U denkt misschien dat het versleutelen van gegevens met de huidige technologie een robuuste bescherming biedt. Zelfs als er sprake is van een datalek, mag u ervan uitgaan dat de informatie veilig is. Maar als jouw organisatie werkt met data met een ‘lange staart’ (dat wil zeggen: de waarde ervan blijft jarenlang behouden) dan heb je het mis.
Snel vooruit over vijf tot tien jaar. Kwantumcomputers – die kwantummechanica gebruiken om operaties miljoenen keren sneller uit te voeren dan de huidige supercomputers kunnen – zullen arriveren en in staat zijn de huidige encryptie binnen enkele minuten te ontsleutelen. Op dat moment hoeven nationale actoren eenvoudigweg de gecodeerde gegevens die ze al jaren verzamelen naar een kwantumcomputer te uploaden, en binnen een paar minuten zullen ze in staat zijn om toegang krijgen tot een deel van de gestolen gegevens in leesbare tekst. Dit type ‘harvest now, decrypt later’ (HNDL)-aanval is een van de redenen waarom tegenstanders zich nu op versleutelde gegevens richten. Ze weten dat ze de gegevens vandaag niet kunnen ontsleutelen, maar morgen wel.
Hoewel de dreiging van kwantumcomputing over enkele jaren zal plaatsvinden, bestaat het risico vandaag de dag nog steeds. Het is om deze reden dat de Amerikaanse president Joe Biden een overeenkomst ondertekende Nationaal Veiligheidsmemorandum waarbij federale agentschappen, defensie, kritieke infrastructuur, financiële systemen en toeleveringsketens worden verplicht plannen te ontwikkelen om kwantumveerkrachtige encryptie toe te passen. President Biden zet de toon voor federale agentschappen dient dit als een passende metafoor: kwantumrisico's moeten worden besproken en risicobeperkende plannen moeten worden ontwikkeld op leiderschapsniveau (CEO en bestuur).
Neem de langetermijnvisie
Uit gegevens van onderzoeksanalisten blijkt dat de gemiddelde CISO twee tot drie jaar bij een bedrijf doorbrengt. Dit leidt tot een mogelijke verkeerde afstemming met een risico dat zich waarschijnlijk over vijf tot tien jaar zal manifesteren. En toch, zoals we zien bij overheidsinstanties en tal van andere organisaties, genereren de gegevens die u genereert vandaag kan tegenstanders in de toekomst enorme waarde bieden zodra ze er toegang toe hebben. Dit existentiële probleem zal waarschijnlijk niet alleen worden aangepakt door de persoon die verantwoordelijk is voor de veiligheid. Vanwege het kritische karakter ervan moet dit op het hoogste niveau van zakelijk leiderschap worden aangepakt.
Om deze reden moeten slimme CISO's, CEO's en besturen samen het risicoprobleem op het gebied van quantum computing aanpakken. nu. Zodra het besluit om te omarmen kwantumbestendige encryptie wordt gesteld, luiden de vragen steevast: “Waar moeten we beginnen en hoeveel gaat het kosten?”
Het goede nieuws is dat het geen pijnlijk of kostbaar proces hoeft te zijn. In feite kunnen bestaande quantum-veerkrachtige encryptie-oplossingen draaien op de bestaande cyberbeveiligingsinfrastructuur. Maar het is een transformatieve reis – de leercurve, interne strategie- en projectplanningsbeslissingen, technologievalidatie en -planning en implementatie vergen allemaal tijd – dus het is absoluut noodzakelijk dat bedrijfsleiders zich vandaag beginnen voor te bereiden.
Focus op randomisatie en sleutelbeheer
De weg naar kwantumveerkracht vereist inzet van de belangrijkste belanghebbenden, maar is praktisch en vereist doorgaans niet het rippen en vervangen van de bestaande encryptie-infrastructuur. Een van de eerste stappen is begrijpen waar al uw kritieke gegevens zich bevinden, wie er toegang toe heeft en welke beschermingsmaatregelen er momenteel zijn getroffen. Vervolgens is het belangrijk om te identificeren welke gegevens het meest gevoelig zijn en wat de gevoeligheidslevensduur ervan is. Zodra u over deze datapunten beschikt, kunt u een plan ontwikkelen om prioriteit te geven aan de migratie van de datasets naar kwantumveerkrachtige versleuteling.
Organisaties moeten nadenken over twee belangrijke punten bij het overwegen van kwantumveerkrachtige encryptie: de kwaliteit van de willekeurige getallen die worden gebruikt om gegevens te coderen en te decoderen, en de sleuteldistributie. Een van de vectoren die kwantumcomputers zouden kunnen gebruiken om de huidige encryptiestandaarden te kraken, is het exploiteren van encryptie-/decryptiesleutels die zijn afgeleid van getallen die niet echt willekeurig zijn. Kwantumbestendige cryptografie maakt gebruik van langere encryptiesleutels en, belangrijker nog, sleutels die zijn gebaseerd op werkelijk willekeurige getallen, zodat ze niet kunnen worden gekraakt.
Ten tweede beschikt het typische bedrijf over verschillende encryptietechnologieën en sleuteldistributieproducten, en is het beheer complex. Om de afhankelijkheid van sleutels te verminderen, worden daarom vaak alleen grote bestanden gecodeerd, of erger nog: verloren sleutels maken batches met gegevens ontoegankelijk. Het is absoluut noodzakelijk dat organisaties hoge beschikbaarheid op ondernemingsniveau inzetten beheer van coderingssleutels om een vrijwel onbeperkt aantal kleinere bestanden en records te kunnen versleutelen. Dit resulteert in een aanzienlijk veiliger onderneming.
Kwantumbestendige encryptie is niet langer een ‘nice to have’. Met elke dag die voorbijgaat, neemt het risico toe, omdat gecodeerde gegevens worden gestolen voor toekomstig kraken. Gelukkig vergt het, in tegenstelling tot kwantumcomputing, geen enorme investeringen, en is de daaruit voortvloeiende risicovermindering vrijwel onmiddellijk. Beginnen is het moeilijkste deel.
