Счетная палата Нидерландов недавно опубликовала откровенную оценку готовности центрального правительства Нидерландов к квантовым технологиям. Вердикт оказался неприятным чтением для страны, позиционирующей себя как европейского лидера в этой области. Хотя Нидерланды создали процветающую экосистему квантовых исследований и заняли ведущие академические позиции, большинство государственных организаций еще не предприняли ни одного конкретного шага для защиты своих систем от криптографической угрозы, которую в конечном итоге создадут квантовые компьютеры. В докладе Фокус на квантовых технологиях в центральном правительстве были опрошены 63 государственные организации. Выяснилось, что 71% из них не начали подготовку к защите от квантовой угрозы. Только четыре организации (6%) учли квантовую угрозу в своих системах управления рисками. Лишь 15 начали диалог со своими поставщиками о квантово-устойчивых продуктах. В большинстве учреждений нет ответственных руководителей по этому вопросу. Время имеет значение. Голландская разведка AIVD предупредила, что Q-Day — момент, когда достаточно мощный квантовый компьютер сможет взломать текущее асимметричное шифрование, — может наступить уже в 2030 году. Это оставляет организациям менее четырех лет на завершение того, что эксперты называют сложным, общеорганизационным переходом.
Угроза реальна
Чтобы понять, почему Счетная палата обеспокоена, полезно разобраться, для чего правительство Нидерландов использует шифрование. Список не короткий: защита конфиденциальной информации о гражданах и бизнесе, контроль доступа к жизненно важным объектам инфраструктуры, таким как системы защиты от наводнений и мосты, аутентификация входа через DigiD (национальная система цифровой идентификации, используемая миллионами людей), и проверка целостности паспортов и официальных документов. Если квантовые компьютеры сделают существующее шифрование устаревшим, все эти приложения окажутся под угрозой. Последствия варьируются от мошенничества с личными данными и сбоев в выплате пособий до компрометации инфраструктуры и раскрытия государственной тайны. Существует дополнительное осложнение, которое делает график 2030 года более срочным, чем может показаться на первый взгляд. Исследователи безопасности и сама Счетная палата отметили риск так называемых атак «собери сейчас, расшифруй потом», при которых злоумышленники, включая противников на государственном уровне, уже перехватывают и накапливают зашифрованные данные. Они не могут прочитать их сегодня, но рассчитывают, что смогут, как только квантовые вычисления разовьются. Это означает, что конфиденциальные данные голландского правительства, передаваемые сейчас, могут уже подвергаться риску будущего раскрытия. Угроза не ждет наступления Q-Day. Счетная палата выделяет три основных препятствия на пути прогресса: нехватка технических возможностей, дефицит экспертизы и, что, возможно, наиболее критично, отсутствие срочности в организациях. Поскольку точные сроки Q-Day остаются неопределенными, многие учреждения просто не придали этому вопросу приоритетного значения. В этом рассуждении есть изъян. Переход на постквантовую криптографию (PQC) — это не быстрое решение. Оно требует, чтобы организации сначала провели аудит того, где криптография встроена в их системы, провели переговоры с поставщиками, обновили инфраструктуру и переобучили персонал. Счетная палата предупреждает, что организации рискуют не начать вовремя. Даже принятие общеправительственной криптографической структуры еще не привело к конкретным действиям в большинстве организаций. В марте 2025 года Совет ИТ-директоров Нидерландов официально принял Рамочную политику в области криптографии для центрального правительства, которая делает криптографическую политику обязательной для всех органов центрального правительства, но Счетная палата обнаружила, что многие организации еще не согласовали свои собственные политики с этой структурой. Проблема усугубляется картиной управления. Большинство организаций не назначили руководителя, ответственного за квантовую готовность. Без четкого владения миграция имеет тенденцию оставаться незаданной задачей — признанной в принципе, но не выполняемой никем.
Правовые рамки отстают
Пробел в безопасности имеет правовое измерение, которое добавляет сложности. Виктор де Паус, ИТ-юрист из Амстердама, который десятилетиями отслеживает цифровую политику Нидерландов, указывает на структурный парадокс в том, как в настоящее время построены законы об информационной безопасности. Существующее законодательство, включая Общий регламент по защите данных (GDPR), Директиву NIS2 и Акт о киберустойчивости, намеренно написано так, чтобы быть технологически нейтральным. Предполагается, что организации должны сами определять и применять соответствующие меры безопасности, следуя тому, что регуляторы называют «передовым уровнем» (state of the art). «При регулировании постквантовой криптографии возникает парадокс», — написал де Паус в своей новостной рассылке *Newsware*, отмечая, что законодательство об информационной безопасности разработано как технологически нейтральное, однако квантовая угроза настолько глубока и сложна, что организации «явно не могут самостоятельно угнаться за „передовым уровнем“ в этой области». На практике, по мнению де Пауса, такой подход не работает. Его вывод о том, что дальнейшее регулирование неизбежно, основан не на утверждении, что это единственное возможное решение. Он основан, скорее, на историческом уроке из законодательства об информационной безопасности: открытые нормы и саморегулирование неоднократно оказывались недостаточными для обеспечения своевременного и адекватно высокого уровня безопасности. Эволюция от NIS1 к NIS2 иллюстрирует, как законодатели постепенно придают этим открытым нормам более конкретную форму, не только посредством судебного толкования, но и посредством дополнительного законодательства, руководств и имплементационных правил. По его мнению, квантовая угроза последует той же модели. Де Паус привел несколько недавних примеров, включая модернизацию Закона об архивах 1995 года, адаптацию антимонопольного законодательства для выпуска государственного открытого исходного кода и транспонирование Директивы NIS2, как «показательные примеры процессов законодательства в цифровой сфере с длительными задержками», что подтверждает его мнение о том, что это структурная особенность голландского регуляторного ландшафта, а не исключение. Он не видит причин полагать, что квантово-специфическое регулирование будет двигаться быстрее.
Инвестиции без реализации
Контраст с инвестиционной стороной квантовой картины разителен. С 2021 года Нидерланды направили 615 миллионов евро из своего Национального фонда роста в Quantum Delta NL — государственно-частную программу, призванную развивать квантовую экосистему страны в пяти региональных центрах в Делфте, Эйндховене, Лейдене, Твенте и Амстердаме. Программа принесла ощутимые результаты: квантовая сеть, соединяющая Гаагу и Делфт, три действующие испытательные установки для квантовых датчиков и фонд для квантовых стартапов. Консультативный комитет Национального фонда роста высоко оценил прогресс программы. Quantum Delta NL прогнозирует, что к 2040 году квантовые технологии могут создать от 8000 до 18000 рабочих мест в Нидерландах, а сама программа Quantum Delta потенциально принесет от 1,5 до 2,5 миллиардов евро экономической ценности. Квантовые технологии были обозначены как одна из 10 приоритетных технологических областей в Национальной технологической стратегии страны, и в марте 2026 года Нидерланды и Германия совместно запустили инициативу TechBridge — совместную программу исследований и разработок, нацеленную на квантовые приложения в аэрокосмическом секторе, разработанную в партнерстве с Quantum Delta NL и Airbus Tech Hub Netherlands. Инвестиции в сторону возможностей квантовых технологий реальны, устойчивы и международно признаны. Готовность к стороне угроз — нет. В своем официальном ответе Счетной палате правительство охарактеризовало миграцию к постквантовой криптографии как «не необязательную, а необходимую», отметив при этом, что миграция сложна, учитывая диапазон задействованных зависимостей. Министерство экономики в сотрудничестве с другими министерствами в настоящее время разрабатывает общеправительственную Квантовую стратегию. Ожидалось, что она будет представлена парламенту во втором квартале 2026 года. На момент написания ни ее конкретные цели, ни бюджет не были обнародованы. Это совпадение не случайно. Ожидается, что Европейская комиссия опубликует свой проект Квантового акта в тот же период, который установит обязательные требования и рамки инвестиций для всех государств-членов. Нидерланды заявили, что приветствуют европейскую стратегию, стремясь при этом сохранить пространство для национального выбора и экосистем. Как эти два графика будут взаимодействовать и будет ли голландская политика формироваться проактивно или реактивно под влиянием рамок ЕС, еще предстоит увидеть.
Общеевропейская проблема
Нидерланды не одиноки в этой проблеме. Ни одно государство-член Европейского Союза еще не завершило переход на постквантовую криптографию, и Европейская комиссия признала, что миграции будут трудными и длительными повсеместно. Однако выводы Счетной палаты ставят голландское правительство в неловкое положение. Для страны, которая вложила значительные средства в квантовые технологии и позиционировала себя как европейского лидера, разрыв между ее амбициями и внутренними мерами безопасности стал необычайно очевиден. Цифра 71% имеет вес именно потому, что исходит не от коммерческого поставщика или лоббистской группы, а от независимого органа, ответственного за аудит финансового управления и эффективности политики голландского государства. Когда Счетная палата заявляет, что большинство государственных организаций не начали работу, эта оценка публично не оспаривалась. Правительство признало масштаб проблемы и необходимость ускорить подготовку к постквантовой криптографии, но еще не представило финансируемый, ограниченный по времени план по ее решению. Для организаций, которые сейчас оценивают свою миграцию на PQC, и для любого субъекта, обменивающегося конфиденциальными данными с системами голландского правительства, этот разрыв является самой важной цифрой в докладе.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор –
