Wooden letter tiles spelling 'Quantum AI' on a blurred background.

Przygotowania do kwantowej rewolucji

PrzezAdrian Korczyński

Czas na działanie: dlaczego technologie kwantowe wymagają pilnej uwagi menedżerów C-Level?

Wielkimi krokami wchodzimy w nową erę w technologii, która ma potencjał zmienić krajobraz cyfrowego bezpieczeństwa. Eksperci przewidują, że w pełni operacyjne komputery kwantowe (QC) pojawią się w perspektywie 5 do 10 lat, zwiastując tzw. „Dzień Q” (Q-Day). Ten moment oznaczać będzie, że tradycyjne algorytmy kryptograficzne będą mogły zostać łatwo złamane.

Mimo że horyzont czasowy wydaje się odległy, niektóre procesy w organizacji mogą wymagać podjęcia działania już teraz. Długi cykl życia krytycznych systemów IT, skomplikowane procesy produkcyjne i integracyjno-wdrożeniowe, a także realne zagrożenie atakiem „zapisz teraz, odszyfruj później” (harvest now, decrypt later) sprawiają, że odkładanie tego na później może mieć katastrofalne konsekwencje.

To zagrożenie dotyczy obecnych systemów bezpieczeństwa w tym kryptowalut, blockchain, podpisów cyfrowych, sieci VPN, witryn internetowych (https), niektórych aplikacji bankowych, komunikatorów internetowych i poczty elektronicznej. Dla każdej dużej firmy, identyfikacja i przygotowanie niezbędnych zasobów to zadanie, które powinno rozpocząć się już dziś.

„Q-Day” (Dzień Q): jaka jest istota zagrożenia?

Źródłem zagrożenia jest zdolność komputerów kwantowych do szybkiego rozwiązywania złożonych problemów matematycznych, w tym faktoryzacji dużych liczb, na której opiera się klasyczna kryptografia klucza publicznego. W efekcie, dotychczas bezpieczne sekrety cyfrowe mogą stać się podatne na ataki.

Jednym z najpoważniejszych zagrożeń jest atak typu „zapisz teraz, odszyfruj później” (harvest now, decrypt later). Hakerzy mogą już teraz przechwytywać i przechowywać zaszyfrowane dane, wiedząc, że gdy komputery kwantowe staną się dostępne, będą w stanie je odszyfrować. Oznacza to, że dane o długim okresie ważności, zabezpieczone dzisiejszą kryptografią, są już teraz zagrożone.

Które sektory są najbardziej narażone?

Ryzyko może dotyczyć wszystkich podmiotów, ale niektóre sektory są szczególnie podatne ze względu na rodzaj i trwałość przechowywanych danych:

  • Dane finansowe
  • Informacje medyczne
  • Własność intelektualna (IP)
  • Infrastruktura krytyczna i systemy sterowania przemysłowego (ICS)
  • Zdalne systemy o wysokiej wartości i sprzęt o długiej żywotności (np. satelity)

Praktycznie wszystkie duże przedsiębiorstwa i te obracające wysokim kapitałem będą narażone na ryzyko złamania tradycyjnej kryptografii przez komputery kwantowe. Można powiedzieć, że zegar już tyka.

Odpowiedź: PQC, QKD i standardy NIST

W odpowiedzi na to wyzwanie, globalna społeczność technologiczna opracowała rozwiązania kryptografii postkwantowej (PQC) oraz dystrybucji klucza kwantowego (QKD).

Kluczową rolę w standaryzacji PQC odgrywa amerykański Narodowy Instytut Standardów i Technologii (NIST).

  • Standardy NIST: 13 sierpnia 2024 roku NIST opublikował specyfikacje FIPS 203, FIPS 204 i FIPS 205.
  • Algorytmy: Standardy te określają algorytmy wywodzące się z CRYSTALS-Dilithium, CRYSTALS-KYBER i SPHINCS+.

Krajobraz regulacyjny i ramy czasowe

Światowy krajobraz regulacyjny szybko się zmienia, przy czym większość krajów dąży do skoordynowanych harmonogramów wdrażania algorytmów standaryzowanych np. przez NIST. Specyficzne terminy i wymagania różnią się jednak w zależności od regionu i sektora infrastruktury krytycznej.

  • Unia Europejska (UE): Komisja Europejska zaleca, aby wszystkie państwa członkowskie rozpoczęły przechodzenie na kryptografię postkwantową do końca 2026 roku. Ochrona infrastruktury krytycznej ma zostać przeniesiona na PQC do końca 2030 roku. Dodatkowo, Rozporządzenie w sprawie Odporności Operacyjnej Sektora Finansowego (DORA) wymaga operacyjnej odporności na nowe zagrożenia technologiczne, co obejmuje migrację do rozwiązań PQC.
  • Wielka Brytania (UK): NCSC (National Cyber Security Centre) przedstawiło trzyfazowy harmonogram mający na celu przejście organizacji na metody szyfrowania odporne na kwanty do 2035 roku.
  • USA: Kongres uchwalił Ustawę o Gotowości do Cyberbezpieczeństwa Obliczeń Kwantowych (H.R.7535) w grudniu 2022 roku.

Jak rozpocząć przygotowania? Wskazówki dla kadry C-Level

Przejście na PQC to wyzwanie większe niż zwykła aktualizacja oprogramowania – jest to globalna rewolucja w zabezpieczeniach cyfrowych. Przedstawiciele najwyższego zarządzania powinni dołączyć ryzyko kwantowe do obecnej praktyki oceny i zarządzania ryzykiem w przedsiębiorstwie.

Następujące kroki warto przemyśleć już dziś:

  1. Stwórz inwentaryzację kryptograficzną: sporządź dokładną listę wszystkich aktywów, aplikacji, sprzętu i usług wykorzystujących kryptografię. Zidentyfikuj, które z nich będą miały długą żywotność i będą wymagały wczesnej migracji (np. systemy satelitarne i przemysłowe czy infrastruktura krytyczna).
  2. Zaplanuj i skoordynuj: rozpocznij koordynację działań w zakresie PQC z kluczowymi partnerami, dostawcami usług i całym łańcuchem dostaw. Należy pamiętać, że pełna migracja może zająć więcej niż jeden cykl inwestycyjny.
  3. Zarządzanie ryzykiem danych długoterminowych (Harvest Now, Decrypt Later): opracuj plan przeszyfrowania dotychczasowych, wrażliwych danych (szczególnie tych o długim okresie ważności) za pomocą algorytmów PQC. Co równie kluczowe, zaplanuj bezpieczne i skuteczne wykasowanie wszystkich bieżących kopii zapasowych zabezpieczonych starą kryptografią, które po migracji staną się łatwe do odszyfrowania.
  4. Zbuduj środowisko testowe (Testbed): konieczne jest stworzenie odpowiedniego środowiska dla testów. Wdrażanie PQC wymaga starannego planowania, testowania i integracji, często z wykorzystaniem standardów hybrydowych (łączących algorytmy klasyczne i kwantowe).

Nowoczesne technologie – w tym zaawansowana analityka danych oparta na sztucznej inteligencji oraz prototypowanie obliczeń i komunikacji kwantowej – tworzą idealne środowisko do otwierania nowych możliwości. Sektor prywatny jest kluczowy w ochronie cyfrowej suwerenności, szczególnie w erze powszechnej łączności satelitarnej.

Podsumowując: Wszystkie duże przedsiębiorstwa są narażone na ryzyko złamania tradycyjnej kryptografii przez komputery kwantowe. Czas ucieka. Senior leadership powinien dołączyć ryzyko kwantowe do oceny i zarządzania ryzykiem.

Czy Twoja firma jest gotowa na Kwantową Rewolucję?

Wyzwanie związane z przejściem na kryptografię postkwantową jest złożone i wymaga strategicznego podejścia. Skontaktuj się z 3 Hazel Tree Partners aby uzyskać wsparcie w przygotowaniu Twojej firmy na Kwantową Rewolucję.

Adrian Korczyński to ekspert ds. cyberbezpieczeństwa z dwudziestoletnim doświadczeniem, od programisty po Dyrektora Jednostki Biznesowej Cyberbezpieczeństwa. Posiada udokumentowane umiejętności projektowania i wdrażania zaawansowanych systemów szyfrowania, zarządzania tożsamością i dostępem (IAM), silnego uwierzytelniania i monitorowania bezpieczeństwa. Realizował projekty w sektorach bankowości, telekomunikacji, publicznym i opieki zdrowotnej, z dużym zaangażowaniem międzynarodowym. Jako CISO w Comarch odpowiadał za zapewnienie odporności cybernetycznej, planowanie ciągłości działania (BCP), obsługę incydentów oraz ochronę danych.

Podobne wpisy