Du føler måske, at kryptering af data med den nuværende teknologi vil tilbyde robust beskyttelse. Selvom der er et databrud, kan du antage, at oplysningerne er sikre. Men hvis din organisation arbejder med data med en "lang hale" - det vil sige, dens værdi holder i årevis - tager du fejl.
Spol frem fem til 10 år fra nu. Kvantecomputere – som bruger kvantemekanik til at køre operationer millioner af gange hurtigere end nutidens supercomputere kan – ankommer og vil være i stand til at dekryptere dagens kryptering på få minutter. På det tidspunkt skal nationalstatsaktører simpelthen uploade de krypterede data, som de har indsamlet i årevis til en kvantecomputer, og på få minutter vil de være i stand til at få adgang til enhver del af de stjålne data i klartekst. Denne type "høst nu, dekrypter senere" (HNDL) angreb er en af grundene til, at modstandere retter sig mod krypterede data nu. De ved, at de ikke kan dekryptere dataene i dag, men vil være i stand til det i morgen.
Selvom truslen fra kvanteberegning er nogle år væk, eksisterer risikoen i dag. Det er af denne grund, at den amerikanske præsident Joe Biden underskrev en National Security Memorandum kræver, at føderale agenturer, forsvar, kritisk infrastruktur, finansielle systemer og forsyningskæder udvikler planer for at vedtage kvante-resilient kryptering. Præsident Biden sætter tonen for føderale agenturer fungerer som en passende metafor - kvanterisiko bør diskuteres og risikobegrænsningsplaner udvikles på ledelsesniveau (CEO og bestyrelse).
Tag den langsigtede visning
Forskningsanalytikerdata tyder på, at den typiske CISO bruger to til tre år i en virksomhed. Dette fører til potentiel uoverensstemmelse med en risiko, der sandsynligvis vil materialisere sig om fem til 10 år. Og alligevel, som vi ser med offentlige myndigheder og en lang række andre organisationer, de data, du genererer i dag kan give modstandere en enorm værdi i fremtiden, når de får adgang til det. Dette eksistentielle problem vil sandsynligvis ikke blive løst alene af den person, der er ansvarlig for sikkerheden. Det skal behandles på de højeste virksomhedslederniveauer på grund af dets kritiske karakter.
Af denne grund bør kyndige CISO'er, administrerende direktører og bestyrelser tage fat på kvantecomputerrisikoproblemet sammen, nu. Når beslutningen om at omfavne kvantebestandig kryptering er lavet, bliver spørgsmålene uvægerligt: "Hvor skal vi starte, og hvor meget vil det koste?"
Den gode nyhed er, at det ikke behøver at være en smertefuld eller dyr proces. Faktisk kan eksisterende kvanteresistente krypteringsløsninger køre på eksisterende cybersikkerhedsinfrastruktur. Men det er en transformationsrejse – læringskurven, interne strategi- og projektplanlægningsbeslutninger, teknologivalidering og planlægning og implementering tager alt tid – så det er bydende nødvendigt, at virksomhedsledere begynder at forberede sig i dag.
Fokus på randomisering og nøglestyring
Vejen til kvanteresiliens kræver engagement fra nøgleinteressenter, men den er praktisk og kræver normalt ikke rippe-og-erstatning af eksisterende krypteringsinfrastruktur. Et af de første trin er at forstå, hvor alle dine kritiske data befinder sig, hvem der har adgang til dem, og hvilke beskyttelsesforanstaltninger der er på plads i øjeblikket. Dernæst er det vigtigt at identificere, hvilke data der er mest følsomme, og hvad deres følsomhedslevetid er. Når du har disse datapunkter, kan du udvikle en plan for at prioritere migreringen af datasættene til kvantebestandig kryptering.
Organisationer skal tænke over to nøglepunkter, når de overvejer kvantemodstandsdygtig kryptering: kvaliteten af de tilfældige tal, der bruges til at kryptere og dekryptere data, og nøglefordelingen. En af de vektorer, kvantecomputere kan bruge til at knække nuværende krypteringsstandarder, er at udnytte krypterings-/dekrypteringsnøgler, der er afledt af tal, der ikke er virkelig tilfældige. Kvanteresistent kryptografi bruger længere krypteringsnøgler og, vigtigst af alt, dem, der er baseret på virkelig tilfældige tal, så de ikke kan knækkes.
For det andet har den typiske virksomhed adskillige krypteringsteknologier og nøgledistributionsprodukter, og ledelsen er kompleks. For at reducere afhængigheden af nøgler er det derfor ofte kun store filer, der krypteres, eller værre endnu, tabte nøgler efterlader partier af data utilgængelige. Det er bydende nødvendigt, at organisationer implementerer høj tilgængelighed i virksomhedsskala håndtering af krypteringsnøgler for at gøre det muligt at kryptere et stort set ubegrænset antal mindre filer og poster. Dette resulterer i en væsentligt mere sikker virksomhed.
Kvantebestandig kryptering er ikke længere en "rar at have." For hver dag, der går, stiger risikoen, da krypterede data bliver stjålet til fremtidig cracking. Heldigvis, i modsætning til kvantecomputere, kræver det ikke en enorm investering, og den resulterende risikoreduktion er næsten øjeblikkelig. At komme i gang er den sværeste del.
