V svete kybernetickej bezpečnosti tiká časovaná bomba a odpočítava do dňa, ktorý odborníci nazývajú Q deň – deň, kedy kvantové počítače teoreticky dosiahnu dostatočný výkon na prelomenie niektorých súčasných kryptografických metód a spôsobia zastaranie mnohých existujúcich metód šifrovania. Alebo aspoň taká je teória. V skutočnosti nikto nemôže s absolútnou presnosťou predpovedať, kedy, alebo či vôbec, kvantové počítače dosiahnu úroveň sofistikovanosti a praktickosti, aby sa táto hrozba prejavila. To však neznamená, že by na to podniky nemali myslieť. Zatiaľ čo niektorí počujú tikot hodín Q dňa, iní si to neuvedomujú. Čo je teda Q deň, je to dôležité a čo potrebujú podniky vedieť, aby sa pripravili?
Potrebujú si podniky uvedomovať Q deň? Stručná odpoveď je áno. Potenciálna hrozba, ktorú kvantové počítače môžu predstavovať pre súčasné metódy kybernetickej bezpečnosti, sa nedá podceňovať. To, čo bolo kedysi akademickou teóriou, podobnou technológii, ktorú by ste videli v sci-fi románe, napreduje smerom k realite. Veľké spoločnosti ako IBM a Google, ako aj vlády a startupy, pretekajú v snahe vybudovať výkonnejšie kvantové stroje. Tieto počítače sú stále v raných fázach, ale už narástli od spracovania niekoľkých kvantových bitov (alebo „qubitov“) až po zvládnutie stoviek a zlepšujú sa v riešení komplexných, špecifických problémov. Zatiaľ čo kvantové počítače ešte nedokážu prelomiť šifrovací softvér a protokoly, ktoré chránia internet, zdá sa, že odborníci dospievajú ku konsenzu, že deň, keď by sa to mohlo stať realitou, je vzdialený približne 10 – 15 rokov. Toto je takzvaný Q deň. Okrem zjavnej hrozby, ktorú prelom súčasného šifrovania predstavuje, si podniky musia uvedomiť aj to, že vzostup kvantových technológií berú vážne aj vlády a regulačné orgány.
Agentúry ako Národný inštitút pre štandardy a technológie (NIST) štandardizovali postkvantové kryptografické (PQC) algoritmy, zatiaľ čo EURópska ENISA sa zameriava na štandardizáciu implementácie a certifikácie PQC prostredníctvom schém ako EUCC, všetko v rámci prípravy na Q deň.
Kedy je Q deň? Bohužiaľ, ako pri všetkých veciach kvantových, odpovedať na otázku, kedy bude Q deň, nie je jednoduché, pretože to nikto nevie s určitosťou. Všetko závisí od toho, kedy (a či) technológia dosiahne špecifickú úroveň schopností a praktickosti. A nejde len o počet qubitov. Rýchlosť, akou sa kvantové výpočty posúvajú vpred, však podnietila agentúry ako britské Národné centrum kybernetickej bezpečnosti (NCSC), aby zaviedli časové harmonogramy.
Harmonogram NCSC pre migráciu na kvantovo bezpečnú metódu šifrovania má tri fázy: objavovanie a plánovanie do roku 2028, skorá migrácia do roku 2031 a úplná migrácia do roku 2035. To dáva podnikom maximálne šesť rokov na plánovanie a prípravu na migráciu svojich kritických aktív. Opäť však tento časový harmonogram nie je nemenný – Q deň môže prísť skôr ako v roku 2035, neskôr, alebo nemusí prísť nikdy. Je to ťažké, pretože hovoríme o technológii, ktorá ešte nerealizovala svoj teoretický potenciál, a nikto nemá krištáľovú guľu. Kvantové počítače sa neriadia Moorovým zákonom; škálujú sa nelineárne a kvalita je dôležitejšia ako kvantita, pokiaľ ide o qubity.
Čo musia podniky urobiť, aby sa pripravili? Zachovanie pokoja by malo byť prvým krokom. Kvantové technológie môžu byť niekedy predmetom šírenia poplašných správ, čo núti ľudí robiť predčasné alebo neinformované rozhodnutia. Samozrejme, hrozba teoreticky prichádza, ale nie je bezprostredná. Aj keď kvantové výpočty nakoniec prelomia bežné metódy šifrovania, je nepravdepodobné, že sa všetko zmení mihnutím oka – bude čas sa pripraviť.
Čas na prípravu je však teraz, nie keď sa v titulkoch objaví prvé narušenie poháňané kvantovou technológiou. A to začína usporiadaním základnej digitálnej hygieny. Organizácie by mali začať auditom svojho IT prostredia s dvoma cieľmi: prvým je identifikovať, aké IT aktíva majú, pretože nemôžete aktualizovať alebo chrániť to, čo neviete, že máte. Druhým je identifikovať, ktoré z týchto aktív sú najviac ohrozené, najmä tie, ktoré sú závislé od šifrovania verejným kľúčom alebo vyžadujú dlhodobú dôvernosť údajov. Toto je skvelá bezpečnostná prax tak či tak – vytvorenie slušného inventára aktív vám prinesie zisky nielen v plánovaní migrácie po kvantovom dni. Ďalším krokom je príprava inventára; rozhodnite sa, čo je potrebné vyradiť a uprednostnite to, čo musíte migrovať. Je to krátka veta na napísanie, ale veľmi dlhé cvičenie. Veľa šťastia. Príloha A tejto normy ETSI obsahuje veľmi užitočný súbor otázok, ktoré vám pomôžu.
Ak chcete sledovať najnovšie štandardy, tu je rýchla aktualizácia o tom, kde sa nachádzame. NIST zverejnil 3 štandardy PQC: FIPS 203, 204 a 205, pričom ďalšie dva sú na ceste: FIPS 206 v návrhu a nový piaty algoritmus bol nedávno oznámený. Matematika je tu, ale chýba nám integrácia do protokolov a široko používaných technológií. Namiesto sledovania NIST teraz odporúčam, aby najlepšou skupinou na sledovanie bola pracovná skupina ETSI pre kvantovú bezpečnú kryptografiu, ktorá sa zameriava na praktickú implementáciu kvantových bezpečných prvkov, a skupina IETF PQUIP, ktorá sumarizuje všetky postkvantové snahy o internetovú štandardizáciu.
Kedy by sa mali podniky pripraviť na Q deň? Harmonogramy NCSC sú veľmi jasné: pripravte sa a plánujte do roku 2028, aby ste mohli migrovať do roku 2031. Neistota, kedy/či Q deň dorazí, to však trochu komplikuje. Pripravte sa príliš skoro a riskujete prijatie nevyzretých technológií a štandardov, čo môže zvýšiť zraniteľnosti. Čakajte príliš dlho a môžete nechať kritické systémy odkryté. Kľúčom je nájsť načasovanie, ktoré je tak akurát – to je to, čo nazývam teóriou Zlatovlásky a opäť sa to scvrkáva na pripravenosť: vytvorenie dobrého inventára aktív, pričom budete mať prehľad o najnovších postkvantových štandardoch. Q deň môže byť neistý, ale vaša príprava by nemala byť. Začnite plánovať teraz – nie zo strachu, ale z predvídavosti.
