Yazan: , Bilgi Güvenliği Başkanı, .
Fark etmiş olabileceğiniz gibi, günlük manşetler ve bunların teknolojiler üzerindeki etkisi sıradan hale geliyor. Bu, kuantum bilgisayarların belirli hesaplama türlerini bugün hepimizin kullandığı klasik bilgisayarlardan çok daha hızlı gerçekleştirebilecek olmasından kaynaklanmaktadır. Bu özel işleme yöntemi nedeniyle, verileri korumak için kuantum bilgisayarlar da kullanılabilir. Bu nedenle her yerdeki CISO’lar endişelenmeli.
Hayır, gökyüzü alçalmıyor ve kuantum bilgisayarların günlük kullanımı henüz toplu halde gerçekleşmiyor. Bununla birlikte, suç ve devlet aktörleri, iletişimleri dinleyerek aktif olarak veri topluyor ve depoluyor ve bu verilerin şifresi gelecekte kuantum bilgisayarlar tarafından çözülecek. Uyguladıkları kavram, çalma şimdi şifresini sonra çözme (SNDL) olarak adlandırılır.
Tipik bir SNDL saldırısında, saldırgan kritik bilgilere erişim elde etmek için ağ trafiğini engelleyerek, veri depolarına erişerek veya sosyal mühendislik ya da kötü amaçlı yazılım gibi teknikleri kullanarak şifrelenmiş verilere erişim kazanır. Büyük olasılıkla, verileri mevcut şifreleme algoritmaları ve anahtarları kullanılarak korunmaktadır. Bir düşman, bu verileri gizlice dışarı sızdırarak, içeriğinin şifresini daha sonra çözebilir ve elde ettiği tüm kaynakları emrinde kullanabilir. “Ne olmuş yani? Güvenlidir, şifrelidir ve şifresini çözmek sonsuza kadar sürer.” Bu, bugün için doğru bir ifadedir. Bununla birlikte, SNDL saldırıları, mevcut kriptografik algoritmaların kırılacağı ve ardından ufuktaki kuantum bilgisayarlarla verilerin şifresinin çözüleceği inancına dayanır. Bazı verilerin uzun bir raf ömrü vardır ve hain kuruluşlar, bu şifrelenmiş öğelerin, veriler hala büyük bir değere sahipken gelecekte kullanıma sunulacağına bahse girerler.
Hedef alınabilecek ve özellikle çalınması durumunda yıllar sonra bile kuruluşunuza zarar verebilecek bazı veri örnekleri şunları içerir:
- Finansal veriler: Kredi kartı numaraları, banka hesap bilgileri ve diğer finansal işlemler gibi veriler. Bu veriler kimlik hırsızlığı, dolandırıcılık işlemleri veya diğer kötü amaçlar için kullanılabilir.
- Gizli iş bilgileri: Rakiplere rekabet avantajı sağlayabilecek iş planları, ticari sırlar, fikri mülkiyet veya diğer veri noktaları.
- Kişisel bilgiler: Kimlik hırsızlığı veya diğer kötü amaçlar için kullanılabilecek oturum açma kimlik bilgileri, sosyal güvenlik numaraları, tıbbi kayıtlar veya diğer kişisel olarak tanımlanabilir bilgiler (PII).
- Devlet sırları: Gizli bilgiler, askeri sırlar veya casusluk için kullanılabilecek diğer hassas devlet bilgileri.
- Şifreli iletişim: Hassas bilgileri açığa çıkaran veya saldırganın ek sistemlere veya ağlara erişmesine olanak tanıyan e-postalar, sohbet mesajları veya diğer iletişim biçimleri.
Yani tehdit gerçek ama bunu nasıl ele almalısınız?
Buradaki anahtar, kuantum saldırılarına dirençli olacak şekilde tasarlanmış olanları dikkate almaktır. CISO’lar bunlara aşina olmaya başlamalı ve benimseme için potansiyel uygunluklarını değerlendirmelidir.
CISO’lar, kuruluşlarının genel güvenlik duruşunu muhtemelen güçlü bir şekilde kavrar, ancak kuantum saldırılarına karşı özellikle savunmasız olan alanları keşfetmek için bir kez daha denemeyi düşünün. Günümüzde hassas verileri korumak için kullanılan şifrelemeyi ve bu verilerin kendi sınıflarını incelemeye değer. Bu ekosistem anlaşıldıktan ve destekleyici kriptolojisi tanımlandıktan sonra, CISO’lar kuantum dirençli teknolojiyi dikkate alan bir plan geliştirmelidir. .
Planınız ayrıca yükseltmeler ve yenilikçi çözümler uygulamak için bir zaman çizelgesi ve bir bütçe ve kaynak tahsis planı içermelidir. Ağınızın karmaşıklığına bağlı olarak, şirketiniz genelinde tam kuantum esnekliğe geçiş yapmak yıllar alabilir. Bu çabayı nitelendirmek, CISO’ların bu alıştırma aracılığıyla getirdiği başka bir katma değerdir. Yönetim ekibinize operasyonel harcamalar, idari taahhütler ve dış kaynaklarla angajmanlar açısından nelerin gerekli olacağı bağlamını vermek, çaba düzeyini gerçekten işleme koymalarına olanak tanır.
Bir CISO olarak, bir yıl önce kuantumun ne olduğunu, neden umursamam gerektiğini ve siber güvenliğe sunduğu somut tehditleri gerçekten anlamadığımı kabul ediyorum. Şirketinizde aynı durumda olan personeliniz olabilir. CISO’lar planlarına eğitimi dahil etmeli ve kuruluşunuza yönelik kuantum tabanlı saldırılarla ilişkili risklere odaklanmalıdır. Bu, rehberlik sağlamak için eğitim programları geliştirmeyi veya dış kaynaklarla ortaklık kurmayı içerebilir. Buradaki fikir, bir kuruluş içinde bu tehditleri anlamak için toplu olarak zekayı artırmak, bu riskle nasıl başa çıkmayı planladığınız konusunda liderlik sağlamak ve farkındalık yaratarak kuruluşunuzun “insan güvenlik duvarını” iyileştirmektir.
Planınızı aldıktan sonra, kritik sistemlerinizi ve verilerinizi koruma yolundasınız demektir. Diğer bir husus, araştırma ve geliştirmeye daha fazla yatırım yapmaktır. Bu, kuruluşunuza göre değişebilir, ancak birçok kuruluşun kuantuma dayanıklı kriptografik sistemler geliştirmesi veya belirli hizmet tekliflerini kuantum saldırılarına karşı korumaya yardımcı olabilecek diğer teknolojileri araştırması gerekecektir. Bu kuantum esneklik konusu yeni ve hızla değişiyor, bu nedenle doğru konu uzmanının bulunması önemlidir. Süreç, kuantum hesaplama ve kriptografideki en son gelişmelerden haberdar olmak için akademik kurumlar, araştırma kuruluşları, satıcı topluluğu ve diğer endüstri ortaklarıyla işbirliği yapmayı içerebilir.
Son olarak, CISO’lar, ortaya çıkan kuantum tehdidine yönelik en iyi uygulamalarla uyumlu olduklarından emin olmak için kuruluşlarının güvenlik politikalarını ve prosedürlerini düzenli olarak gözden geçirmeli ve güncellemelidir. Bu, şifreleme algoritmalarının güncellenmesini, erişim kontrollerinin güçlendirilmesini ve kuruluşu ve verilerini korumak için ek güvenlik önlemlerinin uygulanmasını içerebilir.
Kuantum bilişim tehdidi kritik bir zorluk teşkil ediyor, ancak dikkatli bir planlama ve hazırlıkla CISO’ların bu riski azaltması mümkün. Güvenlik açıklarınızı anlamak, geçiş için bir plan geliştirmek ve çalışanlarınıza, araçlarınıza ve prosedürlerinize doğru yatırımları yapmak için biraz zaman ayırın. Şimdi biraz dikkatli bir çabayla, kuruluşunuzun kuantum bilişimin doğası gereği getireceği tehdide hazırlıklı olmasını sağlamaya yardımcı olabilirsiniz.
reklam