Напредъкът на технологичната индустрия към постквантовата криптография (PQC) остава бавен поради неравномерното приоритизиране и бюджетните ограничения. Но всички са наясно, че това трябва да се случи спешно – времето и развитието на технологията напредват неумолимо.
Въпреки признаването на сериозността на заплахата, предприятията по света продължават да реагират бавно на предупрежденията, че съществуващите им технологични системи трябва да бъдат актуализирани, за да се справят с рисковете от наближаващата поява на квантовите компютри.
Квантовите компютри заплашват сигурността на съществуващите системи за криптография на база публичен ключ. Правителствени агенции като Националния институт за стандарти и технологии на САЩ и Националния център за киберсигурност на Обединеното кралство вече съветват да се приеме постквантовата криптография (PQC) и то преди своеобразен „краен срок“, който е 2030 г. Това би трябвало да е адекватно за спасяване от очакваното обезценяване на уязвимите криптографски алгоритми.
Ала 5 години след този краен срок доклад на PwC за глобалното цифрово доверие рисува картина на всеобща липса на готовност за внедряване на квантово устойчива криптография. „Въпреки че квантовите изчисления се нареждат сред петте най-големи заплахи, с които организациите са най-малко подготвени да се справят, по-малко от 10% им дават приоритет в бюджетите си. Само 3% са внедрили всички водещи мерки за квантова устойчивост, включени в проучването“, се казва в доклада.
„Някои организации постигат начален напредък, като 29% са в пилотни и тестови етапи. Само 22% обаче са преминали отвъд пилотните проекти, а почти половината (49%) не са обмислили или не са започнали да внедряват мерки за сигурност, устойчиви на квантови изчисления“, добавя се в него.
Готовност на индустрията
Голяма част от независимите експерти казват, че констатациите на доклада на PwC отразяват реална разлика между осведомеността на индустрията и оперативната готовност за PQC.
Проектите за постигане на готовност за ерата на квантовата криптография се реализират най-вече в сектори на икономиката като финансите и банковото дело. Те са „криптографски зрели“, казва Джейсън Сороко, старши сътрудник в автоматизираната фирма за управление на жизнения цикъл на сертификатите Sectigo. Тези браншове обичайно имат водеща роля във въвеждането на новите технологии. Така е, защото са силно регулирани.
„Други сектори с дълъг живот на данните и широк набор от устройства, като например правителството, телекомуникациите, облачните технологии и критичната инфраструктура, също са активни“, добавя Сороко.
Има и сектори, които силно изостават, и сред тях правят впечатление производството, бизнесите с петрол и газ, минното дело и здравеопазването.
Като че ли повечето организации чакат „или рискът да стане по-непосредствен и осезаем, или някой друг да направи първата крачка“, казва Крис Хикман, главен информационен директор във фирмата за управление на цифрова идентичност Keyfactor. „Това забавяне ще бъде скъпо“, прогнозира Хикман. Пречките пред масовото навлизане варират от липса на квалифициран персонал, ограничено време и конкуриращи се приоритети, до бавното приемане на съществуващите стандарти, казва Хикман.
Миграция
Криптирането е в основата на сигурността на всичко – от здравни досиета до правителствени данни и транзакции в електронната търговия. Но само 8,5% от SSH сървърите в момента поддържат т. нар. квантово-безопасно криптиране. Въвеждането на TLS 1.3 – в момента на 19% – също изостава от по-старите, квантово-уязвими версии, според скорошно проучване на Forescout.
И все пак колелото се завърта, макар и бавно. „Google, Apple, Signal и Zoom са внедрили PQC“, казва Дънкан Джоунс, ръководител на киберсигурността в компанията за квантови изчисления Quantinuum. „Правителствени разпоредби като CNSA 2.0 поставят строги срокове. Финансовите услуги се развиват – оценката на готовността на ASC X9 за 2025 г. очертава конкретни стъпки от криптографската инвентаризация до планирането на миграцията.“
Пречки
Основните пречки пред широкото приемане на PQC включват разходи, несигурност на стандартите и организационна инерция. Последният въпрос е важен, като се има предвид, че подготовката за квантовата заплаха изисква поетапен подход към крипто-гъвкавостта.
„Пречките пред масовото приемане са много реални“, казва Хикман от Keyfactor. „Липсата на квалифициран персонал, ограниченото време и конкуриращите се приоритети, както и бавното възприемане на съществуващите стандарти – това са основните предизвикателства, които забавят напредъка.“
наред с това и представата за риск варира – особено между екипите по сигурност и изпълнителното ръководство. А това затруднява съгласуването на стратегиите.
Кевин Хилшер, старши директор по продуктов мениджмънт в DigiCert, казва, че времевият хоризонт играе важна роля за недобрата подготовка за PQC. „Компаниите дават приоритет на други проекти, защото, нека си го кажем, има още цели четири години до 2030 г. и други проекти имат предимство“, казва той.
Освен това екипите по сигурността все повече се оказват „под обстрел“ от ескалиращи заплахи – тук и сега. „Организациите често нямат експертиза или ресурси, за да приоритизират PQC, докато се справят с ежедневните заплахи“, казва д-р Катрина Росейни, експерт по киберсигурност в Ascendant Group. „Стандартите все още се развиват и внедряването на квантово-устойчиви алгоритми изисква внимателно тестване, за да се избегне нарушаване на критични системи.“
„Бюджетите се конкурират с по-обозрими заплахи и не всички все още са наясно с отхвърлянето на RSA/ECC от NIST през 2030 г., така че планирането и инвестициите са бавни“, казва и Сороко от Sectigo. На всичкото отгоре и проблемът с кадрите продължава да „боде“ – уменията в новата сфера са съвсем оскъдни.
Квантова несигурност
Анализаторите прогнозират, че квантовите компютри ще са в състояние да разбиват текущото криптиране след 5-20 години.
Тази несигурност може да бъде разсейваща, казва д-р Росейни. „Фокусът трябва да бъде върху готовността и устойчивостта“, съветва тя. „Организациите трябва да инвентаризират чувствителни активи, да оценят готовността на системата, да проведат пилотни програми и да осигурят сигурно управление на ключовете.“
Докладът на PwC трябва да подейства като зов за събуждане, единодушни са специалистите. Организациите, които продължават да чакат, рискуват да се изложат както на настоящи, така и на бъдещи заплахи.
1 коментар
Докладът на PwC трябва да се гледа с особена и много силна критичност.
Ще се учудя – дали има и 1% верни данни в него.