Siber güvenlik liderleri, kuantum sonrası kriptografiye (PQC) geçiş planlarını hızlandırmak için envanter çıkarma, satın alma süreçlerini güncelleme ve kripto-esneklik çalışmalarına acilen başlamalı. Bu uyarı, Infosecurity Europe 2024 etkinliğinde konuşan Forescout Güvenlik İstihbaratı Başkan Yardımcısı Rik Ferguson'dan geldi. Ferguson, dünya genelindeki SSH sunucularının yalnızca %8'inin PQC'yi desteklediğini ve bu oranın bir yılda sadece iki puan arttığını belirtti.
Ferguson, "Soru 'Q-günü ne zaman gelecek?' değil. Asıl soru 'O an geldiğinde hazır mı olacağız? En azından yolculuğa başlamış mı olacağız?'" dedi. EY'nin bu hafta yayınladığı yeni bir araştırmaya göre, iş liderlerinin %87'si kuantum hesaplamanın 2030 yılına kadar sektörlerini altüst edeceğini bekliyor. Ancak yalnızca %35'i bunu önümüzdeki beş yıl için stratejik bir öncelik haline getirmiş durumda. %59'u ise kuantum hesaplamanın 2030'a kadar yeterince olgunlaşmasının olası olmadığını düşünüyor.
Güvenlik perspektifinden bakıldığında, kriptografik olarak ilgili kuantum bilgisayarlara (CRQC) geri sayım çoktan başladı. Ferguson, NSA'nın 2021 gibi erken bir tarihte 'şimdi topla, sonra çöz' (HNDL) saldırıları konusunda uyarı yaptığını hatırlattı. Snowden sızıntıları, ABD'nin ve dolayısıyla rakiplerinin, şifrelenmiş verileri daha sonra çözmek üzere topladığını gösteriyor. İngiltere ve ABD'deki gizli ortak gözetim programları Muscular ve Tempora bunu kanıtlıyor. Ferguson, Çin üzerinden internet trafiğinin büyük ölçüde yönlendirildiği önceki olayların da Pekin'in benzer bir şey yaptığını gösterdiğini iddia etti.
Detaylar ve Etkileri
Salt Typhoon'un devam eden çabaları da daha sonra çözmek üzere şifrelenmiş verileri çalmayı içerebilir. Ferguson, "En büyük sorunlara neden olan şeyler, duymadığınız veya geleceğini göremediğiniz şeylerdir" dedi. Bu HNDL planları doğrulanmamış olsa da, "yeteneğin belgelenmiş ve gerçek" olduğu konusunda uyardı.
Nasıl Önlem Alınmalı?
Ferguson, yalnızca uzun ömürlü verilerin HNDL riski altında olduğunu, ancak PQC planlamasının şimdi başlaması gerektiğini söyledi. G7 Siber Uzman Grubu'nun Ocak ayında yayınladığı bir yol haritası da aynı çağrıyı yapıyor. Ancak bu yol haritasına göre - strateji, envanter, planlama, geçiş, test ve izleme - planlama aşaması 2028-29'a düşüyor. Bu da IBM'in Starling hata toleranslı kuantum bilgisayarını çalışır hale getirme vaad ettiği tarihle aynı zamana denk geliyor.
Teknik Analiz
Q-günü hızla yaklaşırken Ferguson, üç cephede harekete geçilmesi çağrısında bulundu: İlk olarak, şirketler mevcut kriptografik altyapılarının envanterini çıkarmalı ve hangi sistemlerin kuantum saldırılarına karşı savunmasız olduğunu belirlemeli. İkinci olarak, satın alma süreçlerine PQC uyumluluk kriterleri eklenmeli, böylece yeni satın alınan tüm donanım ve yazılımların kuantum sonrası kriptografiyi desteklemesi sağlanmalı. Üçüncü olarak, kripto-esneklik yetenekleri geliştirilmeli, yani kriptografik algoritmaların kolayca değiştirilebilmesi için sistemler tasarlanmalı.
Ferguson'un uyarıları, siber güvenlik topluluğunda yankı uyandırdı. Uzmanlar, kuantum hesaplamanın getireceği tehditlere karşı hazırlıklı olmanın artık bir seçenek değil, zorunluluk olduğunu vurguluyor. Şirketlerin, kuantum sonrası kriptografiye geçiş için bugünden adım atmaması durumunda, veri güvenliği açısından geri dönüşü olmayan sonuçlarla karşılaşabileceği belirtiliyor. Özellikle finans, sağlık ve devlet kurumları gibi hassas veri işleyen sektörlerin bu dönüşüme öncelik vermesi gerekiyor.
Sistem Güvenliği
Sonuç olarak, kuantum bilgisayarların yakın gelecekte mevcut şifreleme yöntemlerini kırabilecek kapasiteye ulaşması bekleniyor. Bu nedenle, siber güvenlik liderlerinin bugünden harekete geçerek envanter çıkarma, satın alma süreçlerini güncelleme ve kripto-esneklik çalışmalarına başlaması hayati önem taşıyor. Infosecurity Europe'ta yapılan bu çağrı, sektörün kuantum tehdidine karşı hazırlıklı olması için bir uyanış niteliği taşıyor.
Kaynak: infosecurity-magazine.com