專題報導

當量子風險與資安攻擊成為長期現實，金融安全的核心已不再只是防禦，而是體系是否具備在災後重建可信狀態的能力。PQC與自主韌性，正是未來金融風控不可或缺的雙重基石。

文．劉虹君

在金融業，安全從來不只是技術問題，而是信任能否被制度性維持的問題。我們真正要守住的，不只是資料與系統，而是市場、監理機構與客戶對金融體系的信心。

金融體系最重要的是可信度與穩定性

然而，當前金融體系對「後量子密碼（Post-Quantum Cryptography, PQC）」的理解，仍普遍停留在一個錯誤前提之上：量子電腦還沒來，風險還不急。這種想法，在金融業其實是最危險的風險認知。因為金融體系真正害怕的，從來不是某一天被攻破，而是當危機發生時，失去「讓一切重新回到可信狀態」的能力。

金融風險，往往不是爆發，而是被長期保存。在資安領域，有一個已被反覆驗證的攻擊策略：Harvest Now, Decrypt Later（先蒐集，後解密）。攻擊者不需要今天就破解你的加密，只要長期攔截、儲存關鍵資料，等到演算法失效或算力成熟的那一天，歷史資料就會被一次性解鎖。

對金融業而言，被保存的資料往往包括客戶交易紀錄與金流軌跡、身分驗證與授權流程、授信與風控模型，以及內部清算與帳務結構。這些資料拼湊起來，幾乎等同於一間金融機構的「完整運作藍圖」。一旦這些資料在未來被解密，影響不會只是單一事件，而是跨年度、跨客群的系統性信任危機。那時候，受損的不只是單一銀行，而是整個金融體系的可信度與穩定性。這正是為什麼，PQC的問題不是「技術什麼時候成熟」，而是「責任什麼時候開始成立」。

二○二六並不是量子電腦商用的確切年份，卻極可能成為金融業責任開始被回溯的時間點。因為國際標準已經完成、威脅模型已經清楚、風險可預期性已經存在。未來若發生資料長期外洩，將難以再用「不可預期」作為合理辯護。同時，金融資料的價值週期，遠遠超過任何一代加密演算法的安全年限。交易紀錄、洗錢調查、客戶爭議與法律責任，往往橫跨十年以上。這意味著今天所做的加密選擇，其實是在為十年後的金融信任背書。

監理機構的關注點，也正在從「是否符合資安標準」，轉向「是否具備長期風險治理能力」。問題不再只是系統有沒有被駭，而是金融機構是否已經盡到對未來風險負責的治理責任。換句話說，PQC對金融業而言，已不再是創新投資，而是制度義務。但金融業真正的風險，並不只來自加密失效。即使全面導入PQC，也無法避免以下情境：合法帳號被濫用、核心系統錯誤同步、備份與主系統一致性污染。在這些情境下，加密並沒有被破解，資料卻「合法地」消失或被覆蓋。這使得事件不再只是資安事故，而是制度可信度危機。

真正成熟的金融風控是事故後   仍能維持秩序與信任

這也是為什麼，近年多起金融資安事件真正引發監理與市場不安的，往往不是入侵本身，而是事後無法證明資料狀態的可信性。備份，在金融業其實是一種高度危險的安全幻覺。金融體系長期以來假設：只要資料可以還原，風險就可控。但在高度自動化與即時同步的系統中，錯誤會被完整保存、污染會被正常複製、刪除會被合法執行。最後成功還原的，往往只是「風控邏輯已經失效後」的系統狀態。這不是技術問題，而是內控制度與信任基礎的動搖。

真正成熟的金融風控，不是追求零事故，而是設計在事故發生後，仍能維持秩序與信任。這就是數位韌性真正的意義。數位韌性要求系統允許局部失效、資料不以單一完整狀態存在、即使部分資料受損仍能重建可信版本。這不是備份升級，而是風控邏輯的根本轉向。

從金融主權的角度來看，真正的問題不是資料放在哪裡，而是是否存在任何單一失控，就足以讓整個金融系統失去復原能力。如果答案是肯定的，那麼再嚴密的合規，也只是形式安全。當金融攻擊不可避免，「能重來」才是最高等級的風控。

金融攻擊真正想要的，不是癱瘓一次系統，而是讓市場與客戶不再相信你能復原。一旦復原能力消失，信任將無法回補，流動性風險會被放大，系統性風險將迅速擴散。反之，只要金融體系具備「可重建可信狀態」的能力，攻擊就無法形成長期戰略價值。

在這個架構下，PQC的角色非常清楚：它確保時間不會站在攻擊者那一邊，為資料提供跨世代的防護基礎。它不是全部，但它是不可缺席的底層條件。真正的金融安全，不是永遠不被打中，而是每一次被打中之後，仍能站得起來。金融安全的本質，是對信任的治理能力。

PQC×自主韌性，不是一個技術方案，而是一個金融體系是否能長期存續的判準。

當攻擊發生，你是否還能讓市場相信，一切仍在掌控之中？這，才是金融業真正的安全。