Μετάβαση στη μετα-κβαντική κρυπτογραφία με ISO 27001

Το βουητό του προβολέα είναι ο μόνος ήχος στην αίθουσα συνεδριάσεων του Διοικητικού Συμβουλίου. Η Sarah, η Επικεφαλής Ασφάλειας Πληροφοριών, μόλις έχει ολοκληρώσει την τριμηνιαία ενημέρωση κινδύνων, όταν ο Διευθύνων Σύμβουλος σηκώνει ένα εκτυπωμένο άρθρο από οικονομική εφημερίδα. Ο τίτλος είναι ωμός: «Η κβαντική αντίστροφη μέτρηση: είναι ήδη παρωχημένα τα δεδομένα σας;»

«Sarah», λέει, όχι τόσο κατηγορηματικά όσο πραγματικά ανήσυχα, «έχουμε δαπανήσει εκατομμύρια σε κρυπτογράφηση. Είμαστε συμμορφωμένοι. Είμαστε ασφαλείς. Αυτό το άρθρο λέει ότι ένας αρκετά ισχυρός κβαντικός υπολογιστής θα μπορούσε να τα παραβιάσει όλα. Είμαστε εκτεθειμένοι; Τι γίνεται με τα δεδομένα που κρυπτογραφούμε και αποθηκεύουμε αυτή τη στιγμή; Είναι μια ωρολογιακή βόμβα;»

Αυτή είναι η συζήτηση που μεταφέρεται πλέον από τα συνέδρια ασφάλειας στις επιτροπές διοίκησης. Το ζήτημα δεν είναι πια αν η κβαντική υπολογιστική ενδιαφέρει τους ερευνητές. Το ζήτημα είναι αν οι σημερινές κρυπτογραφικές επιλογές μπορούν να προστατεύσουν τις αυριανές επιχειρησιακές υποχρεώσεις.

Για πολλούς οργανισμούς, η ειλικρινής απάντηση είναι άβολη. Η κρυπτογράφηση βρίσκεται παντού: πύλες TLS, VPN, πύλες πελατών, διακριτικά ταυτότητας, αντίγραφα ασφαλείας βάσεων δεδομένων, εφαρμογές κινητών, πλατφόρμες πληρωμών, S/MIME, SSH, ενσωματώσεις API, υπηρεσίες SaaS, μονάδες ασφάλειας υλικού (HSM), υπηρεσίες διαχείρισης κλειδιών σε περιβάλλον νέφους, υπογραφή firmware, υπογραφή κώδικα και ψηφιακές συμβάσεις.

Αυτό είναι το πρόβλημα. Η κρυπτογραφία είναι παντού, αλλά η ιδιοκτησία συχνά δεν βρίσκεται πουθενά.

Η μετάβαση στη μετα-κβαντική κρυπτογραφία δεν αφορά μόνο έναν μελλοντικό κβαντικό υπολογιστή με κρυπτογραφική σημασία. Αφορά επίσης τον σημερινό κίνδυνο «συλλογή τώρα, αποκρυπτογράφηση αργότερα» (harvest now, decrypt later), όπου οι αντίπαλοι συλλέγουν κρυπτογραφημένα δεδομένα σήμερα και περιμένουν έως ότου μελλοντικές δυνατότητες καταστήσουν πρακτικά εφικτή την αποκρυπτογράφηση. Αν ο οργανισμός σας αποθηκεύει δεδομένα προσωπικού χαρακτήρα, ιατρικούς φακέλους, ρυθμιζόμενα χρηματοοικονομικά δεδομένα, εμπορικά μυστικά, νομικές επικοινωνίες, δεδομένα εθνικών υποδομών, firmware προϊόντων ή μακρόβια διανοητική ιδιοκτησία, ο κίνδυνος είναι ήδη κίνδυνος κύκλου ζωής.

Ένα σχέδιο μετάβασης στην κρυπτογραφία έτοιμη για την κβαντική εποχή δεν είναι έργο πανικού. Είναι δομημένο πρόγραμμα διακυβέρνησης, απογραφής, διαχείρισης προμηθευτών, αρχιτεκτονικής, δοκιμών και ελέγχου. Το πρακτικό ερώτημα για τους Επικεφαλής Ασφάλειας Πληροφοριών είναι απλό:

Πώς δημιουργούμε ένα σχέδιο μετα-κβαντικής μετάβασης που είναι αξιόπιστο για τη διοίκηση, χρήσιμο για τους μηχανικούς και τεκμηριώσιμο ενώπιον ελεγκτών;

Η απάντηση είναι να θεμελιωθεί η εργασία στο ISO/IEC 27001:2022, να ερμηνευθούν οι έλεγχοι μέσω του ISO/IEC 27002:2022, να χρησιμοποιηθούν τα πρότυπα μετα-κβαντικής κρυπτογραφίας του NIST ως τεχνική πυξίδα και να δημιουργηθεί ένα ενιαίο μοντέλο τεκμηρίων που υποστηρίζει τις υποχρεώσεις ISO 27001, NIST, COBIT 2019, GDPR, DORA και NIS2.

Γιατί η μετα-κβαντική κρυπτογραφία ανήκει στο ISMS

Ένα συνηθισμένο λάθος είναι να ανατίθεται η μετα-κβαντική μετάβαση αποκλειστικά σε μηχανικούς κρυπτογραφίας. Οι μηχανικοί είναι απαραίτητοι, αλλά δεν μπορούν να λύσουν μόνοι τους το πρόβλημα διακυβέρνησης.

Η μετα-κβαντική μετάβαση επηρεάζει τη διαχείριση περιουσιακών στοιχείων, την ταξινόμηση δεδομένων, τη διαχείριση προμηθευτών, την ασφαλή αρχιτεκτονική, τη διαχείριση κλειδιών, την ανάπτυξη εφαρμογών, την ασφάλεια νέφους, την αντιμετώπιση περιστατικών, την επιχειρησιακή συνέχεια, τον νομικό κίνδυνο, τη ρυθμιστική λογοδοσία και τα ελεγκτικά τεκμήρια. Αυτά είναι θέματα ISMS.

Το ISO/IEC 27001:2022 παρέχει το πλαίσιο διακυβέρνησης. Απαιτεί από τον οργανισμό να κατανοεί το πλαίσιο λειτουργίας, τα ενδιαφερόμενα μέρη, τον κίνδυνο, τους στόχους, τις αρμοδιότητες, την επάρκεια, τις τεκμηριωμένες πληροφορίες, τον επιχειρησιακό σχεδιασμό, την αξιολόγηση απόδοσης, τον εσωτερικό έλεγχο, την ανασκόπηση της Διοίκησης και τη συνεχή βελτίωση. Το ISO/IEC 27002:2022 παρέχει στη συνέχεια την ερμηνεία των ελέγχων, ιδίως γύρω από τα 8.24 Use of cryptography, 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.21 Managing information security in the ICT supply chain, 5.23 Information security for use of cloud services, 8.25 Secure development life cycle, 8.8 Management of technical vulnerabilities, 8.16 Monitoring activities και 5.30 ICT readiness for business continuity.

Στην Clarysec, γι’ αυτό η μετα-κβαντική ετοιμότητα αντιμετωπίζεται ως μετασχηματισμός καθοδηγούμενος από το ISMS και όχι ως μεμονωμένη αντικατάσταση αλγορίθμων.

Όπως αναφέρεται στο Zenith Blueprint: ο οδικός χάρτης 30 βημάτων για ελεγκτές της Clarysec, Φάση 2, Βήμα 8, «Οριοθέτηση περιουσιακών στοιχείων, εξαρτήσεων και τεκμηρίων»:

«Ένας έλεγχος δεν μπορεί να θεωρείται αξιόπιστος έως ότου ο οργανισμός μπορεί να αποδείξει πού εφαρμόζεται, ποιος τον κατέχει, ποια τεκμήρια τον υποστηρίζουν και ποιον κίνδυνο μειώνει.»

Η διατύπωση αυτή είναι ιδιαίτερα σημαντική για τη μετα-κβαντική κρυπτογραφία. Πριν αντικαταστήσετε αλγορίθμους, πρέπει να γνωρίζετε πού χρησιμοποιούνται οι αλγόριθμοι.

Το Zenith Controls: ο οδηγός διατομεακής συμμόρφωσης της Clarysec πλαισιώνει την κρυπτογραφία ως συνδεδεμένη αλυσίδα τεκμηρίων και όχι ως μία μεμονωμένη τεχνική ρύθμιση:

«Η κρυπτογραφική διασφάλιση ελέγχεται μέσω του κύκλου ζωής της πληροφορίας: αναγνώριση, ταξινόμηση, εγκεκριμένη χρήση, προστασία κλειδιών, επιχειρησιακή παρακολούθηση, εξάρτηση από προμηθευτές, διαχείριση εξαιρέσεων και διατήρηση τεκμηρίων.»

Αυτή η οπτική κύκλου ζωής αποτρέπει την πιο συνηθισμένη αστοχία: να τίθεται μόνο το ερώτημα «χρησιμοποιούμε αλγορίθμους ασφαλείς έναντι κβαντικών επιθέσεων;». Τα καλύτερα ερωτήματα είναι:

• Ποια συστήματα χρειάζονται πρώτα μετα-κβαντική μετάβαση;
• Ποια δεδομένα έχουν απαιτούμενη διάρκεια εμπιστευτικότητας μεγαλύτερη από τον ορίζοντα κβαντικού κινδύνου;
• Ποιοι προμηθευτές ελέγχουν την κρυπτογράφηση, τις υπογραφές, τα πιστοποιητικά ή τη διαχείριση κλειδιών μας;
• Ποιες εφαρμογές είναι κρυπτογραφικά ευέλικτες και ποιες έχουν σκληροκωδικοποιημένες εξαρτήσεις;
• Ποιοι αντισταθμιστικοί έλεγχοι υπάρχουν όσο η μετάβαση παραμένει ατελής;
• Ποια τεκμήρια θα αποδείξουν ότι οι αποφάσεις ήταν βασισμένες στον κίνδυνο και ανασκοπήθηκαν;

Από την κβαντική απειλή στον ελέγξιμο επιχειρησιακό κίνδυνο

Ένα χρήσιμο μετα-κβαντικό σχέδιο ξεκινά με σενάρια κινδύνου. Αποφύγετε αόριστες δηλώσεις όπως «η κβαντική υπολογιστική μπορεί να σπάσει την κρυπτογράφηση». Αντί γι’ αυτό, δημιουργήστε ελέγξιμες εγγραφές κινδύνου που συνδέουν επιχειρηματικό αντίκτυπο, απειλή, ευπάθεια, επηρεαζόμενα περιουσιακά στοιχεία, υφιστάμενους ελέγχους, υπολειπόμενο κίνδυνο και ενέργειες αντιμετώπισης κινδύνου.

Για παράδειγμα:

«Κρυπτογραφημένα έγγραφα ταυτοποίησης πελατών που αποθηκεύονται για επτά έτη ενδέχεται να είναι ευάλωτα σε μελλοντική αποκρυπτογράφηση, εάν τα αντίγραφα ασφαλείας εξαχθούν σήμερα και η σημερινή κρυπτογραφία δημόσιου κλειδιού καταστεί διασπάσιμη στο μέλλον.»

Το σενάριο αυτό οδηγεί σε θέματα διατήρησης δεδομένων, κρυπτογράφησης αντιγράφων ασφαλείας, διαχείρισης κλειδιών, ελέγχου πρόσβασης, φιλοξενίας από προμηθευτή, παρακολούθησης και προτεραιότητας μετάβασης.

Άλλο παράδειγμα:

«Η υπογραφή firmware για συνδεδεμένες συσκευές βασίζεται σε σχήματα υπογραφής που ενδέχεται να μην παραμείνουν αξιόπιστα σε όλο τον αναμενόμενο κύκλο ζωής της συσκευής.»

Αυτό οδηγεί σε ασφάλεια προϊόντος, ασφαλείς μηχανισμούς ενημέρωσης, δυνατότητες HSM, ασφάλεια πελατών, διασφάλιση σχεδιασμού από προμηθευτές και μακροπρόθεσμη λειτουργική ανθεκτικότητα.

Τρίτο παράδειγμα:

«Αρχειοθετημένες νομικές επικοινωνίες που κρυπτογραφούνται σήμερα ενδέχεται να απαιτούν εμπιστευτικότητα για περισσότερα από δεκαπέντε έτη, δημιουργώντας έκθεση τύπου “συλλογή τώρα, αποκρυπτογράφηση αργότερα”.»

Αυτό οδηγεί σε ταξινόμηση, διατήρηση, κρυπτογραφική προστασία, νομική δέσμευση διατήρησης, ασφαλείς επικοινωνίες και αποδοχή κινδύνου από τη διοίκηση.

Ο κίνδυνος δεν είναι απλώς μια μελλοντική «Q-Day». Περιλαμβάνει τρεις συναφείς ανησυχίες:

1. Συλλογή τώρα, αποκρυπτογράφηση αργότερα, όπου οι αντίπαλοι συλλέγουν σήμερα κρυπτογραφημένα δεδομένα για μελλοντική αποκρυπτογράφηση.
2. Συμβιβασμός ψηφιακών υπογραφών, όπου μελλοντικές επιθέσεις υπονομεύουν την εμπιστοσύνη σε ενημερώσεις λογισμικού, διακριτικά ταυτότητας, νομικά έγγραφα, firmware και χρηματοοικονομικές συναλλαγές.
3. Αστοχία κρυπτογραφικής συγκέντρωσης, όπου μια ευρεία κατηγορία προϊόντων, πρωτοκόλλων, βιβλιοθηκών ή προμηθευτών καθίσταται ταυτόχρονα παρωχημένη.

Η Enterprise Policy της Clarysec, Πολιτική κρυπτογραφίας και διαχείρισης κλειδιών, ρήτρα 5.1, αποτυπώνει την απαίτηση διακυβέρνησης ως εξής:

«Οι κρυπτογραφικοί έλεγχοι επιλέγονται, υλοποιούνται, ανασκοπούνται και αποσύρονται βάσει της ταξινόμησης των πληροφοριών, της απαιτούμενης διάρκειας προστασίας, των εγκεκριμένων κρυπτογραφικών προτύπων, της ιδιοκτησίας των κλειδιών και των τεκμηριωμένων αποφάσεων αντιμετώπισης κινδύνου.»

Η ρήτρα αυτή είναι κρίσιμη επειδή η διάρκεια προστασίας καθίσταται παράγοντας ιεράρχησης. Τα βραχύβια δεδομένα συνεδρίας και οι μακροπρόθεσμοι ιατρικοί φάκελοι δεν έχουν τον ίδιο κβαντικό κίνδυνο. Ένα κλειδί υπογραφής κώδικα που θεμελιώνει την εμπιστοσύνη συσκευών για δεκαπέντε έτη έχει διαφορετικό προφίλ κινδύνου από ένα βραχύβιο εσωτερικό πιστοποιητικό δοκιμών.

Η ίδια οικογένεια πολιτικών, που αναφέρεται στο υλικό της Clarysec ως Πολιτική Κρυπτογραφικών Ελέγχων, μπορεί επίσης να τυποποιήσει τις προσδοκίες ανασκόπησης με διατύπωση όπως:

Ρήτρα 5.4: Πρότυπα αλγορίθμων και μήκους κλειδιών
«Όλοι οι κρυπτογραφικοί αλγόριθμοι και τα μήκη κλειδιών που χρησιμοποιούνται εντός του οργανισμού πρέπει να επιλέγονται από εγκεκριμένο κατάλογο που τηρεί η Ομάδα Ασφάλειας Πληροφοριών. Ο κατάλογος αυτός πρέπει να ανασκοπείται ετησίως σε σχέση με τις βέλτιστες πρακτικές του κλάδου και την καθοδήγηση εθνικών φορέων κυβερνοασφάλειας (π.χ. NIST, ENISA), με ειδική προσοχή στην εξέλιξη των μετα-κβαντικών κρυπτογραφικών προτύπων. Πρέπει να τηρείται οδικός χάρτης για τη μετάβαση συστημάτων από αλγορίθμους ευάλωτους σε κβαντικές επιθέσεις, ως μέρος της κρυπτογραφικής απογραφής περιουσιακών στοιχείων.»

Αυτό δεν απαιτεί μη ασφαλή πρόωρη υιοθέτηση. Απαιτεί επίγνωση, σχεδιασμό, ανασκόπηση και τεκμήρια.

Χρησιμοποιήστε τα πρότυπα NIST PQC ως τεχνική πυξίδα

Το έργο του NIST για τη μετα-κβαντική κρυπτογραφία παρέχει στους οργανισμούς αξιόπιστη τεχνική κατεύθυνση. Το NIST έχει τυποποιήσει το ML-KEM για εγκαθίδρυση κλειδιών, το ML-DSA για ψηφιακές υπογραφές και το SLH-DSA για υπογραφές χωρίς κατάσταση βάσει κατακερματισμού. Τα πρότυπα αυτά παρέχουν σε προμηθευτές και αρχιτέκτονες βάση για οδικούς χάρτες και πιλοτικούς σχεδιασμούς.

Για τους CISO, ο στόχος δεν είναι η απομνημόνευση λεπτομερειών αλγορίθμων. Ο στόχος είναι η δημιουργία διαδρομής μετάβασης που μπορεί να ενσωματώνει εγκεκριμένες κρυπτογραφικές επιλογές χωρίς να διακόπτει επιχειρησιακές υπηρεσίες, δεσμεύσεις συμμόρφωσης ή ιχνηλασιμότητα ελέγχου.

Ένα σχέδιο μετάβασης ευθυγραμμισμένο με το NIST πρέπει να περιλαμβάνει τέσσερις ροές εργασίας:

1. Ανακάλυψη, εντοπισμός των σημείων όπου υπάρχει ευάλωτη κρυπτογραφία δημόσιου κλειδιού.
2. Ιεράρχηση, κατάταξη συστημάτων βάσει ευαισθησίας δεδομένων, διάρκειας προστασίας, έκθεσης, αντικτύπου στην ακεραιότητα και επιχειρησιακής κρισιμότητας.
3. Αρχιτεκτονική μετάβασης, καθορισμός των σημείων όπου θα δοκιμαστούν και θα υιοθετηθούν υβριδικοί, κρυπτογραφικά ευέλικτοι ή μετα-κβαντικοί μηχανισμοί.
4. Διασφάλιση, παραγωγή τεκμηρίων ότι οι αποφάσεις, οι εξαιρέσεις, οι εξαρτήσεις από προμηθευτές, οι δοκιμές και οι υπολειπόμενοι κίνδυνοι ελέγχονται.

Η κρυπτογραφική ευελιξία αξίζει ιδιαίτερη προσοχή. Ένα κρυπτογραφικά ευέλικτο σύστημα μπορεί να αλλάζει αλγορίθμους, μεγέθη κλειδιών, βιβλιοθήκες, πιστοποιητικά και πρωτόκολλα χωρίς σημαντικό επανασχεδιασμό. Στη μετα-κβαντική εποχή, η κρυπτογραφική ευελιξία δεν είναι πολυτέλεια. Είναι απαίτηση ανθεκτικότητας.

Αν ένα API πληρωμών έχει σκληροκωδικοποιημένες κρυπτογραφικές βιβλιοθήκες και δεν διαθέτει τεκμηριωμένο ιδιοκτήτη, δεν είναι κρυπτογραφικά ευέλικτο. Αν μια εφαρμογή κινητού κάνει certificate pinning χωρίς διαχειριζόμενη διαδρομή ενημέρωσης, η μετάβαση μπορεί να γίνει δαπανηρή. Αν μια συσκευή IoT έχει δεκαπενταετή διάρκεια λειτουργίας στο πεδίο και δεν μπορεί να υποστηρίξει μεγαλύτερες υπογραφές ή ασφαλείς ενημερώσεις firmware, ο κίνδυνος είναι στρατηγικός.

Δημιουργήστε την κρυπτογραφική απογραφή πριν επιλέξετε τη διαδρομή μετάβασης

Οι περισσότεροι οργανισμοί δεν διαθέτουν πλήρη κρυπτογραφική απογραφή. Μπορεί να διαθέτουν απογραφή πιστοποιητικών, υπολογιστικό φύλλο διαχείρισης κλειδιών, αρχεία HSM, κατάλογο cloud KMS ή καταχωρίσεις CMDB. Σπάνια όμως διαθέτουν ενιαία εικόνα των κρυπτογραφικών εξαρτήσεων.

Ένα σχέδιο μετάβασης στη μετα-κβαντική κρυπτογραφία χρειάζεται cryptographic bill of materials, ή CBOM. Δεν χρειάζεται να είναι τέλειο από την πρώτη ημέρα. Πρέπει όμως να είναι δομημένο, να έχει ιδιοκτήτη και να βελτιώνεται συνεχώς.

Κατ’ ελάχιστον, καταγράψτε τα ακόλουθα πεδία:

Μια αρχική απογραφή μπορεί να μοιάζει ως εξής:

Ο πίνακας αυτός δείχνει αμέσως γιατί η απογραφή έχει σημασία. Το AES-256 δεν έχει τον ίδιο τύπο κβαντικού κινδύνου με το RSA ή το ECC, αλλά οι αρχειοθετημένοι φάκελοι ασθενών μπορεί ακόμη να εξαρτώνται από ευάλωτη περιτύλιξη κλειδιών, πιστοποιητικά, συστήματα ταυτότητας ή κανάλια μεταφοράς αντιγράφων ασφαλείας. Η υπογραφή κώδικα μπορεί να μην προστατεύει την εμπιστευτικότητα, αλλά προστατεύει την ακεραιότητα και την εμπιστοσύνη στο λογισμικό.

Στο Zenith Controls, η κρυπτογραφία διασταυρώνεται με υποστηρικτικά πρότυπα που προσθέτουν βάθος. Το ISO/IEC 27005 υποστηρίζει τη διαχείριση κινδύνων ασφάλειας πληροφοριών και βοηθά στη μετατροπή της κβαντικής αβεβαιότητας σε δομημένα σενάρια κινδύνου. Το ISO/IEC 27017 υποστηρίζει ελέγχους ασφάλειας ειδικούς για το υπολογιστικό νέφος, κάτι απαραίτητο όταν οι κρυπτογραφικές υπηρεσίες παρέχονται μέσω cloud KMS, διαχειριζόμενου TLS, κρυπτογράφησης SaaS ή πιστοποιητικών πλατφόρμας. Το ISO/IEC 27018 είναι συναφές όταν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε δημόσιες υπηρεσίες νέφους. Το ISO 22301 είναι συναφές όταν κρυπτογραφική αστοχία θα μπορούσε να επηρεάσει τη συνέχεια κρίσιμων υπηρεσιών. Το ISO/IEC 27036 υποστηρίζει την ασφάλεια σχέσεων με προμηθευτές, κάτι κρίσιμο όταν προμηθευτές διαχειρίζονται για λογαριασμό σας κρυπτογράφηση, υπογραφές, πιστοποιητικά ή ασφαλείς επικοινωνίες.

Το δίδαγμα είναι απλό: δεν μπορείτε να μεταφέρετε κάτι που δεν μπορείτε να εντοπίσετε.

Ιεραρχήστε βάσει ευαισθησίας, διάρκειας ζωής, έκθεσης και δυσκολίας μετάβασης

Μόλις υπάρχει το CBOM, η ιεράρχηση γίνεται τεκμηριωμένη και βασισμένη σε στοιχεία. Το καλύτερο σημείο εκκίνησης είναι ένας μικρός αριθμός κρίσιμων συστημάτων και όχι μια άσκηση τελειότητας σε επίπεδο όλου του οργανισμού.

Φανταστείτε μια εταιρεία χρηματοοικονομικών υπηρεσιών με τρία συστήματα υψηλής αξίας:

• Ένα θησαυροφυλάκιο εγγράφων πελατών που αποθηκεύει τεκμήρια ταυτότητας για δέκα έτη
• Μια πύλη B2B API που υποστηρίζει συναλλαγές με συνεργάτες
• Μια πλατφόρμα υπογραφής κώδικα για ενημερώσεις λογισμικού επιτραπέζιων υπολογιστών

Χρησιμοποιώντας το Zenith Blueprint, Φάση 2, Βήμα 8, η ομάδα εξάγει περιουσιακά στοιχεία από το CMDB, πιστοποιητικά από την πλατφόρμα διαχείρισης πιστοποιητικών, κλειδιά από το HSM και το cloud KMS, κατηγορίες δεδομένων από το μητρώο ιδιωτικότητας και εξαρτήσεις από προμηθευτές από αρχεία προμηθειών.

Στη συνέχεια βαθμολογεί τα συστήματα:

Το θησαυροφυλάκιο εγγράφων πελατών γίνεται προτεραιότητα λόγω της διάρκειας εμπιστευτικότητας. Η πλατφόρμα υπογραφής κώδικα γίνεται προτεραιότητα επειδή η εμπιστοσύνη υπογραφών επηρεάζει την ακεραιότητα λογισμικού και την ασφάλεια πελατών. Η πύλη API έχει υψηλή προτεραιότητα λόγω εξωτερικής έκθεσης, αλλά τα διατηρούμενα δεδομένα της μπορεί να έχουν μικρότερη διάρκεια εμπιστευτικότητας.

Το μητρώο κινδύνων πρέπει στη συνέχεια να συνδέει κάθε σενάριο με αντιμετώπιση και τεκμήρια:

Η Enterprise Policy της Clarysec, Πολιτική ασφαλούς ανάπτυξης, ρήτρα 6.4, δίνει την οπτική της παράδοσης λογισμικού:

«Οι ανασκοπήσεις σχεδιασμού ασφάλειας αξιολογούν κρυπτογραφικές εξαρτήσεις, κύκλο ζωής βιβλιοθηκών, ευελιξία αλγορίθμων, χειρισμό μυστικών, μηχανισμούς ενημέρωσης και στοιχεία ελεγχόμενα από προμηθευτές πριν από την έγκριση για παραγωγή.»

Η ρήτρα αυτή μετατρέπει τη μετα-κβαντική ετοιμότητα σε απαίτηση μηχανικής. Αποτρέπει τις ομάδες από την ανάπτυξη νέων συστημάτων που δεν θα μπορούν να μεταβούν αργότερα.

Ακολουθήστε έναν 12μηνο οδικό χάρτη κατανοητό στους ελεγκτές

Η μετα-κβαντική μετάβαση θα χρειαστεί χρόνια για πολλούς οργανισμούς. Το πρώτο έτος πρέπει να μετακινήσει τον οργανισμό από την αβεβαιότητα σε ελεγχόμενη μετάβαση.

Στο Zenith Blueprint, Φάση 3, Βήμα 14, «Σχεδιασμός αντιμετώπισης κινδύνων και ιδιοκτησία», ο οδικός χάρτης προειδοποιεί για τις μη χρηματοδοτημένες προθέσεις ασφάλειας:

«Ένα σχέδιο αντιμετώπισης χωρίς ιδιοκτήτη, προσδοκία τεκμηρίων, διαδρομή προϋπολογισμού και ημερομηνία ανασκόπησης δεν είναι σχέδιο. Είναι ένας ανεπίλυτος κίνδυνος με καλύτερη μορφοποίηση.»

Έτσι ακριβώς αποτυγχάνουν τα μετα-κβαντικά προγράμματα. Παράγουν διαφάνειες ευαισθητοποίησης, αλλά όχι κατάλογο εργασιών αποκατάστασης με ιδιοκτήτες. Συζητούν αλγορίθμους, αλλά δεν επικαιροποιούν συμβάσεις προμηθευτών. Τεκμηριώνουν τον κίνδυνο, αλλά δεν δοκιμάζουν πρότυπα μετάβασης.

Ένας αξιόπιστος οδικός χάρτης δημιουργεί αρχεία αποφάσεων, ιδιοκτήτες, εξαρτήσεις, προσδοκίες τεκμηρίων, προϋπολογισμούς και ημερομηνίες ανασκόπησης.

Εντάξτε τους προμηθευτές στο πρόγραμμα από νωρίς

Πολλές κρυπτογραφικές εξαρτήσεις ανατίθενται εξωτερικά. Οι πάροχοι νέφους τερματίζουν TLS. Οι πλατφόρμες SaaS κρυπτογραφούν αρχεία. Οι πάροχοι ταυτότητας υπογράφουν διακριτικά. Οι επεξεργαστές πληρωμών διαχειρίζονται πιστοποιητικά. Οι προμηθευτές υλικού ελέγχουν την υπογραφή firmware. Οι πάροχοι διαχειριζόμενων υπηρεσιών λειτουργούν VPN και πύλες ασφάλειας.

Ακόμη και αν η εσωτερική σας ομάδα είναι έτοιμη, η μετάβασή σας μπορεί να μπλοκαριστεί από τις δυνατότητες του προμηθευτή.

Η Enterprise Policy της Clarysec, Πολιτική ασφάλειας τρίτων μερών και προμηθευτών, ρήτρα 5.6, αναφέρει:

«Οι προμηθευτές που παρέχουν υπηρεσίες σχετιζόμενες με την ασφάλεια οφείλουν να γνωστοποιούν ουσιώδεις εξαρτήσεις, κρυπτογραφικές αρμοδιότητες, τεκμήρια διασφάλισης, διαδικασίες χειρισμού ευπαθειών και αλλαγές οδικού χάρτη που ενδέχεται να επηρεάσουν τη στάση κινδύνου του οργανισμού.»

Για μετα-κβαντική ετοιμότητα, ρωτήστε τους κρίσιμους προμηθευτές:

• Ποιοι αλγόριθμοι, πρωτόκολλα, πιστοποιητικά και υπηρεσίες διαχείρισης κλειδιών προστατεύουν τα δεδομένα ή τις συναλλαγές μας;
• Διατηρείτε κρυπτογραφική απογραφή ή CBOM;
• Ποιος είναι ο οδικός χάρτης σας για τη μετα-κβαντική κρυπτογραφία σύμφωνα με το NIST;
• Θα υποστηρίξετε υβριδική ανταλλαγή κλειδιών, μετα-κβαντικές υπογραφές ή εγκαθίδρυση κλειδιών ανθεκτική σε κβαντικές επιθέσεις;
• Πώς θα κοινοποιούνται αλλαγές σε πιστοποιητικά, διακριτικά, υπογραφή και κρυπτογράφηση;
• Ποιες ενέργειες θα απαιτηθούν από τον πελάτη;
• Ποια περιβάλλοντα δοκιμών θα είναι διαθέσιμα;
• Πώς θα αντιμετωπιστούν η απόδοση, η διαλειτουργικότητα και η επαναφορά;
• Ορίζονται οι κρυπτογραφικές αρμοδιότητες στη σύμβαση ή στο μοντέλο κοινής ευθύνης;
• Ποιες επιλογές εξόδου ή φορητότητας υπάρχουν αν ο οδικός χάρτης σας δεν καλύπτει τις απαιτήσεις κινδύνου μας;

Οι απαντήσεις των προμηθευτών πρέπει να τροφοδοτούν το μητρώο κινδύνων. Οι αδύναμες απαντήσεις δεν σημαίνουν πάντα άμεση αντικατάσταση, απαιτούν όμως αντιμετώπιση. Μπορεί να χρειαστείτε αντισταθμιστικούς ελέγχους, τροποποιήσεις συμβάσεων, ρήτρες ειδοποίησης, σχεδιασμό εξόδου, ενισχυμένη παρακολούθηση ή αναθεωρημένη στρατηγική προμηθειών.

Αυτό είναι ιδιαίτερα σημαντικό στο πλαίσιο προσδοκιών λειτουργικής ανθεκτικότητας τύπου DORA και NIS2. Το DORA δίνει έμφαση στη διαχείριση κινδύνων ΤΠΕ και στη διαχείριση κινδύνων ΤΠΕ τρίτων μερών, συμπεριλαμβανομένης της εποπτείας κρίσιμων εξαρτήσεων. Το NIS2 Article 21 απαιτεί κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα διαχείρισης κινδύνων ασφάλειας, συμπεριλαμβανομένης της ασφάλειας εφοδιαστικής αλυσίδας, του χειρισμού περιστατικών, της επιχειρησιακής συνέχειας και της κρυπτογραφίας όπου ενδείκνυται. Το GDPR Article 32 απαιτεί ασφάλεια ανάλογη προς τον κίνδυνο, συμπεριλαμβανομένης της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας, της ανθεκτικότητας και της δυνατότητας διασφάλισης της συνεχιζόμενης προστασίας των δεδομένων προσωπικού χαρακτήρα.

Η ρυθμιστική γλώσσα διαφέρει, αλλά η λογική των ελέγχων είναι συνεπής: γνωρίστε τις εξαρτήσεις σας, διαχειριστείτε τον κίνδυνο, διατηρήστε τεκμήρια και ενεργήστε πριν τεθεί σε κίνδυνο η ανθεκτικότητα.

Αντιστοίχιση διατομεακής συμμόρφωσης: ένα σχέδιο μετάβασης, πολλές υποχρεώσεις

Ένα ισχυρό σχέδιο μετάβασης στη μετα-κβαντική κρυπτογραφία πρέπει να αποφεύγει τη δημιουργία ξεχωριστών πακέτων τεκμηρίων για κάθε πλαίσιο. Τα ίδια βασικά τεκμήρια μπορούν να υποστηρίξουν πολλαπλές υποχρεώσεις, εφόσον είναι σωστά δομημένα.

Το Zenith Controls αντιστοιχίζει το θέμα της κρυπτογραφίας στα ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA και NIS2, εστιάζοντας στον σκοπό του ελέγχου και όχι στην ονομασία που χρησιμοποιεί κάθε πλαίσιο.

Η επαναχρησιμοποίηση τεκμηρίων είναι το κλειδί. Μια κρυπτογραφική απογραφή υποστηρίζει τη διαχείριση περιουσιακών στοιχείων ISO, τα αποτελέσματα Identify του NIST, την ορατότητα περιουσιακών στοιχείων ΤΠΕ στο DORA, τη διαχείριση κινδύνων στο NIS2 και τη λογοδοσία στο GDPR. Τα ερωτηματολόγια προμηθευτών υποστηρίζουν ελέγχους προμηθευτών ISO, κίνδυνο ΤΠΕ τρίτων μερών στο DORA, ασφάλεια εφοδιαστικής αλυσίδας στο NIS2 και διακυβέρνηση προμηθευτών στο COBIT. Τα αποτελέσματα δοκιμών μετάβασης υποστηρίζουν ασφαλείς αλλαγές, δοκιμές ανθεκτικότητας, ετοιμότητα για έλεγχο και ανασκόπηση της Διοίκησης.

Τι θα ρωτήσουν οι ελεγκτές

Η μετα-κβαντική κρυπτογραφία εξακολουθεί να είναι αναδυόμενο θέμα ελέγχου, αλλά οι ελεγκτές έχουν ήδη αρκετές προσδοκίες ελέγχων για να θέσουν δύσκολα ερωτήματα.

Ένας ελεγκτής ISO/IEC 27001:2022 συνήθως θα ξεκινήσει από τον κίνδυνο. Θα ρωτήσει αν ο κρυπτογραφικός κίνδυνος που σχετίζεται με την κβαντική υπολογιστική έχει αναγνωριστεί, αξιολογηθεί, αντιμετωπιστεί, παρακολουθείται και ανασκοπείται εντός του ISMS. Θα αναμένει τεκμήρια ότι οι κρυπτογραφικοί έλεγχοι επιλέγονται βάσει επιχειρησιακού κινδύνου και ότι οι αρμοδιότητες έχουν οριστεί.

Ένας αξιολογητής προσανατολισμένος στο NIST μπορεί να εστιάσει στην ορατότητα περιουσιακών στοιχείων, στους μηχανισμούς προστασίας, στον κίνδυνο εφοδιαστικής αλυσίδας, στη διαχείριση ευπαθειών και στα αποτελέσματα διακυβέρνησης. Μπορεί να ρωτήσει αν ο οργανισμός έχει εντοπίσει συστήματα που χρησιμοποιούν ευάλωτη κρυπτογραφία δημόσιου κλειδιού και αν ο σχεδιασμός μετάβασης ευθυγραμμίζεται με την κατεύθυνση του NIST.

Ένας ελεγκτής COBIT ή ISACA συχνά θα ρωτήσει για τη διακυβέρνηση. Ποιος λογοδοτεί; Πώς λαμβάνει αναφορές το Διοικητικό Συμβούλιο; Έχουν ιεραρχηθεί οι επενδύσεις; Διαχειρίζονται οι εξαρτήσεις από προμηθευτές; Ισορροπούνται τα οφέλη, οι κίνδυνοι και οι πόροι;

Ένας ελεγκτής ιδιωτικότητας μπορεί να εστιάσει στο αν η κρυπτογράφηση και η διαχείριση κλειδιών παραμένουν κατάλληλες για την ευαισθησία και την περίοδο διατήρησης των δεδομένων προσωπικού χαρακτήρα.

Ένας αξιολογητής με επίκεντρο DORA ή NIS2 θα εξετάσει την ανθεκτικότητα, τη συγκέντρωση ΤΠΕ σε τρίτα μέρη, τη λειτουργική συνέχεια και την ετοιμότητα για περιστατικά.

Το Zenith Controls συνιστά η προετοιμασία για έλεγχο να αντιμετωπίζεται ως διαδρομή τεκμηρίων. Μην περιμένετε τους ελεγκτές να ζητήσουν στιγμιότυπα οθόνης και υπολογιστικά φύλλα. Δημιουργήστε έναν χώρο εργασίας GRC που συνδέει κάθε κρυπτογραφικό κίνδυνο με τον ιδιοκτήτη του, τα επηρεαζόμενα περιουσιακά στοιχεία, τους προμηθευτές, τις αποφάσεις, τις δοκιμές, τις εξαιρέσεις και τις ημερομηνίες ανασκόπησης.

Επικαιροποιήστε τις πολιτικές ώστε το πρόγραμμα να γίνει επιχειρησιακό

Οι περισσότερες πολιτικές κρυπτογραφίας γράφτηκαν για παραδοσιακές απαιτήσεις εμπιστευτικότητας και ακεραιότητας. Η μετα-κβαντική μετάβαση απαιτεί στοχευμένες προσθήκες.

Η πολιτική κρυπτογραφίας και διαχείρισης κλειδιών πρέπει να καλύπτει εγκεκριμένα πρότυπα, συχνότητα ανασκόπησης, ταξινόμηση δεδομένων, διάρκεια προστασίας, ευελιξία αλγορίθμων, δημιουργία κλειδιών, αποθήκευση κλειδιών, περιοδική αλλαγή κλειδιών, καταστροφή, ιδιοκτησία, κύκλο ζωής πιστοποιητικών, αρμοδιότητα HSM, αρμοδιότητα cloud KMS, έγκριση εξαιρέσεων, κρυπτογραφία ελεγχόμενη από προμηθευτές και παρακολούθηση της μετα-κβαντικής μετάβασης.

Η πολιτική ασφαλούς ανάπτυξης πρέπει να καλύπτει έγκριση κρυπτογραφικών βιβλιοθηκών, απαγόρευση σκληροκωδικοποιημένων αλγορίθμων χωρίς ανασκόπηση, παρακολούθηση εξαρτήσεων, ασφαλείς μηχανισμούς ενημέρωσης, δοκιμές επιδόσεων για μεγαλύτερα κλειδιά ή υπογραφές, συμβατότητα προς τα πίσω, επαναφορά και μοντελοποίηση απειλών για μακρόβια προϊόντα.

Η πολιτική ασφάλειας προμηθευτών πρέπει να καλύπτει κρυπτογραφική διαφάνεια, αιτήματα μετα-κβαντικών οδικών χαρτών, συμβατικές υποχρεώσεις ειδοποίησης, κοινή ευθύνη για κρυπτογράφηση και διαχείριση κλειδιών, σχεδιασμό εξόδου και φορητότητα.

Η διαδικασία διαχείρισης περιουσιακών στοιχείων πρέπει να καλύπτει πεδία κρυπτογραφικής απογραφής, ιδιοκτησία, πηγές τεκμηρίων, συχνότητα ανασκόπησης και ενσωμάτωση με CMDB, απογραφή νέφους, διαχείριση πιστοποιητικών, αρχεία HSM και αποθετήρια πηγαίου κώδικα.

Εδώ η βιβλιοθήκη πολιτικών της Clarysec βοηθά τους οργανισμούς να κινηθούν ταχύτερα. Αντί να συντάσσουν από λευκή σελίδα, οι ομάδες μπορούν να προσαρμόσουν ρήτρες πολιτικών σε διαδικασίες, μητρώα, ερωτηματολόγια και ελεγκτικά τεκμήρια.

Αποφύγετε τα πιο συνηθισμένα λάθη μετα-κβαντικής μετάβασης

Τα πιο επικίνδυνα λάθη είναι συνήθως αστοχίες διακυβέρνησης, όχι τεχνικές αστοχίες.

Εκκίνηση από τους αλγορίθμους αντί από τα περιουσιακά στοιχεία. Αν δεν γνωρίζετε πού χρησιμοποιείται η κρυπτογραφία, η επιλογή αλγορίθμων δεν θα βοηθήσει.

Αγνόηση της διάρκειας ζωής των δεδομένων. Τα βραχύβια συναλλακτικά δεδομένα και τα μακρόβια ευαίσθητα αρχεία δεν έχουν τον ίδιο κίνδυνο.

Αντιμετώπιση των προμηθευτών ως μεταγενέστερης φάσης. Πολλοί κρυπτογραφικοί έλεγχοι διαχειρίζονται από προμηθευτές. Αν οι προμηθευτές δεν συμπεριληφθούν νωρίς, το σχέδιό σας μπορεί να είναι μη ρεαλιστικό.

Παράβλεψη των υπογραφών. Ο μετα-κβαντικός σχεδιασμός δεν αφορά μόνο την κρυπτογράφηση. Οι ψηφιακές υπογραφές, η υπογραφή κώδικα, τα πιστοποιητικά, τα διακριτικά ταυτότητας, οι ενημερώσεις firmware και η υπογραφή εγγράφων χρειάζονται προσοχή.

Υπόθεση ότι οι πάροχοι νέφους λύνουν τα πάντα. Οι πλατφόρμες νέφους θα διαδραματίσουν σημαντικό ρόλο, αλλά η ευθύνη παραμένει κοινή. Πρέπει ακόμη να γνωρίζετε ποιες υπηρεσίες, ρυθμίσεις, κλειδιά, περιοχές και ενσωματώσεις επηρεάζονται.

Αποτυχία δημιουργίας ελεγκτικών τεκμηρίων. Ένα σχέδιο μετάβασης που δεν μπορεί να τεκμηριωθεί δεν θα ικανοποιήσει τη διοίκηση, τις ρυθμιστικές αρχές, τους πελάτες ή τους ελεγκτές.

Παράλειψη δοκιμών απόδοσης και διαλειτουργικότητας. Οι μετα-κβαντικοί αλγόριθμοι μπορεί να επηρεάσουν το μέγεθος των φορτίων δεδομένων, τη συμπεριφορά της χειραψίας πρωτοκόλλου, την καθυστέρηση, την αποθήκευση, τους περιορισμούς ενσωματωμένων συστημάτων και τη συμβατότητα.

Μετρικές που πρέπει να αναφέρει ο CISO στο Διοικητικό Συμβούλιο

Η αναφορά προς το Διοικητικό Συμβούλιο πρέπει να είναι αρκετά απλή ώστε να γίνεται κατανοητή και αρκετά συγκεκριμένη ώστε να οδηγεί σε ενέργειες. Αποφύγετε βαθιές συζητήσεις για αλγορίθμους. Εστιάστε στην έκθεση, την πρόοδο, τις αποφάσεις και τον υπολειπόμενο κίνδυνο.

Ένα χρήσιμο μήνυμα προς το Διοικητικό Συμβούλιο θα μπορούσε να διατυπωθεί ως εξής:

«Έχουμε ολοκληρώσει κρυπτογραφική ανακάλυψη για το 72% των κρίσιμων υπηρεσιών. Δύο συστήματα έχουν κρίσιμη μακρόβια έκθεση εμπιστευτικότητας και τρεις προμηθευτές δεν έχουν ακόμη παράσχει μετα-κβαντικούς οδικούς χάρτες. Έχουμε ξεκινήσει έργο ετοιμότητας υπογραφής κώδικα και ανασκόπηση εξαρτήσεων cloud KMS. Δεν συνιστάται σήμερα επείγουσα αντικατάσταση, αλλά η αβεβαιότητα προμηθευτών παραμένει ο μεγαλύτερος υπολειπόμενος κίνδυνος.»

Αυτή είναι η γλώσσα του κυβερνοκινδύνου με διακυβέρνηση.

Πρακτική λίστα ελέγχου για να ξεκινήσετε αυτή την εβδομάδα

Δεν χρειάζεται να περιμένετε τέλεια βεβαιότητα. Ξεκινήστε με βήματα που βελτιώνουν άμεσα την ορατότητα και τη διακυβέρνηση.

1. Ορίστε ιδιοκτήτη μετα-κβαντικής κρυπτογραφίας.
2. Προσθέστε τον κρυπτογραφικό κίνδυνο που σχετίζεται με την κβαντική υπολογιστική στο μητρώο κινδύνων του ISMS.
3. Εντοπίστε τις δέκα κορυφαίες υπηρεσίες με μακρόβια ευαίσθητα δεδομένα ή υψηλό αντίκτυπο στην ακεραιότητα.
4. Δημιουργήστε ένα ελάχιστα βιώσιμο CBOM για αυτές τις υπηρεσίες.
5. Ζητήστε από κρίσιμους προμηθευτές τον μετα-κβαντικό οδικό χάρτη τους.
6. Ανασκοπήστε τις πολιτικές κρυπτογραφίας, ασφαλούς ανάπτυξης, προμηθευτών και περιουσιακών στοιχείων.
7. Εντοπίστε συστήματα με σκληροκωδικοποιημένους αλγορίθμους, απαρχαιωμένες βιβλιοθήκες, χειροκίνητη περιοδική αλλαγή πιστοποιητικών ή αδύναμη ιδιοκτησία.
8. Επιλέξτε ένα πιλοτικό έργο χαμηλού κινδύνου για δοκιμές κρυπτογραφικής ευελιξίας.
9. Ορίστε μετρικές Διοικητικού Συμβουλίου και συχνότητα αναφοράς.
10. Προγραμματίστε εσωτερικό έλεγχο με επίκεντρο την κρυπτογραφική διακυβέρνηση και τα τεκμήρια.

Η πιο σημαντική κίνηση είναι να μετατρέψετε την αβεβαιότητα σε διαχειριζόμενη εργασία. Ο κβαντικός κίνδυνος μπορεί να αφορά το μέλλον, αλλά το κρυπτογραφικό χρέος υπάρχει σήμερα.

Επόμενα βήματα με την Clarysec

Η μετα-κβαντική μετάβαση θα είναι μία από τις πιο σύνθετες μεταβάσεις ασφάλειας της επόμενης δεκαετίας, επειδή επηρεάζει ταυτότητα, κρυπτογράφηση, υπογραφές, προμηθευτές, υπολογιστικό νέφος, λογισμικό, συσκευές, αρχεία και ελεγκτικά τεκμήρια. Οι οργανισμοί που ξεκινούν με διακυβέρνηση και απογραφή θα κινηθούν ταχύτερα από εκείνους που περιμένουν έναν κύκλο αντικατάστασης της τελευταίας στιγμής.

Η Clarysec μπορεί να σας βοηθήσει να δημιουργήσετε ένα σχέδιο μετάβασης σε κρυπτογραφία έτοιμη για την κβαντική εποχή χρησιμοποιώντας:

• Zenith Blueprint: ο οδικός χάρτης 30 βημάτων για ελεγκτές για σταδιακή υλοποίηση και ετοιμότητα για έλεγχο
• Zenith Controls: ο οδηγός διατομεακής συμμόρφωσης για αντιστοίχιση ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA και NIS2
• Πολιτική κρυπτογραφίας και διαχείρισης κλειδιών για κρυπτογραφικούς κανόνες έτοιμους για διακυβέρνηση
• Πολιτική ασφάλειας τρίτων μερών και προμηθευτών για απαιτήσεις οδικού χάρτη και διασφάλισης προμηθευτών
• Πολιτική ασφαλούς ανάπτυξης για πρακτικές μηχανικής με κρυπτογραφική ευελιξία

Η καλύτερη στιγμή για να ξεκινήσετε τον μετα-κβαντικό σχεδιασμό είναι πριν ζητήσει τεκμήρια μια ρυθμιστική αρχή, ένας ελεγκτής, ένας πελάτης ή ένα μέλος του Διοικητικού Συμβουλίου. Ξεκινήστε με την απογραφή, συνδέστε την με τον κίνδυνο και δημιουργήστε τη διαδρομή μετάβασης, μία ελεγχόμενη απόφαση κάθε φορά.