По мнению вице-президента Forescout по анализу угроз безопасности Рика Фергюсона, руководителям ИБ-служб необходимо ускорить планы перехода к постквантовой криптографии (PQC) за счёт более активного учёта, закупок и повышения гибкости процессов. С его слов, в настоящее время только 8% SSH-серверов в мире поддерживает PQC, что всего на два процентных пункта больше, чем годом ранее.
Как показало новое исследование EY, 87% топ-менеджеров ожидает, что «кванты» изменят их отрасль к 2030 году. Однако только 35% сделало это стратегическим приоритетом на следующие пять лет, а 59% считает, что к указанному сроку квантовые возможности вряд ли достигнут достаточной зрелости.
Тем не менее, с точки зрения безопасности, обратный отсчёт до появления криптографически значимых квантовых компьютеров (CRQC) уже начался: АНБ предупреждало об атаках типа «сбор данных сейчас — расшифровка позже» (HNDL) ещё в 2021 году. Фергюсон же привел в качестве примера утечки от Сноудена, свидетельствующие о том, что США — и, следовательно, их противники — уже собирают зашифрованные данные для последующей работы с ними.
На это указывают Muscular и Tempora, представляющие собой строго засекреченные совместные программы наблюдения в Великобритании и США. Предыдущие инциденты, связанные с масштабным перенаправлением интернет-трафика через Китай, говорят о том, что и Пекин, вероятно, планирует нечто подобное, заявил эксперт.
«Некоторые из самых больших проблем возникают из-за того, чего вы не слышите или не видите», — отметил он. И хотя риску от HNDL подвержены только долговременные данные, планирование PQC должно начаться уже сейчас.
Как сообщалось ранее, в дорожной карте ИБ-группы G7 от января содержится аналогичный призыв. Согласно её графику, этапы перехода к PQC — стратегия, инвентаризация, планирование, миграция, тестирование и мониторинг — приходятся на 2028–2029 годы. Это соответствует тем же срокам, что и запуск отказоустойчивого квантового компьютера Starling от IBM.
По мнению Рика Фергюсона, безопасникам следует действовать по трём направлениям:
- провести инвентаризацию всех активов, использующих шифрование, и разработать непрерывный подход к обеспечению прозрачности в режиме реального времени;
- включить вопросы кибербезопасности в процесс закупок, чтобы гарантировать готовность к квантовым вычислениям;
- создать возможности для криптографической гибкости, например, за счёт обновления до TLS 1.3, который поддерживает PQC.
«Это не значит, что нужно менять шифры прямо сейчас. Однако необходимо создать основу для такой возможности в будущем», — заключил представитель Forescout.