Şifreleme ve Anahtar Yönetimi, Güvenlik Operasyonları
Forrester’dan Sandy Carielli Kuantum Hazırlığı, Başarılı Geçiş İçin Temel Adımlar hakkında
Jennifer Lawinski’nin •
15 Ocak 2026
Kuantum bilgisayarların günümüz kriptografisinin temelini oluşturan algoritmaları ne zaman kıracağını bilmesek de Q-day geliyor ve teknoloji liderleri hazırlanmaya başlıyor. Kuantum güvenlik geçişleri, ürüne, altyapıya ve tedarik zincirlerine dokunan çok yıllı, işlevler arası projelerdir.
Ayrıca bakınız: Kodu Kırmak: Makine Kimliklerini Korumak
Forrester başkan yardımcısı ve baş analist Sandy Carielli, kuantum sonrası kriptografiye geçişin kapsamı göz korkutucu olsa da CIO’ların projeyi daha yönetilebilir hale getirmek için birkaç pratik adımı izleyebileceğini söyledi.
“Burada organizasyonun olması gereken yere ulaşması için ele alınması gereken bir süreç var” dedi. “Keşfedin, önceliklendirin, düzeltin ve kriptografik çeviklik ekleyin.”
CIO’larda gördüğü en büyük yanılgılardan biri kuantum dirençli güvenliğe hazır olmanın ne anlama geldiğidir. Carielli, “Bazen insanlar kuantum güvenliği için bir kuantum bilgisayarına ihtiyaç duyulduğu yönünde yanlış bir kanıya kapılıyorlar” dedi. “Kuantum bilgisayarlara ihtiyacınız yok. Aslında ihtiyacınız da olmayacak. Bunu korunmak için yapıyorsunuz.”
Bu geçişlerin aciliyetinin, her ikisinin de yönetim kuruluna ve paydaşlara iletilmesi gereken iki şey tarafından yönlendirildiğini söyledi: düzenleyici baskılar ve teknolojik ilerlemenin hızlı temposu.
Standart kurumları ve hükümet rehberliği, hükümet ve kritik altyapı da dahil olmak üzere kuruluşlar için planlama ufkunu zaten ortaya koydu. NIST’in kuantum sonrası geçiş kılavuzu bir son tarih belirliyor: Kuantum güvenlik açığına sahip açık anahtar şifrelemesi 2030 yılına kadar kullanımdan kaldırılmalı ve 2035 yılına kadar buna izin verilmemelidir. CISA, geçişin kapsamı ve karmaşıklığı yıllar alacağından ve yönetişim, bütçeleme ve satıcı yönetimini içerecek olduğundan, kuruluşları şimdiden başlamaya çağırıyor.
Carielli, “Şimdi başlamanız gerekiyor ve muhtemelen birkaç yıl önce başlamış olmanız gerekiyor, çünkü bu çok uzun bir yolculuk.” dedi.
İlk keşif aşaması; uygulamalar, veriler, kimlikler, ağlar, IoT cihazları, bulut ve kod genelinde tam bir kriptografik envanter içermelidir. Ayrıca teknoloji borcunun güvenlik açıkları yarattığı alanları da ortaya çıkarabilir.
Küçük kuruluşlar envanteri e-tablolarda yönetebilirken, daha büyük kuruluşlardaki CIO’lar, keşifleri yönetmek için tedarikçileri işe almayı düşünmelidir. Daha büyük kuruluşlar ayrıca sürekli keşif ve politika bakımı için araçlardan yararlanmayı düşünmelidir.
Ancak bazı teknolojilerin envanterinin çıkarılması diğerlerinden daha kolay olacaktır. Carielli, bulut sağlayıcılarının genellikle geçiş planlarını kamuoyuna açıkladığını ve müşterilerin iş yükünü hafifleteceğini söyledi. Evde geliştirilen teknolojiler veya eski yazılım kitaplıklarına sahip olabilen şirket içi teknolojiler potansiyel risk alanlarıdır. Veri merkezi donanımının yanı sıra, güncellenmemiş ürün yazılımını çalıştıran IoT cihazları da öyle.
Carielli, “kolay kazanılabilecek” ilk adımlardan birinin, tedariki erkenden masaya koymak ve ekosisteme getirilen üçüncü taraf ürünlerinin risk yaratmadığından emin olmak için RFP ve SLA dilini güncellemek olduğunu söyledi. Mevcut satıcılar için ekipler geçiş planlarını ve zaman çizelgelerini sorgulamalıdır.
Kuruluşlar, sağlık veya bankacılık verileri gibi uzun vadeli değere sahip, 10 ila 15 yıl sonra hala değerli olabilecek verilere öncelik vermeli ve bugün çalınan verilerin gelecekte şifresinin çözüleceğini varsaymalıdır: “Şimdi hasat et, şifresini sonra çöz.”
Dijital imzalar yüksek öncelikli olmalıdır. Dijital imzaları doğrulayan algoritmalar bozulduğunda, sözleşmelerin veya diğer belgelerin bozulmamış olduğuna dair güvence de ortadan kalkar. Carielli, “Eğer ben bir CIO’ysam, eğer sözleşmeleri dijital olarak imzalıyorsak, bu konuda çok endişeliyim” dedi.
İyileştirme daha sonra küçük parçalar halinde değişiklikler yapmayı, yenileme döngülerini yönetmek için satın alma ve finansla birlikte çalışmayı, potansiyel olarak donanım kuantum hazır olana kadar yükseltmeleri geciktirmeyi ve satıcı zaman çizelgelerini zorunlu kılmayı içerir.
Kripto çevikliğine yönelik tasarım, sürecin son adımıdır ve kuruluşlar, algoritma değişikliklerinin yeniden mimariyi değil, yapılandırma değişikliklerini gerektireceği sistemler oluşturmaya çalışmalıdır. Carielli, “Kripto çevikliği açısından iyi, bir algoritma bir daha bozulduğunda, konfigürasyonu değiştirerek buna uyum sağlayabileceğimiz anlamına gelir. Birkaç yıl yerine birkaç hafta içinde uyum sağlayabiliriz” dedi.
Amerika Birleşik Devletleri, Avustralya, AB ve Asya ülkelerinde son tarihler yaklaşırken, düzenleyici etkinin kuantum geçişini birkaç yıl öncesine göre daha kolay satması bekleniyor. Carielli, “Kuantum bilgisayarı ne zaman günümüzün kriptografisini kırabilecek olursa olsun, iş yapmak istediğimiz kuruluşlar ve ülkeler bizden göç etmemizi istiyor.” dedi.
CIO’ların önündeki tek stratejik zorunluluk bu değil. Ayrıca yapay zekaya, dijital girişimlere ve eski modernizasyona yatırım yapma baskısı altındalar. Ancak kuantumun da yüksek bir öncelik olması gerektiğini söyledi.
Carielli, “Yol haritası önemli” dedi. “Müşterilerinizi korumalısınız. Çalışanlarınızı korumalısınız. Dışarıda dışarı çıkmasını istemeyeceğiniz çok fazla veri var. Bugün muhtemelen her şey geride kaldı, ancak ileriye dönük olarak hala koruyabilirsiniz.”