Transformacja potrzebna, aby organizacje w Wielkiej Brytanii były gotowe na zagrożenie obliczeniami po kwantacie, przygotuje się do Millennium Bug, który zagroził systemom komputerowym w 2020 r. „Wyglądać łatwo”, powiedzieli dziś Cyber Chiefs.
Ollie Whitehouse, dyrektor ds. Technologii National Cyber Security Center (NCSC), powiedział, że przygotowanie do kryptografii post-QUANTUM (PQC) przyjmie „program złożony” i byłoby „kolosalnym zadaniem”.
Dziesięcioletni program PQC w całej Wielkiej Brytanii będzie wymagał od organizacji zidentyfikowania każdej instancji kodeksu kryptograficznego, zrozumienia, czy podatne jest na atak przez komputer kwantowy i wprowadzić plany w celu ograniczenia ryzyka.
Odzwierciedla ogromny wysiłek, jaki rząd i firmy brytyjskie podjęły naprawę oprogramowania w całym swoim majątku, gdy zagroziło awarii pierwszego dnia 2000 r. Ze względu na sposób obliczania dat programi.
Ryzyko jest dziś, że rozwój dużego komputera kwantowego w przyszłości będzie kompromisowo stosowane techniki uwierzytelniania kryptograficznego stosowane do zabezpieczenia, bankowości i innych transakcji oraz do weryfikacji autentyczności ludzi online.
Państwa narodowe są również zaniepokojone potencjałem wrogich narodów do przechwytywania, gromadzenia i przechowywania wrażliwej na komunikację z przewidywaniem, że później będą w stanie opracować komputer kwantowy zdolny do złamania szyfrowania.
Przewidywanie, kiedy pierwsze komputery kwantowe zdolne do łamania dzisiejszych algorytmów szyfrowania zostaną opracowane, jest trudne, jednak dostawcy technologii wycofają się, że użyteczne komputery kwantowe mogą być dostępne do lat 30. XIX wieku.
NCSC, część GCHQ, Wydane wskazówki w marcuWyznaczanie Oś czasu migracji Wielkiej Brytanii Aby opublikować kryptografię kwantową – która wykorzystuje techniki szyfrowania, które nie są w stanie łatwo łamać komputerów kwantowych – do 2035 r.
Departamenty rządowe w Wielkiej Brytanii zaangażowane w wrażliwe prace wdrażały już postanowe standardy kryptograficzne kwantowe, podczas gdy duże firmy, takie jak Google, zaczęły wdrażać technologię w swoich usługach chmurowych.
Program doradczy, ogłoszony dziś przez NCSC, zaoferuje pomoc i wiedzę specjalistyczną organizacjom, które chcą wdrożyć kryptografię kwantową w swoich produktach lub sieciach.
NCSC zalecił organizacje, aby ustaliły, które usługi kryptograficzne będą wymagały ulepszeń i opracowania planu migracji do 2028 r.
Następnie przeprowadzono ulepszenia o wysokim priorytecie między 2028 a 2031 r. Oraz pełną migrację do PQC dla całej kryptografii do 2035 r.
Celem nie jest spowodowanie paniki, ale zapewnienie płynnego przejścia do kryptografii kwantowej przez dekadę, twierdzą urzędnicy bezpieczeństwa.
Małe i średnie firmy będą mogły polegać na zarządzanych usługodawcach, aby zapewnić im ulepszenia PQC. Ale w przypadku większych organizacji i osób z krytycznych sektorów PQC będzie wymagało szerokiego planowania i inwestycji.
NCSC wprowadziło wytyczne częściowo, aby zapewnić amunicję szefom bezpieczeństwa informacji w branżach krytycznych, aby przedstawić zarządowi firmy, aby pomóc im w uzasadnieniu finansowania przejścia na kryptografię po kwantowej.
Wytyczne miały również na celu spowodowanie hamulców nadmiernie entuzjastycznych dostawców wywierających presję na organizacje odpowiedzialne za krytyczną infrastrukturę krajową do aktualizacji produktów kryptografii kwantowej, które nie zostały dla nich w pełni uformowane ani odpowiednie.
Sztuczna inteligencja stanowi kolejne wyzwanie dla firm, dając im mniej czasu na załatanie swoich systemów w celu ochrony ich przed odkryciem nowych zabezpieczeń bezpieczeństwa, zanim zostaną one potencjalnie wykorzystane przez zautomatyzowane cyberatak.
Whitehouse powiedział, że organizacje muszą lepiej zarządzać swoim „zadłużeniem technicznym”, miarą kosztów aktualizacji oprogramowania, które mogło zostać wyrzucone, zanim będzie w pełni gotowe lub w pełni bezpieczne.
Jednocześnie dostawcy technologii będą musieli zaprojektować i utrzymywać produkty i usługi w sposób, który oferuje odporność na cyberatak.
Nie robienie tego ryzyko powtarzające się, że można uniknąć niepowodzeń bezpieczeństwa, które objawiły się od czasu wzrostu Internetu, powiedział Whitehouse.
„Bez radykalnych i trwałych interwencji jesteśmy narażeni na powtórzenie ostatnich 30 lat, ale z znacznie poważniejszymi konsekwencjami, jeśli nie zajmujemy się fundamentalnymi niepowodzeniami rynkowymi, które objawiły się” – dodał.