Håndtering af usikkerheden ved post-kvante-kryptografi starter nu
Manglen på kryptostandarder til sikring af information mod kvantecomputere er en trussel. Det betyder, at risikovurdering, planlægning og implementering af afbødningsforanstaltninger skal starte nu, og at planen skal revideres regelmæssigt i de kommende år.
I dag er kryptosikkerhed ofte gennemsigtig for brugeren, hvilket gør tjenester og enheder nemme at bruge. Det gør det også svært for organisationer at vide, hvilke slags sikkerhedsforanstaltninger deres oplysninger er beskyttet med.
Mens alle er påvirket af usikkerheden om tidspunktet for et vellykket angreb, mangler mange organisationer folk med de tekniske færdigheder, der er nødvendige for at opdatere risikolandskabet og implementere afbødende handlinger. Det omfatter mangel på kryptoviden, viden om de praktiske sikkerhedsgrænser for nuværende kryptostandarder og viden om aktuel brug af kryptografi i tredjepartsprodukter (herunder cloudløsninger).
I øjeblikket er der ingen standarder på plads, som forventes at være modstandsdygtige over for kvantecomputere om 10-15 år.
Lederes næste, kloge træk: Kvantesikre kapaciteter
Allerede i 2022 så vi, at en ny foreslået kryptostandard (Rainbow) kan være sårbar over for angreb fra nuværende computere. Og nu er det sket igen her 2023 med en anden algoritme, CRYSTALS-Kyber.
Sikkerheden i en algoritme er baseret på, at ingen har fundet ud af en måde at bryde den på inden for rimelig tid. Selvom post-quantum crypto (PQC) standarder kommer, skal man forvente, at de vil have brug for flere iterationer af implementeringer, som det ses af de seneste to års udvikling.
En organisation skal derfor forvente at forbedre sikkerheden over flere omgange.
Udøvende beslutningstagere og eksperter i cybersikkerhed ser ikke ens på truslen.
Man er nødt til at skabe en sammenhængende historie, der viser kvantecomputer truslens mulige indvirkning på informationssikkerheden og dermed på organisationen.
Ledere har behov for at vide, hvor lang tid det tager at planlægge og omstille en organisation til kvantesikre kapaciteter.
Det er afgørende, at de afbødende handlinger er fleksible, da de vil ændre sig over tid.
Modstandsdygtighed også kendt som resilience handler om evnen til at forebygge, reagere på, komme sig og lære af driftsforstyrrelser. Det bør være en nøgleprioritet for enhver virksomhed.
Borgere er bekymrede for fremtiden
Når borgerne ikke føler sig beskyttet, er deres tillid til markeder truet, og de bliver mindre tilbøjelige til at købe varer eller tjenester. Det rejser flere kommercielle trusler for mange organisationer.
En ny PA-undersøgelse har vist, at 84 procent af borgerne føler sig mere bekymrede for fremtiden, sammenlignet med for 2-3 år siden.
Borgerne var i forvejen optagede af spørgsmålene om databeskyttelse og cyberrisici, og nye risici har taget centrum: En stejl stigning i leveomkostningerne, energi-usikkerhed, politisk ustabilitet, krig, klimaændringer og stigende social ulighed.
Prioritering af højt sikkerhedsniveau
Mange sektorer er nødt til at handle nu: Forsvar, kritisk infrastruktur, virksomheder med højt sikkerhedsniveau, stærkt regulerede erhvervssektorer, herunder producenter af produkter med lang livscyklus som eksempelvis biler.
Hvis risikostyring ses som et compliance-problem og en omkostning, vil mange organisationer fokusere på kortsigtede kommercielle mål frem for strategiske risici. Det kan betyde, at organisationer mangler ressourcer til at opdatere deres as-is-billede, lave handlingsplanen og – især – til at implementere planen.
Ny EU-lovgivning, såsom net- og informationssikkerhedsdirektivet (NIS2) og Digital Operational Resilience Act (DORA) giver vejledning. Med regulatoriske risici, der ændrer sig og udvikler sig hurtigere, kan organisationer efterlyse nye tjenester, såsom rådgivning eller støtte til at tackle cybertrusler.
Det er derfor alfa og omega med en pragmatisk tilgang. Hver virksomhed skal lave en professionel vurdering af risiko og sikre implementering af en god plan.
Vil du bidrage til debatten med et synspunkt? Så skriv til vores PRO debatredaktion på pro-sekretariat@ing.dk
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
