Hazır olsun ya da olmasın, kuantum bilişim teknolojisi hızla ilerlemektedir ve yeni yetenekleri çoğu kişinin düşündüğünden daha kısa sürede kullanıma sunulacaktır. Kuantum teknolojisi malzeme bilimi, ilaç keşfi, finansal işlemler ve hatta iklim değişikliği araştırması gibi uygulamaları dönüştürme potansiyeline sahiptir. Ancak bu devrim niteliğindeki ilerlemeler aynı zamanda dijital güven ve şifreleme konusunda da önemli zorluklara yol açıyor. Bazı uzmanlar, kuantum sonrası bilgi işlem teknolojisinin, önde gelen kriptografik güvenlik algoritmalarını on yıl veya daha kısa bir sürede kırabilecek kadar güçlü olacağını tahmin ediyor.
Kuruluşlar kuantum sonrası bilgi işlem teknolojisinin potansiyel risklerini ciddiye alıyor ancak hazırlık durumları hala sallantılı durumda. Yakın tarihli bir Ponemon Enstitüsü Raporuna göre katılımcıların yüzde 41’i, kuruluşlarının yeni zorluklara hazır olmak için beş yıldan az bir süreye sahip olduğuna inandığını söyledi. Ancak katılımcıların yalnızca yüzde 23’ü bir güvenlik stratejisinin bulunduğunu bildirdi ve yalnızca yüzde 30’u kuruluşlarının kuantum sonrası hazırlık için bütçe ayırdığını söyledi.
Proaktif bir duruş sergilemek için hiçbir zaman erken değildir
Kuruluşlar en kritik iş süreçlerini etkileyebilecek yeni gelişmelere neden daha iyi hazırlanmıyor? Müşterilerle yaptığımız gayri resmi görüşmelerde, birçoğunun daha çok yapay zekanın hızla ortaya çıkması gibi kısa vadeli teknoloji zorluklarına odaklandığını duyduk. Şifrelemeyi gerçekten kırabilecek iyi çalışan bir kuantum çözümü ortaya çıkana kadar kuruluşlar, ulus devlet aktörleri ve diğer kısa vadeli BT öncelikleri gibi acil güvenlik tehditlerine odaklanmayı tercih ediyor.
Bununla birlikte, mevcut teknoloji günümüzün şifreleme düzenlerini henüz kıramasa da birçok kuruluş, yeni bilgi işlem yetenekleri mevcut olduğunda bunları kırmayı planlayan saldırganların şifrelenmiş paketleri ele geçirdiğinden endişe ediyor. Ponemon Enstitüsü’ne göre anket katılımcılarının yüzde 74’ü, saldırganların bu “şimdi hasat et, sonra şifresini çöz” saldırılarını gerçekleştirebileceğinden endişe ediyor.
Kuruluşlar, yaklaşan kuantum hesaplama zorluklarını doğrudan ele almaya hazır olmasalar bile, yeni şifreleme algoritmalarını değerlendirmek ve hızla dağıtmaya hazır olmak için gerekli adımları atabilirler. Bu, kripto çevikliğine sahip bir organizasyon gerektirir. Kripto çevikliği, anahtarların, sertifikaların, algoritmaların, kitaplıkların ve protokollerin eksiksiz bir envanterini keşfetme ve ardından hızla farklı şifreleme mekanizmalarına geçme yeteneğidir. Kriptografinin bir kuruluşta nasıl kullanıldığını anlamayı ve onu hızlı bir şekilde güncellemek için gerekli kültür ve araçlara sahip olmayı gerektirir.
Kripto çevikliğine doğru ilerlemek
Hükümet ve endüstri liderleri, kuruluşların önümüzdeki kuantum sonrası zorlukları ele almalarına yardımcı olmak için şimdiden bazı ilk adımları attılar. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kuantum bilgisayarların saldırılarına dayanacak şekilde tasarlanmış dört algoritmayı zaten seçti ve şu anda bu algoritmaları standartlaştırma sürecinde. Üç yeni imza algoritmasının 2024 yılında kullanıma hazır olması bekleniyor ve kripto çevikliği uygulamalarına sahip kuruluşlar bunları uygulamaya en iyi şekilde hazır olacak.
Envanter yapın
Kuruluşların bugün kripto çevikliğini geliştirmek için atabileceği bazı adımlar nelerdir? Görünürlük kazanmak esastır. Çoğu zaman BT ve güvenlik personeli, altyapılarında ve iş süreçlerinde kriptografinin nasıl ve nerede kullanıldığına ilişkin yalnızca sınırlı bilgiye sahiptir.
Hangi alanlara dikkat edilmesi gerektiğini anlamak için kapsamlı bir envanter başlatmak üzere gerekli adımları atın. Şu anda genel anahtar şifrelemesini kullanan uygulama ve sistemlerin tam taramasını gerçekleştirin. Saygın bir sertifika bulma hizmeti, sertifika ortamınızın güncel bir anlık görüntüsünü sağlayabilir.
Kuruluşlar ayrıca iletişim ve donanım sistemlerindeki bileşenleri incelemek için envanteri sertifikaların ötesine taşımalıdır. Donanım Güvenlik Modülleri (HSM’ler) ve Güvenilir Platform Modülleri (TPM’ler) gibi öğeler genellikle kriptografik varlıklar içerir. DevOps ortamlarında kod imzalama süreçleri de gelişmiş yeni saldırılara karşı savunmasız olabilir. İçgörüleri eksiksiz ve güncel tutmak için kuruluşların sık sık keşif görevleri gerçekleştirmesi gerekir.
Verimlilik için otomatikleştirin
Potansiyel olarak riskli alanlara ilişkin derinlemesine görünürlük elde ettikten sonraki adım, kuruluşun güncelliğini yitirmiş kriptografik varlıkları hızla ve geniş ölçekte değiştirmeye hazır olmasını sağlamaktır. Bu varlıklar, kriptografiyi kullanan tüm belgeleri, sunucuları, süreçleri, kullanıcıları ve cihazları içerir. Otomasyon, yeni zorluklara kısa sürede yanıt vermede önemli bir rol oynayabilir. Kriptografik varlıkları ayrı ayrı yönetmek hataya açık, emek yoğun ve zaman alıcıdır.
Sertifikalar gibi binlerce kriptografik varlığa sahip büyük bir kurumsal kuruluş için, kriptoyu manuel olarak güncellemek pek pratik değildir. Sertifika yaşam döngüsü yönetimini kolaylaştırmanın en basit yolu, kuruluşların çok sayıda sertifikayı yalnızca birkaç dakika içinde hızlı bir şekilde bulut veya şirket içi ortamlara dağıtmasına olanak tanıyan bir otomasyon yöneticisiyle PKI’yı bir hizmet olarak kullanmaktır.
Hazırlık testi
Kriptografik öğeler genellikle çeşitli uygulamalara ve ortamlara yayılır, bu nedenle birlikte çalışabilirlik testi, kripto çevikliğini artırmanın bir başka önemli adımıdır. DevOps ekipleri gibi birçok kuruluş, geliştirme döngülerinin bir parçası olarak testleri rutin olarak gerçekleştirir; bu nedenle testler büyük değişiklikler gerektirmez, ancak mevcut süreçlerin iyileştirilmesini gerektirir.
Şifreleme algoritmalarını güncelleme zamanı geldiğinde, geniş ölçekte geçiş yapmadan önce öncelikle altyapınızın ve uygulamalarınızın birlikte çalışabilirliğini kontrol edin.
Bugünün zorluklarını çözmek ve geleceğe hazırlanmak
Herhangi bir stratejik girişim göz korkutucu görünse de, kripto çevikliğini güçlendirmek için bugün atılacak bazı adımlar, kilit karar vericilere, kuruluşlarının ufukta görünen zorluklara karşı tamamen hazırlıklı olduğu konusunda güvence verebilir. Ponemon raporuna göre, ankette yüksek performans gösteren kuruluşlar, gerekli kriptografik teknikleri kullanarak kuantum hesaplama sonrası güvenli bir geleceğe ulaşma yetenekleri konusunda daha olumluydu. Doğru kültür, iletişim, araçlar ve teknoloji ortağıyla kuruluşlar, bugün kripto çevikliğine doğru hızlı bir adım atabilirler.
DigiCert, kuantuma nasıl hazır olunacağı hakkında daha fazla bilgi edinmek isteyen veya kuantum stratejisine ne zaman başlanması gerektiği konusunda kararsız kalan kuruluşlar ve bireyler için 26 Eylül 2024’te Dünya Kuantum Hazırlık Günü’nü oluşturdu. Etkinlik, kuantum stratejisine ilişkin farkındalığı artırmaya hizmet ediyor. Kuantumun etkileri, şirketlerin bugün neler yapabileceğine dair bol miktarda bilgi içeriyor.
Yazar Hakkında
Dr. Avesta Hojjati, DigiCert’te Mühendislik Başkan Yardımcısıdır. DigiCert’e katılmadan önce Dr. Hojjati, Symantec ve Yahoo gibi büyük kuruluşlarda çeşitli görevlerde bulundu ve ayrıca bir penetrasyon testi şirketi olan Security7 Inc.’in kurucusu ve CEO’su oldu. DigiCert’te Dr. Hojjati, birleşme ve satın alma stratejisi ile birlikte daha geniş ürün yol haritasını etkilemenin yanı sıra, yerleşik/IoT cihaz güvenliği ve kuantum sonrası kriptografi (PQC) çözümleri de dahil olmak üzere bir siber güvenlik ürünleri paketinin ileri düzeyde geliştirilmesine liderlik etmektedir.
Dr. Hojjati, Yüksek Lisans ve Doktora derecelerini aldı. Bilgisayar Bilimleri dalında Urbana-Champaign’deki Illinois Üniversitesi’nden ve Texas Tech Üniversitesi’nden Bilgisayar Bilimleri alanında lisans derecesine sahiptir. 20’den fazla dergi/konferans makalesinin yazarıdır ve hem verilmiş hem de beklemede olan 30 ABD patentinin mucididir.
Avesta’ya çevrimiçi olarak https://www.linkedin.com/in/avestahojjati/ adresinden ve şirketimizin web sitesi https://www.digicert.com/ adresinden ulaşılabilir.