Il calcolo quantistico sta "raccogliendo ora, decifrando in futuro"
Lasciatemelo dire chiaramente: i vostri dati non sono più al sicuro.
Non si tratta di essere violati oggi, ma di essere archiviati e decifrati quando i computer quantistici saranno maturi. Questo tipo di attacco è chiamato "Harvest Now, Decrypt Later" (Raccogli ora, decifra in futuro) e sta già accadendo.
Il problema è più urgente di quanto pensiate
Il calcolo quantistico è spesso visto come una minaccia teorica lontana. Ronit Ghose, responsabile globale del futuro della finanza presso il Citi Research Institute, sottolinea che questa mentalità sta mettendo a rischio i servizi finanziari.
"Your encrypted data is already being stolen: Quantum computing is often treated as a distant, theoretical cybersecurity issue. That mindset is already putting financial services at risk."
Non si tratta di allarmismo. La crittografia a chiave pubblica attuale (RSA, ECC) sarà impotente di fronte a computer quantistici sufficientemente potenti. L'algoritmo di Shor può fattorizzare grandi numeri interi in tempo polinomiale, il che significa che le chiavi RSA a 2048 bit saranno inutili.
Il problema della timeline
Il problema centrale non è "se il calcolo quantistico arriverà", ma "quando arriverà".
- Stima ottimistica: computer quantistici di livello pratico entro 5-10 anni
- Stima conservativa: 15-20 anni
- Realtà: il ciclo di vita dei dati può durare fino a 10-20 anni
Se i dati che crittografate oggi saranno ancora sensibili tra 15 anni (cartelle cliniche, dati finanziari, segreti di stato), allora siete già a rischio.
Progressi nella crittografia post-quantistica (PQC)
La buona notizia è che la soluzione è in arrivo. Il NIST ha standardizzato il primo lotto di algoritmi di crittografia post-quantistica nel 2024:
- CRYSTALS-Kyber: per l'incapsulamento delle chiavi
- CRYSTALS-Dilithium: per le firme digitali
- SPHINCS+: firma hash senza stato
La cattiva notizia è che la migrazione a questi algoritmi richiede tempo, potenzialmente anni per le grandi organizzazioni.
Una nuova dimensione della sicurezza della supply chain
Non si tratta di una questione di difesa per una singola organizzazione. Un caso interessante: un'estensione di Chrome è stata scoperta mentre rubava dati aziendali e codici 2FA.
"Una estensione Chrome ruba i dati aziendali e i codici 2FA" — Red Hot Cyber
Questo ci ricorda che la sicurezza di base è ancora piena di vulnerabilità, anche prima di considerare la minaccia quantistica. Attacchi alla supply chain, rischi di terze parti, bypass dell'autenticazione: questi problemi non scompariranno con l'avvento del calcolo quantistico.
L'intersezione tra AI e cybersecurity
Una tendenza da tenere d'occhio: AI + cybersecurity sta diventando un'enorme opportunità di carriera.
"AI Cybersecurity will be a huge career opportunity." — @vihanjain
Non si tratta solo di difendersi dagli attacchi guidati dall'AI, ma anche di migliorare le operazioni di sicurezza con l'AI: rilevamento delle minacce, identificazione delle anomalie, risposta automatizzata. Ma l'AI porta anche nuovi rischi: avvelenamento del modello, esempi avversari, errori decisionali di sicurezza causati da allucinazioni.
Consigli pratici per le aziende
- Inventario delle risorse crittografate: identificare quali dati devono essere protetti a lungo termine
- Sviluppare un piano di migrazione PQC: non aspettare l'ultimo momento
- Rafforzare la sicurezza di base: VAPT (Valutazione della vulnerabilità e test di penetrazione) non dovrebbe essere un progetto una tantum, ma un ciclo di vita continuo
- Concentrarsi sulla supply chain: ogni strumento di terze parti è una potenziale superficie di attacco
- Investire nel talento: il talento che comprende sia l'AI che la sicurezza sarà estremamente scarso
Conclusione
La minaccia quantistica non è fantascienza, ma un fatto matematico. La differenza sta solo nel fatto che vi preparate ora o rimediate dopo che l'attacco è avvenuto.
La scelta è nelle vostre mani. Ma ricordate: gli aggressori sono già dietro di voi e stanno raccogliendo tutti i dati che crittografate oggi.
