דו"ח חדש של "ברית איומי הסייבר" (Cyber Threat Alliance) מזהיר כי עידן הסיכון הקוונטי כבר החל, וצוותי אבטחה צריכים להפסיק להתייחס אליו כבעיה של המחר. הדוח, ששמו "התקרבות לשחר הקוונטי: סגירת פער המוכנות באבטחת סייבר לפני שיהיה מאוחר מדי", קורא לחברות להתכונן לעולם שבו מחשבים קוונטיים יוכלו לפרוץ את ההצפנה של ימינו. אבל לא הכל קודר ושחור. הדוח מתמקד במה שניתן לעשות כעת: להתחיל בבניית מה שהוא מכנה גמישות קריפטוגרפית.
מפת סיכוני קוונטים במגזרים השונים (תחזית 2025-2030) – מקור: Cyber Threat Alliance אך יש בעיה. עבור ארגונים רבים, במיוחד במגזרים עם רגולציה הדוקה כמו פיננסים ובריאות, ההיצמדות לתקני קריפטוגרפיה קבועים היא הנורמה. אלו הם הכללים, והם לא תמיד משאירים הרבה מקום לגמישות.
גמישות קריפטוגרפית פוגשת אתגרי תאימות (ציות)
"זה יוצר מתח קריטי שיש לנהל לא על ידי בחירה באחד על פני האחר, אלא על ידי הטמעת גמישות בתוך מסגרות תואמות", לדברי ברית איומי הסייבר. המשמעות היא תכנון מערכות שאינן נועלות ארגונים בבחירה קריפטוגרפית אחת לעשר השנים הבאות. במקום זאת, מחברי הדוח קוראים לחברות להשתמש בארכיטקטורות מודולריות, שהן מערכות הבנויות לתמוך בשינויי אלגוריתמים עם הפרעה מינימלית. "יש להתייחס לגמישות קריפטוגרפית כיכולת אסטרטגית. היא מאפשרת לארגונים לעמוד בתקנים תוך כדי היערכות לשינויים כאשר האיומים מתפתחים או התקנים משתנים." הרעיון הזה של להיות מוכן לשינוי הוא מרכזי במסר של הדוח. ייתכן שיעברו עוד שנים עד שמחשוב קוונטי יוכל לפרוץ הצפנה בקנה מידה גדול, אך התוקפים אינם ממתינים. טקטיקות כמו "קצור עכשיו, פצח אחר כך" (Harvest Now, Decrypt Later) כוללות גניבת נתונים מוצפנים כעת ופיצוחם כאשר היכולות הקוונטיות יתפתחו. זה מעמיד נתונים רגישים בעלי אורך חיים ארוך כמו רשומות רפואיות, קניין רוחני ומסמכים מסווגים בסיכון כבר עכשיו, לא בעתיד.
הפצת מפתחות קוונטית (QKD) נשמעת מבטיחה אך אינה מספקת עבור הרוב
אפשרות אחת שעולה לעתים קרובות בדיונים קוונטיים היא הפצת מפתחות קוונטית (QKD). היא משתמשת בעקרונות של פיזיקה קוונטית כדי לאבטח נתונים ולזהות האזנות סתר. הדוח מכיר בפוטנציאל אך קורא לזהירות. "בעוד שהיא מציעה יתרונות תיאורטיים משכנעים… היא נותרה מוגבלת על ידי מגבלות משמעותיות של סקלביליות, תשתית ואינטגרציה", ציינה ה-CTA. "אין לראות ב-QKD תחליף לקריפטוגרפיה פוסט-קוונטית, אלא כהשלמה נישתית המתאימה למקרי שימוש ספציפיים בעלי אבטחה גבוהה." במילים פשוטות: QKD מעניינת, אך אינה מוכנה לשימוש נרחב. היא יקרה, קשה להרחבה ואינה משתלבת בקלות עם רוב המערכות. זה הופך אותה להתאמה גרועה עבור רוב הארגונים, לפחות לעת עתה.
מוכנות פוסט-קוונטית מתחילה בצעדים מעשיים
אז על מה צריכים מנהלי אבטחה להתמקד במקום זאת? "פתרונות קריפטוגרפיה פוסט-קוונטית (PQC), במיוחד תוכניות היברידיות, מציעים נתיב מעשי וניתן לפריסה רחבה יותר לחוסן קוונטי", נכתב בדוח. תוכניות אלה משלבות אלגוריתמים קלאסיים ופוסט-קוונטיים, ומציעות הגנה חזקה יותר מבלי לדרוש שינויים סיטונאיים בתשתיות. הדוח ממליץ להתחיל בפריסות פיילוט, לבנות נראות לגבי מקומות השימוש בקריפטוגרפיה (באמצעות "רשימות חומרים קריפטוגרפיות" או CBOMs), ולהתייחס לגמישות לא כסיסמה אלא כחלק מרכזי מניהול הסיכונים. השיבוש הקוונטי אולי לא יקרה בן לילה, אבל הזמן לפעול הוא עכשיו.
