Siirry sisältöön
Etusivu Ajankohtaista PQC‑muutos on strateginen askel – ei vain tekninen päivitys

PQC‑muutos on strateginen askel – ei vain tekninen päivitys

4.2.2026 - Blogi

Miksi organisaatioiden johdon on hyödynnettävä nyt tarjolla oleva etumatka?

Lähes kaikki, mitä verkossa teemme, perustuu oletukseen siitä, että algoritmeja ei voida murtaa kohtuullisessa ajassa. Tämä oletus ei enää päde, kun kvanttiaika lähestyy. Siksi PQC (post quantum cryptography) ei ole pelkkä tekninen päivitys. Se on koko organisaatiota ja sen sidosryhmiä koskeva laaja, globaali muutos.  KvanTiVaPi projektiin osallistuneet pankit ja vakuutuslaitokset ovatkin nyt alkaneet suunnitella omien muutospolkujensa toteutusta.

Miksi PQC-muutos ei ole vain tekninen päivitys?

Miksi PQC-muutos ei ole vain tekninen päivitys?

PQC:stä puhutaan usein kryptografisena siirtymänä, pelkkänä teknisenä muutoksena: vaihdetaan salausalgoritmit ja päivitetään protokollat, ja ongelma on ratkaistu. Todellisuudessa kyse on paljon laajemmasta kokonaisuudesta.

  1. Kryptografia on koko digitaalisen toiminnan perusta
    • Kryptografia ei ole mikään irrallinen osa, vaan koko organisaation digitaalisten prosessien hermosto: se suojaa liiketoimintaa, kumppaniekosysteemiä, asiakastietoja, toimitusketjuja ja operatiivisia järjestelmiä. Se ei ole vain IT:n työkalu, vaan toiminnan jatkuvuuden peruskivi.
  2. Aikataulu ei ole organisaatioiden päätettävissä
    • EU:ssa ja Yhdysvalloissa on linjattu, että PQC-siirtymä tulee olla tehty viimeistään vuosien 2030–2035 aikana. Tämä ei ole optimistinen tavoite, vaan pikemminkin takaraja, erityisesti kriittisten järjestelmien osalta. Kansallisten huoltovarmuudelle kriittisten sekä muutoin EU:n sääntelyn piirissä olevien järjestelmien kohdalla on jo vaatimuksia moderneimpien tekniikoiden käyttämisestä ja teknologia on jo olemassa. Todennäköisyys kriittiselle kvanttilaskentakyvylle kasvaa ja epäillään, että se voi toteutua jo parissa vuodessa.
  3. Riski on jo voinut toteutua ennen kuin uhka realisoituu
    • Kvanttihyökkäyksissä suurin paradoksi on HNDL‑strategia (Harvest Now, Decrypt Later), jossa hyökkääjä voinut varastaa salattua tietoa jo eilen ja purkaa sen myöhemmin kvanttikoneella. Jos näin tapahtuu, PQC ei ole enää suoja, vaan vahingontorjuntaa. Kuka haluaa vastata, miksi hyökkäyksen ehkäisemisessä viivyteltiin?

Teknisesti tarina on jo muuttunut – organisaatioiden pitää seurata perässä

PQC-muutokseen ei vaadita kvanttitietokonetta. Vuodesta 2024 lähtien tarjolla on ollut NIST:in standardoimat kvantinkestävät salausalgoritmit. Ne suojaavat järjestelmiä, joissa erityisesti epäsymmetrinen salaus (esim. RSA, ECC, pääosa kaikesta tietoliikenteestä) olisi ilman kvanttikestäviä algoritmeja murrettavissa sekunneissa.

Kyse ei siis ole siitä, onko teknologia valmista. Kyse on siitä, ovatko organisaatiot valmiita ottamaan sen käyttöön. Haasteena toki on, että tietoliikenteessä oman järjestelmä- ja laiteketjun pitää olla aina ajan tasalla lähettäjästä vastaanottajaan.

KvanTiVaPi Pilottiprojekti on osoittanut, että käytännön siirtymä on jo mahdollista

Huoltovarmuuskeskuksen DT2030 kehitysohjelman KvanTiVaPi‑projektissa, (jonka toteutti Digipooli yhdessä CGI kanssa) on rakennettu konkreettista kokonaiskuvaa siitä, miten PQC‑siirtymää kannattaa lähestyä.

  1. Organisaatioiden on kyettävä tunnistamaan oma kryptojalanjälkensä.
    • Hallittua siirtymää ei voida suunnitella ilman näkyvyyttä salaukseen, avaintenhallintaan ja protokolliin. Tämä vaatii kryptoinventaariota (Crypto Bill of Materials, CBoM) ja riippuvuusketjujen kartoitusta. Kartoituksen vaativan todellisuuden kohtaaminen oli oleellinen osa KvanTiVaPia. Tämän jälkeen on suunniteltava legacy-järjestelmien modernisoinnit (tai kapseloinnit, mikäli tämä ei ole mahdollista), ulkoisesti toimitettujen osien päivitykset, uusiin järjestelmähankkeisiin sisällytettävät vaatimukset, testaukset ja muut priorisoitavat asiat. Oikein jaksotettuna ja koko laajuudessaan nämä vievät vuosia.
  2. Kvanttiturvallisuus on iteratiivinen prosessi
    • Algoritmit, toteutukset ja ohjeistukset kehittyvät. Tämä vaatii organisaation eri asiantuntijoilta ja päivitettäviltä järjestelmiltä (krypto)ketteryyttä sekä algoritmien vaihdettavuuden että laajemman riskienhallinnan osalta. PQC ja siihen liittyvä muutosprosessi sisältää useita riskejä, joita on hallittava, niin teknologisia kuin organisatorisiakin. Tärkeää on selkeä, vaiheisiin jaettu muutoshankesuunnitelma sekä riittävät resurssit ja selkeät nimetyt vastuut (RACI). Työtä on ohjatavaksi koko organisaatiossa usean vuoden ajan.
  3. PQC‑siirtymä avaa myös mahdollisuuksia.
    • Varhain liikkeelle lähtevät organisaatiot voivat vahvistaa kilpailukykyään tietoturvan osalta ja varmistaa tulevan sääntelyn noudattamisen ajoissa. Samalla ne ehtivät hyödyntää osaajat ja resurssit ennen kuin kysyntä kasvaa voimakkaasti, sekä toteuttaa muita kriittisiä modernisointeja, kuten legacy‑järjestelmien päivityksiä, integraatioita ja avainhallintaa pilvisiirtymän yhteydessä. Näiden etujen merkitys korostuu tulevina vuosina. Korkealaatuiset taustajärjestelmät näkyvät suoraan liiketoiminnan kyvykkyytenä. Siksi PQC on investointi tulevaisuuteen, ei pelkkä kustannus.

Kriittisin väärinkäsitys on odottaa kvanttitietokoneen lopullista läpimurtoa

Arviot kvanttikäyttöisten hyökkäysten aikataulusta vaihtelevat muutamasta vuodesta vuosikymmeniin, mutta se ei muuta perusasiaa: Riski on olemassa jo nyt, vaikka uhka ei vielä ole toteutunut.

Organisaatioiden tulisi toimia ikään kuin murto olisi jo tapahtunut ja varautua siihen, että vanhaa tietoa voi aikanaan tulevaisuudessa nousta esiin ja tulla hyödynnetyksi haitallisilla tavoilla.

Strategista riskienhallintaa on ymmärtää, millaista tietoa on voinut päätyä vääriin käsiin ja miten sitä voidaan pahimmillaan hyödyntää. Äärimmillään kyse voi olla organisaation olemassaoloa uhkaavasta riskistä ensi vuosikymmenellä ja siksi siihen on varauduttava nyt.

Johtajien tehtävä on hallita kokonaisuutta, ei teknologiaa

Johtotasolla PQC‑siirtymä ei ole tekninen projekti, vaan strateginen muutosohjelma. Se on ennen kaikkea riskienhallintaa ja toiminnan jatkuvuuden varmistamista, tietoisuuden ja henkilöstön osaamisen kehittämistä, sekä samalla mahdollisuus modernisoida kriittisiä rakenteita ajoissa.

Organisaatiot, jotka aloittavat nyt, tekevät muutoksen hallitusti ja kustannustehokkaasti. Ne, jotka aloittavat myöhemmin, joutuvat tekemään sen kiireessä ja hyväksymään enemmän riskejä. KvanTiVaPi‑projektin opit osoittavat, että käytännön polku on jo olemassa. Etumatkan mahdollisuutta ei kannata hukata.

Kirjoittajat

Antti Nyqvist, Valmiuspäällikkö, Huoltovarmuusorganisaation Digipoolin Poolisihteeri

Juho Reivo, Vanhempi Konsultti, CGI

Katso myös suositus varautua kvanttilaskennan tietoturvavaikutuksiin

Digipoolin 2024 VTT kanssa toteuttama projekti selvitti huoltovarmuusorganisaation varautumista aihealueella ja muodosti suosituksen aloittaa varautuminen. Voit palata sen projektin tuotoksiin tästä.

Suositus varautua 2024
2024 julkaistu suositus varautua kvanttilaskennan tietoturvavaikutuksiin