quantum kommer her er, hvad databeskyttelsesmyndigheden siger baner

Quantum kommer: Her er hvad databeskyttelsesmyndigheden siger

En ny teknologisk udvikling kommer i det igangværende våbenkapløb mellem netværksforsvarere og deres modstandere, hvilket dramatisk kan forstyrre det nuværende landskab. Når fuldt fungerende kvantecomputere endelig begynder at dukke op, kan krypteringen, som det meste af den digitale verden er afhængig af, blive brudt. Det har enorme implikationer for databeskyttelse, og derfor har den britiske regulator, Information Commissioner's Office (ICO), offentliggjort ny vejledning for organisationer.

Budskabet er klart. Det er tid til at begynde at identificere og adressere kvanterelaterede risici som en del af databeskyttelsesoverholdelsesprogrammer.

Hvad vil kvanteberegning betyde?

Det er regeringer og private investorer verden over bruge titusindvis af milliarder at finansiere kvantecomputerforskning. Det er let at se hvorfor: de videnskabelige og matematiske gennembrud, det lover, er forbløffende. Ikke uden grund er betydningen af ​​kvanteberegning blevet sammenlignet med udnyttelse af elektricitet.

Kvantecomputere er baseret på teorien om kvantemekanik, banebrydende i arbejde af Albert Einstein, der vandt ham Nobelprisen. For det utrænede øje ser det ud til at trodse logikken. Kvantepartikler, eller qubits, opfører sig ikke i henhold til fysikkens traditionelle regler. De gør mærkelige ting som at eksistere to steder samtidigt og rejse frem eller tilbage i tiden.

Mens nutidens computere behandler og gemmer information i nuller og etaller, bruger kvantecomputere qubits, som kan være et nul og et på samme tid. Dette reducerer radikalt den tid, det tager at behandle data, beregne og løse problemer.

Ifølge ICO er der flere potentielle use cases for teknologien, herunder:

  • En ny generation af kvantesensorer og avancerede kvantetiming-teknologier til brug i medicinsk diagnostik, byinfrastruktur og miljøressourcestyring, klimaændringsplanlægning og overvågning og jamming-resistent navigation
  • Kvanteforbedret billeddannelse til at opdage mennesker og genstande rundt om hjørner eller bag vægge, eller mere præcist identificere molekyler i kroppen.
  • En ny og potentielt 'unhackable' metode til sikker deling af kryptografiske nøgler, kendt som kvantenøgledistribution (QKD)

Dekryptering af internettet

Det mest bekymrende potentielle anvendelsestilfælde af kvante er dets evne til at løse de komplekse matematiske problemer, som moderne asymmetrisk kryptering (offentlig nøglekryptering) er baseret på. Det kunne en dag give fjendtlige stater eller velfinansierede cyberkriminalitetsgrupper muligheden for at afsløre alt fra krypteret e-handel og onlinekommunikation til digitale bankdata. Implikationerne for organisationer, der bruger asymmetrisk kryptering til at beskytte kundedata og følsom IP, er indlysende.

Faktisk er der bekymring for, at dårlige aktører allerede kan høste krypterede data med henblik på at dekryptere dem i fremtiden i såkaldt "store now, decrypt later" (SNDL) angreb. Det er derfor, at indsatsen accelererer for at finde post-kvantealgoritmer (PQA'er), der vil modstå kvantedrevet dekryptering.

Tingene accelererer bestemt. I en tilgang bakket op af Storbritanniens National Cyber ​​Security Center (NCSC) og US National Institute of Standards and Technology (NIST), de udgav de tre første post-kvantekryptografi (PQC) standarder i august i år. USA har allerede sat mål for, at den offentlige sektor skal overgå til kvantesikre systemer inden 2035, mens den britiske regering har indførte afhjælpninger for kritiske tjenester og opstille teknisk vejledning og forventninger til store organisationer og systemejere. Europa-Kommissionen har opfordret medlemslandene til at udvikle en køreplan, mens store teknologivirksomheder udforsker kvantesikre systemer.

ICO ønsker kryptoagility

Så hvor efterlader det størstedelen af ​​britiske organisationer? De nuværende NIS-regler (skal snart opdateres af Lovforslaget om cybersikkerhed og resiliens) dækker cloud-tjenester og e-handelsudbydere, organisationer, der leverer digital identitet eller autentificeringstjenester, og internet- og teleudbydere. De skal underrette ICO enten om et persondatabrud (GDPR) eller en NIS-relateret sikkerhedshændelse, hvis:

  • De opdagede et SNDL-angreb, der "væsentligt påvirkede deres service eller førte til videregivelse af personlige oplysninger."
  • De begik en fejl ved at implementere PQC, som afslørede personlige oplysninger og udgjorde en risiko for folks rettigheder og friheder.

Alle andre organisationer har forpligtelser i henhold til GDPR til at sikre personlige data "ved hjælp af passende tekniske og organisatoriske foranstaltninger", der er i overensstemmelse med risikoen ved behandling og tager højde for det nyeste. Ifølge ICO betyder dette, at de: "bør overveje at identificere og adressere kvanterisici som en del af deres eksisterende juridiske forpligtelser til at tilpasse sig nye og nye cybertrusler mod personlige oplysninger."

Hvad betyder det i praksis? Som altid siger ICO, at - i henhold til Data Protection Act 2018 og GDPR - skal organisationer bestemme, hvilke tekniske foranstaltninger de har brug for for at sikre det "passende sikkerhedsniveau". Men der er endnu et hint. Regulatorens egen vejledning om kryptering opfordrer organisationer til at være "crypto agile". Det betyder, at krypteringsbrugen skal gennemgås regelmæssigt og være opmærksom på nye opdateringer og mulige sårbarheder.

"Nye standarder er blevet udviklet, og på et eller andet tidspunkt i de næste 10 år vil PQC sandsynligvis blive en accepteret og bredt implementeret norm i den fremtidige state of the art," tilføjer den.

En tjekliste til overholdelse

De fleste organisationer bør derfor fortsætte med at beskytte personlige data i overensstemmelse med bedste praksis og standarder for kryptering og rapportere eventuelle brud eller lækager, herunder SNDL og eventuelle hændelser forårsaget af fejl i implementeringen af ​​PQC. ICO tilføjer, at de proaktivt bør:

  • Begynd at overveje risikoeksponering "i den umiddelbare og nære fremtid", herunder identificering af højrisikoinformation og risikokryptering og -systemer.
  • Hold dig ajour med udviklende internationale kryptostandarder og NCSC-vejledning i henhold til NIS og UK GDPR.
  • Hvis de overvejer at implementere QKD eller anden kvantesikker teknologi ud over PQC, bør de overveje at gennemføre en databeskyttelsesvurdering (DPIA). Dette kan hjælpe med at vurdere, om rettigheder og friheder forbundet med personoplysninger kan være i fare, og dokumentere, hvilke foranstaltninger de træffer for at imødegå disse risici.
  • Fortsæt med at afbøde "vidtgående, kort- og mellemlangsigtede" cyberrisici, der ikke er relateret til kvantecomputere, ved at følge væsentlige cyberhygiejnebestemmelser for databeskyttelse.

Der vil gå år, før kvantecomputere, der er i stand til at knække asymmetrisk kryptering, dukker op. Men det er ingen grund til selvtilfredshed. Det er bedre at vurdere risiciene og planlægge fremtiden i dag end at blive tvunget til at træffe forhastede (og potentielt dyre) beslutninger i morgen.

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!