Kvanttilaskenta laittaa yritysten salausalgoritmit uusiksi
Hyvin pian kvanttilaskenta on niin kehittynyttä, että yritykset pystyvät hyödyntämään sen mahdollisuuksia liiketoiminnassaan. Samalla myös uhat kasvavat: käytännössä nykyiset salausalgoritmit ovat helposti murrettavissa kvanttilaskennalla. Yritysten kannattaa ottaa kvanttiuhat vakavasti ja aloittaa valmistautuminen niihin heti.
“Kvanttiteknologia tarjoaa mahdollisuuksia, jotka suorastaan pakottavat yritykset tutkimaan potentiaalia oman liiketoiminnan näkökulmasta”, kuvailee valmiuspäällikkö Antti Nyqvist.
Hän työskentelee Teknologiateollisuudessa ja vastaa Huoltovarmuusorganisaation Digipoolin toiminnasta. Digipooli vahvistaa erityisesti huoltovarmuuskriittisten toimialojen kyberresilienssiä tarjoamalla yrityksille tietoa, tukea ja koulutusta, miten valmistautua erilaisiin teknologisiin haasteisiin ja mahdollisuuksiin.
Nyqvist kuvailee kvanttiteknologiaa tämän päivän teolliseksi vallankumoukseksi.
“Kvanttiteknologia tulee muuttamaan käytännössä kaikkien organisaatioiden toimintatapoja ja arkea, hyödynsi sitä itse tai ei. Koska kvanttilaskenta on niin tehokasta, sitä halutaan käyttää ja se tulee yleistymään hyvin nopeasti, kun nykyiset haasteet on selätetty”, hän sanoo.
Uhkiin suhtauduttava vakavasti
Hyötyjen lisäksi kvanttiteknologia tuo mukanaan erityisesti kyberturvallisuuteen liittyviä uhkia. Tähän asti salausalgoritmit ovat perustuneet monimutkaisiin salausavaimiin, joita ei nykyteknologialla ole helppo murtaa.
“Kvanttilaskenta muuttaa tilanteen. Valtava, useita vaihtoehtoja samanaikaisesti sisältävä laskentateho tarkoittaa, että käytännössä kaikki nykyiset salausalgoritmit ovat helposti murrettavissa”, Nyqvist tiivistää.
“Tilalle tarvitaan uusia, kvanttilaskennan kestäviä salausmenetelmiä ja niitä hyödyntäviä sovelluksia. Monet ovatkin jo tuotteissaan huomioineet tarpeen kryptoketteryydelle.”
Vaikka “peliaikaa” on periaatteessa vielä muutama vuosi, Nyqvist suosittelee kaikkia organisaatioita aloittamaan valmistautumisen heti.
“Muun muassa Kiina, Yhdysvallat ja Venäjä ovat julkisesti kertoneet panostavansa merkittäviä summia kvanttilaskennan edistämiseen. Vaikka laskennan odotetaan saavuttavan luotettava taso noin 10 vuodessa, näin merkittävä motivaatio ja rahoitus tuottaa todennäköisesti ennakoitua nopeampia tuloksia”, Nyqvist arvelee.
Esimerkiksi terveydenhuollon järjestelmissä on paljon sellaista tietoa, jonka säilytysaika on yli 20 vuotta.
”On tärkeää, että valmistaudumme muutokseen ja suojaamme tämäntyyppisen datan mahdollisimman hyvin ennakkoon. Aina on olemassa riski, että tietomurron kautta salattua dataa saadaan tai on jo saatu haltuun. Sitten kun kvanttilaskenta mahdollistaa, salaus puretaan ja data saadaan kokonaan rikolliseen käyttöön”, Nyqvist havainnollistaa.
Aloita inventaariolla
Digipoolin teettämän kvanttiselvityksen perusteella suomalaisyrityksillä on jonkin verran petrattavaa “asset managementinsa” eli omaisuudenhallintansa osalta kyberturvallisuudessa. Kaikki eivät esimerkiksi tiedä, missä kaikkialla ja mitä salausalgoritmeja heillä on käytössä.
“Lisäksi monessa yrityksessä on käytössä vielä vanhoja teknologioita, joita ei ehkä ole edes listattuna, mutta ne ovat käytössä. Tällaiset järjestelmät aiheuttavat suoran haavoittuvuuden organisaation tietoturvaan.”
Ensimmäinen askel on tehdä inventaario oman omaisuuden suhteen: ymmärtää mitä ict-omaisuutta on hallussa ja mitä salausalgoritmeja on käytössä. Seuraava vaihe on suunnitelma – tiekartta – kvanttilaskennan kestävän tilanteen saavuttamiseksi. Kolmantena on toimenpiteiden toteutus määriteltyjen prioriteettien mukaisesti.
“Inventaario on kaiken perusta. Sen pohjalta laaditaan suunnitelma, miten ja missä järjestyksessä salausalgoritmit tullaan päivittämään. Vaikka salausmenetelmien vaihtaminen ei onnistu hetkessä eikä vielä muutamaan vuoteen, toimenpiteitä pitää priorisoida ja valmistella ennakkoon, jotta toteutus on mahdollista tehdä, kun vaihtoehtoja alkaa olla tarjolla”, Nyqvist sanoo.
Inventaarion tekeminen ohjaa jatkossa hankinta- ja päivitystarpeita. Vaikka yritykset ostaisivat uudet salausratkaisut palveluna, heillä pitää olla kuitenkin käsitys omasta toimintaympäristöstään.
“Samalla pitää ymmärtää, että siirtymäaikana joudumme elämään rinnakkain uusien ja vanhojen algoritmien kanssa. Molempiin liittyen pitää olla osaamista – joko itsellä tai kumppaneilla.”
Edellytä kumppanilta kryptoketteryyttä
Uusien salausalgoritmien kehittäminen on luonnollisesti jo käynnissä. USA:n standardointi-instituutissa tutkitaan tänä vuonna neljää eri vaihtoehtoa tulevaksi standardiksi. Kun käytännössä moni yritys tulee kuitenkin nojaamaan tässä asiassa omaan it-kumppaniinsa, oleelliseksi nousee it-alan yritysten kyvykkyys hallita ketterästi sekä vanhoja että uusia salausmenetelmiä.
“It-palveluja hankkiessaan yritysten pitää osata vaatia it-kumppaneilta kryptoketteryyttä. Kryptoketteryys on esimerkiksi sitä, että ohjelmistoihin on mahdollista vaihtaa helposti uusi salausalgoritmi sitten kun standardointi etenee”, Nyqvist antaa esimerkin.
Osaamisvastuuta ei voi kuitenkaan täysin ulkoistaa kumppanille. Myös yritysten itsensä pitää ymmärtää kvanttilaskennan mahdollisuudet ja uhat.
“Jos liiketoiminta perustuu jonkun toisen osapuolen tarjoamaan tehokkaaseen laskentakyvykkyyteen, yrityksellä pitää olla myös itsellään riittävä osaaminen ja kyky varmistaa liiketoiminnan jatkuvuus ja laskennan saatavuus”, Nyqvist muistuttaa.
Digipoolin tavoitteena on herätellä yrityksiä ja auttaa heitä valmistautumaan muutokseen.
“Yritysvakoilua ehkä ole pidetty meillä Suomessa niin suurena ongelmana kuin monessa muussa maassa. Tässä asiassa ei kuitenkaan kannata jäädä odottelemaan, sillä suunnitelmien tekemiseen ja toteutukseen tulee varata aikaa ja rahaa. Toimeen kannattaa tarttua heti”, Nyqvist kehottaa.
Digipoolin tuottaman selvityksen toteutti VTT, ja se rahoitettiin Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelmasta.
Tutustu Huoltovarmuuskeskuksen Kvanttilaskennan tietoturvavaikutukset – suositus varautua -raporttiin
Lue lisää aiheesta Digipoolin sivuilta
