Kecuali Anda hidup di bawah batu, Anda akan tahu bahwa komputer kuantum akan memecahkan kriptografi yang kita gunakan saat ini hanya dalam 10 tahun. Sayangnya, sebagian besar analisis mengenai topik ini bersifat sederhana. Ancaman kuantum digambarkan seolah-olah akan tiba suatu hari di mana kuantum dilepaskan dan semua sistem akan hancur sekaligus. Ini jauh dari kebenaran.
Sebagai CISO, penting untuk mengembangkan pemahaman yang berbeda tentang topik penting ini. Anda tentu tidak perlu panik, namun Anda perlu menyusun rencana yang didasarkan pada bisnis Anda, dengan segala keistimewaannya. Rekan-rekan Anda di perusahaan lain juga harus melakukan hal yang sama; Namun, rencana mereka akan terlihat berbeda. Tidak ada jawaban umum terhadap ancaman kuantum.
Pada kenyataannya, ancaman tersebut akan terjadi secara perlahan. Mesin pertama yang bisa berjalan algoritma Shor akan memakan waktu berminggu-minggu untuk memecahkan kunci RSA. Hanya target bernilai tertinggi yang akan dipertimbangkan untuk diserang, mengingat besarnya biaya yang diperkirakan untuk jumlah komputasi tersebut. Seiring berjalannya waktu, semakin banyak mesin yang mampu memecahkan kunci, dan biaya serta waktu yang terkait dengan tugas tersebut akan berkurang secara drastis. Pada akhirnya, siapa pun akan dapat melakukan serangan ini dalam hitungan menit dengan biaya minimal.
Tujuan Anda sebagai CISO adalah menilai risiko Anda dalam jangka waktu yang tidak diketahui ini. Apakah Anda memproses data dengan sangat sensitif sehingga Anda mungkin menjadi target pertama? Apakah sebagian data Anda lebih berharga dibandingkan data lainnya? Bagaimana dengan masa pakai data โ berapa lama data tersebut harus dirahasiakan? Ini semua adalah pertanyaan yang perlu dipertimbangkan saat Anda membuat rencana pragmatis untuk mengatasi ancaman kuantum.
Pahami Status Quo
Pada konferensi baru-baru ini, saya mendengar sebuah firma hukum menjelaskan tanggapannya terhadap serangan siber besar-besaran. Selama hari-hari pertama yang membingungkan, perusahaan sangat ingin menilai apakah data penting mereka aman. Namun para responden menyadari bahwa mereka tidak yakin data apa yang paling penting. Akhirnya mereka menyimpulkan bahwa data klien mereka lebih penting daripada gabungan data bisnis lainnya. Hal ini membentuk keputusan perusahaan selanjutnya dan mempercepat waktu responsnya.
Idealnya, Anda bisa mencapai kesimpulan ini sebelum terjadi pelanggaran siber besar-besaran. Dan tentu saja, Anda harus memahami prioritas bisnis Anda sebelum merencanakan rencana migrasi pasca-kuantum. CISO perlu mengembangkan inventarisasi setiap sistem yang menjelaskan:
- Pentingnya data bagi bisnis.
- Bagaimana kriptografi melindungi data saat diam dan dalam perjalanan.
- Berapa lama data harus dirahasiakan.
Jika Anda sudah memiliki data ini, selamat โ Anda sudah sangat siap. Namun, bagi sebagian besar CISO, informasi ini tidak merata. Memahami status quo adalah langkah pertama yang penting dalam migrasi Anda.
Prioritaskan Secara Pragmatis
Berikutnya adalah bagian yang sulit. Dengan topi pragmatis Anda, Anda perlu memutuskan urutan migrasi sistem Anda ke algoritma pasca-kuantum. Anda tidak dapat mengubah semuanya sekaligus, dan mungkin diperlukan waktu bertahun-tahun antara waktu migrasi sistem pertama Anda dan sistem terakhir.
Prioritas utama Anda adalah data sensitif jangka panjang yang dikirimkan melalui Internet. Ini termasuk data kesehatan, rahasia pemerintah, data klien, dan kekayaan intelektual. Data ini sangat rentan karena serangan yang terkadang dikenal sebagai โhack now, decrypt later,โ di mana penyerang merekam transmisi terenkripsi ke mendekripsi di masa depan menggunakan komputer kuantum.
Jika perusahaan Anda mengembangkan perangkat fisik, seperti di industri Internet of Things (IoT), Anda perlu memberi perhatian khusus pada migrasi akar kepercayaan ke algoritma pasca-kuantum. Perangkat yang diperkirakan akan tetap aman selama 10 tahun atau lebih pasti berisiko terkena firmware palsu begitu ancaman kuantum datang.
Ini adalah langkah tersulit dalam proses migrasi karena ini unik untuk bisnis Anda. Namun ada baiknya dilakukan dengan benar agar Anda mengalokasikan sumber daya dengan tepat. Proses ini juga menyoroti vendor yang perlu Anda ajak bekerja sama, saat mereka memigrasikan sistem mereka sendiri ke perlindungan pasca-kuantum.
Mulai Pengujian
Setelah rencana migrasi Anda diterapkan, langkah selanjutnya adalah melakukan pengujian untuk memahami dampaknya menggeser sistem Anda ke algoritma pasca-kuantum. Algoritma pasca-kuantum yang baru berperilaku berbeda dari algoritma yang kita gunakan saat ini, dan tidak selalu mudah untuk mengeluarkan satu algoritma dan menggantinya dengan yang lain.
Bahkan dengan yang terbaru pengumuman NIST dari awalnya kandidat algoritma yang tahan kuantum, algoritme pasca-kuantum belum distandarisasi, dan mungkin diperlukan waktu hingga tahun 2024 hingga hal tersebut dapat terwujud. Gunakan waktu ini dengan bijak untuk memahami di mana Anda perlu menginvestasikan sumber daya tambahan untuk menghadapi perubahan yang akan terjadi.
Ambil Kesempatan untuk Membangun Lebih Baik
Setiap kali saya berbicara tentang kuantum, saya menemukan percakapan dengan cepat beralih ke ancaman kuantum. Namun, saya mendorong masyarakat untuk berpikir positif tentang teknologi kuantum dan bahkan ancaman kuantum itu sendiri.
Menanggapi ancaman ini memerlukan perombakan sistem yang besar, serupa dengan tantangan Y2K. Ini adalah kesempatan langka untuk menyentuh setiap sistem kami dan mengubahnya menjadi lebih baik. Dapat dipastikan migrasi algoritma ini bukanlah yang terakhir yang harus kami lakukan. Mari kita gunakan kesempatan ini untuk membangun kelincahan kripto ke dalam sistem kita, sehingga migrasi berikutnya tidak terlalu menyakitkan.
Dan ketika kita sedang membangun kembali sistem kripto, kita harus mengeksplorasi bagaimana kita dapat membangun fondasi yang lebih kokoh. Di sinilah teknologi kuantum berperan. Saat kita menyongsong masa depan di mana pelaku ancaman mempunyai komputer kuantum sebagai senjatanya, kita harus berupaya mempertahankan diri dengan kekuatan yang sama. Quantum adalah pedang bermata dua, dan kita harus memastikan bahwa, sebagai pembela HAM, kita juga siap menggunakannya untuk perlindungan.
