Digitale weerbaarheid
Nieuws

Overheid bereidt zich voor op kwantumdreiging

Overheidsorganisaties moeten zich nu al voorbereiden op de dreiging van aanvallen met kwantumcomputers | beeld: Shutterstock

Er zijn voorbereidende acties nodig voor de komst van kwantumcomputing. Dat schrijft demissionair staatssecretaris digitalisering Alexandra van Huffelen in antwoord op vragen van D66-kamerlid Joost Sneller. 

Ingrijpende wijziging

Krachtige kwantumcomputers zijn in staat om versleuteling (encryptie) te verzwakken of doorbreken. Dat betekent dat digitale gegevens die zijn opgeslagen bij de overheid niet meer veilig zijn. Daarom moet er nu al actie worden ondernomen, schrijft Van Huffelen.

Volgens de staatssecretaris is de overgang van kwetsbare cryptografie naar kwantumveilige cryptografie een technologisch ingrijpende wijziging die nog niet eerder op deze schaal is voorgekomen. ‘De benodigde veranderingen om gegevens en communicatie te beschermen tegen de capaciteiten van quantumcomputers zijn complex, omvangrijk en zullen vele jaren in beslag nemen,’ schrijft ze.

De benodigde veranderingen om gegevens en communicatie te beschermen tegen de capaciteiten van kwantumcomputers zijn complex, omvangrijk en zullen vele jaren in beslag nemen.
demissionair staatssecretaris Alexandra van Huffelen

‘State of the art’ encryptie

Kamerlid Sneller wijst erop dat de Amerikanen al een wet hebben aangenomen die overheidsorganisaties verplicht om te migreren naar IT-systemen die bestand zijn tegen aanvallen met kwantumcomputers. In Europa vallen veel overheidsorganisaties onder de Network and Information Security Directive (NIS2), waarin staat dat ‘state of the art’ beveiligingsmaatregelen moeten worden toegepast, waaronder ‘state of the art’ encryptie, riposteert Van Huffelen. Organisaties die onder de richtlijn vallen moeten beleid en procedures rondom cryptografie hebben en meestal ook encryptie zelf. Ook in de Nederlandse Baseline Informatiebeveiliging Overheid (BIO) en de voor de overheid verplichte ISO-standaarden staat dat nieuwe dreigingen en risico’s worden opgenomen in het risicomanagementproces.

Rijksbreed programma

Onder regie van BZK wordt de migratie naar kwantumveilige cryptografie binnen de Rijksoverheid voorbereid. Hiervoor is een Rijksbreed samenwerkingsprogramma opgezet: Quantumveilige Cryptografie (QvC-Rijk). Ook internationaal vindt er samenwerking plaats op dit gebied, onder meer met de Franse en Duitse nationale informatiebeveiligingsinstituten. Het publiek-private samenwerkingsplatform dcypher, onder verantwoordelijkheid van EZK, houdt zich ondertussen bezig met een routekaart voor meerjarige onderzoeks- en innovatietrajecten rondom kwantumcomputing.

Kroonjuwelen identificeren

Wat kunnen overheidsorganisaties nu al doen om zich te beschermen tegen toekomstige aanvallen met kwantumcomputers? Allereerst moeten ze goed weten wat ze te beschermen hebben: de zogeheten ‘kroonjuwelen’ van de organisatie. Verder is het verstandig om eisen voor (toekomstige) cryptografie toe te voegen in aanbestedingen en kwantumdreiging en het gebruik van versleuteling mee te nemen in het risicomanagementproces. En vergeet de sleutels van symmetrische cryptografie niet te verlengen, raadt de staatssecretaris aan.

Vorig jaar bracht de AIVD een handboek uit over migratie naar kwantumveilige cryptografie. In samenwerking met het NCSC publiceerde de AIVD ook een handreiking voor CIO’s, CTO’s en CISO’s.

  • Vincent Hoek | 11 maart 2024, 15:06

    Leuke uitdaging om kwantum praktisch te maken, want het onderwerp vereist multi-disciplinaire kennis.
    Als je exact moet vaststellen welke gegevens en systemen het meest waardevol zijn en welke het grootste risico lopen als ze gecompromitteerd zouden worden, moet je die wel weten te vinden en het er ook nog eens over eens zijn waar ze staan en onder wie ze vallen. Dit vereist Data Governance en dat staat nog volstrekt in de kinderschoenen. Nog los van de bestuurlijke verantwoordelijkheid daarvoor durven nemen, want ‘als je ervan bent, krijg je ook de rekening’. Organisaties zullen ook moeten beginnen met het plannen van de overstap naar kwantum-resistente encryptiemethoden, ook wel post-quantum cryptography (PQC) genoemd, maar … hoe zit het nu dan? Het hele risicomanagement proces zal moeten worden bijgewerkt om rekening te houden met de dreigingen die kwantumcomputers vormen. Dit kan ook betekenen dat huidige encryptiesleutels langer moeten worden gemaakt en dat er regelmatig updates en veranderingen in de beveiligingsprotocollen moeten gaan plaatsvinden, wat – los van de lopende contracten – ook het een en ander zal vragen van innovatie en onderzoek, om niet te spreken van de te ontwikkelen wet- en regelgeving die organisaties ook echt verplichten om passende maatregelen te nemen en te migreren naar kwantumveilige systemen. Als het niet in de wet staat is het optioneel, dus nice to have, dus te duur, dus doe maar nie. We zullen dus ook bij nieuwe IT-aanbestedingen moeten gaan eisen dat er ruimte voor toekomstbestendige cryptografie wordt opgenomen, maar we kunnen alleen nog niet omschrijven hoe dat er dan uit moet gaan zien.

    De voorbereiding op kwantumcomputing is dus niet alleen een technologische uitdaging, maar vooral ook een organisatorische, die een heldere strategie, goede coördinatie en flexibiliteit om aanpassingen snel door te kunnen voeren nodig heeft. Never a dull moment.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren