התפתחות טכנולוגית חדשה מגיעה במרוץ החימוש המתמשך בין מגיני הרשת ליריביהם, מה שעלול לשבש באופן דרמטי את הנוף הנוכחי. כאשר סוף סוף מתחילים לצוץ מחשבים קוונטיים הפועלים במלואם, ההצפנה שעליה מסתמך רוב העולם הדיגיטלי עלולה להישבר. יש לכך השלכות עצומות על הגנת מידע, וזו הסיבה שהרגולטור בבריטניה, משרד נציב המידע (ICO), פרסם הדרכה חדשה עבור ארגונים.
המסר ברור. הגיע הזמן להתחיל לזהות ולטפל בסיכונים הקשורים לקוונטים כחלק מתוכניות תאימות להגנה על נתונים.
מה המשמעות של מחשוב קוונטי?
ממשלות ומשקיעים פרטיים ברחבי העולם הם להוציא עשרות מיליארדים לממן מחקר מחשוב קוונטי. קל להבין מדוע: פריצות הדרך המדעיות והמתמטיות שהוא מבטיח הן מרגשות. לא בכדי הושוותה המשמעות של מחשוב קוונטי לניצול חשמל.
מחשוב קוונטי מבוסס על תורת מכניקת הקוונטים, שחלו בעבודתו של אלברט איינשטיין שזיכתה אותו בפרס נובל. לעין חסרת הכשרה, נראה שזה נוגד את ההיגיון. חלקיקים קוונטיים, או קיוביטים, אינם מתנהגים לפי הכללים המסורתיים של הפיזיקה. הם עושים דברים מוזרים כמו להתקיים בשני מקומות בו זמנית ולנסוע קדימה או אחורה בזמן.
בעוד שהמחשבים של היום מעבדים ומאחסנים מידע באפסים ואחדים, מחשבים קוונטיים משתמשים בקיוביטים, שיכולים להיות אפס ואחד בו-זמנית. זה מקטין באופן קיצוני את הזמן שלוקח לעיבוד נתונים, חישוב ופתרון בעיות.
על פי ה-ICO, ישנם מספר מקרי שימוש פוטנציאליים עבור הטכנולוגיה, כולל:
- דור חדש של חיישנים קוונטיים וטכנולוגיות תזמון קוונטי מתקדמות לשימוש באבחון רפואי, תשתיות עירוניות וניהול משאבים סביבתיים, תכנון שינויי אקלים, מעקב וניווט עמיד בפני חסימות
- הדמיה משופרת קוונטית לזיהוי אנשים וחפצים מסביב לפינות או מאחורי קירות, או יותר נכון לזהות מולקולות בגוף.
- שיטה חדשה שעלולה להיות 'בלתי ניתנת לפריצה' לשיתוף מפתחות קריפטוגרפיים בצורה מאובטחת, המכונה הפצת מפתח קוונטי (QKD)
פענוח האינטרנט
עם זאת, מקרה השימוש הפוטנציאלי המדאיג ביותר של קוונטים הוא יכולתו לפתור את הבעיות המתמטיות המורכבות שעליהן מבוססת הצפנה א-סימטרית מודרנית (הצפנה של מפתח ציבורי). זה יכול יום אחד לתת למדינות עוינות או לקבוצות פשעי סייבר ממומנות היטב את היכולת לחשוף כל דבר, החל ממסחר אלקטרוני מוצפן ותקשורת מקוונת ועד לנתוני בנקאות דיגיטליים. ההשלכות על ארגונים המשתמשים בהצפנה אסימטרית כדי להגן על נתוני לקוחות ו-IP רגיש ברורות.
למעשה, יש חששות ששחקנים גרועים עשויים כבר לקצור נתונים מוצפנים במטרה לפענח אותם בעתיד במה שנקרא "חנות עכשיו, פענוח מאוחר יותר" (SNDL) התקפות. זו הסיבה שהמאמצים מואצים למצוא אלגוריתמים פוסט-קוונטיים (PQA's) שיתנגדו לפענוח מונע קוונטי.
הדברים בהחלט מואצים. בגישה מגובה על ידי המרכז הלאומי לאבטחת סייבר בבריטניה (NCSC) והמכון הלאומי האמריקאי לתקנים וטכנולוגיה (NIST), הם הוציאו את שלושת הראשונים תקני הצפנה פוסט-קוונטי (PQC) באוגוסט השנה. ארה"ב כבר קבעה יעדים עבור המגזר הציבורי לעבור למערכות מאובטחות קוונטיות עד 2035, בעוד שממשלת בריטניה הציגו הקלות לשירותים קריטיים ולקבוע הנחיות וציפיות טכניות לארגונים גדולים ולבעלי מערכות. הנציבות האירופית קראה למדינות החברות לפתח מפת דרכים בזמן שחברות טכנולוגיה גדולות בוחנות מערכות בטוחות קוונטיות.
ה-ICO רוצה זריזות קריפטו
אז איפה זה משאיר את רוב הארגונים בבריטניה? תקנות השקל הנוכחיות (יעודכנו בקרוב על ידי ה הצעת חוק אבטחת סייבר וחוסן) מכסים שירותי ענן וספקי מסחר אלקטרוני, ארגונים המספקים שירותי זהות דיגיטלית או אימות, וספקי אינטרנט וטלקום. עליהם להודיע ל-ICO על הפרת מידע אישי (GDPR) או על אירוע אבטחה הקשור ל-NIS אם:
- הם גילו מתקפת SNDL ש"השפיעה באופן מהותי על השירות שלהם או הובילה לחשיפת מידע אישי".
- הם עשו טעות ביישום PQC, שחשף מידע אישי והיווה סיכון לזכויות וחירויות של אנשים.
לכל הארגונים האחרים יש חובות על פי ה-GDPR לאבטח נתונים אישיים "באמצעות אמצעים טכניים וארגוניים מתאימים" המתואמים עם הסיכון שבעיבוד ומתחשבים בחדשנות. לפי ה-ICO, המשמעות היא שהם: "צריכים לשקול זיהוי ולטפל בסיכונים קוונטיים כחלק מהמחויבויות המשפטיות הקיימות שלהם להסתגל לאיומי סייבר חדשים ומתעוררים למידע אישי".
מה זה אומר בפועל? כמו תמיד, ה-ICO אומר כי - על פי חוק הגנת הנתונים 2018 ו-GDPR - ארגונים חייבים לקבוע אילו אמצעים טכניים הם צריכים כדי להבטיח את "רמת האבטחה המתאימה". אבל יש רמז נוסף. של הרגולטור עצמו הנחיות בנושא הצפנה קורא לארגונים להיות "זריזים קריפטו". משמעות הדבר היא לשמור על שימוש בהצפנה בבדיקה שוטפת ולהיות ערני לעדכונים חדשים ופגיעויות אפשריות.
"פותחו סטנדרטים חדשים, ובשלב מסוים בעשר השנים הבאות, PQC עשוי להפוך לנורמה מקובלת ומיושמת באופן נרחב במצב העתידי של האומנות", הוא מוסיף.
רשימת רשימת תאימות
לפיכך, רוב הארגונים צריכים להמשיך להגן על נתונים אישיים בהתאם לשיטות העבודה והסטנדרטים המומלצים להצפנה ולדווח על כל הפרה או דליפה, כולל SNDL וכל תקרית שנגרמה מטעויות ביישום PQC. ה-ICO מוסיף שהם צריכים באופן יזום:
- התחל לשקול חשיפה לסיכון "בעתיד המיידי והקרוב", כולל זיהוי מידע בסיכון גבוה והצפנה ומערכות בסיכון.
- הישאר מעודכן בתקני קריפטו בינלאומיים המתפתחים ובהנחיות NCSC, בהתאם לשקל ול-GDPR של בריטניה.
- אם הם שוקלים ליישם QKD או טכנולוגיה אחרת מאובטחת קוונטית בנוסף ל-PQC, עליהם לשקול להשלים הערכת השפעה להגנת נתונים (DPIA). זה יכול לעזור להעריך אם זכויות וחירויות הקשורות למידע אישי עשויות להיות בסיכון ולתעד אילו אמצעים הם נוקטים כדי לטפל בסיכונים אלו.
- המשך לצמצם סיכוני סייבר "רחבי טווח, לטווח קצר ובינוני" שאינם קשורים למחשוב קוונטי, בעקבות שיטות עבודה מומלצות חיוניות להיגיינת סייבר להגנה על נתונים.
יעברו שנים עד שיופיע מחשוב קוונטי המסוגל לפצח הצפנה אסימטרית. אבל זו לא סיבה לשאננות. עדיף להעריך את הסיכונים ולתכנן את העתיד היום מאשר להיאלץ לקבל החלטות נמהרות (ועלול להיות יקרות) מחר.
