Kvantne grožnje vse bolj aktualne za gospodarstvo

V Centru za kibernetsko varnost Svetovnega gospodarskega foruma so objavili članek »Prihaja obdobje kvantne varnosti - kako se lahko vodje nanje pripravijo«. Ta menedžerje opozarja na tveganja kvantnega računalništva in podaja tri prehodne pristope, ki jim bodo omogočili kvantni prehod.

Kvantne grožnje vse bolj aktualne
Kvantne računalnike za lomljenje šifer najprej uporabljale varnostno-obveščevalne službe v največjih državah, ki jim bodo sledile velike korporacije in bogate kriminalne združbe.

Avtorja Michele Mosca in Vikram Sharma uvodoma izpostavljata, da bodo dovolj zmogljivi kvantni računalniki razbili kriptografijo, ki se uporablja za zaščito številnih vsakodnevnih digitalnih opravil, kot sta brskanje po internetu ali spletno bančništvo, kot tudi občutljivih zdravstvenih in vojaških podatkov. Kar je danes za večino še težko predstavljivo, bo lahko že kmalu realna grožnja, saj so se v varnostni skupnosti že pojavila poročila, da bi lahko raziskovalci na obstoječem kvantnem računalniku razbili običajne vrste kriptografije.

»Eno je, da v resnici ne vemo, kako daleč je že razvoj kvantnih računalnikov. Drugo pa je, da napadalci že izvajajo napade, s katerimi kradejo šifrirane občutljive podatke, ki jih bodo z lahkoto prebrali kasneje, ko bodo imeli na voljo dovolj zmogljiv kvantni računalnik,« je izpostavil Mitja Trampuž, direktor podjetja CREAplus, ki smo ga povprašali za komentar.

Kot ocenjuje Trampuž, bodo kvantne računalnike za lomljenje šifer najprej uporabljale varnostno-obveščevalne službe v največjih državah, ki jim bodo sledile velike korporacije in bogate kriminalne združbe.

Na poti k zmanjševanju tveganj za kibernetsko varnost

Za zmanjševanje tveganj, ki jih kvantni računalniki predstavljajo trenutni infrastrukturi kibernetske varnosti, bodo morale organizacije uvesti kvantno varno oziroma post-kvantno kriptografijo. Standarde zanjo že pripravlja ameriški Nacionalni inštitut za standarde in tehnologijo, pri čemer tudi Evropski inštitut za telekomunikacijske standarde in druge organizacije standardizirajo metode šifriranja s kvantnimi ključi.

mitja trampuz creaplus
Mitja Trampuž, direktor podjetja CREAplus

Avtorja članka opozarjata, da bi lahko proces prehoda na kvantno varne šifrirne algoritme lahko trajal več let, saj je kriptografija pogosto vgrajena globoko v informacijske sisteme in je odvisna od številnih dejavnikov, vključno z dobavitelji informacijskih rešitev in storitev.

»Glede na pretekle izkušnje pri prehodu z algoritma SHA1 na SHA2 lahko pričakujemo, da bo prehod na post-kvantno kriptografijo trajal več kot deset let. Prav zaradi dolgotrajnega prehoda morajo organizacije že sedaj začeti s pripravo na uvedbo kvantno varne kriptografije,« je razložil Trampuž.

Organizacije se lahko prehoda lotijo na osnovi treh pristopov.

1. Uvedba vzporednih kvantnih rešitev

Upravljanje vzporedne izvedbe je primerno za večino organizacij, če imajo dovolj sredstev. Različni kriptografski algoritmi, ki so javno dostopni in preizkušeni, so že potencialno kvantno varni. Organizacije lahko te kvantno varne rešitve začnejo uporabljati že danes poleg obstoječe klasične kriptografije in tako združijo njihove zmožnosti.

2. Postopen pristop

Organizacije z zapleteno infrastrukturo ali z omejenimi kadrovskimi in tehnološkimi viri lahko izvedejo postopno prehajanje posameznih sistemov ter skupin informacijskih rešitev. Vmesna obdobja med prehodi izkoristijo za premisleke o pridobljenih izkušnjah, ki jih nato vključijo v naslednji korak. Takšen prehod omogoča tudi porazdelitev naložb in mejnikov ter lahko ob manjših prekinitvah delovanja posameznih sistemov vodjem pomaga pridobiti podporo za prehod vseh poslovnih funkcij.

3. Popolna migracija na kvantne računalnike v enem koraku

Organizacije z manjšimi infrastrukturami ali omejenimi potrebami po izmenjavi občutljivih informacij lahko razmislijo o popolnem prehodu, pri kateri je cilj čim prej postati kvantno varen z znanjem in izkušnjami, ki so trenutno na voljo. Takšen pristop je smiseln predvsem za projekte v zgodnjih fazah razvoja ali pri uvajanju novih informacijskih rešitev.

Ne glede na izbrani pristop ali bolj verjetno kombinacijo več pristopov velja, da bo za pripravo in izvedbo prehoda potrebno jasno vodstvo in podpora najvišje ravni odločanja v organizaciji. Smiselno je tudi, da se čimprej povežejo s strokovnjaki na tem področju. »Tudi mi ob ozaveščanju o post-kvantni kriptografiji zaenkrat v večjih slovenskih podjetjih ugotavljamo, da bodo organizacije pri razvoju in izvedbi učinkovite kvantno varne kibernetsko strategije potrebovale podporo najvišjega vodstva,« je zaključil Trampuž.

In ukrepati morajo zdaj. Danes so organizacije morda še na varni strani, vendar se jim bo v primeru nepripravljenosti celotno poslovanje sesulo, ko bo in zagotovo bo prišlo do zloma današnje kriptografije.

Celoten članek je na voljo na povezavi: https://www.weforum.org/agenda/2023/04/the-quantum-security-era-is-coming-here-s-how-leaders-can-reap-its-benefits/