Medmindre du bor under en sten, vil du vide, at kvantecomputere vil bryde den kryptografi, vi bruger i dag, om så lidt som 10 år. Desværre er de fleste analyser om dette emne forenklede. Kvantetruslen beskrives, som om der vil komme en dag, hvor kvantum slippes løs, og alle systemer vil blive brudt på én gang. Dette er langt fra sandheden.
Som CISO er det vigtigt at udvikle en nuanceret forståelse af dette kritiske emne. Du behøver bestemt ikke at gå i panik, men du er nødt til at lave en plan, der er baseret på din virksomhed med alle dens idiosynkrasier. Dine kammerater i andre virksomheder burde gøre det samme; dog vil deres planer se anderledes ud. Der er ikke noget generisk svar på kvantetruslen.
I virkeligheden vil truslen materialisere sig langsomt. De første maskiner, der kunne køre Shor's algoritme vil tage uger at bryde en RSA-nøgle. Kun de højeste værdimål vil blive taget i betragtning til angreb, givet de enorme omkostninger, der forventes for den mængde beregning. Over tid vil flere maskiner være i stand til at knække nøgler, og omkostningerne og tiden forbundet med opgaven vil reduceres dramatisk. Til sidst vil enhver være i stand til at udføre dette angreb inden for få minutter til minimale omkostninger.
Dit mål som CISO er at vurdere din risiko over denne ukendte tidsramme. Behandler du data så følsomme, at du sandsynligvis vil være blandt de første mål? Er nogle af dine data mere værdifulde end resten? Hvad med dataens levetid - hvor længe skal de forblive hemmelige? Disse er alle spørgsmål at overveje, når du laver en pragmatisk plan for at imødegå kvantetruslen.
Forstå Status Quo
På en nylig konference hørte jeg et advokatfirma beskrive sit svar på et større cyberangreb. I løbet af de forvirrende første dage var virksomheden desperat efter at vurdere, om dets kritiske data var sikre. Alligevel indså respondenterne, at de ikke var sikre på, hvilke data der betød mest. Til sidst konkluderede de, at deres kundedata var vigtigere end resten af virksomheden tilsammen. Dette formede virksomhedens efterfølgende beslutninger og fremskyndede dets responstid.
Ideelt set ville du nå disse konklusioner før et større cyberbrud. Og bestemt, du skal forstå dine forretningsprioriteter, før du planlægger din post-kvantemigreringsplan. CISO'er skal udvikle en opgørelse over hvert system, der beskriver:
- Dataens forretningsmæssige betydning.
- Hvordan kryptografi beskytter dataene i hvile og under transport.
- Hvor længe data skal forblive hemmelige.
Hvis du allerede har disse data i hånden, tillykke - du er usædvanligt velforberedt. For de fleste CISO'er er denne information dog i bedste fald usammenhængende. At forstå status quo er det kritiske første skridt i din migration.
Pragmatisk prioriter
Dernæst kommer det svære stykke. Med din pragmatiske hat på, skal du beslutte i hvilken rækkefølge dine systemer skal migreres til post-kvantealgoritmer. Du kan ikke ændre alt på én gang, og der vil sandsynligvis gå år mellem det tidspunkt, hvor dine første systemer migreres, og det sidste.
Din højeste prioritet bør være langsigtede følsomme data, der transmitteres over internettet. Dette omfatter sundhedsdata, regeringshemmeligheder, klientdata og intellektuel ejendom. Disse data er særligt sårbare takket være et angreb, nogle gange kendt som "hack nu, dekrypter senere", hvor angribere optager krypterede transmissioner til dekryptere i fremtiden ved hjælp af en kvantecomputer.
Hvis din virksomhed udvikler fysiske enheder, såsom i Internet of Things (IoT) industrien, skal du være særlig opmærksom på at migrere tillidsrødder mod post-kvantealgoritmer. Enheder, der forventes at forblive sikre i 10 eller flere år, er helt sikkert i fare for svigagtig firmware, når kvantetruslen ankommer.
Dette er det sværeste trin i migreringsprocessen, fordi det er unikt for din virksomhed. Men det er værd at gøre det korrekt, så du allokerer ressourcer korrekt. Denne proces fremhæver også de leverandører, du skal arbejde tæt sammen med, da de migrerer deres egne systemer til post-kvantebeskyttelse.
Start testningen
Når din migrationsplan er på plads, er næste trin at udføre test for at forstå virkningen af at flytte dine systemer mod post-kvantealgoritmer. De nye post-kvantealgoritmer opfører sig anderledes end de algoritmer, vi bruger i dag, og det vil ikke altid være en enkel opgave at trække én algoritme ud og erstatte den med en anden.
Selv med de seneste NIST-meddelelse af dens initiale kvanteresistente algoritmekandidater, er post-kvantealgoritmer endnu ikke standardiserede, og det kan tage indtil 2024, før det sker. Brug denne tid fornuftigt til at forstå, hvor du skal investere yderligere ressourcer for at klare de ændringer, der venter forude.
Tag chancen for at bygge bedre
Når jeg taler om kvante, oplever jeg, at samtalen hurtigt går over til kvantetruslen. Jeg opfordrer dog folk til at tænke positivt om kvanteteknologien og endda selve kvantetruslen.
At reagere på truslen vil kræve en enorm omvæltning af systemer, svarende i omfang til Y2K-udfordringen. Dette er en sjælden mulighed for at røre ved hvert af vores systemer og ændre dem til det bedre. Det er sikkert, at denne algoritmemigration ikke vil være den sidste, vi skal udføre. Lad os bruge denne mulighed til at bygge kryptoagilitet ind i vores systemer, så den næste migrering er langt mindre smertefuld.
Og mens vi genopbygger kryptosystemer, bør vi undersøge, hvordan vi kan bygge på et fastere grundlag. Det er her, kvanteteknologi har en rolle at spille. Når vi ser mod en fremtid, hvor trusselsaktører har kvantecomputere som våben, bør vi se efter at forsvare os selv med den samme mængde magt. Quantum er et tveægget sværd, og vi bør sikre, at vi som forsvarere også er klar til at bruge det til beskyttelse.
