Bir kayanın altında yaşamadığınız sürece, kuantum bilgisayarların bugün kullandığımız kriptografiyi 10 yıl gibi kısa bir sürede kıracağını bileceksiniz. Ne yazık ki, bu konudaki çoğu analiz basittir. Kuantum tehdidi, kuantumun serbest bırakılacağı ve tüm sistemlerin bir anda bozulacağı bir gün gelecekmiş gibi tanımlanıyor. Bu gerçeklerden uzak.
Bir CISO olarak, bu kritik konu hakkında ayrıntılı bir anlayış geliştirmek önemlidir. Kesinlikle paniğe kapılmanıza gerek yok, ancak tüm özellikleriyle işinize dayalı bir plan oluşturmanız gerekiyor. Diğer şirketlerdeki meslektaşlarınız da aynı şeyi yapıyor olmalı; ancak, planları farklı görünecek. Kuantum tehdidine genel bir cevap yok.
Gerçekte, tehdit yavaş yavaş gerçekleşecektir. Shor’un algoritmasını çalıştırabilen ilk makinelerin bir RSA anahtarını kırmaları haftalar alacak. Bu miktarda hesaplama için beklenen muazzam maliyet göz önüne alındığında, saldırı için yalnızca en yüksek değerli hedefler dikkate alınacaktır. Zamanla, daha fazla makine anahtarları kırabilecek ve görevle ilgili maliyet ve zaman önemli ölçüde azalacaktır. Sonunda, herkes bu saldırıyı minimum maliyetle dakikalar içinde gerçekleştirebilecek.
Bir CISO olarak amacınız, bu bilinmeyen zaman dilimi üzerindeki riskinizi değerlendirmektir. İlk hedefler arasında yer alacağınız kadar hassas verileri işliyor musunuz? Verilerinizden bazıları diğerlerinden daha mı değerli? Verilerin ömrü ne olacak – ne kadar süre gizli kalması gerekiyor? Kuantum tehdidini ele almak için pragmatik bir plan oluştururken tüm bunlar dikkate alınması gereken sorulardır.
Statükoyu Anlayın
Yakın tarihli bir konferansta, bir hukuk firmasının büyük bir siber saldırıya verdiği yanıtı tarif ettiğini duydum. Kafa karıştırıcı ilk günlerde şirket, kritik verilerinin güvenli olup olmadığını değerlendirmek için çaresizdi. Yine de katılımcılar, hangi verilerin en önemli olduğundan emin olmadıklarını fark ettiler. Sonunda, müşteri verilerinin işin geri kalanından daha önemli olduğu sonucuna vardılar. Bu, firmanın sonraki kararlarını şekillendirdi ve tepki süresini hızlandırdı.
İdeal olarak, bu sonuçlara büyük bir siber ihlalden önce ulaşırsınız. Ve kesinlikle, kuantum sonrası geçiş planınızı planlamadan önce iş önceliklerinizi anlamalısınız. CISO’ların aşağıdakileri açıklayan her sistemin bir envanterini geliştirmesi gerekir:
- Verilerin ticari önemi.
- Kriptografi, bekleyen ve aktarım halindeki verileri nasıl korur?
- Verilerin ne kadar süre gizli kalması gerektiği.
Bu verilere zaten sahipseniz, tebrikler – alışılmadık derecede iyi hazırlanmışsınız. Ancak çoğu CISO için bu bilgi en iyi ihtimalle düzensizdir. Statükoyu anlamak, göçünüzdeki kritik ilk adımdır.
Pragmatik Olarak Önceliklendirin
Ardından zor parça geliyor. Pragmatik şapkanız açıkken, sistemlerinizi kuantum sonrası algoritmalara geçirme sırasına karar vermeniz gerekir. Her şeyi bir anda değiştiremezsiniz ve ilk sistemlerinizin geçişi ile sonuncusu arasında yıllar geçmesi muhtemeldir.
En yüksek önceliğiniz, İnternet üzerinden iletilen uzun vadeli hassas veriler olmalıdır. Buna sağlık verileri, devlet sırları, müşteri verileri ve fikri mülkiyet dahildir. Bu veriler, bazen “şimdi hackle, sonra şifresini çöz” olarak bilinen ve saldırganların bir kuantum bilgisayar kullanarak gelecekte şifresini çözmek için şifrelenmiş aktarımları kaydettiği bir saldırı sayesinde özellikle savunmasızdır.
Şirketiniz, Nesnelerin İnterneti (IoT) endüstrisinde olduğu gibi fiziksel cihazlar geliştiriyorsa, güven köklerini kuantum sonrası algoritmalara taşımaya özellikle dikkat etmeniz gerekecektir. 10 yıl veya daha uzun süre güvenli kalması beklenen cihazlar, kuantum tehdidi geldiğinde kesinlikle sahte ürün yazılımı riski altındadır.
Bu, işletmenize özgü olduğu için geçiş sürecindeki en zor adımdır. Ancak kaynakları uygun şekilde tahsis edebilmeniz için doğru şekilde yapmaya değer. Bu süreç aynı zamanda, kendi sistemlerini post-kuantum korumaya geçirdikleri için yakın çalışmanız gereken satıcıları da vurgular.
Testi Başlat
Geçiş planınız hazır olduğunda, bir sonraki adım, sistemlerinizi kuantum sonrası algoritmalara kaydırmanın etkisini anlamak için test yapmaktır. Yeni kuantum sonrası algoritmalar, bugün kullandığımız algoritmalardan farklı davranıyor ve bir algoritmayı çıkarıp başka bir algoritmayla değiştirmek her zaman basit bir iş olmayacak.
Hatta son zamanlarda NIST duyurusu İlk kuantum dirençli algoritma adaylarından, kuantum sonrası algoritmalar henüz standartlaştırılmamıştır ve bunun gerçekleşmesi 2024’e kadar sürebilir. Önümüzdeki değişikliklerle başa çıkmak için nereye ek kaynaklara yatırım yapmanız gerektiğini anlamak için bu zamanı akıllıca kullanın.
Daha İyisini İnşa Etme Şansını Kullanın
Ne zaman kuantum hakkında konuşsam, konuşmanın hızla kuantum tehdidine kaydığını görüyorum. Ancak, insanları kuantum teknolojisi ve hatta kuantum tehdidinin kendisi hakkında olumlu düşünmeye teşvik ediyorum.
Tehdide yanıt vermek, Y2K mücadelesine benzer şekilde, çok büyük bir sistem değişikliği gerektirecektir. Bu, sistemlerimizin her birine dokunmak ve onları daha iyiye doğru değiştirmek için ender bir fırsattır. Bu algoritma geçişinin gerçekleştirmemiz gereken son şey olmayacağı kesin. Bu fırsatı sistemlerimize kripto çevikliği eklemek için kullanalım, böylece bir sonraki geçiş çok daha az acı verici olur.
Ve kripto sistemlerini yeniden inşa ederken, daha sağlam temeller üzerine nasıl inşa edebileceğimizi araştırmalıyız. Kuantum teknolojisinin oynayacağı rol buradadır. Tehdit aktörlerinin silah olarak kuantum bilgisayarlara sahip olduğu bir geleceğe bakarken, kendimizi aynı miktarda güçle savunmaya bakmalıyız. Kuantum iki ucu keskin bir kılıçtır ve savunucular olarak onu koruma amacıyla kullanmaya hazır olduğumuzdan emin olmalıyız.