Siber Şefler bugün, İngiltere’deki kuruluşların quantum sonrası bilgi işlem tehdidine hazır olmaları için gereken dönüşüm, 2020’de bilgisayar sistemlerini tehdit eden Milenyum böceği için hazırlıklar yapacak.
Ulusal Siber Güvenlik Merkezi’nin (NCSC) Baş Teknoloji Sorumlusu Ollie Whitehouse, Quantum sonrası şifreleme (PQC) için hazırlanmanın “karmaşık bir değişim programı” alacağını ve “muazzam bir görev” olacağını söyledi.
On yıllık, İngiltere çapında PQC programı, kuruluşların her bir kriptografik kod örneğini tanımlamasını, bir kuantum bilgisayarın saldırısının savunmasız olup olmadığını anlamalarını ve riski azaltmak için planlar koymasını gerektirecektir.
Birleşik Krallık hükümetinin ve şirketlerinin, programcıların tarihleri hesaplama şekli nedeniyle 2000 yılının ilk gününde arızalanmayı tehdit ettiğinde, mülkleri boyunca yazılımı düzeltmeye başladığı büyük çabayı yansıtır.
Bugün risk, gelecekte büyük ölçekli bir kuantum bilgisayarın geliştirilmesinin, bankacılık ve diğer işlemleri güvence altına almak ve çevrimiçi insanların özgünlüğünü doğrulamak için kullanılan yaygın olarak kullanılan kriptografik kimlik doğrulama tekniklerini tehlikeye atacağıdır.
Ulus devletleri ayrıca, düşman ülkelerin daha sonra şifrelemelerini kırabilecek bir kuantum bilgisayar geliştirebilecekleri beklentisiyle hassas iletişimleri kesme, toplama ve depolama potansiyeli konusunda da endişe duyuyorlar.
Bugünün şifreleme algoritmalarını kırabilecek ilk kuantum bilgisayarların geliştirileceğini tahmin etmek zordur, ancak teknoloji tedarikçileri 2030’larda en erken kullanılabilir kuantum bilgisayarların mevcut olabileceği bir fikir birliğine varmaktadır.
GCHQ’nun bir parçası olan NCSC, Mart ayında rehberlik yayınladı ve İngiltere’nin kuantum şifreleme sonrası geçişi için, kuantum bilgisayarlar tarafından kolayca kırılamayan şifreleme tekniklerini kullanan aşamalı bir zaman çizelgesi oluşturdu – 2035 yılına kadar.
Hassas çalışmalara katılan İngiltere hükümet departmanları, kuantum sonrası şifreleme standartlarını zaten konuşlandırırken, Google gibi büyük şirketler teknolojiyi bulut hizmetlerine dağıtmaya başladı.
Bugün NCSC tarafından açıklanan bir danışmanlık planı, ürünlerinde veya ağlarında kuantum kriptografi yayınlamak isteyen kuruluşlara yardım ve uzmanlık sunacak.
NCSC, kuruluşlara hangi kriptografik hizmetlerin yükseltmelere ihtiyaç duyacağını belirlemelerini ve 2028 yılına kadar bir göç planı geliştirmelerini tavsiye etti.
Bunu, 2028 ve 2031 yılları arasında yüksek öncelikli yükseltmeler ve 2035 yılına kadar tüm şifreleme için PQC’ye tam bir göç uygulanacak.
Amaç, paniğe neden olmak değil, on yıl boyunca kuantum kriptografisini yayınlamak için sorunsuz bir geçiş sağlamaktır.
Küçük ve orta ölçekli şirketler, kendileri için PQC yükseltmeleri sağlamak için yönetilen servis sağlayıcılara güvenebilecektir. Ancak daha büyük kuruluşlar ve kritik sektörler için PQC’nin kapsamlı planlama ve yatırım gerektirecektir.
NCSC, Kritik Endüstrilerdeki bilgi güvenliği şeflerine, kuantum kriptografisine geçişi finanse etmek için bir dava açmalarına yardımcı olmak için şirket kurullarına sunmak için kısmen mühimmat sağlamak için yönergeleri tanıttı.
Kılavuzlar ayrıca, kritik ulusal altyapıdan sorumlu kuruluşlara tam olarak oluşturulmamış veya uygun olmayan kuantum kriptografi ürünlerine yükseltme konusunda baskı uygulayarak frenleri aşırı hevesli tedarikçilere koymayı amaçlamıştır.
Yapay zeka, şirketler için başka bir zorluk oluşturuyor ve otomatik siber saldırılardan potansiyel olarak sömürülmeden önce, yeni güvenlik güvenlik açıklarının keşfine karşı korunmak için sistemlerini yamalmaları için daha az zaman veriyor.
Whitehouse, kuruluşların “teknik borçlarını” daha iyi yönetmeleri gerektiğini söyledi, bu da tamamen hazır veya tamamen güvenli hale gelmeden acele edilebilecek yazılım güncelleme maliyetinin bir ölçüsü.
Aynı zamanda, teknoloji tedarikçilerinin ürün ve hizmetleri siber saldırılara karşı esneklik sunacak şekilde tasarlamaları ve sürdürmeleri gerekecektir.
Bunu yapmamak, internetin yükselişinden bu yana ortaya çıkan önlenebilir güvenlik başarısızlıklarını tekrarlama riskiyle karşı karşıya, dedi Whitehouse.
“Radikal ve sürekli müdahaleler olmadan, son 30 yılı tekrarlama riskiyle karşı karşıyayız, ancak tezahür eden temel piyasa başarısızlıklarını ele almazsak, çok ağır sonuçlarla sonuçlandı” diye ekledi.