Квантовите изчисления „крадат сега, дешифрират в бъдеще“

Нека бъда откровен: вашите данни вече не са защитени.

Не че ще бъдат хакнати днес, а че се съхраняват, за да бъдат дешифрирани, когато квантовите компютри станат достатъчно развити. Тази атака се нарича „Събирай сега, дешифрирай по-късно“ (Harvest Now, Decrypt Later) и вече се случва.

Проблемът е по-належащ, отколкото си мислите

Квантовите изчисления често се разглеждат като далечна теоретична заплаха. Ронит Госе, ръководител на глобалното бъдеще на финансите в Института на Ситигруп, посочва, че това мислене излага финансовите услуги на риск.

"Your encrypted data is already being stolen: Quantum computing is often treated as a distant, theoretical cybersecurity issue. That mindset is already putting financial services at risk."

Това не е плашене. Съвременното криптиране с публичен ключ (RSA, ECC) ще бъде безполезно пред достатъчно мощен квантов компютър. Алгоритъмът на Shor може да разложи големи цели числа за полиномиално време, което означава, че 2048-битовите RSA ключове ще бъдат безполезни.

Проблемът с времевата линия

Основният въпрос не е „дали ще дойдат квантовите изчисления“, а „кога ще дойдат“.

• Оптимистична оценка: практически квантови компютри в рамките на 5-10 години
• Консервативна оценка: 15-20 години
• Реалност: жизненият цикъл на данните може да бъде до 10-20 години

Ако данните, които криптирате днес, все още са чувствителни след 15 години (медицински досиета, финансови данни, държавни тайни), тогава вече сте изложени на риск.

Напредък в постквантовата криптография (PQC)

Добрата новина е, че решението е на път. NIST стандартизира първата партида постквантови криптографски алгоритми през 2024 г.:

• CRYSTALS-Kyber: за капсулиране на ключове
• CRYSTALS-Dilithium: за цифрови подписи
• SPHINCS+: бездържавен хеш подпис

Лошата новина е, че преминаването към тези алгоритми отнема време - може да отнеме години за големи организации.

Ново измерение на сигурността на веригата за доставки

Това не е проблем за защита на една организация. Интересен случай: разширение за Chrome е открито да краде корпоративни данни и 2FA кодове.

"Una estensione Chrome ruba i dati aziendali e i codici 2FA" — Red Hot Cyber

Това ни напомня: преди да обмислим квантовите заплахи, основната сигурност все още е пълна с пропуски. Атаките по веригата за доставки, рисковете от трети страни, заобикалянето на удостоверяването - тези проблеми няма да изчезнат с появата на квантовите изчисления.

Пресечната точка на AI и киберсигурността

Тенденция, на която си струва да се обърне внимание: AI + киберсигурността се превръща в огромна възможност за кариера.

"AI Cybersecurity will be a huge career opportunity." — @vihanjain

Това е не само защита срещу атаки, задвижвани от AI, но и използване на AI за подобряване на операциите по сигурност: откриване на заплахи, идентифициране на аномалии, автоматизиран отговор. Но AI също носи нови рискове - отравяне на модели, противникови примери, грешки в решенията за сигурност, причинени от халюцинации.

Практически съвети за бизнеса

1. Инвентаризирайте криптираните активи: идентифицирайте кои данни трябва да бъдат защитени в дългосрочен план
2. Разработете план за миграция към PQC: не чакайте последния момент
3. Укрепете основната сигурност: VAPT (оценка на уязвимостите и тестване за проникване) не трябва да бъде еднократен проект, а постоянен жизнен цикъл
4. Обърнете внимание на веригата за доставки: всеки инструмент на трета страна е потенциална повърхност за атака
5. Инвестирайте в таланти: талантите, които разбират както AI, така и сигурността, ще бъдат изключително оскъдни

Заключение

Квантовата заплаха не е научна фантастика, а математически факт. Разликата е само в това: дали се подготвяте сега, или ще отстранявате последствията след атаката.

Изборът е ваш. Но запомнете: нападателите вече са зад вас и събират всички данни, които криптирате днес.