Kuantum bilgisayarların halihazırda kullanılan şifreleme algoritmalarını kırabilmesi kaçınılmazdır. Ve ABD, Çin ve Avrupa bu silahlanma yarışını kazanmak için koştururken, o günün er ya da geç geleceğini biliyoruz.
Peki kuruluşlar, verilerine yönelik bu tehdide karşı koymaya hazır olacak mı?
Ponemon Enstitüsü yakın zamanda kuruluşlarının kuantum sonrası kriptografiye yaklaşımı hakkında bilgi sahibi olan 1.426 BT ve BT güvenlik uygulayıcısını araştırdı ve bunların %61’inin kuruluşlarının kuantum sonrası bilişimin güvenlik sonuçlarını ele almaya hazır olmayacağından endişe duyduğunu buldu.
Onlara göre asıl zorluklar zaman, para ve vasıflı personel eksikliğinin yanı sıra:
- Kuantum sonrası kriptografinin (PQC) etkilerine ilişkin belirsizlik,
- Kuantum sonrası algoritmaların hala standartlaştırılma sürecinde olması ve
- Organizasyon içerisinde geçiş sürecinin net bir şekilde sahiplenilmemesi.
Kuantum sonrası kriptografiye başarılı bir geçiş için ortadan kaldırılması gereken engeller
Başlamadan önce kuruluşlar aşağıdaki soruların yanıtlarını bilmelidir: Kuantum sonrası kriptografiye geçiş için bütçe kimin elinde? Bu çabayı kim yürütecek? Peki sorumluluk nerede?
“Konu olarak PQC’den bağımsız olarak, müşterilerimiz tarafından sıklıkla dile getirilen zorluklardan biri, açık anahtar altyapısının (PKI) bir şirkette geniş bir departman yelpazesinde var olabilmesi ve bunun sorumluluğunun ve sahipliğinin merkezileştirilmesini zorlaştırmasıdır.” Dijital güvenlik şirketi DigiCert’in Baş Teknoloji Sorumlusu Jason Sabin, Help Net Security’ye söyledi.
Şirketler bu sorunu farklı şekillerde çözüyor. Bazı durumlarda kriptografik faaliyetlerini tek departman ve tek başkan altında toplarlar. Diğer durumlarda, şirket genelinde programlarının gidişatını etkileyen paydaşların yer aldığı bir vekil komitesi oluştururlar.
“Yönetimini merkezileştirmeye başlamış şirketlerin bu bütçeyi talep etmek ve faaliyeti planlamak için organizasyonel bir yöntemi var. Ancak bunu yapmayan organizasyonlar için, bir miktar organizasyonel tasarım zorluğu mevcut. İşte bu noktada teknoloji liderlerinin, ileriye yönelik en iyi organizasyonel yolu bulmak için iş dünyası liderleriyle ortaklık kurması gerektiğini düşünüyorum” dedi.
Kuantum dirençli algoritmaların hâlâ standartlaştırılmamış olması aşılamaz bir zorluk değil: Taslak standartlar mevcut, algoritmalar farklı sistemlerde araştırılıp test edilebilir ve sonuçlar kuruluşların doğru uygulama planını önceden tasarlamasına yardımcı olabilir.
Son olarak kuantum kriptografisine ilişkin zihniyette bir değişikliğe ihtiyaç var. Yöneticiler, kriptografik açıdan anlamlı kuantum bilgisayarları henüz el altında olmasa bile, veri mahremiyetine ve gizliliğine yönelik tehdidin mevcut olduğunun farkına varmalıdır.
Sabin, “Tehdit aktörleri verileri çalmak, üzerinde durmak ve ardından kuantum bilgisayarlar ortaya çıktığında şifresini çözmek için Şimdi Hasat Et, Daha Sonra Şifresini Çöz stratejilerini kullanabilir” dedi.
“Diğer vektör ise sahada uzun süre konuşlandırılacak yazılım veya cihazlardır. Kuantum bilgisayarlar gerçeğe dönüştüğünde verileri ve onları kullanan kullanıcıları hâlâ koruyabilmeleri için bunların artık kuantum açısından güvenli anahtarlarla güvence altına alınması gerekiyor.”
Bütün bunlar belli bir derecede aciliyetin gerekli olduğunu açıkça ortaya koyuyor.
Pek çok şey tehlikede
İster iş ister kişisel olsun, iyi ilişkiler güvene dayanır. Ne yazık ki, uzun bir süre boyunca inşa edilen güven hızla kaybolabilir ve müşterilerin ve iş ortaklarının çekip gitmesine neden olabilir.
“Bir müşteri olarak hangi şirketlerin kuantum sonrası geleceğe hazırlanmak için yatırım yaptığını, özellikle hangilerinin yapmadığını bilmek istiyorum! Sabin, şirketlerin satıcılarının ve tedarikçilerinin ‘kuantum açısından güvenli’ olup olmadığına dikkat edeceklerini belirtti.
Bu açıdan bakıldığında, kuantum sonrası kriptografiye zamanında geçiş, iş esnekliğinin desteklenmesi anlamına gelir.
“Bu geçişin yalnızca bir teknoloji gereksinimi veya teknoloji organizasyonunun derinliklerinde meydana gelen bir şey olarak görülmemesi gerektiğini düşünüyorum; aynı zamanda önümüzdeki on yılda iş stratejisinin ön saflarında yer alması gereken bir şey olarak da görülmesi gerektiğini düşünüyorum” diye ekledi.
Ve eğer şirketler algoritmaları değiştirirken kriptografik varlıklarını yönetmek için daha verimli ve güvenli bir yaklaşım benimsemeye çaba gösterirlerse, genel olarak daha iyi bir güvenlik duruşuna sahip olabilirler.
Şimdi sorulması gereken soru, şirketlerin ortakları, müşterileri ve çalışanlarıyla olan güvenini korumak için ne dereceye kadar yatırım yapmaya hazır olduklarıdır.
Neye sahip olduğunuzu bilin ve neye öncelik verilmesi gerektiğini önceliklendirin
İyi haber şu ki, kuantum sonrası hesaplamayla ilişkili veri gizliliği risklerini önceden azaltmayı amaçlayan küresel bir ortak çaba var. Öncelikle güvenlik sonradan akla gelen bir düşünce değil: Neyin geleceğini biliyoruz ve ona hazırlanabiliriz.
Başlangıç olarak, üst düzey liderliğin kuantum sonrası bilişimin veri güvenliğine yönelik tehditleri anlamasını sağlamalı ve buna hazırlanmak için kaynakların tahsis edildiğinden emin olmalıdırlar.
(Ponemon’un çalışması şu anda katılımcıların yalnızca yüzde 30’unun kuruluşlarının PQC hazırlığı için herhangi bir bütçe ayırdığını söylediğini ortaya çıkardı. %22’si ise şirketlerinin şu anda bütçe tahsis etme planı olmadığını söylüyor.)
İdeal durumda, kuruluşun hâlihazırda tüm dahili PKI meseleleriyle ilgilenen bir “merkezi merkezi” vardır ve tahsis edilen bütçe, diğer şeylerin yanı sıra, kuantum sonrası algoritmaları test edecek ve genel olarak post-kuantum algoritmalara geçiş üzerinde çalışacak uzmanların katılımı için kullanılabilir. kuantum kriptografisi.
Öncelikle kullanımda olan kriptografi anahtarlarının bir envanterini oluşturacak ve güncel tutacaklar. Bu aktivitede anahtarların özellikleri, nerede bulundukları ve ne için kullanıldıkları ortaya çıkarılmalıdır.
(Ponemon, kuruluşların %52’sinin halihazırda merkezi bir kripto anahtarı envanteri oluşturmaya yatırım yaptığını ve bundan operasyonel faydalar elde ettiğini buldu. Ancak PQC’nin ufukta görünmesiyle böyle bir envanter bir zorunluluk haline gelecektir.)
Bu bilgi onların şunları yapmasına olanak sağlayacaktır:
- Öncelikleri belirleyin (örneğin, fikri mülkiyetin korunması, müşteri verileri) ve yanıtlanması gereken soruları yanıtlayın (örneğin, “Verilerin ne kadar süreyle korunması gerekiyor?”)
- Ayrıntılı bir eylem planı oluşturun (NIST’in Kuantum Sonrası Kriptografiye Geçişi gibi kılavuzlara başvurarak),
- Tüm kuruluş genelinde uygulanacak merkezi bir kripto yönetimi stratejisi oluşturun.
“Şirketler daha sonra, otomatik sertifika ve anahtar yönetimi gibi kripto çevikliği sağlayan sistemleri uygulamaya koyarak geçiş yönetimi operasyonlarını nasıl kolaylaştıracaklarına bakabilirler. Bu, kriptografik ortamdaki baskılar değiştikçe ihtiyaçlarına hızla ve sırayla yanıt vermelerini sağlayacak,” diye bitirdi Sabin.