CIO/CISO/CTO: ‘Bescherm uw data tegen de dreiging van de quantumcomputer’
Organisaties die over gevoelige data beschikken die ook na de komst van de quantumcomputer nog vertrouwelijk moet zijn, moeten nu al aanvullende maatregelen treffen om zich te beschermen tegen de reële dreiging van de quantumcomputer. Dat stellen de AIVD en het NCSC in de een handreiking voor CIO’s, CTO’s en CISO’s van de overheid, het bedrijfsleven en kennisinstellingen.
Cryptografie vormt een belangrijk fundament voor informatiebeveiliging. Als quantumcomputers over voldoende rekenkracht beschikken , zullen ze de meest gebruikte cryptografische algoritmen kunnen breken. Dat zal leiden tot aanzienlijke beveiligingsrisico’s. De vertrouwelijkheid, integriteit en beschikbaarheid van informatie en
processen staat onder druk.
Dreigingen
Op dit moment vormt het ‘store now, decrypt later’-scenario de meest urgente dreiging voor organisaties. ‘Kwaadwillende actoren zouden nu al versleutelde data van hun doelwitten kunnen verzamelen om deze data op een later moment, als de quantumcomputer over voldoende rekenkracht beschikt, te ontsleutelen,’ schrijven AIVD en NCSC.
Maar vanaf 2025 verwachten ze grotere dreigingen. Ze wijzen op risico’s voor processen die gebruikmaken van authenticatie- of autorisatiesystemen, of waarvoor het tekenen en verifiëren van digitale handtekeningen vereist is.
Risico’s inzichtelijk maken
Begin met een gedegen risico analyse is het advies. Met name als een organisatie of een van de ketenpartners een mogelijk doelwit vormt voor statelijke actoren, is de komst van de quantumcomputer een reële bedreiging. De vertrouwelijkheid van gegevens vormt de meest actuele dreiging. Een inbreuk op authenticatie- en autorisatiesystemen worden relevant op het moment dat een krachtige quantumcomputer beschikbaar komt.
Crypto-asset management
Maak een overzicht van de cryptografische middelen die de organisatie in beheer heeft. Een actueel en accuraat overzicht helpt om mogelijke kwetsbaarheden in de security-architectuur te monitoren en snel op te lossen als er bijvoorbeeld kwetsbaarheden gevonden worden in een algoritme of softwarebibliotheken. Voor het vastleggen van de cryptomiddelen binnen jouw organisatie kan gebruik gemaakt worden van een Cryptographic Bill of Materials (CBOM).
AIVD en NCSC raden CISO’s aan om iemand namens het management of bestuur verantwoordelijk te maken voor het beheren (en up-to-date houden) van het overzicht van gebruikte cryptomiddelen. En maak crypto-asset management onderdeel van een bredere asset management-strategie binnen de organisatie.
Migratieplan opstellen
De CISO is namens het management of bestuur eindverantwoordelijk voor het migratieplan. In een migratieplan moet duidelijk worden binnen welke tijdslijnen de migratie moet gebeuren, welke acties prioriteit hebben en met welke urgentie (nu al) onderdelen van de organisatie quantumveilig gemaakt moeten worden.
Maar niet alles zal met dit migratieplan onder controle zijn, waarschuwen AIVD en NCSC. Er kan altijd een technologische ontwikkeling zijn waardoor dreigingen urgenter worden. Ook kan de beoogde quantumveilige cryptografie onbedoeld kwetsbaarheden bevatten. ‘Neem in je migratieplan ook plannen op voor alternatieve mitigerende maatregelen. En beschrijf daarbij ook de verwachte impact op jouw organisatiedoelen en bedrijfsvoering.’ is het advies.
De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en het Nationaal Cyber Security Centrum (NCSC) hebben een gezamenlijke handreiking ‘Maak je organisatie quantumveilig’ gepubliceerd.
