Quantum computing en informatiebeveiliging
De opkomst van de quantum-computingrevolutie biedt het potentieel om maatschappelijke vraagstukken op te lossen en inzichten te onthullen in alle ongestructureerde data die we als samenleving produceren. Tegelijkertijd brengt het nieuwe privacyrisico’s met zich mee, bijvoorbeeld de vandaag beveiligde versleutelde communicatie vast te leggen om jaren later met een quantum computer te ontcijferen.
Quantum computing opent een nieuwe dimensie in data-analyse, aangedreven door superpositie en verstrengeling. De convergentie met quantum kunstmatige intelligentie (QAI) versterkt de capaciteiten van artificial intelligence (AI), vooral in machine learning (Tavernier, 2001). Quantum computers brengen een exponentiële toename van verwerkingsdimensies, waardoor ze complexe problemen oplossen en onontdekte mogelijkheden onthullen (Havlíček et al., 2019).
In de huidige mondiale omgeving is het snel en veilig delen van informatie belangrijk om onze samenleving, de burgers, maatschappelijke en overheidsbelangen te beschermen. Sterke cryptografische algoritmen (cryptosystemen) en veilige protocolstandaarden zijn essentiële hulpmiddelen die bijdragen aan onze nationale veiligheid en helpen bij het aanpakken van de behoefte aan veilige, interoperabele communicatie (NSA, 2015).
‘Bewaar nu ontcijfer later’
Cryptografie zit verborgen achter bijna alles wat digitaal gecommuniceerd wordt. Zo vormt het bijvoorbeeld een integraal onderdeel van internetstandaarden als TLS/SSL, van digitale handtekeningen en van methoden voor het betrouwbaar opslaan van data in de cloud. Zonder bescherming kan met behulp van quantum computers vertrouwelijke en of gevoelige informatie openbaar worden gemaakt, ook gegevens van jaren geleden. Een aanvaller kan de beveiligde versleutelde communicatie vandaag opnemen en jaren later breken met een quantum computer om te ontcijferen: ‘bewaar nu ontcijfer later’ (BNOL).
In een snel evoluerende digitale wereld werpt quantum computing een schaduw over de veiligheidsprotocollen van organisaties, vooral op het gebied van informatiebeveiliging
Nieuwe risico’s
Aangezien organisaties in toenemende mate digitaliseren, brengt dit aanzienlijke nieuwe risico’s met zich mee. Vooral wanneer het wordt beschouwd vanuit een risicoperspectief voor vitale organisaties in de maatschappij zoals defensie, financiële instellingen en bedrijven in de zorgsector. Immers, quantum computers beloven populaire cryptografische systemen met public keys zoals ECC, RSA, maar ook ECDSA, en ECDH (AIVD, 2023), te kunnen breken. In een snel evoluerende digitale wereld werpt quantum computing een schaduw over de veiligheidsprotocollen van organisaties, vooral op het gebied van informatiebeveiliging.
Doorbraak
Op 4 december 2023 heeft IBM een aankondiging gedaan over de belangrijkste ontwikkelingen en doorbraak op het gebied van quantum computing. De doorbraak van IBM onderschrijft het risico op BNOL. Het blijft ongewis wanneer quantum computers een bedreiging gaan vormen voor de bestaande cryptografie. Desondanks onderstreept het de noodzaak dat organisaties nu al werken aan quantumveilige oplossingen, gezien het opkomende risico van quantum computers en met het oog op het waarborgen van de informatiebeveiliging binnen organisaties.
Experts schatten dat de kans 50% of meer is dat RSA-2048 binnen twaalf jaar, in 24 uur, door een quantum computer wordt gebroken (Mosca & Piani, 2020). Doorbreking van cryptografie leidt in casu tot het risico van het mogelijk onderscheppen of uitlekken van gegevens, social engineering, ongeoorloofde toegang, het ongeoorloofd verkrijgen van rechten en het creëren van mogelijke vectoren voor de verspreiding van ransomware, met als gevolg financiële- en reputatieschade.
Hoe lang moet informatie veilig blijven?
Als het gaat om vertrouwelijke en of gevoelige gegevens die ook in de toekomst vertrouwelijk moeten blijven, dan kan de ontwikkeling van quantum computing leiden tot desastreuse datalekken en/of gevolgen. Organisaties zijn sterk aan het digitaliseren en met veel kracht en (gevoelige) data richting de cloud aan het bewegen. De cloud beschikt over enorm veel informatie en het moet worden voorkomen dat deze informatie in verkeerde handen valt. Want dat zou disruptieve gevolgen kunnen hebben, niet alleen voor het bedrijfsleven en de samenleving, maar ook voor de nationale veiligheid.
‘Threat timeline’
Organisaties dienen een analyse te maken van de benodigde tijdsduur voor informatiebeveiliging, bekend als de ‘threat timeline’ (Mosca et. Piani, 2020). Hierbij wordt rekening gehouden met de bewaartermijn van alle vertrouwelijke gegevens, met inachtneming van het principe ‘bewaar nu ontcijfer later’, of ‘harvest now, decrypt later’ (HNDL) (ETSI, 2015). Organisaties moeten X (hoe lang moet informatie veilig blijven), Y (tijd om IT-infrastructuur quantumveilig te maken), en Z (tijd tot quantum computers een bedreiging vormen) zorgvuldig afwegen. Als (X + Y) groter is dan Z, is actie geboden om te voorkomen dat assets niet voldoende beschermd zijn (Mosca et. Piani, 2020).
Organisaties in het grijze gebied
Een diepgaande kijk op interviews met tien experts uit diverse sectoren onthult in 2021 de noodzaak van een quantum leap in het bewustzijn van organisaties, de voorbereidingen op en de implementatie van post-quantumcryptografie blijft achter. Het is noodzakelijk voor organisaties om tijdig te beginnen met de migratie naar quantumveilige oplossingen. Deze bevindingen sluiten aan bij Thales’ onderzoek (Thales European Data Threat Report, 2020), een enquête onder 1723
C-level-leidinggevenden die betrokken zijn bij IT en informatiebeveiliging. Een recent Thales-onderzoek in 2023 bevestigt de verschuiving van post-quantumcryptografie naar de praktijk. Ondanks dit gegeven blijft de dringende oproep aan bedrijven om vandaag te beginnen met het inventariseren en vereenvoudigen van de implementatie van versleuteling. Dit zorgt voor een doeltreffende bescherming van gegevens en het beheer ervan. Zie figuur 1 voor de risicovolwassenheid van organisaties bij een migratie naar een quantumveilige organisatie.
Uitdagingen voor organisaties
De uitdagingen waarmee organisaties worden geconfronteerd bij een migratie naar quantumveilige processen zijn te zien in figuur 2. De nadruk ligt in 2021 op het gebrek aan inzicht bij organisaties en de dringende behoefte aan een gestructureerde aanpak (Yusufi, 2021). In 2023 laat Thales-onderzoek zien dat organisaties nadenken over netwerkdecryptie, sleutelbeheer, complexiteit in de cloud en de implementatie van post-quantumcryptografie. Daarnaast toont de goedkeuring van algoritmen door het National Institute of Standards and Technology (NIST) dat er aandacht is voor het beveiligen tegen de opkomende dreiging van quantum computing. In de situatie rondom quantum computing en informatiebeveiliging binnen organisaties zijn er in wezen nog steeds vier kernuitdagingen. Deze uitdagingen zijn onderverdeeld in vier deelgebieden met daar onderliggende aandachtpunten.
Terwijl experts waarschuwen voor de komst van quantum computers binnen tien tot twintig jaar blijven organisaties sceptisch over de snelheid van ontwikkelingen. Thales-onderzoek in 2023 laat wel duidelijk zien dat organisaties zich zorgen maken over BNOL-aanvallen, toch vertrouwen veel organisaties op wettelijke vrijwaringen voor melding van inbreuk als verloren gegevens zijn versleuteld met sterke klassieke beveiligingsmaatregelen (niet afhankelijk van quantumtechnologie) (Thales, 2023).
Er is een kloof tussen perceptie en realiteit, met de nadruk op de noodzaak voor organisaties om een leidende rol te nemen in de voorbereiding op post-quantumcryptografie. Terwijl organisaties dringend dienen te starten met de voorbereidingen voor de migratie naar quantumveilige oplossingen.
Implementatie van post-quantumcryptografie
Voor organisaties is de noodzaak groot om asymmetrische sleutelalgoritmen en andere cryptografische methoden tegen quantum computers te beveiligen. Experts adviseren in 2020 al over het upgraden naar quantumveilige oplossingen en benoemen het belang van tijdige vervanging van algoritmes. Organisaties kunnen de kosten van de overgang naar een quantumveilige cryptografie verminderen door al in een vroeg stadium aan leveranciers interesse te tonen in quantumveilige producten en crypto agility (flexibiliteit in cryptografische algoritmen en sleutellengten) te vereisen voor alle producten die vanaf nu moeten worden gekocht (Muller en Van Heesch, 2020). Anders is het voor een kwaadwillende aanvaller mogelijk om eerder onderschepte communicatie met terugwerkende kracht te ontcijferen.
De rol van de interne en externe auditors
Interne en externe auditors kunnen een belangrijke rol spelen bij het voorbereiden van organisaties op de impact van quantum computing op informatiebeveiliging. Auditors kunnen organisaties helpen zich proactief voor te bereiden op de impact van quantum computing en een solide basis leggen voor een veilige digitale toekomst.
Concrete acties voor auditors:
- Bewust maken van de impact, door organisaties te helpen de mogelijke gevolgen van quantum computing op informatiebeveiliging te begrijpen.
- Risicoanalyse en planning, waarin aandacht wordt besteed aan kwetsbaarheden in bestaande cryptografische systemen en het ontwikkelen van een strategisch plan voor een soepele overgang naar quantumveilige oplossingen.
- Samenwerking met technische experts door het opbouwen van samenwerkingen met experts in quantum computing en cryptografie om de nieuwste ontwikkelingen te begrijpen en organisaties tijdig te adviseren over benodigde aanpassingen.
- In samenwerking met technische experts een beoordeling van cryptografische methoden: de gebruikte cryptografische methoden evalueren en aanbevelingen doen voor het implementeren van quantumveilige alternatieven waar nodig.
- Incorporeren van quantum readiness in audits, door audits aan te passen om de voorbereiding van organisaties op quantum computing mee te nemen, bijvoorbeeld door specifieke controlepunten toe te voegen die de quantum readiness beoordelen.
- Advies over juridische en ethische kaders door organisaties te ondersteunen bij het navigeren door de complexe juridische en ethische kaders met betrekking tot quantum computing, vooral in sectoren waar gegevensprivacy van belang is.
Auditors kunnen in hun rol als trusted advisors en assuranceverstrekkers in het three lines model een analyse maken van de uitdagingen waarmee organisaties worden geconfronteerd bij een migratie naar quantumveilige systemen. De functie van de interne auditfunctie is afhankelijk van de omvang, aard, complexiteit en specifieke situatie van de organisatie.
Het is belangrijk om een plan op te stellen voor het updaten van zwakke cryptografie en hashfuncties die niet bestand zijn tegen quantumcomputers
De weg vooruit
Organisaties dienen, het liefst gisteren al, te starten met het vergroten van het bewustzijn, het afbakenen van de scope, en het identificeren van alle soft- en hardware-assets, inclusief data, die cryptografie toepassen, rekening houdend met (onder)leveranciers. Het is belangrijk om een plan op te stellen voor het updaten van zwakke cryptografie en hashfuncties die niet bestand zijn tegen quantumcomputers.
Om het risico van ‘bewaar nu, ontcijfer later’ te verminderen is het van belang om asymmetrische cryptografie en de uitwisseling van symmetrische encryptiesleutels kritisch te evalueren en te zorgen voor het updaten van zwakke cryptografie en hashfuncties die niet bestand zijn tegen quantumcomputers. Het krijgen van overzicht en inzicht in alle relevante versleutelde en of ondertekende data, inclusief de vereiste levensduur voor versleuteling en geldigheid van handtekeningen, is van essentieel belang.
Implementeer en investeer
Hoewel de feitelijke migratie mogelijk pas later zal plaatsvinden – bijvoorbeeld wanneer post quantum cryptografische standaarden en hierop gebaseerde quantumveilige oplossingen beschikbaar komen – is het noodzakelijk dat organisaties starten met de voorbereiding. Ongeacht de ontwikkeling in quantum computing is het belangrijk om te begrijpen welke cryptografische sleutels in welke processen worden gebruikt, om zo voorbereid te zijn op elke ontwikkeling en een geschikt migratieplan op te stellen. Uiteindelijk is het nodig dat organisaties overgaan tot de implementatie van quantumveilige oplossingen. Implementeer en investeer in systemen van continue monitoring van netwerkdecryptie en BNOL-aanvallen. Identificeer en reageer proactief op potentiële dreigingen door middel van monitoringtools, analyse van versleuteld verkeer, gebruik van AI en machine learning, incident response planning en training en bewustwording.
Quantum computing is een onontkoombare realiteit en zowel de auditfunctie als de organisatie dienen samen proactief stappen te ondernemen om informatiebeveiliging te waarborgen. Ga gezamenlijk de uitdagingen van quantum computing aan om een veerkrachtige digitale toekomst te creëren!
Over
Zoëlle Yusufi werkt voor het Rijksdienst voor ondernemend Nederland. Dit artikel is gebaseerd op haar thesis in 2021, ter afronding van de opleiding Executive Education IT Audit Compliance & Advisory aan de Vrije Universiteit Amsterdam. De hele thesis is te raadplegen op de website van NOREA Quantum computing en informatiebeveiliging.
Reacties (0)
Lees meer over dit onderwerp:
AI als tool voor de auditor
Peter Hartog in gesprek met Simon Mars (audit supervisor bij de Volksbank) en Björn Walrave (partner bij Ferocia en hoofdredacteur van Audit Magazine) over AI als tool voor de auditor.
Lees meerDe kracht van ChatGPT in internal auditing
Hoe navigeer je door de mogelijkheden van AI zonder de ethische grenzen en professionele normen uit het oog te verliezen?
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.