BLOG – De positieve impact en snelheid waarmee de mogelijkheden zich ontwikkelen, zijn voor organisaties sterke argumenten om aandacht te besteden aan hun ‘quantumgereedheid’. Maar er is nog meer reden om ons op te maken voor quantumcyberbeveiliging.
De verwachting is dat de komst van quantumtechnologie de geavanceerde, complexiteit van cyberaanvallen in de toekomst aanzienlijk zal vergroten – een ontwikkeling waarop EU-beleidsmakers al meerdere malen hebben gewezen. Naast het versterken van de cyberbeveiligingsaanvallen zelf, is het waarschijnlijk dat quantumcomputers zelfs de sterkste cryptografische algoritmen van klassieke computers binnenkort kunnen kraken, vooral wanneer ze gecombineerd worden met de leer- en gegevensanalysemogelijkheden van ai.
Hoewel veel Europese organisaties nog bezig zijn om dit nieuwe tijdperk van cyberbeveiliging onder de knie te krijgen, maken cybercriminelen al gebruik van de technologie met een nu-stelen-later-decoderen-aanpak. Steal now, decode later (sndl; soms ‘nu oogsten, later decoderen’ genoemd), is de praktijk om nu versleutelde informatie te verzamelen met de ambitie om die informatie te kunnen ontcijferen met behulp van toekomstige quantumtechnologieën. Zulke informatie kan gevoelige bedrijfsinformatie zijn, maar ook gezondheids- en financiële gegevens van individuen. Met andere woorden, het is het equivalent van het stelen van de kluis, in plaats van alleen het geld in de kluis, en de kluis later openbreken wanneer je de juiste gereedschappen hebt om dat te doen.
Het is het equivalent van het stelen van de kluis, in plaats van alleen het geld in de kluis
Het verontrustende hieraan is dat deze strategie al wordt toegepast en onopgemerkt blijft omdat cybercriminelen de gestolen gegevens nog niet gebruiken, waardoor bedrijven en personen soms niet weten dat hun gegevens zijn gestolen. Zelfs als ze wel weten dat er is ingebroken, geven ‘versleutelde gegevens’ organisaties een vals gevoel van veiligheid omdat de gestolen gegevens mogelijk niet voor altijd versleuteld blijven. Om deze vaak onopgemerkte en dus ondergerapporteerde cybermisdaden in de juiste context te plaatsen, hebben Europese organisaties vorig jaar gezamenlijk het hoofd geboden aan tienduizenden cyberaanvallen. En het aantal aanvallen blijft stijgen: in 2023 heeft ongeveer de helft van alle bedrijven in Duitsland, Frankrijk, Nederland, Spanje en België te maken gekregen met een cyberaanval. Als we bedenken dat onopgemerkte cyberaanvallen vaak niet worden meegenomen in de statistieken, zullen deze cijfers ten aanzien van de cyberaanvallen nog hoger uitvallen.
Voor Europese organisaties betekent dit dat klaar zijn voor quantum meer is dan voorbereid zijn om de nieuwe innovaties en cyberbeveiligingspraktijken te omarmen. Het betekent ook dat je voorbereid moet zijn op een mogelijk sndl-scenario en je beveiliging moet aanpassen aan de toekomstige wereld van quantumcybercriminaliteit.
Vroeg beginnen
Quantumbeveiliging is een proces dat planning en voorbereiding vereist. Vroeg beginnen is de boodschap, omdat het organisaties in staat stelt risicobeoordelingen uit te voeren op basis van een uitgebreide cryptografie-inventarisatie voordat ze beginnen met digitale transformaties. Nu quantumalgoritmen zoals Grover en Shor al in staat zijn om een aantal van de meest gebruikte cryptografische algoritmen van organisaties te breken, kunnen bedrijven door een inventarisatie hun zwakste toepassingen of systemen met een hoger risico prioriteren voor transformatie.
Zodra er een risicobeoordeling is uitgevoerd, is de volgende stap om een bedrijf te beschermen tegen aanvallen, om zo cryptografisch wendbaar te worden door mogelijk kwetsbare algoritmen te vervangen door kwantumveilige algoritmen. Cryptografische wendbaarheid betekent dat organisaties zowel traditionele als kwantumveilige algoritmen kunnen gebruiken, zodat ze sneller kunnen migreren naar nieuwe cryptografische algoritmen en alternatieve algoritmen kunnen gebruiken als er kwetsbaarheden worden ontdekt in een kwantumveilig algoritme. Organisaties kunnen zich ook voorbereiden op een wereld die wordt aangedreven door kwantum door cryptografische logica los te koppelen van bedrijfslogica in toepassingen om de beveiliging van belangrijke bedrijfsactiviteiten te verbeteren.
Zodra je algoritmen kwantumveilig zijn gemaakt, is het belangrijk om de mogelijkheid aan te pakken dat je veiligheidsgrenzen al zijn doorbroken door cybercriminelen die je gegevens op een later moment willen ontsleutelen. Planning is hier essentieel, aangezien dit een situatie is waarin je je moet voorbereiden op een eventuele crisis. Het eerste wat je moet doen is ervoor zorgen dat je softwarearchitectuur veilig is geback-upt op een veilige locatie van een tweede partij, zoals een cloudprovider.
Quantumparaatheid
Clouddiensten kunnen organisaties op twee manieren helpen bij de overgang naar quantumparaatheid. Ten eerste door digitale backupmogelijkheden in het geval van een quantuminbreuk, waarbij organisaties gegevens idealiter op een cloudgebaseerde secundaire locatie bewaren, en daarnaast door hun ondersteuningsmogelijkheden voor organisaties die overstappen op een hybride aanpak tussen quantum- en klassieke cybersuites.
Veel cloud-aanbieders zijn al bezig met het implementeren van post-quantum cryptografie-algoritmen om hun clouddiensten te beveiligen en zijn goed gepositioneerd om klanten bij deze overgang te helpen. Post-quantum cryptografiebibliotheken zijn ook beschikbaar bij bepaalde cloud-aanbieders en bieden een reeks quantumveilige algoritmen waarmee cloudbedrijven kunnen experimenteren en die in hun systemen kunnen worden geïntegreerd. Bovendien voeren veel cloud-aanbieders proeven uit met de distributie van quantumsleutels, waarbij een protocol wordt gebruikt gebaseerd op quantummechanica om cryptografiesleutels veilig over te dragen. Dit brengt op zijn beurt veilige communicatie naar een wereld die wordt aangedreven door de quantumdynamica.
Aanpassingsvermogen
Uiteindelijk loont het om prioriteit te geven aan aanpassingsvermogen en wendbaarheid. Beginnen met inventariseren, bewust zijn van de zwakke plekken in je it-architectuur vanuit een quantumstandpunt, geeft al waardevol inzicht in toekomstige risico’s. Daarnaast is het essentieel om aanpassingen door te voeren om quantum gereed, quantumveilig en wendbaar genoeg te zijn voor een sndl-situatie, in een wereld waarin een quantumrevolutie onvermijdelijk is.
Cybercriminelen zijn al voorbereid en werken aan deze toekomst; Europese organisaties moeten hetzelfde doen.
Ganesh Subramanya is global head, data security and ot & iot security practice bij TCS
