Varaudu kvanttilaskennan tietoturvavaikutuksiin
Kvanttilaskennalla on keskeinen rooli käynnissä olevassa teknologisessa murroksessa. Kvanttilaskennan kehitys tuo valtavat mahdollisuudet mukanaan, mutta se tuo myös vaikutuksia tietoturvallisuuteen. Samalla kun pohditaan hyötyjen ulosmittaamista tulee varautua sen tuomiin vaikutuksiin. Ja koska uhkien realisoitumisen ajankohta lähestyy ja varautumisessa riittää työsarkaa, tulee varautuminen aloittaa nyt! Digipoolin ja VTT:n yhteisprojektissa koostettiin tietoa elinkeinoelämän varautumisen tueksi sekä annettiin suosituksia toimenpiteiksi, joita tulee nyt lähteä toteuttamaan organisaatiossa kuin organisaatiossa.
Kvanttilaskennan hyötyjä ja kehitystä
Kvanttitietokoneiden avulla voidaan ratkaista ongelmia, jotka ovat käytännössä mahdottomia tai hyvin vaikeita perinteisille supertietokoneille. Kvanttitietokoneilla voidaan siis ratkaista valtavia haasteita ja sikäli paljon kiinnostusta kohdistuu sen kehitykseen ja sitä tehdäänkin valtavassa mittakaavassa. Esimerkiksi Kiina investoi kymmeniä miljardeja euroja kvanttiteknologian kehitykseen.
Ja ei tarvitse olla fakiiri havaitakseen, että koska asiaan panostetaan tulee se toteutumaan varsin nopeassa aikataulussa. Ja kun hyötyjä ulosmitataan kasvaa liiketoimintariippuvuus niihin käyttötapauksiin joita sillä ratkotaan. Tämä tullee siis johtamaan myös siihen, että tarve varmistaa kvanttilaskentakapasiteetin saatavuus kasvaa ja siitä tulee huoltovarmuuskriittistä infrastruktuuria. Kvanttilaskentakapasiteettia voikin jo nyt käyttää pilvipalveluna ja näinollen yhteyksien merkitys on suuri. Kenties tulemme näkemään yhä useamman tahon kehittävän omaa kyvykkyyttään aiheessa.
Suomi on nyt edelläkävijä kvanttitietokoneiden kehityksessä ja tänne on syntynyt yrityksiä, jotka toimivat aktiivisina aiheessa. Tämän voi nähdä olevan yliopistojen tutkimustoiminnan seurausta joka on hyvin suotavaa. Mutta tätäkin varjostaa se, että suomi pienenä maana tuottaa kovin vähän osaajia aiheessa ja nyt kotimaisten yritystenkin on turvauduttava kansainväliseen työvoimaan ja yritysten kasvaessa sidos suomeen ohenee. Ja tästä näkökulmasta tulee suomessakin kansallisesti lähteä investoimaan laajasti – osaamisen kehitykseen tutkimuksen ja yritystoiminnan tarpeisiin sekä varautumisen toimenpiteisiin, joita on lähdettävä nyt tekemään. Meillä on siis nykyisellä pohjalla erinomaiset mahdollisuudet olla huippuja myös jatkossa, kunhan investointeja tehdään.
Aikatauluarviot kvanttilaskennan kehityksen virstanpylväistä vaihtelevat, mutta konsensus tuntuu olevan, että n. vuonna 2030 on saavutettu sellainen kyvykkyys, että perinteiset laskentatavat ja niihin perustuvat ratkaisut ovat vanhentuneita. Ottaen huomioon sen että kvanttilaskentaa voi jo käyttää kaupallisena palveluna lienee selvää, että sen liiketoimintamahdollisuuksia tulee jo tutkia – ja samalla varautua laskennan kehityksen tuomiin tietoturvauhkiin. Onneksi myös kvanttilaskennan kestävät salausalgoritmit ovat kehittyneet ja standardointeja aiheessa nähtäneen jo tänä vuonna.
Kvanttilaskennan kehityksen vaikutuksia
Tietoja salataan tänä päivänä sekä symmetrisen eli salaisen avaimen että julkisen avaimen menetelmillä. Ja nyt kvanttilaskennan kehittyessä uhaksi nousee se, että tehokkaan laskennan avulla voidaan julkisen avaimen menetelmiin perustuvat ratkaisut murtaa. Rikollisten(tai valtioiden) liiketoimintakehitys voikin jo nyt tähdätä tähän ja pyrkiä hyödyntämään uutta teknologiaa oman liiketoiminnan arvontuotantoon.
Julkisen avaimen menetelmiä käytetään muun muassa sähköisissä allekirjoituksissa ja monet Internetissä käytetyt salausmenetelmät, esim. TLS (Transport Layer Security) ja PGP (Pretty Good Privacy), perustuvat julkisen avaimen salaukseen. Toisin sanoen kvanttikoneiden suurta laskentatehoa voidaan käyttää väärin ja näinollen kvanttilaskennan kehitys aiheuttaa merkittävän uhan nykyisille tiedon ja tietoliikenteen salausratkaisuille. Tässä voi nähdä myös geopoliittisia uhkia kun jo pelkästään taloudellisista syistä voi vihamielisen valtion käsissä oleva kvanttikone uhata muiden valtioiden kansallista turvallisuutta ja huoltovarmuutta.
Uhattuna on siis erilaiset salausta vaativat ratkaisut ja tieto, jota salattuna hallitaan. Jos kotimaisen lainsäädännön mukaan vuosiksi salassa pidettävää tietoa tarkastellaan voidaan nähdä uhkakuvia siitä, että em. Aikataululla n. 2030 aikoihin nyt salattuna varastettu tieto olla avattavissa ja se herättää monia huolestuttavia ajatuksia. (Vastaamo all over again?). Tämä uhka yhdistettynä tietoon siitä kuinka hyvin(siis huonosti) yritykset ovat hallinneet salausratkaisuitaan tai ymmärtävät hallinnoimansa datan arvoa voi todeta, että NYT todella olisi aika lähteä varautumaan ja varmistamaan että liiketoiminta voi jatkua tässäkin disruptoivassa tilanteessa.
Suosituksia kvanttilaskennan kehitykseen varautumiseksi
Kuinka sitten tulisi oikein varautua? Varautumisen toimenpiteet voi jakaa kolmeen kokonaisuuteen:
1. Tee inventaario.
- Selvitä organisaation käytössä olevat salausratkaisut kattaen sekä ohjelmistot että laitteistot.
- Selvitä ainakin keskeiset salattuna talletetut tiedot ja luokittele ne salassapitotarpeen mukaan ja priorisoi tietojen uudelleensalaustarve.
2. Suunnittele siirtymä kvanttiturvallisiin ratkaisuihin.
- Tee huolellinen suunnitelma salausjärjestelmien päivittämisestä perustuen järjestelmien kriittisyyteen ja todellisiin riskeihin.
3. Toteuta siirtymä suunnitelman mukaisesti aloittaen riskien perusteella kriittisimmistä kohteista.
Arviot tämän ”siirtymäprojektin” toteuttamisesta vaihtelevat, mutta pahimmillaan siinä voi mennä vuosia ja pitää sisällään ajanjakson, jonka aikana joudutaan toimimaan perinteisten sekä uudempien salausalgoritmien kanssa ja tämä edellyttää osaamista molemmista tai vähintään ymmärrystä, jotta osaa oikeita ratkaisuita vaatia. Voi siis olla, että kvanttilaskennan kehitys on nopeampaa kuin millä ehditään tämä siirtymä suorittaa – mutta varmaa on se, että varautuminen tulee nyt aloittaa! Ja aloittaa inventaariosta jos ja kun se ei ole kunnossa!
Projektissa tuotetun suositus dokumentin voit ladata HVK:n sivuilta.
Lataa ohje suosituksineen alta!