Bu yardımda net güvenlik görüşmesinde, Emut’taki CISO Jordan Avnaim, riske dayalı bir yaklaşım kullanarak kuantum bilgi işlem tehdidinin yönetici ekiplere nasıl iletileceğini tartışıyor. Quantum sonrası kriptografinin (PQC) neden acil ve uzun vadeli bir öncelik olduğunu açıklıyor.
Avnaim ayrıca Cisos’un kripto çevikliği oluşturmak ve dijital güveni korumak için atabileceği pratik adımları da özetliyor.
Bir CISO olarak bakış açınızdan, Kuantum bilgi işlem tehdidini yöneticilere ve kurul için nasıl çerçeveliyorsunuz?
Karmaşıklık, siber güvenlikte iletişimin düşmanı olabilir. Tahtaya iletişim kurarken kullandığım araçlardan biri ‘KICS’ kısaltmasıdır – siber güvenlik basit tutun. Bu, teknik jargondan kaçınmanızı ve kurulun anladığı bir dil, yani risk dilini konuşmanızı hatırlatır.
Kuantum tehdidini çerçevelerken bu yaklaşım çok önemlidir. Zaten son derece teknik bir alanda, teknik olmayan bir yönetim kurulu üyesine quantum sonrası şifreleme dilini konuşmak iletişimde bir çöküşe yol açabilir. Bunun yerine, tehdidi geri sayım saatimiz olmadığı bir şey olarak çerçeveleyin: önceki teknolojik gelişmelerden ve tehditlerden farklı olarak, sadece ölçekli bir kuantum bilgisayarın ne zaman geleceğini tahmin edebiliriz. Çok korkmuş ‘Y2K’ bile sabit bir son tarihe sahipti. Öte yandan ‘Y2Q’ bir gün öngörü olmadan gelecek.
Bunu yaparsa ve bunun için hazırlıksız kalırsak, tüm hassas bilgiler için acil ve aşırı güçlü bir kırılganlık olacaktır ve bu her şeyi değiştirecektir. Bu yaklaşım doğrudan kurulun risk diline konuşur ve teknik bir lider olarak bu tehdide karşı savunmak için yapabileceğiniz konuşmayı konumlandırır.
Quantum sonrası şifrelemeyi öncelikle uzun vadeli bir risk veya kısa vadeli bir operasyonel zorluk olarak görüyor musunuz?
Quantum sonrası bir dünya için bir zaman çizelgesi olmaması, quantum sonrası uzun vadeli veya kısa vadeli bir risk olarak düşünmenin mantıklı olmadığı anlamına gelir, ancak her ikisi de. Pratik olarak, kimlikleri ve hassas verileri korumak için quantum sonrası kriptografi konuşlandırarak bugün kuantum teknolojisi tehdidine hazırlanabiliriz. Kuruluşlar kuantum güvenli altyapıyı uygulamaya koymaya başladığından ve düzenleyici organlar, quantum sonrası şifrelemenin önemini ele almaya başladığından, bu yıl quantum sonrası hazırlık için çok önemlidir.
Kuruluşunuzda quantum sonrası kriptografi kurmak sadece kuantum teknolojisinin erken gelmesine karşı korunmada önemli değildir; Aynı zamanda kuruluşları özellikle kötü niyetli bir tehdide karşı korur: ‘Şimdi hasat, daha sonra şifresini çözün’. Burada, suçlular veya bir ulus-devlet adına hareket eden kötü aktörler, kuantum bilgisayarlar mevcut olduğunda daha sonra şifresini çözmek için şifreli bilgileri çalacaklar. Bu, bazı kuruluşların önemli bir siber ihlal geçirmiş olabileceği ve henüz bilmedikleri anlamına geliyor. Kuantum güvenli kriptografinin uygulanması bunu önlemenin anahtarıdır.
Gelecekte düşünmeye devam ettikçe, bugünün posta sonrası zorluklarının ötesinde, karşılaşacağımız yeni ve benzeri görülmemiş zorluklar olacağını bilmemeliyiz. Kuşkusuz, post-quantum sonrası dönemde, quantum sonrası şifreleme için tahmin etmemiz gereken tehditler olacak. Kurumsal sırları güvence altına almak için quantum sonrası kriptografi çözümlerinin daha kısa vadeli çözümünün uygulanması bir zorunluluktur, ancak en iyi kuruluşlar, işletmeye yönelik tehditleri çeviklik ve hassasiyetle ele almak için gerektiği gibi pivot oluşturma fırsatı olarak günümüzde PQC zorluklarını kullanacaktır.
2025’te gerçekçi bir quantum sonrası yol haritası CISOS için neye benziyor?
Cisos, mevcut kriptografik mülklerini anlamak için şimdi adımlar atmalıdır. Birçok kuruluş, anahtarları, sertifikaları ve protokolleri korumak ve yönetmek için birleşik bir yaklaşım olmadan parçalanmış bir şifreleme arazisi geliştirmiştir. Bu görünürlük eksikliği, siber güvenlik tehditlerine daha fazla maruz kalmayı açar. Bu manzarayı anlamak, quantum sonrası şifrelemeye güvenli bir şekilde göç etmek için bir ön koşuldur.
Atabileceğiniz bir diğer pratik adım, kuruluşunuzu kuantum hesaplamanın genel anahtar şifrelemesi üzerindeki etkisi için hazırlamaktır. Bu, NIST’in kuantum dirençli algoritmaların serbest bırakılması ve NCSC’nin son zamanlarda kuantum kore şifrelemesine geçme için üç aşamalı planı ile daha uygun hale geldi.
İşletmeniz için acil bir tehdit olmasa bile, bir kripto-aileniz stratejisi uygulamak, ana akım haline geldiklerinde kuantum dirençli algoritmalara sorunsuz bir geçiş sağlayacaktır. Kuantum güvenli kriptografiyi uygun olduğunda anlayarak ve uygulayarak, kuruluşlar düzenleyici gereksinimlerin ve teknolojik gelişmelerden önce kalabilir ve gelişen bir manzarada uzun vadeli güvenlik sağlayabilirler.
Cisos her şeyi elden geçirmeden “kripto çevikliği” tedarik ve mimariye nasıl inşa edebilir?
Kripto çevikliğini etkinleştirmek için, başarılı olmak için hem dipler yukarı hem de yukarıdan aşağıya yaklaşımın gerektirmesini gerektirir. Yani, arzu ettiğimiz/seçilen dahili kripto standartlarımıza uygun olan ürünleri ve satıcıları seçmeli ve kullanmalıyız.
PQC’nin benimsemeyi öngörüyor musunuz, CISOS’un dijital güven ve esneklik hakkında nasıl düşündüğü konusunda daha geniş değişiklikler mi?
Basitçe söylemek gerekirse: Kuantum bilgi işlem tehdidi, ortak günlük dijital güven ve siber esneklik yöntemlerini tehlikeye atar. PQC’yi benimsemek, bugünün şifrelemesinin saniyeler içinde kırıldığı bir ortamda dijital güven ve esnekliği korumamızın tek yoludur. PQ’ya dirençli kripto algoritmaları olmadan, dijital güven veya esneklik yoktur.