytmy PQC są co prawda odporne na ataki kwantowe, ale ich charakterystyka – jak np. większa objętość kluczy, zwiększone wymagania obliczeniowe – stwarza nowe wyzwania techniczne i operacyjne, które były nieobecne w erze szyfrów klucza publicznego. Istnieje także możliwość pojawienia się błędów w nowych standardach NIST. Ryzyko odszyfrowania danych w momencie Q-Day jest jednak wyższe niż ryzyko błędu w algorytmie. Z tego powodu instytucje finansowe muszą tak projektować swoje systemy, aby umożliwiały szybką wymianę protokołów w razie potrzeby.

Wyzwania

Jednym z najpoważniejszych wyzwań stojących przed pełną migracją do PQC jest wpływ nowych algorytmów na wydajność systemów finansowych. Implementacja kryptografii postkwantowej wymaga zwiększonej mocy obliczeniowej, co często prowadzi m.in. do znacznego powiększenia rozmiaru kluczy.

Zwiększona złożoność obliczeniowa i objętość danych stwarzają z kolei obawy o znaczne spowolnienia w przetwarzaniu. Jest to szczególnie ważne dla transakcji natychmiastowych, takich jak systemy transakcyjne w czasie rzeczywistym, czy też systemy rozliczeniowe banków centralnych, gdzie minimalny czas reakcji jest funkcją bezpieczeństwa i płynności. W kontekście globalnych instytucji infrastruktury systemu finansowego, takich jak system TARGET, konieczne jest zapewnienie, że nowe kryptografie nie wprowadzą niestabilności operacyjnej.

Złożoność techniczna jest pogłębiana przez wyzwania operacyjne. Wiele instytucji finansowych wciąż opiera się na przestarzałej technologii i systemach dziedziczonych, które nie są w stanie obsłużyć nowej kryptografii. Wymagana jest nie tylko wymiana oprogramowania, ale często kosztowna modernizacja sprzętowa.

Równie poważnym problemem jest niedobór kapitału ludzkiego. Badania wskazują na luki w implementacji PQC, wynikające z niewielkiej bazy dostawców oraz niedoboru personelu z odpowiednimi kwalifikacjami. W odpowiedzi na te wyzwania, Narodowe Centrum Cyberbezpieczeństwa w Wielkiej Brytanii uruchomiło w 2025 r. pilotażowy program certyfikacji konsultantów PQC, aby zwiększyć dostępność wykwalifikowanych ekspertów w sektorze rządowym i przemysłowym. Program ma na celu zapewnienie organizacjom o złożonych wymaganiach cyberbezpieczeństwa dostępu do niezależnych usług konsultingowych w zakresie PQC.

Polskie technologie kwantowe lepsze od tych z Doliny Krzemowej

Dodatkowym wyzwaniem jest niepewność regulacyjna. Pomimo globalnych wezwań do działania (G7, BIS, MFW), niejednoznaczność co do ram czasowych, konkretnych modeli migracji na kryptografię postkwantową i precyzyjnych oczekiwań nadzorczych w wielu jurysdykcjach, wciąż komplikuje planowanie transformacji postkwantowej.

Strategia odporności

Banki centralne i międzynarodowe instytucje finansowe stoją przed bezprecedensowym wyzwaniem strategicznym, które wymaga działania już teraz. Przejście na kryptografię postkwantową jest transformacją systemową, o skali porównywalnej z najbardziej złożonymi zmianami regulacyjnymi w międzynarodowym systemie finansowym ostatnich lat.

Wnioski wyciągnięte z analizy danych oraz dotychczasowych działań globalnych instytucji i organizacji wskazują, że konieczność rozpoczęcia transformacji nie jest kwestią przyszłości, lecz teraźniejszości. Migracja do PQC to znacznie więcej niż tylko wymiana technologii informatycznej; jest to fundamentalny element budowania przyszłej stabilności i suwerenności finansowej w erze geopolityki cyfrowej. Sukces w tej transformacji, koordynowanej przez takie ciała, jak m.in. G7 i BIS, może umocnić zaufanie do krytycznej infrastruktury finansowej na świecie w obliczu zagrożenia, które już teraz materializuje się – nie tyle z nadejściem komputera kwantowego, lecz z powstaniem ryzyka harvest now, decrypt later.

Autorka wyraża własne opinie, a nie oficjalne stanowisko NBP.

(@Getty Images)

Zamknij pokaz zdjęć