A meno che tu non viva sotto una roccia, saprai che i computer quantistici romperanno la crittografia che usiamo oggi in soli 10 anni. Sfortunatamente, la maggior parte delle analisi su questo argomento sono semplicistiche. La minaccia quantistica viene descritta come se venisse un giorno in cui la tecnologia quantistica verrà scatenata e tutti i sistemi verranno distrutti contemporaneamente. questo è lontano dalla verità.
In qualità di CISO, è importante sviluppare una comprensione articolata di questo argomento critico. Certamente non devi farti prendere dal panico, ma devi elaborare un piano basato sulla tua attività, con tutte le sue idiosincrasie. I tuoi colleghi in altre aziende dovrebbero fare la stessa cosa; tuttavia, i loro piani saranno diversi. Non esiste una risposta generica alla minaccia quantistica.
In realtà, la minaccia si materializzerà lentamente. Le prime macchine in grado di funzionare L'algoritmo di Shor ci vorranno settimane per rompere una chiave RSA. Solo gli obiettivi di valore più alto verranno presi in considerazione per l’attacco, dato l’immenso costo previsto per quella quantità di calcoli. Nel corso del tempo, sempre più macchine saranno in grado di forzare le chiavi e il costo e il tempo associati all’attività si ridurranno drasticamente. Alla fine, chiunque sarà in grado di eseguire questo attacco in pochi minuti a un costo minimo.
Il tuo obiettivo come CISO è valutare il rischio in questo intervallo di tempo sconosciuto. Trattate dati così sensibili che rischiate di essere tra i primi obiettivi? Alcuni dei tuoi dati sono più preziosi degli altri? Che dire della durata dei dati: quanto tempo devono rimanere segreti? Queste sono tutte domande da considerare mentre si crea un piano pragmatico per affrontare la minaccia quantistica.
Comprendere lo status quo
In una recente conferenza, ho sentito uno studio legale descrivere la sua risposta a un grave attacco informatico. Durante i primi giorni confusi, l’azienda cercava disperatamente di valutare se i suoi dati critici fossero al sicuro. Tuttavia gli intervistati si sono resi conto di non essere sicuri di quali dati contassero di più. Alla fine hanno concluso che i dati dei loro clienti erano più importanti del resto dell'azienda messa insieme. Ciò ha plasmato le successive decisioni dell’azienda e ha accelerato i tempi di risposta.
Idealmente, si dovrebbe raggiungere queste conclusioni prima che si verifichi una grave violazione informatica. E certamente è necessario comprendere le priorità aziendali prima di pianificare il piano di migrazione post-quantistica. I CISO devono sviluppare un inventario di ogni sistema che descriva:
- L'importanza aziendale dei dati.
- Come la crittografia protegge i dati a riposo e in transito.
- Per quanto tempo i dati devono rimanere segreti.
Se hai già questi dati in mano, congratulazioni: sei insolitamente ben preparato. Per la maggior parte dei CISO, tuttavia, queste informazioni sono, nella migliore delle ipotesi, frammentarie. Comprendere lo status quo è il primo passo fondamentale nella migrazione.
Dare priorità pragmaticamente
Poi arriva il pezzo difficile. Con il tuo cappello pragmatico addosso, devi decidere l’ordine in cui migrare i tuoi sistemi verso algoritmi post-quantistici. Non è possibile modificare tutto in una volta ed è probabile che passino anni tra il momento in cui viene eseguita la migrazione dei primi sistemi e l'ultimo.
La tua massima priorità dovrebbero essere i dati sensibili a lungo termine trasmessi su Internet. Ciò include dati sanitari, segreti governativi, dati dei clienti e proprietà intellettuale. Questi dati sono particolarmente vulnerabili grazie a un attacco talvolta noto come “hack now, decrypt later”, in cui gli aggressori registrano trasmissioni crittografate su decifrare in futuro utilizzando un computer quantistico.
Se la tua azienda sviluppa dispositivi fisici, come nel settore dell’Internet delle cose (IoT), dovrai prestare particolare attenzione alla migrazione delle radici della fiducia verso algoritmi post-quantistici. I dispositivi che dovrebbero rimanere sicuri per 10 o più anni sono sicuramente a rischio di firmware fraudolento una volta arrivata la minaccia quantistica.
Questo è il passaggio più difficile nel processo di migrazione perché è specifico per la tua attività. Ma vale la pena farlo correttamente in modo da allocare le risorse in modo appropriato. Questo processo evidenzia anche i fornitori con cui è necessario lavorare a stretto contatto, mentre migrano i propri sistemi alla protezione post-quantistica.
Inizia il test
Una volta messo a punto il piano di migrazione, il passaggio successivo è eseguire i test per comprenderne l'impatto spostare i vostri sistemi verso algoritmi post-quantistici. I nuovi algoritmi post-quantistici si comportano in modo diverso rispetto agli algoritmi che usiamo oggi, e non sarà sempre un compito semplice estrarre un algoritmo e sostituirlo con un altro.
Anche con il recente Annuncio del NIST della sua iniziale candidati ad algoritmi quantistici resistenti, gli algoritmi post-quantistici non sono ancora standardizzati e potrebbe volerci fino al 2024 perché ciò accada. Usa saggiamente questo tempo per capire dove è necessario investire risorse aggiuntive per far fronte ai cambiamenti che ci attendono.
Cogli l'occasione per costruire meglio
Ogni volta che parlo di quantistica, trovo che la conversazione si sposta rapidamente verso la minaccia quantistica. Tuttavia, incoraggio le persone a pensare positivamente alla tecnologia quantistica e persino alla minaccia quantistica stessa.
Rispondere alla minaccia richiederà un immenso sconvolgimento dei sistemi, di portata simile alla sfida Y2K. Questa è una rara opportunità per toccare ciascuno dei nostri sistemi e cambiarli in meglio. È certo che questa migrazione dell’algoritmo non sarà l’ultima che dovremo effettuare. Sfruttiamo questa opportunità per integrare l’agilità crittografica nei nostri sistemi, in modo che la prossima migrazione sia molto meno dolorosa.
E mentre stiamo ricostruendo i sistemi crittografici, dovremmo esplorare come possiamo costruire su basi più solide. È qui che la tecnologia quantistica ha un ruolo da svolgere. Mentre guardiamo a un futuro in cui gli autori delle minacce avranno i computer quantistici come arma, dovremmo cercare di difenderci con la stessa quantità di potere. La quantistica è un’arma a doppio taglio e dovremmo garantire che, come difensori, siamo pronti a brandirla anche per proteggerci.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
