5 Minutės
Kvantiniai kompiuteriai žada revoliuciją moksle ir pramonėje, bet kartu kelia egzistencinę grėsmę dabartinei duomenų apsaugai. Šiame tekste paaiškinsime, kodėl šifravimas turi keistis, kokie yra praktiniai pavojai ir nuo ko organizacijoms verta pradėti, kad jos taptų kvantiškai atsparios.
Kas kelia grėsmę: kvantinis skaičiavimas ir šifravimas
Šiuolaikinis skaitmeninis pasaulis remiasi kriptografija — sudėtingais algoritmais, užtikrinančiais, kad el. laiškai, slaptažodžiai, finansinės bei medicininės bylos lieka konfidencialios. Tradiciniai kompiuteriai galėtų sugadinti tokius užkoduotus duomenis per milijardus metų, tačiau kvantinės skaičiavimo mašinos teoriškai gali sutrumpinti šį procesą iki valandų ar dienų.
Todėl svarbi sąvoka „harvest now, decrypt later“ — piktavaliai jau gali siurbti įrašytus, šifruotus duomenis ir saugoti juos tol, kol kvantinis kompiuteris taps pakankamai galingas juos atšifruoti. Tai ypač pavojinga, kai kalbame apie ilgai saugotinus duomenis: medicininius įrašus, finansines operacijas, gynybinius projektus ar kritinę infrastruktūrą — mokėjimo sistemas, telekomunikacijas, energetiką.
Praktiniai pavojai: kas gali nukentėti
Pavogti ar atšifruoti duomenys turi realaus pasaulio pasekmes. Identiteto vagystės leidžia peradresuoti pinigų srautus, gauti kreditus ar dokumentus jūsų vardu. Tokie incidentai gali sukelti sistemines finansines pasekmes — nuostoliai gali išaugti iki trilijonų dolerių, jei plačios apimties sukčiavimas paveiktų mokėjimų ar socialinių sistemų patikimumą.
Verslai taip pat rizikuoja per phishingo atakas, kenkėjiškas programas, verslo pertraukų, išpirkų reikalavimų ir reputacijos praradimo. Be to, organizacijos gali prarasti prieigą prie valstybinių ar gynybos sutarčių, jeigu jos neatitinka atnaujintų kriptografijos standartų – tai jau tampa tiek techniniu, tiek reguliaciniu reikalavimu.
Kaip sektoriai ir valdžios institucijos reaguoja
Reakcija jau vyksta: Jungtinėse Valstijose prižiūrimos iniciatyvos ragina federalines agentūras diegti technologijas, saugančias nuo kvantinių atakų. Australijos saugumo tarnybos atnaujino kriptografijos gaires. Europol neseniai surengė finansų sektoriaus forumą dėl kvantiškai saugios kriptografijos, o Europos Komisija pateikė pereinamojo laikotarpio planą kritinei infrastruktūrai — pradėti veikti nuo 2026 m. ir užbaigti iki 2030 m. Tokie žingsniai signalizuoja, kad reguliavimo spaudimas augs, o organizacijos, vėluojančios pereiti, susidurs su sankcijomis ar pašalinimu iš pirkimų sąrašų.
Kaip organizacijos gali tapti kvantiškai atsparios
Perėjimas į post-kvantinę kriptografiją (PQC) nėra vien programinės įrangos atnaujinimas — tai organizacinis ir technologinis projektas, trunkantis kelerius metus. JAV Nacionalinis standartų ir technologijų institutas (NIST) jau patvirtino tam tikras PQC algoritmais paremtas rekomendacijas. Įgyvendinimas reikalauja bendradarbiavimo tarp IT, saugumo skyriaus, teisininkų, tiekimo grandinės vadovų ir aukščiausio lygio vadovybės.
Kriptografinis komponentų sąrašas — CBOM
Vienas iš pirmųjų veiksmų — sukurti kriptografinį komponentų sąrašą (Cryptographic Bill of Materials, CBOM). Jame fiksuojami visi kriptografiniai elementai: bibliotekos, skaitmeniniai parašai, autentifikacijų mechanizmai ir šifravimo sprendimai, tiek vietiniuose sprendimuose, tiek debesų paslaugose ar tiekėjų programinėje įrangoje. CBOM padeda suprasti, ką reikia pakeisti ir kokias prioritetines sritis reikia apsaugoti.
Prioritetai skiriasi sektoriais — vartotojų duomenis ypač vertina e. komercija, intelektinė nuosavybė yra svarbiausia farmacijos ir gyvybės mokslų įmonėms, o energetikos ar transporto bendrovėms svarbūs operaciniai ir valdymo duomenys.
.avif)
Praktiniai žingsniai pereinamuoju laikotarpiu
Organizacijos turėtų suplanuoti daugiamečius pereinamuosius projektus: išbandyti PQC algoritmus laboratorinėse sąlygose, atnaujinti pirkimų politiką, įtraukti kvantinei saugai atsparias reikalavimų eilutes kontraktuose su tiekėjais ir atnaujinti saugojimo politiką — trumpinti jautrių duomenų saugojimo laiką ir trinti nereikalingą informaciją.
Saugumo kontrolės turi būti kriptografiškai lankščios — sistema turi leisti keisti algoritmus be didelio trikdžio. Tai apima raktų valdymo atnaujinimus, testus su trečiųjų šalių paslaugomis ir scenarijų modeliavimą, kaip veiktų sistema po pilno PQC įdiegimo.
Expert Insight
— Dr. Rasa Petrauskaitė, kibernetinio saugumo tyrėja, Lietuvos Technologijų Institutas: „Kvantinė grėsmė nėra fantastika — tai valstybių ir privačių aktorių prioritetas. Organizacijos, kurios pradės planuoti pereitį šiandien, rytoj turės konkurencinį pranašumą ir mažesnę riziką. Svarbiausia — pradėti nuo aiškaus CBOM ir tarpdisciplininės komandos.“
.avif)
Kas toliau: technologijos ir perspektyvos
Technologiškai sprendimai apima tiek PQC diegimą, tiek hibridinius modelius, kuriuose naudojami tiek tradiciniai, tiek kvantų atsparūs algoritmai — taip užtikrinant sklandžią migraciją ir patikrinamus rezultatus. Be to, vystosi kvantiškai saugios komunikacijos technologijos, tokios kaip kvantinė kriptografija pagrįsta kvantinių raktų paskirstymu (QKD) — tačiau QKD šiandien dar nėra universali išeitis dėl praktinių diegimo iššūkių.
Reguliavimo ir pramonės gairės tikisi sukurti aiškius pereinamuosius terminus bei sektorių specifines rekomendacijas. Iki to laiko sulauksime daugiau standartų, testavimo laboratorijų ir viešųjų pirkimų reikalavimų, kurie skatins plačiau diegti PQC sprendimus.
Ar verta laukti? Ne. Kuo anksčiau organizacija pradės kurti CBOM, vykdyti rizikos vertinimus ir planuoti PQC integraciją — tuo mažesnė tikimybė tapti aukai „iš anksto surinktų“ užšifruotų duomenų. Kvantinis laikmetis ateina — pasiruošimas šiandien reiškia saugesnį verslą ir mažesnę riziką rytoj.
Palikite komentarą