Hoewel veel IT-teams nog bezig zijn hun beveiligingsinfrastructuur aan te passen om AI-gebaseerde aanvallen te weerstaan, is er alweer een andere opkomende technologie die de komende jaren voor aanzienlijke disruptie zal zorgen: post-quantumcryptografie.
De naderende commercialisering van quantumcomputing – en de cryptografische implicaties die dit met zich meebrengt – kan ernstige gevolgen hebben voor organisaties die zich hier niet op voorbereiden. Maar hoe moeten ze hun netwerken en data hierop aanpassen? En hoe snel kunnen cybercriminelen ook gebruikmaken van deze technologie?
Het quantumrisico
Een quantumcomputer kan wiskundige problemen oplossen die te uitdagend zijn voor traditionele computers, zoals het ontbinden van grote getallen. Dit betekent echter ook dat quantumcomputing veel moderne cryptografische algoritmen kan kraken die veel worden gebruikt op verschillende IT-platforms om communicatie te versleutelen, gegevens te beveiligen of digitale handtekening te creëren.
Quantumcomputers zijn nog niet commercieel beschikbaar, maar ik denk dat organisaties post-quantumcryptografie om twee redenen nu al als strategische zorg moeten beschouwen. Ten eerste is er de zeer reële kans op retrospectieve aanvallen. Cryptografische technologieën zijn zo ver geïntegreerd in bedrijfsprocessen dat de meeste gegevens zowel ‘in rust’ als ‘in beweging’ digitaal worden versleuteld. Bij retrospectieve aanvallen verzamelen cybercriminelen versleutelde gegevens en slaan deze op tot het moment dat ze deze kunnen kraken met behulp van quantumcomputers. Hoewel de gegevens tegen die tijd mogelijk al een paar jaar oud zijn, kunnen ze nog steeds gevoelig zijn en schade toebrengen aan bedrijven, werknemers en klanten.
De tweede reden voor bezorgdheid is de omvang van de investering en operationele overhead die nodig zijn om verouderde IT-systemen te upgraden of te vervangen. Momenteel vormt quantumcomputing nog geen direct gevaar, maar grote particuliere bedrijven en overheden investeren hier aanzienlijk in. De verwachting is dan ook dat we slechts een paar jaar verwijderd zijn van een doorbraak. Om de financiële last te verlichten, zouden bedrijven hun systemen nu al stapsgewijs moeten upgraden, in plaats van te wachten op deze doorbraak in quantumcomputing en gedwongen worden om in één keer fors te investeren (en het risico te lopen achterop te raken op de concurrentie).
De quantum-tijdlijn
Hoewel er nog geen consensus is over wanneer commerciële quantumcomputers beschikbaar zullen zijn, zijn de meeste wetenschappers het erover eens dat dit over minstens drie tot vijf jaar zal zijn. Overheden doen echter nu al aanbevelingen aan bedrijven om zich voor te bereiden op de overgang naar quantumversleuteling. Zo heeft het Britse National Cyber Security Centre (NCSC) onlangs richtlijnen gepubliceerd die bedrijven aanmoedigen zich nu al voor te bereiden op deze overgang naar quantumcomputing. Deze richtlijnen moeten een soepele, gecontroleerde migratie mogelijk maken en het risico op
overhaaste implementaties en bijbehorende beveiligingslekken verkleinen. Als onderdeel hiervan riep het NCSC organisaties op om te investeren in zichtbaarheid, om te begrijpen welke systemen ze hebben en welke systemen vóór de migratie moeten worden geüpgraded.
Ook in Nederland wordt er aandacht besteed aan quantumcomputing. Zo hebben de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), het Centrum Wiskunde & Informatica (CWI) en TNO samen een handboek uitgebracht voor quantumveilige cryptografie. Dit handboek bevat de nieuwste inzichten en praktische richtlijnen om de risico’s van quantumcomputers aan te pakken en is bedoeld om CIO’s, CTO’s en CISO’s te helpen tijdig over te stappen naar quantumveilige cryptografie.
De Europese Unie werkt ook aan richtlijnen voor quantumversleuteing en ik verwacht dat er snel regelgeving volgt die post-quantumcryptografie bevat als onderdeel van fundamentele nalevingsmaatregelen, vergelijkbaar met NIS2 en DORA. Hoewel alle overheidsdocumentatie rond quantum momenteel slechts een richtlijn is, raad ik CISO’s en IT-leiders aan om dit zo snel mogelijk op de agenda van hun bestuur te zetten. Dit voorkomt dat ze zich gehaast moeten aanpassen aan regelgeving en in één keer veel tijd en geld moeten besteden wanneer deze richtlijnen van kracht worden.
Voorkom een achterstand, start nu met plannen
Hoewel de tastbare dreiging van quantumcomputing nog een paar jaar op zich laat wachten, zijn de risico’s die het met zich meebrengt aanzienlijk genoeg om nu al proactieve maatregelen te rechtvaardigen. Bedrijven kunnen zich voorbereiden door het inzicht in hun huidige systemen te vergroten en stapsgewijs upgrades te plannen om een soepele overgang naar post-quantumcryptografie te garanderen. Zo kunnen ze het risico van retrospectieve aanvallen beperken en de financiële en operationele druk van overhaaste implementaties vermijden.
Overheden en cyberbeveiligingsinstanties bieden al richtlijnen om organisaties te helpen bij deze transitie. Het is cruciaal dat CISO’s en IT-leiders dit probleem prioriteit geven en onder de aandacht brengen van hun directies. Vroegtijdige voorbereiding beschermt niet alleen gevoelige gegevens, maar zorgt ook voor een concurrentievoorsprong wanneer quantumcomputing werkelijkheid wordt.
Uiteindelijk ligt de sleutel tot toekomstig succes in een vooruitziende blik en strategische planning. Door het quantumrisico nu aan te pakken, zorgen organisaties ervoor dat hun beveiligingsinfrastructuur robuust en veerkrachtig blijft.
Dit is een ingezonden bijdrage van Zscaler. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.