Du kanske känner att kryptering av data med nuvarande teknik kommer att erbjuda ett robust skydd. Även om det finns ett dataintrång kan du anta att informationen är säker. Men om din organisation arbetar med data med en "lång svans" - det vill säga dess värde varar i åratal - skulle du ha fel.
Spola framåt fem till 10 år från nu. Kvantdatorer - som använder kvantmekanik för att köra operationer miljontals gånger snabbare än dagens superdatorer kan - kommer att anlända och kommer att kunna dekryptera dagens kryptering på några minuter. Vid den tidpunkten måste nationalstatsaktörer helt enkelt ladda upp den krypterade data som de har samlat in i flera år till en kvantdator, och på några minuter kommer de att kunna komma åt någon del av den stulna informationen i klartext. Den här typen av "skörd nu, dekryptera senare" (HNDL) attack är en av anledningarna till att motståndare riktar in sig på krypterad data nu. De vet att de inte kan dekryptera data idag men kommer att kunna göra det imorgon.
Även om hotet från kvantberäkning är några år bort, finns risken idag. Det är av denna anledning som USA:s president Joe Biden undertecknade en Nationellt säkerhetsmemorandum kräver att federala myndigheter, försvar, kritisk infrastruktur, finansiella system och försörjningskedjor utvecklar planer för att anta kvantmotståndskraftig kryptering. President Biden sätter tonen för federala myndigheter fungerar som en lämplig metafor – kvantrisker bör diskuteras och riskreduceringsplaner utvecklas på ledarskapsnivå (VD och styrelse).
Ta Långtidsvyn
Data från forskningsanalytiker tyder på att en typisk CISO tillbringar två till tre år på ett företag. Detta leder till potentiell felanpassning med en risk som sannolikt kommer att förverkligas inom fem till 10 år. Och ändå, som vi ser med statliga myndigheter och en mängd andra organisationer, den data du genererar i dag kan ge motståndare ett enormt värde i framtiden när de väl kan komma åt det. Detta existentiella problem kommer sannolikt inte att hanteras enbart av den person som ansvarar för säkerheten. Det måste hanteras på de högsta företagsledarnivåerna på grund av dess kritiska karaktär.
Av denna anledning bör kunniga CISO:er, VD:ar och styrelser ta itu med kvantberäkningsriskproblemet tillsammans, nu. När beslutet att omfamna kvantbeständig kryptering görs blir frågorna alltid: "Var ska vi börja och hur mycket kommer det att kosta?"
Den goda nyheten är att det inte behöver vara en smärtsam eller kostsam process. I själva verket kan befintliga kvantmotståndskraftiga krypteringslösningar köras på befintlig infrastruktur för cybersäkerhet. Men det är en transformerande resa – inlärningskurvan, interna strategi- och projektplaneringsbeslut, teknikvalidering och planering och implementering tar tid – så det är absolut nödvändigt att företagsledare börjar förbereda sig idag.
Fokus på randomisering och nyckelhantering
Vägen till kvantmotståndskraft kräver engagemang från nyckelintressenter, men den är praktisk och kräver vanligtvis inte rippa och ersätta befintlig krypteringsinfrastruktur. Ett av de första stegen är att förstå var all din kritiska data finns, vem som har tillgång till den och vilka skyddsåtgärder som finns för närvarande. Därefter är det viktigt att identifiera vilken data som är mest känslig och vad dess känslighetslivslängd är. När du väl har dessa datapunkter kan du utveckla en plan för att prioritera migreringen av datamängderna till kvantmotståndskraftig kryptering.
Organisationer måste tänka på två nyckelpunkter när de överväger kvantmotståndskraftig kryptering: kvaliteten på de slumptal som används för att kryptera och dekryptera data och nyckeldistributionen. En av vektorerna som kvantdatorer kan använda för att knäcka nuvarande krypteringsstandarder är att utnyttja krypterings-/dekrypteringsnycklar som härrör från siffror som inte är riktigt slumpmässiga. Kvantresistent kryptografi använder längre krypteringsnycklar och, viktigast av allt, sådana som är baserade på verkligt slumpmässiga siffror så att de inte kan knäckas.
För det andra har det typiska företaget flera krypteringstekniker och nyckeldistributionsprodukter, och hanteringen är komplex. Följaktligen, för att minska beroendet av nycklar, krypteras ofta bara stora filer, eller, ännu värre, förlorade nycklar lämnar partier av data oåtkomliga. Det är absolut nödvändigt att organisationer använder hög tillgänglighet i företagsskala hantering av krypteringsnyckel för att möjliggöra att ett praktiskt taget obegränsat antal mindre filer och poster krypteras. Detta resulterar i ett betydligt säkrare företag.
Kvantresistent kryptering är inte längre ett "trevligt att ha." För varje dag som går ökar risken eftersom krypterad data stjäls för framtida sprickbildning. Lyckligtvis, till skillnad från kvantberäkning, kräver det inte en enorm investering, och den resulterande riskminskningen är nästan omedelbar. Att komma igång är det svåraste.
