Kvanttitietoturvalla käytännön varautumista PQC-siirtymään
Post-quantum cryptography (PQC) -muutos on vääjäämättä edessä. Kyse ei ole yksittäisestä teknologiasta, vaan laajasta muutoksesta, joka koskettaa lähes kaikkia järjestelmiä ja ensivaiheessa erityisesti tiedonsiirtoa. Kvanttilaskennan tietoturvavaikutuksiin varautuminen on edennyt hitaasti kotimaisessa elinkeinoelämässä, joten sitä pyritään kiihdyttämään erilaisin keinoin. Huoltovarmuuskeskuksen tukemassa ohjelmassa tehdään nyt Digipoolin toimesta pilottiprojektia Finanssisektorin yritysten kanssa.
Huoltovarmuuskeskuksen rahoittamassa Huoltovarmuusorganisaation Digipoolin hankkeessa tuotetaan konkreettista tietoa ja käytännön askelia organisaatioille, jotka haluavat varautua kvanttilaskennan tietoturvavaikutuksiin ajoissa. Tuemme pilottiprojektissa kvantti-tulevaisuuden riskien ennakoinnilla pankki- ja finanssialan toimijoita sekä muita huoltovarmuusorganisaation toimijoita, joille PQC-siirtymän hallittu ja ennakoiva toteuttaminen on liiketoiminnan ja varautumisen kannalta kriittistä.
PQC – Mistä on kyse
Kvanttilaskennan kehittymisen myötä nykyiset salausalgoritmit murtuvat. Kvanttilaskentaa kestävä kryptografia (PQC – post quantum cryptography) on ajankohtainen ja väistämätön muutos tietoturvassa. Käytännössä kyse on siitä, että nykyiset salausratkaisut ja niiden hallintatavat päivitetään vastaamaan tulevaisuuden uhkia kaikissa järjestelmissä ja laitteissa.
PQC ei ole yksittäinen teknologia tai projekti, vaan laaja siirtymä, joka koskee lähes kaikkea digitaalista tiedonsiirtoa ja monia tietojärjestelmiä. Muutoksen taustalla on kvanttilaskennan kehittyminen: sen arvioidaan tulevaisuudessa pystyvän murtamaan nykyisin käytössä olevia salauksia merkittävästi aiempaa nopeammin. Osa riskistä on olemassa jo nyt, sillä salattua tietoa voidaan tallentaa ja purkaa myöhemmin tehokkaammilla menetelmillä.
Tulevaisuudenkestävät PQC-algoritmit tarjoavat keinon suojautua näiltä uhilta. Suomessa yritysten varautuminen PQC-siirtymään on vielä alkuvaiheessa, ja siksi siirtymää pyritään edistämään ja vauhdittamaan yhteistyössä elinkeinoelämän kanssa.
KvanTiVaPi – käytännön jatkoa vuoden 2024 selvitykselle
KvanTiVaPi ei ole savannieläin, vaan joulukuussa 2025 käynnistynyt pilottiprojekti, jonka tavoitteena on viedä kvanttilaskennan tietoturvavaikutuksiin varautuminen käytännön tasolle. Tunnuslauseenamme on, ”Kvanttiturvallisuus ei vaadi kvanttitietokonetta”. Projekti pyrkii lisäämään käytännön osaamista ja valmiuksia PQC-ratkaisuihin siirtymisessä.
Projekti jatkaa vuoden 2024 Kvanttilaskennan tietoturvavaikutukset – suositus varautua -selvityksen työtä ja keskittyy siihen, miten PQC-muutosmatkaa voidaan oikeasti käynnistää organisaatioissa.
Mitä pilottiprojektissa tehdään?
Pilottiprojektin aikana:
- järjestetään aloitus- ja päätöstilaisuudet
- toteutetaan kaksi työpajaa etätehtävineen
- valmistellaan konkreettisesti varsinaisen muutoshankkeen käynnistämistä
- tuotetaan viestintää, joka ennakoi tulevia kansallisia ja EU:n siirtymäsuunnitelmia
Ensimmäistä kertaa toteutettava finanssialalle kohdistettu pilotti päättyy helmikuussa 2026. Lopputuloksena organisaatioilla on parempi kuva PQC-siirtymän vaikutuksista sekä ymmärrys miten muutoshanke käynnistetään.
Miksi varautuminen on tärkeää juuri nyt?
PQC-siirtymä tulee olemaan monimutkainen ja laaja. Se koskettaa lähes kaikkia järjestelmiä ja ensivaiheessa erityisesti tiedonsiirtoa. Näin monimutkaiselle teknologiselle muutokselle huoltovarmuuden kannalta kriittisissä ja tarkasti reguloiduissa järjestelmissä aikainen suunnittelu on kriittistä:
- ennen kuin riskitaso käy sietämättömäksi
- ennen kuin regulaatio pakottaa nopeisiin ratkaisuihin
- ennen kuin nykyiset teknologiat, kuten TLS 1.3, poistuvat käytöstä
Muutoksen suunnittelun voi jo aloittaa. Merkittävä, mutta taloudellinen ensiaskel on krypto-BoM (bill of materials, kuten sofware bill of marials, SBoM). Se on inventaario omista järjestelmistä ja laitteista, joissa salauksia käytetään, jotta tunnistetaan priorisointia ja resursointia vaativat kokonaisuudet. Se ohjaa etenemistä. Tähän ja muutospolun hahmotteluun tarjotaan projektissa ohjausta. Oikein toteutettuna muutos ei ole pelkkä pakko, vaan siihen liittyy myös tunnistettavia mahdollisuuksia.
Katso perusteita PQC-muutosmatkalle lähtemisestä aloitustilaisuuden tallenteesta.
PQC ja datan suvereniteetti
Yksi PQC-tason suojauksen keskeisistä hyödyistä liittyy pilvessä sijaitsevan datan parempaan suojaamiseen ja suvereniteettiin.
Vahvemmat algoritmit suojaavat dataa sekä tiedonsiirrossa että varastoinnissa. Yhdessä avainhallinnan kehittämisen kanssa ne lisäävät varmuutta siitä, ettei dataa voida hyödyntää luvatta, myöskään tulevaisuuden laskentateknologioilla.
Mukana finanssialan huoltovarmuuskriittiset toimijat
Pilottiprojektiin on ilmoittautunut useita huoltovarmuuskriittisiä finanssisektorin toimijoita, jotka edistävät järjestelmiensä PQC-turvallisuutta. Mukana on pankkeja ja vakuuttajia sekä muita finanssisektorin merkittäviä toimijoita.
Kvanttilaskennan varautumisen
Pilottiprojektin toteuttaa
Huoltovarmuusorganisaation Digipooli ja CGI Suomi apunaan CGI:n globaali kvanttiosaamiskeskittymä.
CGI:llä on merkittävä rooli finanssialan järjestelmien parissa sekä osana suomalaista kvanttiekosysteemiä. Lisäksi CGI osallistuu kansainvälisiin PQC-hankkeisiin, mukaan lukien korkean turvatason asiantuntijatyö kansallisissa kvanttitietoturvaprojekteissa.
Lisätietoa aiheesta:
Kyberturvallisuuskeskus: Post-Quantum Crypto -aikaan valmistautuminen on käynnissä myös Suomessa
World Economic Forum: Quantum Security for the Financial Sector
Europolin kvanttiturvallisen finanssisektorin foorumi: Quantum Safe Financial Forum – A call to action
FI-ISAC:n kootut materiaalit: Post Quantum Cryptography Resources
ENISA – kvanttimigraatio: Post-Quantum Cryptography: Current state and quantum mitigation | ENISA
NIST:n PQC-muutosopas: Transition to Post-Quantum Cryptography Standards
NIST:n PQC-standardien projekti: Post-Quantum Cryptography
Ranskan keskuspankki: Securing Central Bank Regulatory Files Transfers With Post-Quantum Cryptography (PQC)
BIS: Project Leap: quantum-proofing the financial system
CGI: Kvanttiteknologia – Kvanttiuhista huomisen teknologiaksi
VTT: Kvanttilaskenta – Käytännön matkaopas tulevaisuuteen
CGI: Finanssiala varautuu uuteen kyberuhkaan – Kvanttiaika mullistaa salausjärjestelmät
Lisätietoja
