Mimecast: Bedrijfsleven moet zich voorbereiden op Q-Day

Quantumcomputing brengt nieuwe uitdagingen met zich mee op het gebied van informatiebeveiliging. Naar verwachting zijn quantumcomputers binnen enkele jaren in staat om de gangbare encryptietechnieken te omzeilen. Mimecast adviseert bedrijven om hier nu al rekening mee te houden en de aanbevolen maatregelen te treffen.

Quantumcomputing is een revolutionaire computertechnologie waarbij principes uit de quantummechanica worden toepast voor het uitvoeren van complexe berekeningen en het oplossen van cryptografische problemen. In de toekomst kunnen quantumcomputers mogelijk worden gebruikt om een groot deel van de standaardmethoden voor cryptografie met openbare sleutel te kraken. ‘Q-Day’ verwijst naar het moment waarop quantumcomputing breed beschikbaar is.

Misbruik van quantumcomputers

De opkomst van quantumcomputers en quantumcryptografie leidt tot nieuwe risico’s in het virtuele domein. De ongekende rekenkracht van quantumcomputers ten opzichte van de huidige klassieke computertechnologie biedt immers ook kansen aan kwaadwillenden. Met quantumcomputing zullen zij in staat zijn om encryptiemethoden te kraken die op grote schaal worden gebruikt voor de bescherming van klantgegevens, het voltooien van zakelijke transacties en veilige communicatie.

Elke hacker kan gegevens die momenteel versleuteld zijn bewaren voor het moment dat quantumcomputing breed beschikbaar is. Deze methode wordt ‘harvest now, decrypt later’ genoemd. Cybercriminelen verzamelen en archiveren nu al actief versleutelde gegevens van bedrijven, zodat ze daar iets mee kunnen doen als ze toegang tot de data krijgen. En dat moment komt snel dichterbij, zo waarschuwt Mimecast.

Post-quantum cryptografie

Het Amerikaanse National Institute of Standards and Technology (NIST) houdt zich bezig met de standaardisering van cryptografische algoritmen die bestand zijn tegen quantumcomputing (post-quantum cryptografie). In juli 2022 maakte NIST vier kandidaat-methoden voor standaardisering bekend.

Een van de vier kandidaten, SIKE, ontwikkeld door teams van Amazon, Infosec Global, Microsoft Research en Texas Instruments, zou nu echter al gekraakt zijn door onderzoekers van de KU Leuven. Het gaat naar verluidt om een kleine kwetsbaarheid. Toch toont dit wel aan dat ook deze standaarden, die veel beter zijn dan de huidige standaarden, zwakke plekken hebben. Het is zeer onwaarschijnlijk dat quantumcryptografische standaarden 100 procent onkraakbaar zijn.

Klaar voor de toekomst

”Cybercriminelen mogen geen technologische voorsprong krijgen”, zegt Dr. Francis Gaffney, Senior Director of Threat Intelligence and Future Engineering bij Mimecast. “Elke organisatie moet zo snel mogelijk een strategie ontwikkelen om gevoelige gegevens ook in het tijdperk van quantumcomputing veilig te houden. Door nu voorbereidingen te treffen, kunnen we snel handelen als NIST met standaarden voor post-quantum cryptografie komt.”

Experts van Mimecast geven een aantal concrete adviezen:

• Inventariseer wat de meest gevoelige en bedrijfskritische datasets zijn die voor de lange termijn beschermd moeten worden.
• Breng in kaart welke gegevens ontsleuteld kunnen worden zodra er een cryptografische kwantumcomputer beschikbaar is, en dus een risico vormen.
• Identificeer alle systemen die gebruikmaken van cryptografische technieken. Dit helpt bij een soepele transitie naar post-quantum technologieën.
• Zoek uit welke standaarden voor cybersecurity en informatiebeveiliging geüpdatet moeten worden om aan post-quantum eisen te voldoen.

“Deze analyses maken inzichtelijk waar en waarvoor een organisatie cryptografie met openbare sleutel gebruikt”, licht Gaffney toe. “Zo wordt duidelijk welke systemen kwetsbaar zijn als quantumcomputing breed beschikbaar is. Op basis daarvan kunnen organisaties een toekomstbestendig plan maken om hun data en systemen te beschermen. Elke IT-professional zou hier nu al mee bezig moeten zijn.”