Innen fem til ti år må nesten all kryptering med offentlig nøkkel som brukes i dag, erstattes. Trusselen fra en såkalt kryptografisk relevant kvantedatamaskin (CRQC) som er kraftig nok til å bryte dagens kryptografi, rykker stadig nærmere. Dagens digitale sikkerhetssystemer vil bli utrygge, noe som vil få konsekvenser for alle som håndterer sensitive data. Dette gjelder alt fra persondata og innlogginger på sikre systemer til sikker signering av programvareoppdateringer og mye annet.
Heldigvis finnes det allerede kryptografi som er utviklet for å stå imot kvantedatamaskiner, det vi kaller post-kvantekryptografi (PQC). Internasjonale cybersikkerhetssentre har for lengst erkjent behovet for å migrere til PQC, men fordi trusselen kan virke fjern, er det lett å
utsette arbeidet. Det vil være en stor feil.
Hvorfor handle nå?
Myndigheter verden over er bekymret for at aktører kan samle inn krypterte data i dag, for så å dekryptere den når kvantedatamaskiner blir kraftige nok. For virksomheter som håndterer informasjon som må holdes hemmelig i mer enn 15 år, er dette allerede en reell risiko. Rådgivningsfirmaet Gartner anslo i fjor at en slik maskin kan være klar allerede i 2029. Risikoen blir enda større når man blir klar over at overgangen i seg selv kommer til å ta en del tid, et typisk estimat er fem år.
Det betyr at sensitive data som krypteres i dag, kan bli sårbare lenge før dataenes behov for beskyttelse er borte. Jo lenger man venter, jo større er faren for at informasjonen en dag blir kompromittert. Dette er illustrert under, hvor tiden man drøyer med å komme i gang, også er lagt inn.
Hvordan komme i gang
Å fjerne all sårbar kryptografi fra en virksomhets systemer, er ingen enkel oppgave og må ikke undervurderes. Kryptografi finnes overalt, både i operasjonell teknologi (OT) og informasjonsteknologi (IT). Som regel er kryptografien skjult for brukeren av et system. Første steg er derfor å lage en oversikt over all kryptografi i systemene, noe som krever både verktøy og et dedikert team.
Virksomheten må også gjennomføre risikoanalyser for å finne ut hvilke verdier som er mest kritiske, og hvilke trusler de står ovenfor. Hvilke systemer er viktigst å oppgradere først? På bakgrunn av en slik prioritering må man lage en realistisk migreringsplan som gjør det mulig å bytte ut sårbar kryptografi gradvis, uten å forstyrre driften.
Migrering til PQC vil kreve samarbeid på tvers av hele virksomheten. Dagens IT-miljøer består gjerne av systemer fra mange ulike leverandører som er tett integrert. Oppgradering av alle disse vil kreve en samlet innsats fra mange ulike aktører. Derfor er beskjeden vår tydelig: ikke undervurder kompleksiteten i migreringen, dette vil ta år å gjennomføre. Overgangen burde ses på som et strategisk virksomhetsprosjekt, ikke bare et IT-problem.
Følg EUs initiativ
Vi forstår at PQC-migrering kan virke krevende, særlig når trusselen fremstår som noe som ligger et stykke inn i fremtiden. Men vi frykter at mer nøling vil føre til at Norge blir hengende etter resten av Europa.
Selv om Norge ikke er medlem av EU, bør vi følge unionens initiativer her tett. I juni publiserte EU et veikart for overgangen til post-kvantekryptografi, med åtte konkrete tiltak som medlemslandene skal gjennomføre innen utgangen av neste år for å bli ferdig med migreringen innen 2035.
Det trengs et tilsvarende initiativ i Norge. Myndighetene må løfte PQC-migrering opp på agendaen til ledere innen informasjonssikkerhet og toppledelse. For selv om det kanskje finnes mer umiddelbare utfordringer i hverdagen, kan konsekvensene av ikke å være forberedt på kvante-alderen, bli svært alvorlige.
Skal bygge «hackesikkert» kvantenettverk i verdensrommet
