Dicas para mitigar o risco de criptografia de chave pública em um mundo de computação quântica

Views: 516
0 0
Read Time:3 Minute, 57 Second

A computação quântica está pronta para transformar a indústria na próxima década. Com sua promessa de velocidade e poder inovadores, é fácil entender por que há tanto hype em torno desta nova tecnologia.

Mas também devemos considerar os novos riscos de cibersegurança que a computação quântica potencialmente introduz — especialmente quando se trata de criptografia. Criptografia de chave pública é o método tradicional de criptografia usado para proteger dados, transações, processos e muito mais. Em alto nível, ele requer um par de chaves – uma chave pública e uma chave privada – que permite que as partes de comunicação criptografem e descriptografem dados para protegê-los de acesso não autorizado. A criptografia de chave pública usa algoritmos de criptografia que são projetados de tal forma que decodificá-los levaria tanto tempo que eles são teoricamente inquebráveis. Essa abordagem tem sido muito eficaz no mundo atual da computação clássica.

Mas os computadores quânticos são significativamente mais poderosos que os clássicos. À medida que essa tecnologia avança na próxima década, espera-se que a computação quântica exponha vulnerabilidades em algoritmos de criptografia de chave pública em segundos.

O risco: legítimo ou incerto?

A ameaça que a computação quântica representa para a criptografia de chave pública não é apenas temerária, é algo que toda organização deve levar a sério. Na verdade, é um risco tão grande que o governo dos EUA está tomando uma abordagem proativa para atenuá-lo.

Em outubro de 2021, o Departamento de Segurança Interna (DHS), em parceria com o Instituto Nacional de Padrões e Tecnologia do Departamento de Comércio, divulgou orientações para ajudar as organizações a se prepararem para a transição para a criptografia pós-quântica. De acordo com a DHS, seu roteiro “ajudará as organizações a proteger seus dados e sistemas e reduzir os riscos relacionados ao avanço da tecnologia de computação quântica”.

Melhores práticas de mitigação de riscos

Quando se trata de desenvolver um plano de cibersegurança para mitigar os riscos de segurança associados à computação quântica, a orientação do DHS é certamente um ótimo lugar para começar. Aqui estão algumas outras dicas a considerar.

Identifique onde e para que propósito a criptografia de chave pública está sendo usada dentro de sua organização e, em seguida, marque esses sistemas como “vulneráveis quânticos”.

Aqui estão algumas perguntas a serem consideradas ao longo deste processo:

  • O que é a proteção do sistema – por exemplo, lojas-chave, senhas, chaves raiz, chaves de assinatura, informações pessoalmente identificáveis (PII)?
  • Com que outros sistemas o em questão se comunica?
  • Até que ponto o sistema compartilha informações com outras entidades fora da organização?
  • O sistema apoia um setor crítico de infraestrutura nacional?
  • Quanto tempo os dados precisam ser protegidos?
  • O sistema é um ativo de alto valor baseado em requisitos organizacionais?
    • Por exemplo, o sistema é essencial para os processos de continuidade de negócios? É voltado para o cliente? Poderia impactar as operações organizacionais?
    • Além dos sistemas de TI, certifique-se também de considerar instalações, limpeza, prevenção de incêndios, medidas de segurança física, sistemas de controle ambiental e outros sistemas e processos de negócios.

Desenvolva uma cartilha de segurança cibernética para proteger sistemas identificados e limitar o risco.

Os cartilhas de segurança cibernética são planos de resposta específicos projetados para mitigar vulnerabilidades de zero-day, como ameaças relacionadas à computação quântica e documentar ações específicas de resposta em caso de compromisso. Todos os cartilhas devem incluir instruções detalhadas sobre:

  • A quem entrar em contato (por exemplo, equipes técnicas, alta administração, Jurídico, RH, etc.) em caso de compromisso
  • Como entender/triagem do incidente
  • Como reduzir o impacto do incidente
  • Etapas para reter evidências ou dados, se necessário
  • Como remediar e recuperar do incidente, e
  • Como realizar uma revisão pós-incidente

Projetar e desenvolver um manual de segurança cibernética é apenas o primeiro passo no processo. Igualmente importante para documentar um plano é educar e treinar os funcionários sobre suas funções e responsabilidades específicas; testando continuamente o plano; e colocar estruturas de relatórios em prática para garantir a governança contínua.

Não há tempo para agir como o presente

Embora seja verdade que a computação quântica não deve atingir todo o seu potencial por uma década ou mais, é importante que as organizações preparem uma estratégia de cibersegurança pós-quântica agora – especialmente sistemas de auditoria para identificar sistemas /processos “vulneráveis quânticos”, como tais auditorias levam algum tempo para serem concluídos. Se a computação quântica fornecerá velocidade e poder sem precedentes para a computação, então é provável que também traga riscos e desafios à segurança cibernética.

Para ficar um passo à frente, as organizações devem começar a se preparar hoje. Só assim eles serão capazes de aproveitar o poder transformador da computação quântica sem impactar sua postura de risco de segurança.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS