Ви можете відчувати, що шифрування даних за допомогою сучасних технологій забезпечить надійний захист. Навіть якщо є порушення даних, ви можете вважати, що інформація захищена. Але якщо ваша організація працює з даними з «довгим хвостом» — тобто їхня цінність триває роками — ви помиляєтеся.
Перемотайте вперед через п’ять-десять років. З’являться квантові комп’ютери, які використовують квантову механіку для виконання операцій у мільйони разів швидше, ніж сучасні суперкомп’ютери, і зможуть розшифрувати сучасне шифрування за лічені хвилини. У цей момент суб’єктам національної держави просто потрібно завантажити зашифровані дані, які вони збирали роками, у квантовий комп’ютер, і за кілька хвилин вони зможуть отримати доступ до будь-якої частини викрадених даних відкритим текстом. Цей тип атаки «збирай зараз, розшифруй пізніше» (HNDL) є однією з причин, чому зловмисники зараз націлюються на зашифровані дані. Вони знають, що не можуть розшифрувати дані сьогодні, але зможуть це зробити завтра.
Незважаючи на те, що загроза квантових обчислень існує через кілька років, ризик існує сьогодні. Саме з цієї причини президент США Джо Байден підписав Меморандум про національну безпеку вимагаючи від федеральних агентств, оборони, критичної інфраструктури, фінансових систем і ланцюгів поставок розробити плани впровадження квантово стійкого шифрування. Президент Байден задає тон для федеральних агенцій слугує влучною метафорою — квантовий ризик слід обговорити та розробити плани зменшення ризику на рівні керівництва (генерального директора та правління).
Прийміть довгостроковий погляд
Дані дослідників свідчать про те, що типовий CISO проводить у компанії від двох до трьох років. Це призводить до потенційного розбіжності з ризиком, який, імовірно, матеріалізується через п’ять-десять років. І все ж, як ми бачимо з державними установами та безліччю інших організацій, дані, які ви створюєте сьогодні може надати супротивникам величезну цінність у майбутньому, коли вони отримають до нього доступ. Ця екзистенційна проблема, ймовірно, не буде вирішуватися виключно особою, відповідальною за безпеку. Його слід розглядати на найвищих рівнях керівництва бізнесу через його критичний характер.
З цієї причини кмітливі CISO, генеральні директори та ради директорів повинні разом вирішувати проблему ризиків квантових обчислень, зараз. Одного разу рішення обійняти квантово стійке шифрування зроблено, запитання незмінно стають: «З чого почати і скільки це коштуватиме?»
Хороша новина полягає в тому, що це не обов’язково болісний або дорогий процес. Насправді існуючі квантово стійкі рішення шифрування можуть працювати на існуючій інфраструктурі кібербезпеки. Але це трансформаційний шлях — крива навчання, внутрішня стратегія та рішення щодо планування проекту, валідація та планування технологій, а також впровадження потребують часу — тому вкрай важливо, щоб бізнес-лідери почали готуватися вже сьогодні.
Зосередьтеся на рандомізації та управлінні ключами
Шлях до квантової стійкості вимагає відданості ключових зацікавлених сторін, але він практичний і зазвичай не вимагає копіювання та заміни існуючої інфраструктури шифрування. Один із перших кроків — зрозуміти, де зберігаються всі ваші важливі дані, хто має до них доступ і які заходи захисту наразі застосовуються. Далі важливо визначити, які дані є найбільш конфіденційними та який термін їх служби конфіденційності. Отримавши ці точки даних, ви можете розробити план пріоритетного переходу наборів даних на квантово стійке шифрування.
Розглядаючи квантово стійке шифрування, організації повинні враховувати два ключові моменти: якість випадкових чисел, які використовуються для шифрування та дешифрування даних, і розподіл ключів. Одним із векторів, які квантові комп’ютери можуть використовувати для злому поточних стандартів шифрування, є використання ключів шифрування/дешифрування, отриманих із чисел, які не є справді випадковими. Квантово-стійка криптографія використовує довші ключі шифрування і, що найважливіше, ті, які базуються на справді випадкових числах, тому їх неможливо зламати.
По-друге, типова компанія має кілька технологій шифрування та продуктів для розповсюдження ключів, а управління є складним. Отже, щоб зменшити залежність від ключів, часто шифруються лише великі файли, або, що ще гірше, втрачені ключі залишають пакети даних недоступними. Вкрай важливо, щоб організації розгортали високу доступність корпоративного масштабу керування ключами шифрування щоб уможливити шифрування практично необмеженої кількості менших файлів і записів. Це призводить до значно більшої безпеки підприємства.
Квантово-стійке шифрування більше не є «приємним». З кожним днем ризик зростає, оскільки зашифровані дані викрадаються для майбутнього злому. На щастя, на відміну від квантових обчислень, це не вимагає величезних інвестицій, і в результаті зниження ризику відбувається майже миттєво. Найважче почати.
