Securitate — December 10, 2024 at 11:31 am

Securitatea cibernetică în era post-cuantică

by

Calculul cuantic poate introduce provocări în coloana vertebrală a majorității protocoalelor moderne de securitate cibernetică. Urmați acești pași pentru a vă proteja datele companiei.

Quantum computer in the cube futuristic technology digital layer dimension holographic process and analysis for big data and abstract full polygon background

Calculatoarele cuantice au fost mult timp prezentate ca următorul pas în evoluția tehnologică și științifică. Cu toate acestea, pe măsură ce aceste modele avansează, riscă să pună în pericol protocoalele de criptare contemporane pe care companiile le folosesc zilnic pentru a-și proteja datele sensibile. Și aceasta este o amenințare pe care nicio afacere nu își poate permite să o ignore.

Din fericire, guvernele, întreprinderile și instituțiile publice și private au prevăzut această amenințare și au lucrat în mod colectiv pentru a dezvolta o soluție: un set de protocoale de criptare rezistente la computerele cuantice cunoscute sub numele de criptografie post-cuantică.

PQC, Noul Standard în Criptografie

Criptografia post-cuantică (PQC) este compusă din algoritmi rezistenți la cuanți, creați pentru a proteja sistemele computerizate contemporane de infractorii cibernetici care pot folosi computere cuantice pentru a comite atacuri cibernetice.

Recent, Institutul Național de Standarde și Tehnologie a anunțat lansarea primilor trei noi algoritmi rezistenți la cuantum și a îndemnat agențiile să înceapă imediat migrarea către aceștia.

Acești noi algoritmi iau locul algoritmilor noștri moderni, cum ar fi Advanced Encryption Standard (AES), Rivest-Shamir-Adleman (RSA), Diffie-Helman, Elliptic Curve Cryptography (ECC) etc. Și datorită rețelei lor necăptușite- și proprietăți criptografice bazate pe hash, se spune că noii algoritmi sunt rezistenți la atacurile cibernetice post-cuantice. Adoptarea acestor algoritmi va reduce sau elimina multe dintre amenințările post-cuantice pe care infractorii cibernetici le prezintă sistemelor IT de afaceri.

Cele mai mari trei amenințări post-cuantice pentru întreprinderile mici

Atacurile cibernetice asupra întreprinderilor mici au fost în creștere în ultimii ani, iar rezultatele sunt devastatoare. O afacere mică ar putea dura 24 de ore sau mai mult pentru a se recupera de la un atac cibernetic și ar costa o medie de 21.659 USD.

Liderii IT trebuie să fie conștienți de cele mai comune tipuri de atacuri cibernetice post-cuantice care ar putea afecta întreprinderile mici.

Compromiterea datelor: infractorii cibernetici ar putea compromite datele companiei obținând acces la planuri de afaceri, acreditări ale utilizatorilor, înregistrări ale angajaților, extrase bancare, rapoarte de câștig, proprietate intelectuală, informații personale ale clienților și multe altele.
Compromisul semnăturii digitale: Criptografia cu cheie publică permite capabilități de semnătură digitală, astfel încât un criminal cibernetic să poată falsifica semnături digitale pe corespondența organizațională și documente sensibile, cum ar fi e-mailuri, memorii, salarii, contracte, ordine de cumpărare, tranzacții financiare, înregistrări de audit, documente juridice și multe altele.
Recoltați acum, decriptați mai târziu: pentru profesioniștii nepregătiți, atacurile cibernetice post-cuantice pot părea a fi o problemă de mâine. Cu toate acestea, atacurile cibernetice post-cuantice sunt de fapt o problemă urgentă astăzi, datorită unui concept numit recoltare acum, decriptare mai târziu. De exemplu, dacă infractorii cibernetici fură astăzi date sensibile ale companiei, ar putea stoca datele până când vor dobândi un computer cuantic suficient de puternic pentru a le decripta, chiar dacă acest lucru durează câțiva ani.

Luați acești pași pentru a reduce riscul cuantic

Atenuarea riscului cuantic nu va fi un proces rapid (sau ușor). Poate dura câțiva ani pentru a pune în aplicare toate măsurile fizice, operaționale, administrative și tehnice necesare. Tocmai de aceea companiile ar trebui să înceapă fără întârziere procesul de migrare PQC.

Mai jos sunt patru pași pentru a începe:

1. Obțineți acordul conducerii
Să recunoaștem, foarte puțin se poate întâmpla fără sprijinul conducerii. Și fie că vrei să recunoști sau nu, echipele au nevoie de asistență și influență de conducere pentru a avea succes. Nu numai că pot oferi fondurile, personalul și politicile necesare pentru a finaliza migrarea, dar pot stabili viziunea companiei pentru migrare, pot implica alte departamente și pot face față oricăror probleme de management al schimbărilor care apar. Obținerea acceptului executivului este crucială și va face efortul mult mai ușor.

2. Efectuați o analiză de risc și determinați-vă poziția de securitate a rețelei
Înainte de implementarea PQC, liderii IT ar trebui să identifice punctele forte și punctele slabe ale rețelei. Una dintre cele mai bune moduri de a face acest lucru este efectuarea unei analize de risc.

De obicei, o analiză formală a riscului include:
• Identificarea și prioritizarea riscurilor
• Analizarea riscurilor pentru a determina impactul lor calitativ și cantitativ asupra afacerii dumneavoastră
• Determinarea celor mai bune strategii de atenuare a riscurilor pentru a vă consolida postura de securitate a rețelei

Alți factori care merită luați în considerare sunt: algoritmii de criptare pe care sistemele dumneavoastră îi folosesc în prezent (AES, RSA, ECC, hibrid etc.) și caracteristicile acestora; tipurile de date stocate pe sistemele dvs. și modul în care le veți acorda prioritate (după sensibilitate și/sau importanță), unde sunt localizate și stocate datele dvs. (servere, hard disk, telecomandă, cloud etc.); timpul și efortul necesar pentru a înlocui algoritmii actuali de criptare cu algoritmi PQC (adică, determinarea „agilității criptografice” ). Liderii IT pot lua în considerare și modele hibride care integrează atât criptografia contemporană, cât și PQC; actualizările de reglementare pe care trebuie să le faceți odată ce migrarea este finalizată.

3. Calculați costul unei migrări PQC
Întreprinderile mici au bugete strânse și trebuie să fie vizate de cheltuielile lor tehnologice. Deci, calculați cu atenție costul migrației PQC. Cea mai mare cheltuială va fi înlocuirea și actualizarea sistemelor vechi care nu acceptă algoritmi PQC. În funcție de dimensiunea și cunoștințele departamentului IT, puteți include și costuri pentru angajarea unui consultant PQC, instruirea angajaților IT sau chiar angajarea de noi angajați IT. Amintiți-vă, PQC este nou și este posibil să nu aveți o idee solidă despre costul total până când nu vă familiarizați cu complexitățile migrării PQC, așa că faceți-o pas cu pas.

4. Stabiliți un comitet de guvernare
Un comitet de guvernanță, format de obicei din lideri și experți din diferite departamente, poate ghida procesul de migrare către linia de sosire. Veți avea nevoie de un lider IT care să servească drept CTO al comitetului. Acea persoană va stabili agenda pentru procesul de migrare și se va asigura că toate departamentele respectă termenele convenite. Nu aveți nevoie de o afacere mare pentru a înființa un comitet de guvernare, este nevoie doar de câțiva lideri pentru a avea succes.

Nu așteptați să stabiliți apărări împotriva calculului cuantic

Până în prezent, calculatoarele cuantice nu sunt suficient de scalabile pentru a învinge algoritmii moderni de criptare; cu toate acestea, comunitatea cuantică face progrese în mod constant. Consensul actual este că amenințarea cuantică nu va fi pe deplin realizată cel puțin până la mijlocul anilor 2030. Între acum și atunci, întreprinderile mici au oportunitatea de a-și consolida rețelele înainte ca atacurile cibernetice post-cuantice să devină realitate.

Migrând la PQC și urmând aceste practici de securitate cibernetică, întreprinderile mici pot face față amenințărilor erei post-cuantice.