Hazır olun ya da olmayın, kuantum hesaplama teknolojisi hızla ilerliyor ve yeni yetenekleri çoğu kişinin düşündüğünden daha erken kullanılabilir olacak. Kuantum teknolojisi, malzeme bilimleri, ilaç keşfi, finansal işlemler ve hatta iklim değişikliği araştırması gibi uygulamaları dönüştürme potansiyeline sahip. Ancak, bu devrim niteliğindeki ilerlemeler aynı zamanda dijital güven ve şifrelemeye önemli zorluklar da getiriyor. Bazı uzmanlar, kuantum sonrası hesaplama teknolojisinin on yıl veya daha kısa bir süre içinde önde gelen kriptografik güvenlik algoritmalarını kıracak kadar güçlü olacağını öngördü.
Kuruluşlar, kuantum sonrası bilgi işlem teknolojisinin potansiyel risklerini ciddiye alıyor, ancak hazır olma durumları hala sallantıda. Son Ponemon Enstitüsü Raporuna göre, katılımcıların yüzde 41’i kuruluşlarının yeni zorluklara hazır olmak için beş yıldan az bir süreye sahip olduğuna inandıklarını söyledi. Ancak katılımcıların yalnızca yüzde 23’ü bir güvenlik stratejisine sahip olduğunu bildirdi ve yalnızca yüzde 30’u kuruluşlarının kuantum sonrası hazır olma için bütçe ayırdığını söyledi.
Proaktif bir duruş sergilemek için asla erken değildir
Kuruluşlar en kritik iş süreçlerini etkileyebilecek yeni gelişmelere neden daha iyi hazırlanmıyor? Müşterilerle yaptığımız gayriresmi görüşmelerde, birçoğunun yapay zekanın hızla ortaya çıkması gibi kısa vadeli teknoloji zorluklarına daha fazla odaklandığını duyduk. Şifrelemeyi kırabilecek iyi çalışan bir kuantum çözümü gerçekten ortaya çıkana kadar, kuruluşlar ulus-devlet aktörleri ve diğer yakın vadeli BT öncelikleri gibi acil güvenlik tehditlerine odaklanmayı tercih ediyor.
Ancak, mevcut teknoloji henüz günümüzün şifreleme düzenlerini kıramasa da, birçok kuruluş saldırganların şifrelenmiş paketleri şimdi ele geçirebileceğinden ve yeni hesaplama yetenekleri mevcut olduğunda bunları kırmayı planladığından endişe ediyor. Ponemon Institute’a göre, ankete katılanların %74’ü saldırganların bu “şimdi hasat et, sonra şifresini çöz” saldırılarını gerçekleştirebileceğinden endişe ediyor.
Kuruluşlar doğrudan yaklaşan kuantum bilişim zorluklarını ele almaya hazır olmasalar bile, yeni şifreleme algoritmalarını değerlendirmek ve hızla dağıtmaya hazır olmak için adımlar atabilirler. Bunun için kripto çevikliğine sahip bir kuruluş gerekir. Kripto çevikliği, anahtarların, sertifikaların, algoritmaların, kütüphanelerin ve protokollerin eksiksiz bir envanterini keşfetme ve ardından hızla farklı şifreleme mekanizmalarına geçme yeteneğidir. Kriptografinin bir kuruluş içinde nasıl kullanıldığını anlamak ve onu hızla güncellemek için gereken kültüre ve araçlara sahip olmak gerekir.
Kripto çevikliğine doğru ilerliyoruz
Hükümet ve endüstri liderleri, kuruluşların kuantum sonrası zorluklarla başa çıkmalarına yardımcı olmak için bazı ilk adımları çoktan attılar. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kuantum bilgisayarlarının saldırılarına dayanacak şekilde tasarlanmış dört algoritmayı çoktan seçti ve şu anda bu algoritmaları standartlaştırma sürecinde. Üç yeni imza algoritmasının 2024’te kullanıma hazır olması bekleniyor ve kripto çevikliği uygulamalarına sahip kuruluşlar bunları uygulamaya en iyi şekilde hazır olacak.
Bir envanter yapın
Kuruluşların bugün kripto çevikliğini artırmak için atabileceği bazı adımlar nelerdir? Görünürlük elde etmek temeldir. Çoğu zaman, BT ve güvenlik personeli, kriptografinin altyapılarında ve iş süreçlerinde nasıl ve nerede kullanıldığına dair yalnızca sınırlı bir içgörüye sahiptir.
Hangi alanların dikkat gerektirdiğini anlamak için kapsamlı bir envanter başlatmak için adımlar atın. Şu anda açık anahtar şifrelemesi kullanan uygulamaların ve sistemlerin tam bir taramasını gerçekleştirin. Saygın bir sertifika keşif hizmeti, sertifika ortamınızın güncel bir anlık görüntüsünü sağlayabilir.
Kuruluşlar ayrıca envanteri sertifikaların ötesine taşıyarak iletişim ve donanım sistemlerindeki bileşenleri incelemelidir. Donanım Güvenlik Modülleri (HSM’ler) ve Güvenilir Platform Modülleri (TPM’ler) gibi öğeler genellikle kriptografik varlıkları tutar. DevOps ortamlarında, kod imzalama süreçleri de gelişmiş yeni saldırılara karşı savunmasız olabilir. İçgörüleri eksiksiz ve güncel tutmak için kuruluşlar sık sık keşif görevleri gerçekleştirmelidir.
Verimlilik için otomasyon
Potansiyel olarak riskli alanlarda derinlemesine görünürlük elde ettikten sonraki adım, kuruluşun güncelliğini yitirmiş kriptografik varlıkları hızla ve ölçekte değiştirmeye hazır olduğundan emin olmaktır. Bu varlıklar, kriptografi kullanan tüm belgeleri, sunucuları, süreçleri, kullanıcıları ve cihazları içerir. Otomasyon, kısa sürede yeni zorluklara yanıt vermede önemli bir rol oynayabilir. Kriptografik varlıkları tek tek yönetmek hataya açıktır, emek yoğun ve zaman alıcıdır.
Sertifikalar gibi binlerce kriptografik varlığa sahip büyük bir kurumsal organizasyon için kriptoyu manuel olarak güncellemek pratik değildir. Sertifika yaşam döngüsü yönetimini kolaylaştırmanın en basit yolu, kuruluşların sadece birkaç dakika içinde çok sayıda sertifikayı buluta veya şirket içi ortamlara hızla dağıtmasını sağlayabilen bir otomasyon yöneticisiyle bir hizmet olarak PKI kullanmaktır.
Hazırlık testi
Kriptografik öğeler genellikle çeşitli uygulamalar ve ortamlar arasında uzanır, bu nedenle birlikte çalışabilirlik testi kripto çevikliğini iyileştirmek için bir diğer önemli adımdır. DevOps ekipleri gibi birçok kuruluş, geliştirme döngülerinin bir parçası olarak rutin olarak test gerçekleştirir, bu nedenle test büyük değişiklikler gerektirmez, ancak mevcut süreçlerin iyileştirilmesini gerektirir.
Kriptografik algoritmaları güncelleme zamanı geldiğinde, ölçekte geçiş yapmadan önce altyapınızın ve uygulamalarınızın birlikte çalışabilirliğini kontrol edin.
Günümüzün zorluklarına çözüm bulmak ve geleceğe hazırlanmak
Herhangi bir stratejik girişim göz korkutucu görünse de, bugün kripto çevikliğini güçlendirmek için bazı adımlar atmak, kilit karar vericilere kuruluşlarının ufukta görünen zorluklara tamamen hazır olduğuna dair güvence verebilir. Ponemon raporuna göre, ankette yüksek performans gösteren kuruluşlar, gerekli kriptografik teknikleri kullanarak kuantum bilişim sonrası güvenli bir geleceğe ulaşma yetenekleri konusunda daha olumluydu. Doğru kültür, iletişim, araçlar ve teknoloji ortağıyla kuruluşlar bugün kripto çevikliğine doğru hızlı bir yola girebilir.
Kuantum konusunda nasıl hazır olunacağı hakkında daha fazla bilgi edinmek isteyen veya bir kuantum stratejisine ne zaman başlanması gerektiği konusunda kararsız olan kuruluşlar ve bireyler için DigiCert, 26 Eylül 2024’te gerçekleşecek olan Dünya Kuantum Hazırlığı Günü’nü oluşturdu. Etkinlik, şirketlerin bugün neler yapabileceğine dair çok sayıda bilgiyle kuantumun etkilerine ilişkin farkındalığı artırmayı amaçlıyor.
Yazar Hakkında
Dr. Avesta Hojjati, DigiCert’te Mühendislik Başkan Yardımcısıdır. Dr. Hojjati, DigiCert’e katılmadan önce Symantec ve Yahoo gibi büyük işletmelerde çeşitli roller üstlendi ve bir penetrasyon testi şirketi olan Security7 Inc.’in kurucusu ve CEO’su oldu. Dr. Hojjati, DigiCert’te gömülü/IoT cihaz güvenliği ve kuantum sonrası kriptografi (PQC) çözümleri de dahil olmak üzere bir dizi siber güvenlik ürününün gelişmiş gelişimine öncülük etti ve ayrıca M&A stratejisiyle birlikte daha geniş ürün yol haritasını etkiledi.
Dr. Hojjati, Bilgisayar Bilimleri alanında Yüksek Lisans ve Doktora derecesini Illinois Üniversitesi Urbana-Champaign’den, Bilgisayar Bilimleri alanında Lisans derecesini ise Texas Tech Üniversitesi’nden aldı. 20’den fazla dergi/konferans makalesi yazmış olup, hem verilmiş hem de beklemede olan 30 ABD patentinin mucidi.
Avesta’ya çevrimiçi olarak https://www.linkedin.com/in/avestahojjati/ adresinden ve şirketimizin web sitesi https://www.digicert.com/ adresinden ulaşılabilir.