Forbered og beskytt deg mot post-kvantum-trusselen

TechRadar 2023 Hot Topic – Tillit og cybersikkerhet

Denne artikkelen er et utvalg fra Devoteam TechRadar 2023. Årets fokus er på den skybaserte æraen – en ny æra der teknologi og forretning er mer sammenkoblet enn noen gang. Organisasjoner må forberede seg på komplekse modeller som er bygget med, i og for skyen. Teknologiene i TechRadar 2023 følger for det meste også denne bevegelsen.

Hvordan kan organisasjoner håndtere post-kvantum-risiko?

Hva om vi fortalte deg at om noen år vil en kvantecomputer kunne dekryptere nesten all kryptert data som ligger på nett i dag? Dette er tiden for å være forberedt.

Kvantecomputere vil kunne bryte enkelte typer kryptografi som i dag er viktige for å skape tillit i en digital økonomi og som beskytter konfidensiell informasjon fra å bli lekket. Elektroniske signaturer, sikre nøkkelutvekslinger og autentisering basert på offentlig nøkkelinfrastruktur kan alle bli dekryptert. Tidligere sikre meldingsapplikasjoner, beskyttede nettsider eller VPN-er kan kompromitteres.

Det er ingen grunn til panikk, da det vil ta år før kvantecomputere blir sterke nok til å bryte nåværende kryptografi. Likevel kan sikkerhetsproblemer bli relevant mye tidligere for organisasjoner som trenger langsiktig beskyttelse av datakonfidensialitet eller integritet.

Det nasjonale instituttet for standarder og teknologi (NIST) utarbeider for øyeblikket nye standarder for kvantemotstandsdyktig kryptografi. Standarden har som mål å publiseres innen 2024.

Selv om det ikke er klart når kvantecomputere vil klare å bryte nåværende kryptografi, bør organisasjoner evaluere sin risiko og begynne å planlegge for området innen post-kvantekryptografi. Prosessen med å definere og utføre en strategi for post-kvantekryptografi kan ta flere år.

Devoteams anbefalinger for å komme i gang med trusselen fra post-kvantum:

Det finnes mange måter å bygge et kryptosystem som er motstandsdyktig mot kvantecomputere, men hvordan vet du hvilken som er best? Kvantemotstandsdyktig sikkerhet bør definitivt bruke hybridløsninger som kombinerer konvensjonell og kvanteklar teknologi. Dette sikrer at eksisterende sikkerhet forblir intakt samtidig som nye teknikker for post-kvantekryptografi legges til.

Organisasjoner må først vurdere sine eksisterende løsninger for kryptosystemer. Deretter utvikle en konkret strategi som inkorporerer cybersikkerhetsrobusthet mot kvantecomputere i organisasjonens eksisterende vurderinger av cybersikkerhetsrisiko. Skritt for å oppnå dette bør vurdere følgende elementer:

• Skap bevissthet blant beslutningstakere og IT-ledere. Forstå hva som er annerledes med ny kvantemotstandsdyktig kryptografi og hvilke implikasjoner det har for organisasjoner.
• Gjør det mulig for organisasjonen å forstå eksponeringer for angrep basert på kvantebasert kryptografi.
• Skap strategisk veiledning og opplæring for å prioritere kvantemotstandsdyktige initiativer tilpasset organisatorisk risiko, IT-strategi, leverandøravhengigheter og økosystemoperasjoner.
• Lag en migrasjonsplan mot smidig og kvantemotstandsdyktig kryptografi for å gi organisasjoner moderne og fleksible paradigmer, som kryptografiske tjenester.

Når tilstrekkelig strategisk modenhet er oppnådd, vil samarbeid med løsningsleverandører hjelpe organisasjoner å unngå utilsiktede skader og låsesituasjoner.