G7 установила крайний срок для внедрения квантово-устойчивых систем

Группа экспертов G7 по кибербезопасности (Cyber Expert Group, CEG) разработала дорожную карту для финансовых организаций с рекомендациями о полном переходе на криптографические системы с учётом риска потенциальных кибератак с использованием квантовых технологий в будущем. Согласно этому документу, финучреждения и госструктуры должны полностью мигрировать на постквантовую криптографию (post-quantum cryptography, PQC) не позднее 2034 года.

Эксперты CEG консультируют министров финансов стран-членов G7 и глав центральных банков по вопросам ИБ. Разработанная дорожная карта призвана информировать руководителей высшего звена о видах деятельности, которые могут помочь организациям перейти на PQC. В ней обозначены шесть этапов:

1. Повысить осведомлённость компаний о рисках квантовых угроз и составить карту критически важных систем и конфиденциальных данных. 2025–2027 годы.
2. Провести всеобъемлющую инвентаризацию систем внутри организаций и систем, зависимых от третьих сторон, выявляя потенциальные пробелы (второй этап может проходить параллельно с первым). 2025–2028 годы.
3. Оценить риски и начать планирование миграции всех систем, включая менее важные. 2026–2029 годы.
4. Выполнить переход как основной этап, в ходе которого постепенно переносятся криптографические системы на решения, устойчивые к квантовым атакам, начиная с приоритетных функций. 2027–2034 годы.
5. Уделить достаточно времени тестированию работоспособности мигрированных систем и проведению ориентированных на экосистему мероприятий по обеспечению устойчивости к квантовым атакам. 2032–2035 годы.
6. Продолжить проверку и совершенствование систем после официального завершения этапа тестирования, в том числе путём внедрения новых криптографических стандартов по мере их появления (валидация и мониторинг). 2033–2035 годы.

Кроме того, CEG посоветовала компаниям строить свой план на основе рисков и стандартов (предпочтительно путём интеграции его в существующие системы управления и технологические стратегии) и сохранять гибкость, допуская перенастройку с течением времени. Таким образом, организации могут обновлять или заменять методы шифрования (например, переходить от RSA к постквантовому алгоритму) с минимальным временем простоя — просто изменяя базовую библиотеку, а не переписывая целые приложения.

Наконец, эксперты «Большой семерки» призвали к сотрудничеству между различными юрисдикциями и финучреждениями всех размеров и типов, а также с третьими сторонами. Эта практика «может позволить учиться друг у друга и снизить риск фрагментарных подходов, тем самым повышая совместимость», говорится в документе.

Усам Оздемиров