İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC), quantum sonrası dünyanın yaklaşan BT güvenlik risklerine hazırlanırken kuruluşları desteklemeye yardımcı olmak için kapsamlı yeni rehberlik yayınladı.
Olasılıklarında cezbedilmesine rağmen, kuantum hesaplamanın ortaya çıkışı, dünyadaki hassas verileri korumak için kullanılan mevcut şifreleme yöntemlerini temel olarak kırmakla tehdit etmektedir.
Bu nedenle, yarış başarılı bir şekilde elde edilebiliyorsa, gelecekteki en hızlı bilgisayarları bile flummox yapacak daha güvenli, kuantum dirençli şifreleme yöntemleri vaat eden Quantum Post Kriptografi (PQC) geliştirmek ve dağıtmak için devam ediyor.
NCSC, rehberliğinde, kilit sektörlerin ve kuruluşların, 2035 yılına kadar 10 yıl sonra kuantum dirençli şifreleme yöntemlerine geçmeleri için üç aşamalı bir zaman çizelgesi ortaya koyuyor.
Siber ajans, güvenlik liderleri şimdi geçişe hazırlanmaya başlayabilirlerse, daha pürüzsüz ve daha kontrollü bir göçle kilitleyeceklerine ve acele uygulamalar ve güvenlik boşlukları riskini azaltacaklarına inanıyor.
NCSC Teknik Sorumlusu Ollie Whitehouse, “Kuantum bilgi işlem teknolojisini devrim yaratacak şekilde ayarlandı, ancak mevcut şifreleme yöntemleri için de önemli riskler oluşturuyor” dedi.
“Quantum sonrası şifreleme konusundaki yeni rehberliğimiz, kuruluşların verilerini bu gelecekteki tehditlere karşı korumaları için açık bir yol haritası sunarak bugünün gizli bilgilerinin önümüzdeki yıllarda güvenli kalmasını sağlamaya yardımcı oluyor.
“Kuantum teknolojisi ilerledikçe, kolektif güvenliğimizi yükseltmek sadece önemli değil, aynı zamanda önemli.”
NCSC, birçok küçük ve orta boy işletme ve kuruluş için PQC göçünün yönetilen güvenlik hizmetleri sağlayıcıları aracılığıyla teslim edileceği için nispeten rutin ve sorunsuz bir süreç olacağını belirtti. Bununla birlikte, daha büyük kuruluşlar ve kritik sektörler için PQC kapsamlı planlama ve yatırım gerektirecektir.
Bugün proaktif adımlar atarak, kuruluşların İngiltere’nin dijital altyapısının önümüzdeki değişikliklerle sağlam ve güvende kalmasını sağlamaya yardımcı olabileceklerini savundu.
İlk adım olarak, kuruluşlar hangi kriptografik hizmetlerin yükseltmelere ihtiyaç duyacağını belirlemek ve bir göç planı geliştirmek için çalışmaya başlamalıdır. İdeal olarak, bu 2028 yılına kadar yapılmalıdır.
2028’den 2031’e kadar sonraki üç yıl boyunca gerçekleşen ikinci adım, kuruluşların “yüksek öncelikli yükseltmeler yapmaları” ve PQC teknolojisi geliştikçe planlarını geliştirmeleri gerektiği anlamına geliyor.
2031’den 2035’e kadar dört yıl boyunca gerçekleştirilen üçüncü ve son adım, tüm sistemler, hizmetler ve ürünler için PQC’ye tam bir geçiş görmelidir.
2025 Kritik bir yıl
NCSC’nin önerilerine tepki gösteren ETTUT Ürün Geliştirme Başkan Yardımcısı Greg Wetmore, kuantum tehdidini özellikle zorlayıcı olarak nitelendirdi, çünkü ölçeklenebilir kuantum hesaplamanın tam olarak ne zaman geleceği konusunda hala önemli miktarda tahmin var.
“Bu ve bunun için hazırlıksız olursak, tüm hassas bilgiler için acil ve aşırı güçlü bir kırılganlık olacak. Çok korkulan ‘Y2K’ bile sabit bir son tarihe sahipti. Öte yandan, bir gün önceden önceden gelip her şeyi değiştirecek” dedi.
“Neyse ki, bugün kuantum teknolojisi tehdidine hazırlanmak mümkün. [and] 2025, quantum sonrası hazırlık için çok önemli bir yıldır. Kuruluşlar kuantum güvenli altyapıyı uygulamaya koymaya başlıyor ve düzenleyici organlar PQC’nin önemini ele almaya başlıyor. ”
Wetmore, Computer Weekly’ye, quantum sonrası hükümler oluşturmanın sadece kuantum hesaplamanın olası erken gelmesine karşı korunmak için değil, aynı zamanda tehdit aktörlerinin şimdi veri toplama olasılığına karşı koruma ve daha sonra şifresini korumak için önemli olduğunu söyledi.
“Bu, kötü aktörlerin kuantum bilgisayarlar mevcut olduğunda şifresini çözmek için bugün şifrelenmiş bilgileri çalacağı yerdir, yani bazı kuruluşlar önemli bir siber ihlal geçirmiş olabilir ve henüz bilmiyorlar” dedi. “Kuantum güvenli standartlar ve altyapı uygulamak, bunu önlemenin anahtarıdır.”