quantum on tulossa tässä on mitä tietosuojaviranomainen sanoo baner

Quantum on tulossa: tässä on mitä tietosuojaviranomainen sanoo

Verkoston puolustajien ja heidän vihollistensa välisessä asevarustelukilpailussa on tulossa uutta teknologista kehitystä, joka voi dramaattisesti häiritä nykyistä maisemaa. Kun täysin toimivia kvanttitietokoneita vihdoin ilmaantuu, salaus, johon suurin osa digitaalisesta maailmasta luottaa, voi katketa. Tällä on valtavat vaikutukset tietosuojaan, minkä vuoksi Yhdistyneen kuningaskunnan sääntelijä Information Commissioner's Office (ICO) on julkaissut uudet ohjeet järjestöille.

Viesti on selvä. On aika alkaa tunnistaa ja puuttua kvanteihin liittyviin riskeihin osana tietosuojan noudattamisohjelmia.

Mitä kvanttilaskenta tarkoittaa?

Hallitukset ja yksityiset sijoittajat maailmanlaajuisesti ovat kuluttaa kymmeniä miljardeja kvanttilaskentatutkimuksen rahoittamiseen. On helppo ymmärtää miksi: sen lupaamat tieteelliset ja matemaattiset läpimurrot ovat hämmästyttäviä. Kvanttilaskennan merkitystä ei turhaan ole verrattu sähkön hyödyntämiseen.

Kvanttilaskenta perustuu kvanttimekaniikan teoriaan, jonka edelläkävijä Albert Einstein voitti hänelle Nobel-palkinnon. Kouluttamattomalle silmälle se näyttää uhmaavan logiikkaa. Kvanttihiukkaset tai kubitit eivät toimi perinteisten fysiikan sääntöjen mukaan. He tekevät outoja asioita, kuten oleskelevat kahdessa paikassa samanaikaisesti ja matkustavat ajassa eteen- tai taaksepäin.

Kun nykypäivän tietokoneet käsittelevät ja tallentavat tietoa nolliina ja ykkösinä, kvanttitietokoneet käyttävät kubitteja, jotka voivat olla nolla ja ykkönen samanaikaisesti. Tämä vähentää radikaalisti tietojen käsittelyyn, laskemiseen ja ongelmien ratkaisemiseen kuluvaa aikaa.

ICO:n mukaan tekniikalla on useita mahdollisia käyttötapauksia, mukaan lukien:

  • Uuden sukupolven kvanttiantureita ja kehittyneitä kvanttiajoitustekniikoita käytettäväksi lääketieteellisessä diagnostiikassa, kaupunkiinfrastruktuurissa ja ympäristöresurssien hallinnassa, ilmastonmuutoksen suunnittelussa sekä valvonnassa ja häirinnästä vastustavassa navigoinnissa
  • Kvanttiparannettu kuvantaminen ihmisten ja esineiden havaitsemiseksi kulmien tai seinien takana tai tarkemmin kehon molekyylien tunnistamiseksi.
  • Uusi ja mahdollisesti "hakkeroitumaton" menetelmä kryptografisten avainten turvalliseen jakamiseen, joka tunnetaan nimellä kvanttiavainten jakelu (QKD)

Internetin salauksen purku

Kuitenkin kaikkein huolestuttavin kvantin mahdollinen käyttötapaus on sen kyky ratkaista monimutkaisia ​​matemaattisia ongelmia, joihin nykyaikainen epäsymmetrinen salaus (julkisen avaimen salaus) perustuu. Se voisi jonain päivänä antaa vihamielisille valtioille tai hyvin rahoitetuille kyberrikollisryhmille mahdollisuuden paljastaa kaikkea salatusta sähköisestä kaupankäynnistä ja verkkoviestinnästä digitaalisiin pankkitietoihin. Vaikutukset organisaatioille, jotka käyttävät epäsymmetristä salausta asiakkaiden tietojen ja arkaluonteisen IP-osoitteen suojaamiseen, ovat ilmeisiä.

Itse asiassa ollaan huolissaan siitä, että huonot toimijat saattavat jo kerätä salattua dataa purkaakseen sen salauksen tulevaisuudessa niin sanotussa "säilytä nyt, pura salaus myöhemmin" (SNDL) avulla. hyökkäyksiä. Tästä syystä ponnistelut kiihtyvät löytääkseen kvanttipohjaista salauksen purkamista vastustavia post-quantum algoritmeja (PQA).

Asiat ovat varmasti kiihtymässä. Lähestymistapassa tuettu Yhdistyneen kuningaskunnan kansallisen kyberturvallisuuskeskuksen toimesta (NCSC) ja Yhdysvaltain kansallinen standardi- ja teknologiainstituutti (NIST), he julkaisivat kolme ensimmäistä post-quantum cryptography (PQC) standardit tämän vuoden elokuussa. Yhdysvallat on jo asettanut julkiselle sektorille tavoitteita siirtyä kvanttiturvallisiin järjestelmiin vuoteen 2035 mennessä, kun taas Yhdistyneen kuningaskunnan hallitus on käyttöön lievennyksiä kriittisille palveluille ja antaa teknisiä ohjeita ja odotuksia suurille organisaatioille ja järjestelmien omistajille. Euroopan komissio on kehottanut jäsenvaltioita kehittämään tiekartan samalla, kun suuret teknologiayritykset tutkivat kvanttiturvallisia järjestelmiä.

ICO haluaa Crypto Agilityä

Mihin se sitten jättää suurimman osan Yhdistyneen kuningaskunnan organisaatioista? Nykyiset NIS-säännökset (päivitetään pian Kyberturvallisuutta ja kestävyyttä koskeva lakiesitys) kattavat pilvipalvelujen ja sähköisen kaupankäynnin tarjoajat, organisaatiot, jotka tarjoavat digitaalisia identiteetti- tai todennuspalveluita, sekä Internet- ja tietoliikennepalvelujen tarjoajat. Heidän on ilmoitettava ICO:lle joko henkilötietojen tietoturvaloukkauksesta (GDPR) tai NIS-tietoturvaloukkauksesta, jos:

  • He löysivät SNDL-hyökkäyksen, joka "vaikutti merkittävästi heidän palveluunsa tai johti henkilötietojen paljastamiseen".
  • He tekivät virheen PQC:n käyttöönotossa, mikä paljasti henkilötietoja ja vaaransi ihmisten oikeudet ja vapaudet.

Kaikilla muilla organisaatioilla on GDPR:n mukaan velvollisuus suojata henkilötiedot "asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä", jotka vastaavat käsittelyn riskiä ja ottavat huomioon uusimman tekniikan. ICO:n mukaan tämä tarkoittaa, että heidän "pitäisi harkita kvanttiriskien tunnistamista ja niihin puuttumista osana olemassa olevia oikeudellisia velvoitteitaan sopeutua uusiin ja nouseviin henkilötietoihin kohdistuviin kyberuhkiin."

Mitä se käytännössä tarkoittaa? Kuten aina, ICO sanoo, että vuoden 2018 tietosuojalain ja GDPR:n mukaan organisaatioiden on määritettävä, mitä teknisiä toimenpiteitä ne tarvitsevat varmistaakseen "asianmukaisen turvallisuustason". Mutta on vielä yksi vihje. Säätäjän oma ohjeet salaukseen kehottaa organisaatioita olemaan "salauksen ketterä". Tämä tarkoittaa salauksen käytön säännöllistä tarkistamista ja valppautta uusien päivitysten ja mahdollisten haavoittuvuuksien suhteen.

"Uusia standardeja on kehitetty, ja jossain vaiheessa seuraavien 10 vuoden aikana PQC:stä tulee todennäköisesti hyväksytty ja laajalti toteutettu normi tulevaisuuden tekniikan tasossa", se lisää.

Vaatimustenmukaisuuden tarkistuslista

Siksi useimpien organisaatioiden tulisi jatkaa henkilötietojen suojaamista parhaiden salauskäytäntöjen ja -standardien mukaisesti ja raportoida kaikista rikkomuksista tai vuodoista, mukaan lukien SNDL ja kaikki PQC:n käyttöönoton virheistä johtuvat tapahtumat. ICO lisää, että heidän tulisi ennakoivasti:

  • Aloita riskialtistumisen harkitseminen "välittömässä ja lähitulevaisuudessa", mukaan lukien korkean riskin tietojen ja riskialttiiden salausjärjestelmien ja -järjestelmien tunnistaminen.
  • Pysy ajan tasalla kehittyvistä kansainvälisistä kryptostandardeista ja NCSC-ohjeista NIS:n ja Yhdistyneen kuningaskunnan GDPR:n mukaisesti.
  • Jos he harkitsevat QKD:n tai muun kvanttiturvallisen tekniikan käyttöönottoa PQC:n lisäksi, heidän tulee harkita tietosuojavaikutusten arvioinnin (DPIA) suorittamista. Tämä voi auttaa arvioimaan, voivatko henkilötietoihin liittyvät oikeudet ja vapaudet olla vaarassa, ja dokumentoida, mitä toimenpiteitä ne ovat toteuttaneet näiden riskien torjumiseksi.
  • Jatka "laaja-aikaisten, lyhyen ja keskipitkän aikavälin" kyberriskien lieventämistä, jotka eivät liity kvanttilaskentaan, noudattamalla olennaisia ​​tietoturvan parhaita kyberhygieniakäytäntöjä.

Menee vuosia, ennen kuin kvanttilaskenta, joka pystyy murtamaan epäsymmetrisen salauksen, ilmestyy. Mutta se ei ole syy tyytyväisyyteen. On parempi arvioida riskit ja suunnitella tulevaisuutta tänään kuin joutua tekemään hätäisiä (ja mahdollisesti kalliita) päätöksiä huomenna.

kirjailija

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.

Näytä kaikki Phil Muncasterin viestit

Aiheeseen liittyvät julkaisut

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!