0
0
A menos que você viva sob uma rocha, você saberá que os computadores quânticos quebrarão a criptografia que usamos hoje em menos de 10 anos. Infelizmente, a maioria das análises sobre este tópico é simplista. A ameaça quântica é descrita como se um dia chegaria em que o quantum será desencadeado e todos os sistemas serão quebrados de uma só vez. Isso está longe de ser verdade.
Como CISO, é importante desenvolver uma compreensão diferenciada desse tópico crítico. Você certamente não precisa entrar em pânico, mas precisa traçar um plano baseado no seu negócio, com todas as suas idiossincrasias. Seus colegas em outras empresas deveriam estar fazendo a mesma coisa; no entanto, seus planos serão diferentes. Não há resposta genérica para a ameaça quântica.
Na realidade, a ameaça se materializará lentamente. As primeiras máquinas capazes de executar o algoritmo de Shor levarão semanas para quebrar uma chave RSA. Apenas os alvos de maior valor serão considerados para ataque, dado o imenso custo esperado para essa quantidade de computação. Com o tempo, mais máquinas serão capazes de quebrar chaves, e o custo e o tempo associados à tarefa serão reduzidos drasticamente. Eventualmente, qualquer pessoa poderá realizar esse ataque em minutos por um custo mínimo.
Seu objetivo como CISO é avaliar seu risco nesse período de tempo desconhecido. Você processa dados tão confidenciais que provavelmente estará entre os primeiros alvos? Alguns dos seus dados são mais valiosos do que o resto? E quanto ao tempo de vida dos dados – quanto tempo eles precisam permanecer secretos? Todas essas são questões a serem consideradas ao criar um plano pragmático para lidar com a ameaça quântica.
Entenda o Status Quo
Em uma conferência recente, ouvi um escritório de advocacia descrever sua resposta a um grande ataque cibernético. Durante os primeiros dias confusos, a empresa estava desesperada para avaliar se seus dados críticos estavam seguros. No entanto, os entrevistados perceberam que não tinham certeza de quais dados eram mais importantes. Eventualmente, eles concluíram que os dados de seus clientes eram mais importantes do que o resto do negócio combinado. Isso moldou as decisões subsequentes da empresa e acelerou seu tempo de resposta.
Idealmente, você chegaria a essas conclusões antes de uma grande violação cibernética. E, certamente, você deve entender suas prioridades de negócios antes de planejar seu plano de migração pós-quântica. Os CISOs precisam desenvolver um inventário de cada sistema que descreva:
- A importância comercial dos dados.
- Como a criptografia protege os dados em repouso e em trânsito.
- Quanto tempo os dados precisam permanecer secretos.
Se você já tem esses dados em mãos, parabéns — você está extraordinariamente bem preparado. Para a maioria dos CISOs, no entanto, essas informações são irregulares, na melhor das hipóteses. Compreender o status quo é a primeira etapa crítica em sua migração.
Priorize Pragmaticamente
Em seguida vem a parte difícil. Com seu chapéu pragmático, você precisa decidir a ordem em que migrar seus sistemas para algoritmos pós-quânticos. Você não pode mudar tudo de uma vez, e é provável que demore anos entre o momento em que seus primeiros sistemas são migrados e o último.
Sua prioridade mais alta deve ser os dados confidenciais de longo prazo que são transmitidos pela Internet. Isso inclui dados de saúde, segredos governamentais, dados de clientes e propriedade intelectual. Esses dados são especialmente vulneráveis graças a um ataque às vezes conhecido como “hack agora, descriptografe depois”, no qual os invasores gravam transmissões criptografadas para descriptografar no futuro usando um computador quântico.
Se sua empresa desenvolve dispositivos físicos, como no setor de Internet das Coisas (IoT), você precisará prestar atenção especial à migração de raízes de confiança para algoritmos pós-quânticos. Dispositivos que devem permanecer seguros por 10 ou mais anos estão definitivamente em risco de firmware fraudulento quando a ameaça quântica chegar.
Essa é a etapa mais difícil do processo de migração porque é exclusiva da sua empresa. Mas vale a pena fazer corretamente para que você aloque os recursos adequadamente. Esse processo também destaca os fornecedores com os quais você precisa trabalhar de perto, pois eles migram seus próprios sistemas para a proteção pós-quântica.
Iniciar teste
Depois que seu plano de migração estiver em vigor, a próxima etapa é realizar testes para entender o impacto de mudar seus sistemas para algoritmos pós-quânticos . Os novos algoritmos pós-quânticos se comportam de maneira diferente dos algoritmos que usamos hoje, e nem sempre será uma tarefa simples retirar um algoritmo e substituí-lo por outro.
Mesmo com o recente anúncio do NIST de seus candidatos iniciais de algoritmos resistentes ao quantum, os algoritmos pós-quânticos ainda não estão padronizados e pode levar até 2024 até que isso aconteça. Use esse tempo com sabedoria para entender onde você precisa investir recursos adicionais para lidar com as mudanças que estão por vir.
Aproveite a chance de construir melhor
Sempre que falo sobre quantum, descubro que a conversa rapidamente se desvia para a ameaça quântica. No entanto, encorajo as pessoas a pensarem positivamente sobre a tecnologia quântica e até mesmo sobre a própria ameaça quântica.
Responder à ameaça exigirá uma imensa reviravolta nos sistemas, de escopo semelhante ao desafio Y2K. Esta é uma rara oportunidade de tocar em cada um dos nossos sistemas e mudá-los para melhor. É certo que esta migração de algoritmos não será a última que teremos de realizar. Vamos aproveitar esta oportunidade para criar agilidade criptográfica em nossos sistemas, para que a próxima migração seja muito menos dolorosa.
E enquanto estamos reconstruindo sistemas de criptografia, devemos explorar como podemos construir em bases mais firmes. É aqui que a tecnologia quântica tem um papel a desempenhar. Ao olharmos para um futuro em que os agentes de ameaças tenham computadores quânticos como arma, devemos procurar nos defender com a mesma quantidade de poder. Quantum é uma faca de dois gumes, e devemos garantir que, como defensores, também estejamos prontos para empunhá-la para proteção.
FONTE: DARK READING