Du kan føle at kryptering av data med dagens teknologi vil tilby robust beskyttelse. Selv om det er et databrudd, kan du anta at informasjonen er sikker. Men hvis organisasjonen din jobber med data med en "lang hale" - det vil si at verdien varer i årevis - tar du feil.
Spol frem fem til ti år fra nå. Kvantedatamaskiner – som bruker kvantemekanikk for å kjøre operasjoner millioner av ganger raskere enn dagens superdatamaskiner kan – vil ankomme og vil kunne dekryptere dagens kryptering på få minutter. På det tidspunktet må nasjonalstatsaktører ganske enkelt laste opp de krypterte dataene de har samlet inn i årevis til en kvantedatamaskin, og i løpet av noen få minutter vil de kunne tilgang til enhver del av de stjålne dataene i klartekst. Denne typen "høst nå, dekrypter senere" (HNDL) angrep er en av grunnene til at motstandere retter seg mot krypterte data nå. De vet at de ikke kan dekryptere dataene i dag, men vil kunne i morgen.
Selv om trusselen fra kvanteberegning er noen år unna, eksisterer risikoen i dag. Det er av denne grunn at USAs president Joe Biden signerte en Nasjonalt sikkerhetsnotat krever at føderale byråer, forsvar, kritisk infrastruktur, finansielle systemer og forsyningskjeder utvikler planer for å ta i bruk kvantemotstandsdyktig kryptering. President Biden slår an tonen for føderale byråer fungerer som en passende metafor - kvanterisiko bør diskuteres og risikoreduserende planer utvikles på ledernivå (konsernsjef og styre).
Ta langsiktig visning
Data fra forskningsanalytikere antyder at den typiske CISO bruker to til tre år i et selskap. Dette fører til potensiell feiljustering med en risiko som sannsynligvis vil materialisere seg om fem til ti år. Og likevel, som vi ser med offentlige etater og en rekke andre organisasjoner, dataene du genererer i dag kan gi motstandere en enorm verdi i fremtiden når de får tilgang til den. Dette eksistensielle problemet vil sannsynligvis ikke bare løses av personen som er ansvarlig for sikkerheten. Det må tas opp på de høyeste bedriftsledernivåene på grunn av dens kritiske natur.
Av denne grunn bør kunnskapsrike CISOer, administrerende direktører og styrer ta opp kvanteberegningsrisikoproblemet sammen, nå. Når beslutningen om å omfavne kvantebestandig kryptering blir laget, blir spørsmålene alltid: "Hvor skal vi begynne, og hvor mye vil det koste?"
Den gode nyheten er at det ikke trenger å være en smertefull eller kostbar prosess. Faktisk kan eksisterende kvantemotstandsdyktige krypteringsløsninger kjøre på eksisterende nettsikkerhetsinfrastruktur. Men det er en transformasjonsreise – læringskurven, beslutninger om intern strategi og prosjektplanlegging, teknologivalidering og planlegging og implementering tar tid – så det er viktig at bedriftsledere begynner å forberede seg i dag.
Fokus på randomisering og nøkkelstyring
Veien til kvanteresiliens krever engasjement fra sentrale interessenter, men den er praktisk og krever vanligvis ikke ripping-og-erstatting av eksisterende krypteringsinfrastruktur. Et av de første trinnene er å forstå hvor alle dine kritiske data befinner seg, hvem som har tilgang til dem og hvilke beskyttelsestiltak som er på plass. Deretter er det viktig å identifisere hvilke data som er mest sensitive og hvor lang levetiden er. Når du har disse datapunktene, kan du utvikle en plan for å prioritere migreringen av datasettene til kvantemotstandsdyktig kryptering.
Organisasjoner må tenke over to hovedpunkter når de vurderer kvantemotstandsdyktig kryptering: kvaliteten på de tilfeldige tallene som brukes til å kryptere og dekryptere data og nøkkeldistribusjonen. En av vektorene kvantedatamaskiner kan bruke for å knekke gjeldende krypteringsstandarder er å utnytte krypterings-/dekrypteringsnøkler som er avledet fra tall som ikke er virkelig tilfeldige. Kvantebestandig kryptografi bruker lengre krypteringsnøkler og, viktigst av alt, de som er basert på virkelig tilfeldige tall, slik at de ikke kan knekkes.
For det andre har det typiske selskapet flere krypteringsteknologier og nøkkeldistribusjonsprodukter, og ledelsen er kompleks. Følgelig, for å redusere avhengigheten av nøkler, er det ofte bare store filer som er kryptert, eller, enda verre, tapte nøkler gjør partier med data utilgjengelige. Det er avgjørende at organisasjoner implementerer høy tilgjengelighet i bedriftsskala håndtering av krypteringsnøkler for å gjøre det mulig å kryptere et praktisk talt ubegrenset antall mindre filer og poster. Dette resulterer i en betydelig sikrere virksomhet.
Kvantebestandig kryptering er ikke lenger en "fin å ha." For hver dag som går øker risikoen ettersom krypterte data blir stjålet for fremtidig cracking. Heldigvis, i motsetning til kvantedatabehandling, krever det ikke en stor investering, og den resulterende risikoreduksjonen er nesten umiddelbar. Å komme i gang er den vanskeligste delen.
