Смерть криптографии. Время пришло?
Корпоративные данные безопасны только в том случае, если работает шифрование, однако криптография на предприятии обычно воспринимается как нечто само собой разумеющееся и редко оценивается и проверяется.
Поскольку цифровой ландшафт продолжает развиваться и приближается эра квантовых вычислений, потребность в защищенных криптографических решениях в организациях становится более острой, чем когда-либо.
С постоянным развитием математики и вычислительной техники давняя зависимость от шифрования с открытым ключом может приближаться к концу, оставляя присущие уязвимости в устаревших методах шифрования. Но, несмотря на раздробленность существующей криптографической системы, лица, принимающие решения, закрывают на это глаза, принимая самоуспокоенность как стратегию, когда дело касается корпоративной криптографии.
Недавние международные правила Комиссии по ценным бумагам и биржам США (SEC), требующие от организаций раскрывать любые серьезные инциденты в области кибербезопасности, могут стать катализатором столь необходимого изменения во взглядах и побудить предприятия принимать более активные действия по управлению криптографическими рисками путем принятия более дальновидных практик и политик.
Члены совета директоров и управленцы призваны сыграть огромную роль, помогая организациям планировать квантовую готовность и обеспечивать принятие мер и достижение поставленных целей. Квантовые обещания изменят способ ведения бизнеса компаний, но изменения происходят медленно. Сейчас настало время обнаружить и расставить приоритеты криптографических рисков, а также понять последствия использования квантовых компьютеров для безопасности и соответствующим образом спланировать действия.
Вот несколько рекомендаций, которые помогут лидерам получить информацию, необходимую для обсуждения, обсуждения и, в конечном итоге, реализации квантовой готовности:
Большие устаревшие системы полны старых и устаревших криптографических стандартов, которые все еще используются спустя годы после того, как были признаны неэффективными по назначению. Приоритетом должен стать обширный внутренний аудит для выявления этих слабых мест, а также слабо подписанных сертификатов или сертификатов с истекшим сроком действия.
Команды безопасности должны практиковать криптогибкость и значительно дублировать свою инфраструктуру за счет диверсификации и внедрения квантовобезопасной криптографии.
Организациям необходимо объединить проверенные и сертифицированные сегодня (например, криптографии FIPS) с квантовобезопасными криптографическими технологиями завтрашнего дня путем внедрения потенциальных алгоритмов PQC и/или квантовобезопасных платформ управления, сертифицированных по FIPS 140-2 и 3.
Защитите критически важные данные длительного хранения с помощью квантово-усовершенствованных ключей, чтобы избежать атак со сбором данных.
Познакомьтесь и поймите стратегию управления криптографическими рисками и квантовой криптографии ваших партнеров, чтобы убедиться, что они готовы к использованию квантовых технологий.
Не ждите. Организации должны сосредоточиться на устранении рисков, поддержании соответствия, обеспечении соблюдения политик и улучшении общего состояния безопасности посредством упреждающей оценки криптографических рисков и контроля политик.
К счастью, сегодня доступны хорошие, проверенные сторонними организациями, технологически независимые и не зависящие от поставщика решения, которые будут работать с существующими криптографическими инфраструктурами и инвестициями, чтобы немедленно сделать их квантовобезопасными.
Конечно, квантовая угроза вполне реальна. Но что остается тревожным, так это ослабление существующей криптографии из-за недостаточной осведомленности, планирования, надзора со стороны совета директоров и подотчетности. Но ситуация изменится, поскольку организации почувствуют давление со стороны развивающейся нормативной среды, заставляя их начать инвестировать в защиту своих наиболее ценных активов от рисков, вызванных продолжающимся развитием математики и вычислений.