Kuantum bilişimin mevcut şifrelemeyi kırmasına henüz yıllar var ama birçok güvenlik ekibi o an geldiğinde ne olacağı konusunda şimdiden endişeleniyor. Trusted Computing Group’un (TCG) yeni bir raporu, çoğu işletmenin tehdidi kavradığını söylediğini, ancak neredeyse hiçbirinin kuantum kriptografi sonrası geçişe yönelik gerekli planlama veya teknik altyapıya sahip olmadığını gösteriyor.
Güven artıyor, hazırlıklar duruyor
TCG, ABD, İngiltere ve Avrupa’da 1.500 güvenlik profesyoneliyle anket yaptı. Ankete katılanların dörtte üçü, kuantum hesaplamanın mevcut kriptografik sistemleri nasıl zayıflatabileceği konusunda kendilerine güven duyduklarını söyledi. Eğitim, hukuk ve sağlık gibi sık saldırılarla uğraşan sektörler en yüksek güven seviyelerini bildirdi.
Rapor, işletmelerin yüzde 91’inin kuantum güvenli algoritmalara geçiş için resmi bir yol haritasına sahip olmadığını ortaya koyuyor. Küçük bir grubun taslak planları var ve birkaç kuruluş yıllar önce erken planlamaya başladı, ancak bunlar istisnadır. Büyük ölçüde kriptografik bütünlüğe bağlı olan endüstriler de dahil olmak üzere çoğu sektör çok sınırlı ilerleme göstermektedir.
Hızlı evlat edinme inancı gerçeklikle eşleşmiyor
Ankete katılanların yarısından fazlası, 2026 yılına kadar üretim verilerini koruyan en az bir kuantum sonrası algoritmaya sahip olmayı bekliyor. Bu iyimserlik, gereken çalışmayla keskin bir tezat oluşturuyor. NIST kısa süre önce ilk standartlarını tamamladı ve kurum, standardizasyondan tam entegrasyona giden yolculuğun on yıl veya daha fazla sürebileceğini belirtiyor.
Birçok kuruluşun açık anahtar altyapısını yeniden inşa etmesi ve güçlü anahtar yönetimine dayanan sistemlerini güncellemesi gerekecektir. Bu uzun döngüler 2026 beklentisini zorlaştırıyor. TCG’nin raporu, işletmelerin zaman çizelgelerini teknik hazırlıktan ziyade dış baskıya göre belirliyor olabileceğini öne sürüyor.
Çekirdek şifreleme sistemleri hazır değil
Rapor en zorlu zorluklardan birine dikkat çekiyor. Ankete katılanların yüzde 81’i kripto kitaplıklarının ve donanım güvenlik modüllerinin kuantum sonrası entegrasyona hazır olmadığını söyledi. Birçoğu, kuantum tehditleri ciddiye alınmadan çok önce tasarlanmış protokollere dayanan eski sistemleri kullanıyor. Bu sistemlerin yenilenmesi basit bir yükseltme değildir. Anahtarların nasıl oluşturulduğu, saklandığı ve değiştirildiği konusunda değişiklikler yapılması gerekiyor.
Beceri eksiklikleri sorunu daha da artırıyor. Pek çok güvenlik ekibi post kuantum algoritmalarını test etme veya dağıtma konusunda deneyime sahip değil. Satıcı bağımlılığı da ilerlemeyi yavaşlatır çünkü işletmeler genellikle dış tedarikçiler kendi araçlarını güncelleyinceye kadar ilerleyemezler.
Organizasyon içindeki çalışmayı kim yürütüyor?
Post kuantum projelerinde liderlik sektörler arasında farklılık gösterir. CTO’lar, CIO’lar ve CISO’lar özellikle BT, telekomünikasyon ve sağlık hizmetlerinde en yaygın dahili sponsorlardır. Mimarlık, mühendislik ve eğitim gibi daha az iç uzmanın bulunduğu sektörlerde katılımcılar, stratejiyi yönlendirmek için danışmanlara daha çok güvendiklerini söyledi.
Bu eşitsiz sahiplenme, bir kuruluş genelinde ivme kazanmayı zorlaştırır. TCG, ABD, İngiltere ve AB’deki politika kilometre taşlarının son yıllarda daha fazla planlamayı teşvik ettiğini ancak faaliyet düzeyinin hâlâ göçün gerektireceği düzeyden uzak olduğunu belirtiyor.
İşletmeler ilk önce koruyacaklarını sıralamaya başlıyor
İlk olarak hangi sistemlerin güvenliğini sağlamayı planladıkları sorulduğunda katılımcılar çoğunlukla kimlik ve erişim yönetimini seçti. Yüzde otuz beş, IAM’i listenin başına yerleştirdi. Bu sistemler büyük ölçüde açık anahtar şifrelemesine dayanır ve bu da onları kuantum yetenekli saldırılar için erken hedef haline getirir. Endüstriyel kontrol sistemleri birçok sektörde yakından takip edilmektedir çünkü birçoğu uzun değiştirme döngülerine sahip eski altyapı üzerinde çalışmaktadır.
Fikri mülkiyet ve ticari sırlar ABD ve İngiltere’de öncelik olmaya devam ediyor. Eğitim kurumları, öğrenci kayıtları ve kimlik bilgileri için kullanılan blockchain tabanlı depolamaya daha fazla önem vermeleriyle öne çıkıyor. Bu alanların her biri, değişmesi gereken kriptografik temellere dayanmaktadır.
Bütçeler kuantum sonrası çalışmaya doğru kayıyor
Ankete katılan kuruluşların neredeyse tamamı önümüzdeki iki yıl içinde kuantum sonrası projelere bütçe ayırmayı planlıyor. Çoğu, siber güvenlik bütçelerinin yüzde altı ila onunu araştırma, araç geliştirme veya dağıtıma harcamayı bekliyor. Harcama düzeyleri bölgeye göre farklılık göstermektedir. ABD’deki kuruluşların yarısından fazlası, İngiltere ve Almanya’dan çok daha yüksek bir rakamla en az yüzde on bir yatırım yapmayı planlıyor.
Bu planlara rağmen Birleşik Krallık ve ABD’deki katılımcıların küçük bir kısmı, 2026 yılına kadar bir algoritmayı benimseyeceklerine inanmalarına rağmen mevcut bütçelerinden herhangi birini kuantum sonrası çalışmalar için kullanmayı düşünmediklerini söyledi. Bu, erken yatırımların kapsamının nasıl belirleneceği konusundaki belirsizliği yansıtıyor.
Evlat edinmeyi hızlandırabilecek baskılar
Müşterilerden ve ortaklardan gelen sözleşme gereklilikleri, benimseme için en güçlü motivasyon kaynağı olarak görülüyor. Endüstri standartları çoğu sektörde listenin en üst sıralarında yer almaktadır. Yanıt verenlerin çoğu, yönlendirici olarak yaklaşmakta olan düzenlemelere ve talimatlara da dikkat çekti. ABD’de güvenlik olayları şaşırtıcı derecede düşük sıralarda yer aldı; bu da piyasa ve politika sinyallerinin varsayımsal saldırı senaryolarından daha fazla etkiye sahip olduğunu gösteriyor.
Ekipleri geceleri uykusuz bırakan endişeler
Entegrasyon zorlukları endişelerin başında geliyor. Katılımcılar ayrıca güvenlik risklerini, maliyet baskılarını, geçiş karmaşıklığını ve beceri boşluklarını da dile getirdi. Birçoğu, eski sistemlerin kuantum sonrası kullanıma hazır hale getirilmesi konusundaki belirsizliği ve bulut ortamları ile şirket içi varlıklar arasında koordinasyonun zorluğunu anlattı.