Kvantiniai skaičiavimai "dabar vagia, ateityje iššifruos"

Leiskite man būti atviram: jūsų duomenys jau nėra saugūs.

Ne šiandien bus nulaužti, o bus saugomi ir iššifruoti, kai kvantiniai kompiuteriai subręs. Toks atakos būdas vadinamas "Dabar derliaus nuėmimas, ateityje iššifravimas" (Harvest Now, Decrypt Later), ir tai jau vyksta.

Problema yra skubesnė nei manote

Kvantiniai skaičiavimai dažnai laikomi tolima teorine grėsme. „Citi Research“ pasaulinės finansų ateities vadovas Ronit Ghose pažymi, kad toks požiūris kelia pavojų finansinėms paslaugoms.

"Your encrypted data is already being stolen: Quantum computing is often treated as a distant, theoretical cybersecurity issue. That mindset is already putting financial services at risk."

Tai nėra gąsdinimas. Dabartinis viešojo rakto šifravimas (RSA, ECC) bus bejėgis prieš pakankamai galingus kvantinius kompiuterius. Shor algoritmas gali suskaidyti didelius sveikuosius skaičius per polinominį laiką, o tai reiškia, kad 2048 bitų RSA raktai bus beverčiai.

Laiko juostos problema

Pagrindinis klausimas yra ne "ar kvantiniai skaičiavimai ateis", o "kada jie ateis".

• Optimistinis įvertinimas: praktinio lygio kvantiniai kompiuteriai pasirodys per 5-10 metų
• Konservatyvus įvertinimas: 15-20 metų
• Realybė: duomenų gyvavimo ciklas gali trukti 10-20 metų

Jei šiandien užšifruoti duomenys išliks jautrūs po 15 metų (medicininiai įrašai, finansiniai duomenys, valstybės paslaptys), tuomet jau esate pavojuje.

Post-kvantinės kriptografijos (PQC) pažanga

Gera žinia ta, kad sprendimas jau pakeliui. NIST 2024 m. standartizavo pirmąją post-kvantinių kriptografijos algoritmų partiją:

• CRYSTALS-Kyber: naudojamas raktų kapsuliavimui
• CRYSTALS-Dilithium: naudojamas skaitmeniniams parašams
• SPHINCS+: būsenos neturintis maišos parašas

Bloga žinia ta, kad perėjimas prie šių algoritmų užtruks laiko – didelėms organizacijoms tai gali užtrukti kelerius metus.

Naujas tiekimo grandinės saugumo aspektas

Tai nėra vienos organizacijos gynybos problema. Įdomus atvejis: buvo nustatyta, kad „Chrome“ plėtinys vagia įmonės duomenis ir 2FA kodus.

"Una estensione Chrome ruba i dati aziendali e i codici 2FA" — Red Hot Cyber

Tai primena, kad prieš svarstant kvantines grėsmes, pagrindinis saugumas vis dar pilnas spragų. Tiekimo grandinės atakos, trečiųjų šalių rizika, tapatybės patvirtinimo apejimai – šios problemos neišnyks atsiradus kvantiniams skaičiavimams.

AI ir kibernetinio saugumo sankirta

Dėmesio verta tendencija: AI + kibernetinis saugumas tampa didele karjeros galimybe.

"AI Cybersecurity will be a huge career opportunity." — @vihanjain

Tai ne tik gynyba nuo AI valdomų atakų, bet ir AI naudojimas saugumo operacijoms sustiprinti: grėsmių aptikimas, anomalijų atpažinimas, automatizuotas reagavimas. Tačiau AI taip pat kelia naujų rizikų – modelių apnuodijimas, priešiški pavyzdžiai, haliucinacijos, lemiančios klaidingus saugumo sprendimus.

Praktiniai patarimai įmonėms

1. Inventoriaus šifravimo turtas: nustatykite, kuriuos duomenis reikia apsaugoti ilgą laiką
2. Parengti PQC migracijos planą: nelaukite paskutinės akimirkos
3. Stiprinti pagrindinį saugumą: VAPT (pažeidžiamumo vertinimas ir įsiskverbimo testavimas) neturėtų būti vienkartinis projektas, o nuolatinis gyvavimo ciklas
4. Dėmesys tiekimo grandinei: kiekvienas trečiosios šalies įrankis yra potencialus atakos paviršius
5. Investuoti į talentus: talentų, kurie supranta ir AI, ir saugumą, bus labai mažai

Išvada

Kvantinė grėsmė nėra mokslinė fantastika, o matematinis faktas. Skirtumas tik tas: ar ruošiatės dabar, ar taisote po atakos.

Pasirinkimas yra jūsų rankose. Bet atminkite: užpuolikai jau yra už jūsų, jie renka visus duomenis, kuriuos šiandien užšifruojate.