Группа экспертов обсудила на конференции Infosecurity Europe проблемы, с которыми сталкиваются правительства и организации в связи с будущим производством криптографически релевантных квантовых компьютеров (CRQC).
Эти машины будут способны взломать асимметричное шифрование и тем самым раскрыть финансовые транзакции, конфиденциальные данные и защищённые коммуникации, от которых зависит большая часть мира.
Как считают эксперты, это решаемая проблема, но она всё ещё недостаточно серьёзно воспринимается во многих организациях, прежде всего партнёрами по цепочке поставок. Они рекомендуют начать работу по переходу на постквантовую криптографию (PQC), особенно в части секретов, которые, возможно, придётся хранить в течение длительного времени.
Глобальный руководитель исследований кибербезопасности компании Santander Дэн Катберт советует директорам по ИБ больше говорить на эту тему со своими поставщиками, чтобы они занимались планированием и выделяли средства для перехода на PQC.
Руководитель отдела облачных рисков и контроля IBM Энн Лесли отметила, что некоторые бывшие конкуренты в цепочках поставок и секторах объединяются, чтобы «дополнить то, что они знают по отдельности, посредством коллективных действий». По мнению Лесли, регулирование может помочь CISO обосновать необходимость инвестиций на уровне совета директоров, так как NIS2 и DORA предусматривают, что организации, соблюдающие требования, будут постоянно поддерживать и укреплять свою криптографию по мере развития угроз.
Если ИБ-директорам удастся обеспечить финансирование проектов постквантовых вычислений, лучше всего начать с осознавания такой корпоративной ценности, как информация, потеря которой способна потопить компанию, считает генеральный директор Lastwall Карл Холмквист. Вторым этапом должен стать аудит использования криптографии внутри организации, включая анализ потоков трафика и запрос спецификаций криптографии у поставщиков.
Усам Оздемиров
