DigiCert onderzoek naar voorbereiden op veilige post-kwantumcryptografie

DigiCert heeft de resultaten bekendgemaakt van een wereldwijd onderzoek onder 1.426 IT- en securityprofessionals naar hoe organisaties zich voorbereiden op veilige post-kwantumcryptografie (PQC). Terwijl de ondervraagde IT- en securityprofessionals de noodklok luiden dat het nodig is om nu al te investeren in een kwantumveilige transitieplanning, worden ze in de praktijk gehinderd door een gebrek aan duidelijk eigenaarschap, budget en managementsuppport.

Kwantumcomputing 

Kwantumcomputing maakt gebruik van de wetten van de kwantummechanica om problemen op te lossen die te complex zijn voor klassieke computers. Met kwantumcomputing wordt het kraken van encryptie echter veel eenvoudiger, wat een grote bedreiging vormt voor de data- en gebruikersveiligheid.

“Post-kwantumcryptografie is een seismische gebeurtenis waarvoor IT- en securitymanagers nu al met de voorbereiding moeten beginnen. Innovatieve organisaties die al hebben geïnvesteerd in crypto-agility zijn straks beter gepositioneerd om de transitie naar kwantumveilige algoritmen te beheren wanneer de definitieve standaarden in 2024 worden vrijgegeven”, aldus Amit Sinha, CEO van DigiCert

Belangrijke onderzoeksresultaten

Het Ponemon Institute heeft 1.426 IT- en IT-securityprofessionals in de Verenigde Staten (605), EMEA (428) en Azië-Pacific (393) ondervraagd die betrokken zijn bij de aanpak van hun organisaties ten aanzien van post-kwantumcryptografie. Belangrijke resultaten van dit door DigiCert gesponsorde onderzoek zijn: 

• 61% procent van de respondenten zegt dat hun organisaties niet bereid zijn en niet zullen zijn om de implicaties voor de cyberveiligheid als gevolg van PQC aan te pakken.
• 49% zegt dat het management van hun organisatie zich slechts enigszins bewust is (26%) of zich niet bewust is (23%) van de invloed van kwantumcomputing op de cyberveiligheid.
• 30% van de respondenten zegt dat hun organisaties budget vrijmaken om zich voor te bereiden.
• 52% van de ondervraagden zegt dat hun organisaties momenteel een inventarisatie maken van alle soorten gebruikte cryptografiesleutels en hun kenmerken.

Uitdagingen

Uit het onderzoek blijkt dat securityteams moeten omgaan met de druk om cyberaanvallen die gericht zijn op hun organisaties te blijven voorkomen en zich gelijktijdig moeten voorbereiden op een toekomst met post-kwantumcryptografie. Slechts vijftig procent van de respondenten zegt dat hun organisaties zeer effectief zijn in het beperken van risico's, kwetsbaarheden en aanvallen in de hele onderneming. Volgens het onderzoek zijn ransomware en diefstal van inloggegevens de twee grootste cyberaanvallen waar organisaties momenteel mee te maken krijgen.

41% van de respondenten zegt dat hun organisatie minder dan vijf jaar de tijd heeft om er klaar voor te zijn. De grootste uitdagingen zijn echter niet de benodigde tijd, geld en expertise om succesvol te zijn. Slechts 30 procent van de respondenten zegt dat hun organisatie budget vrijmaakt voor PQC-gereedheid.

Veel organisaties tasten in het duister over de kenmerken en locaties van al hun cryptografische sleutels. Iets meer dan de helft van de respondenten (52%) zegt dat hun organisaties al een inventarisatie maken van de soorten gebruikte cryptografiesleutels en hun kenmerken. Slechts 39% zegt dat ze prioriteit geven aan cryptografische assets en slechts 36% van de respondenten bepaalt of data en cryptografische assets zich op locatie of in de cloud bevinden.

Weinig organisaties hebben een gecentraliseerde strategie voor cryptomanagement, die consistent in de hele onderneming wordt toegepast. 61% van de respondenten zegt dat hun organisaties een beperkte strategie voor het beheren van cryptografiesleutels heeft die wordt toegepast op specifieke applicaties of gebruiksscenario's (36%), of dat ze geen gecentraliseerde strategie voor het cryptobeheer hebben (25%).

Om informatie en de IT-infrastructuur te beveiligen, moeten organisaties hun vermogen verbeteren om cryptografische oplossingen en methoden effectief in te zetten. De meeste respondenten zeggen dat hun organisaties niet goed in staat zijn om bedrijfsbrede best practices en beleid toe te passen, misbruik van certificaten/sleutels op te sporen en daarop te reageren, algoritmeherstel of inbreuken op te lossen en ongeplande certificaten te voorkomen.

Organisaties erkennen dat ze niet over de benodigde expertise beschikken om de post-kwantumvereisten voor te blijven. Als gevolg hiervan is het in dienst nemen en behouden van gekwalificeerd personeel de belangrijkste strategische prioriteit voor digitale veiligheid (55% van de respondenten). Dit wordt gevolgd door het bereiken van crypto-agility (51%), wat het vermogen is om de cryptografische algoritmen, parameters, processen en technologieën efficiënt bij te werken om beter te kunnen reageren op nieuwe protocollen, standaarden en cyberdreigingen. Inclusief die kwantumcomputing gebruiken.

Om klaar te zijn voor post-kwantumcomputing hebben organisaties een strategie met managementsteun nodig, inzicht in alle cryptografische sleutels en activa en gecentraliseerde strategieën voor cryptobeheer die consistent in de hele organisatie met verantwoordelijkheid en eigenaarschap worden toegepast.

Het volledige onderzoeksrapport is te downloaden via: https://www.digicert.com/campaigns/pqc-study