Como as organizações se devem preparar para a criptografia pós-quântica

Muitos CISOs consideram que a computação quântica é um problema para o futuro. No entanto, à medida que a criptografia pós-quântica se torna uma realidade possivelmente preocupante, as organizações serão afetadas mais tarde ou mais cedo e é necessária a preparação dos especialistas de cibersegurança.

“Não tendemos a priorizar as coisas que são importantes até que se tornem urgentes”, adverte Jaya Baloo, CSO da Rapid 7. “É exatamente por isso que precisamos de começar a preparar-nos hoje para a chegada de computadores quânticos que colocarão em risco a nossa criptografia atual”.

Jaya Baloo identificou três etapas que um CISO deve realizar na estratégia de preparação para a emergência da computação quântica e as respetivas ameaças que surgirão:

1. Autoconhecimento: os especialistas de cibersegurança devem avaliar e fazer um inventário dos seus ativos criptográficos atuais e compreender a sua utilização na empresa; 
2. Encontro de oportunidades: os CISOs devem procurar oportunidades que poderão permitir uma transição para tecnologias seguras quânticas;
3. Implementação: é importante ter em vigor um constante ciclo de implementação, monitorização e testes, assegurando que as organizações têm alguma garantia operacional de que estarão preparadas para quando a computação quântica se tornar realidade.

“É útil aproveitar as lições aprendidas nesta etapa [três acima] e compartilhá-las nas suas comunidades de segurança confiáveis para garantir que todos iremos subir de nível juntos e encorajar-nos uns aos outros, bem como os nossos fornecedores, para nos ajudar na jornada de preparação quântica”, conclui Baloo. “Somente quando protegermos os nossos ecossistemas poderemos aproveitar os benefícios da computação quântica sem nos preocuparmos continuamente com os riscos para a segurança da informação”.

Também Nils Gerhardt, da Utimaco, reforça a necessidade da adoção das duas primeiras etapas de Baloo como antecipação ao quantum. “Precisamos que ocorram transições contínuas”, sublinha. 

No final de agosto, o governo norte-americano publicou o seu guia de preparação que inclui conselhos de preparação do NIST, CISA e NSA. Rob Joyce, diretor de cibersegurança da NSA, escreve no guia: “a criptografia pós-quântica trata do desenvolvimento e construção proativa de capacidades para proteger informações e sistemas críticos contra comprometimento através da utilização de computadores quânticos”.

“A transição para uma era de computação quântica segura é um esforço comunitário intensivo de longo prazo que exigirá ampla colaboração entre o governo e a indústria. A chave é estar nesta jornada hoje e não esperar até o último minuto”, acrescenta Joyce. Isto segue a linha de pensamento de Baloo, que agora é o momento de reagirmos, não devendo esperar até que esta se torne uma situação urgente.

No guia, é realizada uma análise de como o primeiro conjunto de padrões criptográficos pós-quânticos será lançado no início do próximo ano, com o objetivo de “proteger contra capacidades futuras de um computador quântico (CRQC) criptoanaliticamente relevantes, potencialmente adversários”. Um CRQC seria potencialmente capaz de comprometer sistemas de chave pública, também conhecidos como criptografia assimétrica, que são utilizados atualmente na proteção dos sistemas de informação.

O guia do governo norte-americano aponta quatro principais etapas de preparação para a criptografia pós-quântica:

1. Criação de um roteiro de preparação quântica: utilizar a descoberta criptográfica proativa para a identificação da dependência atual da empresa em criptografia vulnerável quântica;
2. Envolvimento com fornecedores tecnológicos para discutir roteiros pós-quânticos: os contratos futuros vão garantir que “os novos produtos serão entregues com PQC integrado”. As estratégias de mitigação dos fornecedores poderão ser úteis para as organizações, sendo importante também a discussão da cadeia de fornecimento e das responsabilidades tecnológicas do fornecedor;
3. Realização de inventário para identificar e compreender os sistemas e ativos criptográficos;
4. Criação de planos de migração que priorizem os ativos mais sensíveis e críticos: as avaliações de risco das organizações, bem como os caminhos para a sua mitigação, não são estáticos.