Siber Suçlar, Şifreleme ve Anahtar Yönetimi, Dolandırıcılık Yönetimi ve Siber Suçlar
Verilerin Korunması ve Kuantum Güvenli Kriptografinin Geliştirilmesi Konusunda Uzman Bakış Açıları
Michael Novinson (MichaelNovinson) •
19 Mart 2024
Kuantum kıyamet saati işliyor ve önümüzdeki on yıl içinde gece yarısını vuracak şekilde ayarlandı.
Ayrıca bakınız: Banka, Finansal Hizmetlere Yönelik Daha Fazla Hedefli Saldırı Görüyor
İşler bittiğinde ve kuantum hesaplama devrimi geldiğinde, günümüzün şifreleme standartları geçerliliğini yitirecek. Devo CISO'su Kayla Williams, kuantumun yaklaşmakta olan teknolojik ilerlemesinin, saldırganların önceden çalınan verilerin şifresini kolaylıkla çözebileceği anlamına geldiğini ve bazı saldırganların artık yalnızca daha sonra şifresini çözmek amacıyla şifrelenmiş verileri çaldığını söyledi.
Williams, “Bugün çözülmesi yıllar ve yıllar alacak olan şifreleme, kuantum hesaplama laboratuvarlarında geliştirilen bilgi işlem gücüyle yalnızca birkaç saat sürebilir” dedi. “Bir web sitesine gittiğinizde, tarayıcının kilitlenmesi, eğer kuantum bilgisayarı kullanan suçlular her bankacılık işleminin, kısa mesajın veya sosyal medya mesajının şifresini çözebilirse, bunun hiçbir anlamı kalmayacak.”
Ne kadar kötü olabilir ki? Thales Bulut Koruma ve Lisanslama'nın baş güvenlik sorumlusu Bob Burns, kuantum bilişimin, modern internet ve ağ güvenliğinin temelini oluşturan bilinen tüm genel anahtar şifrelemesini kırabileceği konusunda uyardı. Küresel ekonomi ne durumda? IBM Security CTO'su Sridhar Muppidi, kuantum hesaplamadaki kazanımların dijital ekonominin kriptografik temelini tehlikeye atarak taramayı, dijital imzaları ve kimlik doğrulamayı etkileyebileceğini öngördü.
'Modern Zaman Kriptografisi için Kıyamet'
Muppidi, güvenlik topluluğunun, kuantum bilişimin kıyamet saati nedeniyle hangi varlıkların ve sistemlerin en fazla risk altında olduğunu ve bunlardan hangilerinin otomobiller veya tıbbi ekipman gibi onlarca yıldır hizmette olduğunu belirlemeye odaklandığını söyledi. Burns, teorik kuantum hesaplamadan pratik gelişime geçişin, özel endüstriler ve hükümetler tarafından kuantum teknolojilerine önemli yatırımları teşvik ettiğini söyledi.
“Bu bizi gerçekten 'Ya şöyle olursa?' sorusunu düşünmek zorunda olduğumuz istikrarsız bir duruma sokuyor. Burns, Bilgi Güvenliği Medya Grubu'na şunları söyledi: “Tüm bu veriler aniden tamamen açık hale gelebilseydi, günümüz kriptografisi için bir kıyamet olurdu.”
Bu, şirketlerin dijital varlıklarını kuantum tehdidine karşı korumaları için zamana karşı bir yarış; nakit sıkıntısı çeken işletmeler bile çok geç olmadan kuantum güvenli uygulamaları benimsemek zorunda kalacak. Kuantum hesaplamanın önümüzdeki on yıl içinde mevcut şifreleme standartlarını tehdit edebileceği göz önüne alındığında Williams, kuruluşları şimdiden hazırlanmaya başlamaya çağırdı.
Burns, kuantum dirençli kriptografiye geçişin, kilit altındaki verilerin hassasiyeti ve değerine dayalı olarak dikkatli planlama, test etme ve önceliklendirme gerektiren büyük bir zorluk olacağını söyledi. Burns'e göre CISO'lar kendi organizasyonlarında kriptografi kullanımını kataloglamalı, kuantum güvenli algoritmalara hazırlanmalı ve uzun ömürlü hassas verilerin korunmasına öncelik vermeli.
Burns, “Bu geçiş bedava olmayacak” dedi. “Bu sadece sihirli bir şekilde gerçekleşmeyecek, kriptografik açıdan anlamlı bir kuantum bilgisayarı icat etme uçurumuna ulaşırsak bir organizasyonun tepki verme yeteneği de olmayacak.”
Kuantuma Dirençli Algoritmalar Etrafında Standartlaştırma
Muppidi, kuantum tehditlerine karşı uzun vadeli dayanıklılık sağlamanın kripto çevikliği veya kuantum güvenli seçenekler ortaya çıktıkça kriptografik yöntemleri kolayca değiştirme yeteneği gerektirdiğini söyledi. İşletmeleri, ayrıntılı bir keşif sürecinin yanı sıra öncelikli varlık koruma ve iyileştirmeyi içerecek olan uygulama, ağ ve işlem düzeylerinde kuantum hesaplamanın etki kapsamını anlamaya çağırdı.
Williams, kuantum destekli suçluların hassas kişisel verilerin şifresini çözebilmesi nedeniyle kurumsal alanın ötesinde de koruyucu önlemlere ihtiyaç duyulacağını söyledi. Williams'a göre, kuantum bilişimin yarattığı tehdit göz önüne alındığında, Amerika Birleşik Devletleri'nde kapsamlı bir federal kişisel veri koruma yasasının bulunmaması son derece endişe verici.
“Bu, günümüz bilişimi için bir Kıyamet olacaktır.”
– Bob Burns, baş güvenlik görevlisi, Thales Bulut Koruma ve Lisanslama
Muppidi, kuantum hazırlığına yönelik yaklaşımların dünyanın farklı yerlerinde farklılık gösterdiğini söyledi. ABD Ulusal Güvenlik İdaresi uyumluluk odaklı değişikliklere odaklanırken, diğer coğrafyalar risk temelli bir yaklaşımı benimsiyor. Burns, Ulusal Standartlar ve Teknoloji Enstitüsü'nün dört kuantum dirençli kriptografik algoritmayı standartlaştırmaya yakın olduğunu ve kuantum güvenli kriptografinin önünü açtığını söyledi.
Burns, “Dirençli olduğu düşünülen bir takım algoritmalar var” dedi. “Beş veya altı yıllık bir araştırmanın onları inceleyebileceği derecede incelendiği bir noktadayız ve bunları standartlaştırmanın eşiğindeyiz.”
Burns, resmi bir hükümet standardı olmasa bile, Apple ve Cloudflare gibi şirketlerin kuantum güvenli kriptografiye sahip olduğunu iddia ettikleri ürünleri piyasaya sürdüklerini ve özel sektör inovasyonunun yalnızca hızlanacağını söyledi. Muppidi, şirketlerin kriptografik varlıklarının envanterini çıkarmaları ve hassas verilerin nerede korunduğunun yanı sıra kuantum hesaplama ilerlemelerinden nasıl etkilendiğini anlamaları gerektiğini söyledi.
Yüksek Düzenlemelere Tabi Firmalar Kuantum Kışına En Hazır
Muppidi, tedarik zincirine yönelik kuantum tehditlerini etkili bir şekilde tanımlamak ve azaltmak için ortak dil ve standartların gerekli olduğunu söyledi. Buradan hareketle, kuruluşların hassas anahtarları ve verileri korumaya yönelik bir strateji geliştirmesi gerekiyor; Muppidi, kriptografinin kurumsal güvenlikteki rolünün anlaşılmasını, kuantum dirençli algoritmaların standartlaştırılmasını ve kriptografik uygulamaların geleceğe hazır hale getirilmesini içermesi gerektiğini söyledi.
“Hemen başlayın” dedi Muppidi. “Bu daha önce karşılaştığımız bir şey değil. Tüm kriptografiyi keşfetmek ve riskleri değerlendirmek zaman alır.”
Williams'a göre birçok kuruluşta veri bölümleme, izolasyon ve ağ ayrımı gibi temel siber güvenlik önlemlerinin eksikliği, kuantum hesaplamayla ilişkili riskleri artırabilir. İşletmeleri, kuantum bilişim gelmeden önceki süreyi tüm dijital varlıkların bir envanterini oluşturmak, risk değerlendirmeleri yapmak ve endüstri standardı güvenlik uygulamalarının yürürlükte olduğundan emin olmak için kullanmaya çağırdı.
“Risk değerlendirmelerinizi, veri akış diyagramlarınızı ve mimari diyagramlarınızı takip edebilmek ve uygulamaya koyduğunuz kontrollerin hâlâ başlangıçta amaçladığınız ve tasarladığınız gibi çalıştığından emin olmak için gerçekten zaman harcamak, ileriye doğru gidiyor.” Williams, “Uzun vadede sizi birçok sorundan kurtaracak” dedi.
Özellikle, şirketlerin etkili olduklarından ve değişiklikler veya yanlış yapılandırmalardan ödün vermediklerinden emin olmak için güvenlik kontrollerini sürekli olarak yeniden değerlendirmelerinin hayati önem taşıdığını söyledi. Finansal hizmetler, sağlık hizmetleri ve perakende gibi sıkı düzenlemelere tabi olan sektörler, kurumsal yazılımlar gibi daha az düzenlemeye tabi olan sektörlere göre ağ bölümlendirmesi ve izolasyonu açısından daha hazırlıklıdır.
Williams, “Halihazırda kamuya açık olan veya düzenlemeye tabi olan şirketler, SaaS alanındaki şirketlerden çok daha gelişmiş olacaklar” dedi. “SEC, OCC veya FINRA'nın güvenlik gerekliliklerini üzerimize dayatması konusunda endişelenmemize gerek yok. Sektörler veya sektörlerdeki farklı kuruluşların böyle bir şeye yaklaşma biçimleri arasında kesinlikle bir eşitsizlik var.”