Siber güvenliğin kedi-fare oyununda, bir sonraki büyük şey hakkında her zaman ileriyi düşünmek çok önemlidir. Sırada ne var ve geride kalmadığımdan nasıl emin olabilirim? Ortaya çıkan böyle bir yeni teknoloji, kuantum hesaplamadır. Teknolojinin olumlu potansiyeli çok büyük olmakla birlikte, özellikle siber güvenlik alanında göz korkutucu zorlukları da beraberinde getiriyor.
21 Aralık 2022’de Başkan Biden, federal kurumları kuantum bilişimle şifre çözmeye karşı korunan teknolojiyi benimsemeye teşvik eden Kuantum Bilişim Siber Güvenlik Hazırlık Yasasını imzaladı. Yüksek düzeyde, bu, kuantum bilişimin gücüyle desteklenen siber saldırı tehlikesinin çok yakın olduğu izlenimini vererek kamu ve özel sektördeki güvenlik uzmanlarını tedirgin edebilir. Ama henüz paniğe kapılma zamanı değil. Tehlikelerin neler olduğuna biraz daha derinlemesine bakalım ve ardından çoğu kuruluşun, özellikle özel sektördekilerin yakın gelecekte neden endişelenmemesi gerektiğine bakalım.
Kuantum Bilişimin Güvenlik Tehlikeleri
Kuantum hesaplama ile ilgili en büyük korku, verilerin şifresini çözmede kullanılmasıdır. Mevcut bilgi güvenliği paradigması beş sütuna dayanmaktadır: gizlilik, bütünlük, kullanılabilirlik, özgünlük ve reddedilemezlik. Bunların hepsi (en azından bir dereceye kadar), klasik bilgisayarların asal sayıları çarpanlarına ayırmasının zor olduğu gerçeği üzerine kurulu açık anahtar şifrelemesine dayanır. Bununla birlikte, kuantum bilgisayarların klasik bilgisayarlardan çok daha iyi olduğu şeylerden biri, geleneksel kriptografiyi temelden baltalayan asal sayıları çarpanlara ayırmaktır. Bu, yalnızca yeni çalınan bilgileri değil, aynı zamanda daha önce bilgisayar korsanları tarafından ele geçirilen ve depolanan tüm bilgileri de riske atar.
Açık anahtar kriptografisini kırma yeteneği, dijital ekonomimizin çoğunu riske atıyor ve tamamen yeni bir yaklaşımın, yani kuantum dirençli algoritmaların kullanımına geçişin benimsenmesini gerektiriyor. Bu algoritmalar zaten mevcut olsa da, gerçek dünyadaki etkinliklerinden emin olamayız çünkü henüz onları doğrulayacak kadar büyük bir kuantum bilgisayar yok. Ek olarak, bu algoritmaları kullanmak, tüm ortamda uçtan uca uygulamaya yönelik yoğun zaman alan ve sıkıcı bir süreç gerektirecektir.
Neden Çoğu Kuruluşun Endişe Etmesine Gerek Yok – Henüz
İyi haber şu ki, yararlı olacak kadar düşük bir hata oranıyla asal sayıları çarpanlara ayırabilen bir kuantum bilgisayardaki en iyi tahminler muhtemelen hala on yıl veya daha fazla zaman alıyor. Ek olarak, Batılı hükümetler ve şirketler şu anda bu alandaki en ileri araştırmaların bazılarına sahiptir, bu nedenle işler bu yolda devam ederse, birçok işletme ve çoğu federal kurumun, tehdit gerçekten gerçekleştiğinde hazırlanmak için bir yolu olacaktır.
Bununla birlikte, bu zaman çizelgesi, daha uzun raf ömrüne sahip kritik verileri çalınmış olan herhangi bir kuruluş için çok az rahatlık sağlar. Gelecekte kendimizi kuantum destekli siber saldırılardan daha iyi korumak için yeni güvenlik yaklaşımları oluşturmak için bir pistimiz olsa da, zaten kötü niyetli bir aktörün elinde olan veriler artık bir zaman çizelgesinde. Çoğu kuruluşun bundan 10 yıl sonra bile kritik öneme sahip olacak verileri olmasa da, ülke güvenliği veya diğer görev açısından kritik bilgilerle uğraşan kurum veya kuruluşlar kesinlikle sahip.
Şimdi Hangi İşlemleri Yapmalıyız?
Şu anda, her şey hazırlık ve planlama ile ilgili. Bazıları için bu, şifresi çözülen eski hassas verilerin sonuçlarıyla nasıl başa çıkılacağını düşünmeyi içerir, ancak en önemli adım kuantum kriptografik hazırlığın sağlanmasıdır. Bu, mevcut şifreleme varlıklarının ve sertifikalarının eksiksiz bir envanterini ve hepsinin güncel olduğundan emin olmayı içerir. Bu çok önemlidir, çünkü bir kuruluşu yalnızca kuantum dirençli algoritmalar kullanmaya toptan bir geçiş için hazırlamakla kalmaz, aynı zamanda bu arada güvenliğin sağlanmasına da yardımcı olur.
Şu anda risk, kuruluşların uygun siber hijyen gibi daha sıradan konulara odaklanmak yerine kuantum bilişim tehdidiyle nasıl başa çıkılacağı konusunda endişelenerek çok fazla enerji harcamasıdır. En güncel kriptografik yöntemlerle korunmayan varlıklar veya kimlik avı e-postalarının nasıl çözüleceği konusunda gerekli eğitimi almamış çalışanlar şu anda kuruluşlar için kuantum bilişimden çok daha büyük bir tehdit oluşturuyor. Yarının tehditlerini göz önünde bulundurmak önemli olmakla birlikte, mevcut risk ortamı birincil odak noktamız olmalıdır.
Bundan on yıl kadar sonra, kuantum bilgi işlem, bilgi güvenliğinin üzerine inşa edildiği temelleri yıktığı için büyük olasılıkla en önemli endişe kaynağı olacaktır. Altta yatan teknoloji atlatılabiliyorsa, bilgiler gizli, özgün, erişilebilir (doğru taraflarca) veya belirli bir kişi tarafından doğrulanabilir şekilde oluşturulmuş olarak kabul edilemez. Ancak şu anda, hazırlanmak için hala bolca zamanımız var. Şimdilik kuruluşlar, günümüzün tehdit ortamı için güçlü siber hijyen politikaları oluşturmaktan daha fazla fayda sağlayacak. Güvenlikte on yıl uzun bir süre, bu nedenle kuantum bilişimin statükoya meydan okuyan tek gelişen teknoloji olması pek olası değil – bunu yalnızca zaman gösterecek!