Kvanttitietokone hyödyntää kvanttimekaniikan ilmiöitä suorituskykynsä merkittävään tehostamiseen ja voi tulevaisuudessa löytää vaikkapa uusia lääkeproteiineja, mikä on liian työlästä nykykoneille. Samalla tämä bittien sijasta kubitteja käyttävä laskentatekniikka tuo mukanaan uusia ongelmia.
Kvanttitietokone uhkaa erityisesti nykyisin käytössä olevia salausalgoritmeja, jotka perustuvat oletukseen, että tietyt matemaattiset ongelmat eivät ole ratkaistavissa nykytietokoneiden laskentateholla. Tehokkaammilla kvanttitietokoneilla tämä kuitenkin on mahdollista, mikä haastaa nykyiset tietoturvaratkaisut. On siis tärkeää, että erityisesti huoltovarmuuden kannalta kriittiset organisaatiot alkavat valmistautua kvanttitietokoneiden tuomiin riskeihin.
Kvanttiturvalliset ratkaisut käyttöön vuoteen 2030 mennessä
Miksi yritysten ja muiden organisaatioiden pitäisi olla huolissaan joskus tulevaisuudessa saatavilla olevasta uudesta laskentatekniikasta? Syy piilee siinä, että kyberrikolliset ja vakoilijat voivat tallentaa salattua arkaluontoista tietoa jo nyt ja purkaa myöhemmin, kun kvanttikoneteknologia on kypsynyt tarpeeksi. Tällä voi olla merkittäviä seurauksia yrityksen liiketoiminnalle.
Esimerkiksi terveystietoja käsittelevien organisaatioiden pitää suojata datansa kymmeniksi vuosiksi, joten niille kvanttitietokoneet ovat huomionarvoinen riskitekijä.
Nykyiset symmetriset salausmenetelmät voivat tehokkaammiksi päivitettyinä suojata tietokantoihin paikalleen varastoitua dataa. Terveydenhoitoalalla arkaluontoiset tiedot kuitenkin liikkuvat eri organisaatioiden järjestelmien välillä. Juuri tämän viestinnän salaus, joka nyt toteutetaan julkisen avaimen menetelmällä, on altis kvanttihyökkäykselle.
On sekä tärkeää että vastuullista ottaa kvanttiriski huomioon ajoissa, jotta siihen voi vastata suunnitelmallisesti ja harkiten. Kiireessä saattaa tehdä kalliita virheitä. Yleinen suositus on siirtyä kvanttiturvallisiin ratkaisuihin vuoteen 2030 mennessä.
Kryptoketterä ajattelu ja tiekartta valmistavat tulevaan
Uusien kvanttiturvallisten algoritmien standardointityö on juuri nyt loppusuoralla. On todennäköistä, että ylimenokaudelle suositellaan sekä perinteisten että uusien algoritmien käyttämistä hybridijärjestelminä. Lyhyellä tähtäimellä vanhat algoritmit ovat hyviä ja koeteltuja nykyisiä uhkia vastaan, osasta uusista menetelmistä taas voi löytyä vielä heikkouksia. Pitkällä tähtäimellä perinteiset algoritmit menettävät merkitystään kvanttitietokoneiden vuoksi; samalla uudet algoritmit kypsyvät tutkimuksen myötä käyttökelpoisiksi.
Huoltovarmuustoimijan kannattaakin ottaa kaikenlaisissa tieto- ja tuotantojärjestelmien hankinnoissa huomioon päivitettävyys ja kryptoketteryys. Tällä tarkoitetaan kykyä vaihtaa käytössä olevia salausalgoritmeja ilman, että koko järjestelmään tarvitsee tehdä suurempia muutoksia.
Valmistautumisessa auttaa tiekartta, joka edistää hallittua kvanttisiirtymää. Tiekartta kokoaa nykyisten järjestelmien käyttämät salausmenetelmät, tunnistaa kriittisiä tietoja sisältävät tietokannat ja muodostaa aikajanan, jonka mukaan niitä lähdetään päivittämään kvanttiturvallisiksi. Tämä voi tarkoittaa joko siirtymistä täysin kvanttiturvallisiin salausmenetelmiin tai hybridiratkaisuja.
Lisäksi on varmistettava, että organisaatiolla on käytössään koulutettua työvoimaa ja riittävä rahoitus, jolla toteuttaa tarvittavat muutokset.
Huoltovarmuustoimijoiden tietoisuutta kvanttiuhkista selvitetään
Olemme VTT:llä tekemässä selvitystä suomalaisten huoltovarmuustoimijoiden kvanttiuhkatietoisuudesta. Selvityksen päätteeksi julkaisemme Post Quantum Cryptography -tiekartan tukemaan huoltovarmuustoimijoita. Aikaisemmin kvanttiturvallisen kryptografian tilanteesta ja tutkimuksesta Suomessa on julkaistu policy brief, joka suosittelee muun muassa koulutuksen lisäämistä kvanttiaiheisten teknologioiden hyödyntämisestä ja varautumisesta.
Vaikka oman yrityksen tai muun yhteisön ei tarvitsisikaan pitää tietojaan turvassa montaa kymmentä vuotta, on silti hyvä huolehtia tavanomaisesta kyberhygieniasta. Esimerkiksi järjestelmät on pidettävä päivitettyinä, työntekijät skeptisinä kalasteluviestien varalta ja pääsyoikeudet työnteon kannalta oikein mitoitettuna. Erityisen tärkeää on pitää henkilöstö ajan tasalla tietoturvan uusista haasteista ja ratkaisuista.