Postkvantkrüptograafiale üleminek ISO 27001 toel

Koosolekuruumis on kuulda ainult projektori vaikset suminat. Infoturbejuht Sarah on just lõpetanud kvartaalset riskiülevaadet, kui tegevjuht asetab lauale finantsuudiste artikli väljatrüki. Pealkiri on otsekohene: „Kvantloendus: kas teie andmed on juba aegunud?“

„Sarah,“ ütleb ta pigem siira mure kui süüdistusega, „me oleme kulutanud krüptimisele miljoneid. Me vastame nõuetele. Me oleme turvalised. See artikkel väidab, et piisavalt võimas kvantarvuti võib selle kõik murda. Kas me oleme ohustatud? Mis saab andmetest, mida me praegu krüptime ja säilitame? Kas see on tiksuv ajapomm?“

See arutelu liigub nüüd turbekonverentsidelt juhatuse ja juhtkonna lauale. Küsimus ei ole enam selles, kas kvantarvutus on teadlaste jaoks huvitav. Küsimus on selles, kas tänased krüptograafilised valikud suudavad kaitsta homseid ärilisi kohustusi.

Paljude organisatsioonide jaoks on aus vastus ebamugav. Krüptimine on kõikjal: TLS-lüüsides, VPN-ides, kliendiportaalides, identiteeditokenites, andmebaaside varukoopiates, mobiilirakendustes, makseplatvormidel, S/MIME-is, SSH-s, API-integratsioonides, SaaS-teenustes, riistvaralistes turbemoodulites, pilve võtmehaldusteenustes, püsivara allkirjastamises, koodi allkirjastamises ja digilepingutes.

See ongi probleem. Krüptograafia on kõikjal, kuid vastutus ei pruugi olla selgelt määratud.

Postkvantkrüptograafiale üleminek ei puuduta ainult tulevast krüptograafiliselt olulist kvantarvutit. See puudutab ka tänast „kogu nüüd, dekrüpti hiljem“ riski, kus vastased koguvad krüpteeritud andmeid juba praegu ja ootavad, kuni tulevased võimekused muudavad dekrüptimise praktiliseks. Kui teie organisatsioon säilitab isikuandmeid, terviseandmeid, reguleeritud finantsandmeid, ärisaladusi, õiguslikku suhtlust, riikliku taristu andmeid, tootepüsivara või pika elueaga intellektuaalomandit, on risk juba praegu elutsükli risk.

Kvantajastuks valmis krüptograafia üleminekuplaan ei ole paanikaprojekt. See on struktureeritud juhtimise, registrite, tarnijate, arhitektuuri, testimise ja auditi programm. Infoturbejuhtide praktiline küsimus on lihtne:

Kuidas koostada postkvantülemineku plaan, mis on juhtkonnale usutav, inseneridele kasutatav ja audiitorite ees kaitstav?

Vastus on ankurdada töö ISO/IEC 27001:2022 raamistikku, tõlgendada kontrollimeetmeid ISO/IEC 27002:2022 kaudu, kasutada tehnilise kompassina NIST postkvantkrüptograafia standardeid ning luua üks tõendusmudel, mis toetab ISO 27001, NIST, COBIT 2019, GDPR, DORA ja NIS2 kohustusi.

Miks postkvantkrüptograafia kuulub ISMS-i

Levinud viga on anda postkvantüleminek ainult krüptograafiainseneride vastutusse. Insenerid on hädavajalikud, kuid nad ei saa juhtimisprobleemi üksi lahendada.

Postkvantüleminek puudutab varahaldust, andmete klassifitseerimist, tarnijahaldust, turvalist arhitektuuri, võtmehaldust, rakenduste arendust, pilveturvet, intsidentidele reageerimist, talitluspidevust, õigusriski, regulatiivset vastutust ja audititõendusmaterjali. Need on ISMS-i teemad.

ISO/IEC 27001:2022 annab juhtimisraamistiku. See nõuab, et organisatsioon mõistaks oma konteksti, huvitatud osapooli, riske, eesmärke, vastutusi, pädevust, dokumenteeritud teavet, tegevuse planeerimist, toimivuse hindamist, siseauditit, juhtkonna ülevaatust ja pidevat täiustamist. ISO/IEC 27002:2022 annab seejärel kontrollimeetmete tõlgenduse, eriti seoses 8.24 Use of cryptography, 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.21 Managing information security in the ICT supply chain, 5.23 Information security for use of cloud services, 8.25 Secure development life cycle, 8.8 Management of technical vulnerabilities, 8.16 Monitoring activities ja 5.30 ICT readiness for business continuity.

Clarysec käsitluses on postkvantvalmidus seetõttu ISMS-i juhitud ümberkujundamine, mitte eraldiseisev algoritmivahetus.

Nagu on öeldud Clarysec Zenith Blueprint: audiitori 30-sammuline teekaart, 2. faasis, 8. sammus „Varade, sõltuvuste ja tõendusmaterjali kohaldamisala määratlemine“:

„Kontrollimeedet ei saa usaldada enne, kui organisatsioon suudab tõendada, kus see kehtib, kes seda omab, milline tõendusmaterjal seda toetab ja millist riski see vähendab.“

See lause on postkvantkrüptograafia puhul eriti oluline. Enne algoritmide väljavahetamist peab teadma, kus algoritme kasutatakse.

Clarysec Zenith Controls: ristvastavuse juhend käsitleb krüptograafiat seotud tõendusahelana, mitte üksiku tehnilise seadistusena:

„Krüptograafilist kindlust auditeeritakse teabe elutsükli kaudu: tuvastamine, klassifitseerimine, heakskiidetud kasutus, võtmete kaitse, operatiivne seire, tarnijasõltuvus, erandite käsitlemine ja tõendusmaterjali säilitamine.“

Selline elutsüklivaade väldib kõige levinumat eksimust: küsida ainult „Kas me kasutame kvantkindlaid algoritme?“ Paremad küsimused on järgmised:

• Millised süsteemid vajavad postkvantüleminekut esimesena?
• Milliste andmete konfidentsiaalsuse eluiga ületab kvantohu ajahorisondi?
• Millised tarnijad juhivad meie krüptimist, allkirju, sertifikaate või võtmehaldust?
• Millised rakendused on krüptoagiilsed ja millised kasutavad püsikodeeritud lahendusi?
• Millised kompenseerivad kontrollimeetmed kehtivad seni, kuni üleminek on lõpetamata?
• Milline tõendusmaterjal näitab, et otsused olid riskipõhised ja läbi vaadatud?

Kvantohust auditeeritavaks äririskiks

Kasulik postkvantplaan algab riskistsenaariumidest. Vältida tuleb ebamääraseid väiteid, nagu „kvantarvutus võib krüptimise murda“. Selle asemel tuleb luua auditeeritavad riskikirjed, mis seovad ärimõju, ohu, haavatavuse, mõjutatud varad, kehtivad kontrollimeetmed, jääkriski ja käsitlustegevused.

Näiteks:

„Seitsmeks aastaks säilitatavad krüpteeritud klientide isikut tõendavad dokumendid võivad olla tulevikus dekrüptimise suhtes haavatavad, kui varukoopiad viiakse täna välja ja praegune avaliku võtme krüptograafia muutub tulevikus murtavaks.“

See stsenaarium viitab andmete säilitamisele, varukoopiate krüptimisele, võtmehaldusele, juurdepääsukontrollile, tarnija majutusele, seirele ja ülemineku prioriteedile.

Teine näide:

„Ühendatud seadmete püsivara allkirjastamine tugineb allkirjaskeemidele, mis ei pruugi säilitada usaldusväärsust kogu seadme eeldatava elutsükli jooksul.“

See viitab tooteturbele, turvalistele uuendusmehhanismidele, HSM-i võimekusele, kliendiohutusele, tarnija disainikindlusele ja pikaajalisele talitluspidevusele.

Kolmas näide:

„Täna krüpteeritud arhiveeritud õiguslik suhtlus võib vajada konfidentsiaalsust rohkem kui viieteistkümneks aastaks, tekitades „kogu nüüd, dekrüpti hiljem“ kokkupuute.“

See viitab klassifitseerimisele, säilitamisele, krüptograafilisele kaitsele, õiguslikule säilitamiskohustusele, turvalisele sidele ja juhtkonna riski aktsepteerimisele.

Risk ei ole ainult tulevane „Q-Day“. See hõlmab kolme seotud muret:

1. Kogu nüüd, dekrüpti hiljem – vastased koguvad täna krüpteeritud andmeid tulevaseks dekrüptimiseks.
2. Digiallkirja kompromiteerimine – tulevased ründed õõnestavad usaldust tarkvarauuenduste, identiteeditokenite, õigusdokumentide, püsivara ja finantstehingute vastu.
3. Krüptograafilise kontsentratsiooni tõrge – lai toote-, protokolli-, teegi- või tarnijaklass aegub samal ajal.

Clarysec ettevõtte poliitika Krüptograafia ja võtmehalduse poliitika, punkt 5.1, sõnastab juhtimisnõude järgmiselt:

„Krüptograafilised kontrollimeetmed tuleb valida, rakendada, läbi vaadata ja kasutuselt kõrvaldada teabe klassifitseerimise, nõutava kaitse eluea, heakskiidetud krüptograafiliste standardite, võtmete omandi ja dokumenteeritud riskikäsitluse otsuste alusel.“

See punkt on kriitiline, sest kaitse eluiga muutub prioriseerimisteguriks. Lühikese elueaga seansiandmetel ja pikaajalistel meditsiiniandmetel ei ole sama kvanttehnoloogiaga seotud riski. Koodi allkirjastamise võti, mis toetab seadme usaldust viieteistkümne aasta jooksul, on teistsuguse riskiprofiiliga kui lühiajaline sisemine testsertifikaat.

Sama poliitikaperekond, millele Clarysec materjalides viidatakse kui Krüptograafiliste kontrollimeetmete poliitikale, võib vormistada läbivaatamise ootused näiteks järgmise sõnastusega:

Punkt 5.4: algoritmide ja võtmepikkuste standardid
„Kõik organisatsioonis kasutatavad krüptograafilised algoritmid ja võtmepikkused tuleb valida heakskiidetud loendist, mida haldab infoturbe meeskond. Seda loendit tuleb igal aastal võrrelda valdkonna heade tavade ja riiklike küberturbeasutuste juhistega (nt NIST, ENISA), pöörates eritähelepanu postkvantkrüptograafia standardite arengule. Kvantpõhiste rünnete suhtes haavatavatelt algoritmidelt süsteemide üleviimise teekaarti tuleb hoida krüptograafilise vararegistri osana.“

See ei nõua ebaturvalist varajast kasutuselevõttu. See nõuab teadlikkust, planeerimist, läbivaatamist ja tõendusmaterjali.

Kasuta NIST postkvantkrüptograafia standardeid tehnilise kompassina

NIST postkvantkrüptograafia töö annab organisatsioonidele usaldusväärse tehnilise suuna. NIST on standardiseerinud ML-KEM-i võtmekokkuleppeks, ML-DSA digiallkirjadeks ja SLH-DSA olekuta räsipõhisteks allkirjadeks. Need standardid annavad tarnijatele ja arhitektidele teekaartide ning pilootlahenduste aluse.

Infoturbejuhtide jaoks ei ole eesmärk algoritmide üksikasju pähe õppida. Eesmärk on luua üleminekutee, mis suudab heakskiidetud krüptograafilised valikud kasutusele võtta ilma äriteenuseid, vastavuskohustusi või auditi jälgitavust lõhkumata.

NIST-iga kooskõlas üleminekuplaan peab hõlmama nelja töösuunda:

1. Avastamine – tuvastada, kus kasutatakse haavatavat avaliku võtme krüptograafiat.
2. Prioriseerimine – järjestada süsteemid andmete tundlikkuse, kaitse eluea, kokkupuute, terviklusmõju ja ärikriitilisuse alusel.
3. Üleminekuarhitektuur – määratleda, kus hübriidseid, krüptoagiilseid või postkvantmehhanisme testitakse ja kasutusele võetakse.
4. Kindluse andmine – luua tõendusmaterjal, et otsused, erandid, tarnijasõltuvused, testid ja jääkriskid on kontrolli all.

Krüptoagiilsus vajab eritähelepanu. Krüptoagiilne süsteem suudab muuta algoritme, võtmepikkusi, teeke, sertifikaate ja protokolle ilma ulatusliku ümberkujundamiseta. Postkvantajastul ei ole krüptoagiilsus luksus. See on vastupidavusnõue.

Kui makse-API kasutab püsikodeeritud krüptograafilisi teeke ja tal puudub dokumenteeritud omanik, ei ole see krüptoagiilne. Kui mobiilirakendus kasutab sertifikaatide pinning’ut ilma hallatud uuendusteeta, võib üleminek muutuda kulukaks. Kui IoT-seadmel on viieteistkümneaastane kasutusiga välitingimustes ning see ei toeta suuremaid allkirju ega turvalisi püsivara uuendusi, on risk strateegiline.

Koosta krüptograafiline register enne üleminekutee valimist

Enamikul organisatsioonidel ei ole täielikku krüptograafilist registrit. Neil võib olla sertifikaadiregister, võtmehalduse tabel, HSM-i kirjed, pilve KMS-i loend või CMDB kirjed. Harva on olemas ühtne vaade krüptograafilistele sõltuvustele.

Postkvantkrüptograafiale ülemineku plaan vajab krüptograafilist materjaliloendit ehk CBOM-i. See ei pea esimesel päeval olema täiuslik. Küll aga peab see olema struktureeritud, omanikuga ja pidevalt täiustatav.

Miinimumina tuleb koguda järgmised väljad:

Esialgne register võib välja näha järgmiselt:

See tabel näitab kohe, miks register on oluline. AES-256 ei ole sama tüüpi kvanttehnoloogiaga seotud risk kui RSA või ECC, kuid arhiveeritud patsiendiandmed võivad siiski sõltuda haavatavast võtmete pakkimisest, sertifikaatidest, identiteedisüsteemidest või varukoopiate edastuskanalitest. Koodi allkirjastamine ei pruugi kaitsta konfidentsiaalsust, kuid kaitseb tarkvara terviklust ja usaldust.

Zenith Controls seob krüptograafia täiendavate tugistandarditega. ISO/IEC 27005 toetab infoturbe riskijuhtimist ja aitab tõlkida kvantmääramatuse struktureeritud riskistsenaariumideks. ISO/IEC 27017 toetab pilvespetsiifilisi turbekontrolle, mis on hädavajalik, kui krüptograafilisi teenuseid osutatakse pilve KMS-i, hallatud TLS-i, SaaS-krüptimise või platvormisertifikaatide kaudu. ISO/IEC 27018 on asjakohane siis, kui isikuandmeid töödeldakse avalikes pilveteenustes. ISO 22301 on asjakohane juhul, kui krüptograafiline tõrge võib mõjutada kriitiliste teenuste talitluspidevust. ISO/IEC 27036 toetab tarnijasuhete turvet, mis on oluline, kui tarnijad haldavad teie nimel krüptimist, allkirju, sertifikaate või turvalist sidet.

Õppetund on lihtne: te ei saa üle viia seda, mida te ei leia.

Sea prioriteedid tundlikkuse, eluea, kokkupuute ja ülemineku keerukuse alusel

Kui CBOM on olemas, muutub prioriseerimine tõenduspõhiseks. Parim lähtekoht on väike arv kriitilisi süsteeme, mitte kogu ettevõtet hõlmav täiuslikkuse taotlus.

Kujutame ette finantsteenuste ettevõtet kolme kõrge väärtusega süsteemiga:

• kliendidokumentide hoidla, mis säilitab identiteeditõendeid kümme aastat;
• B2B API-lüüs, mis toetab partnerite tehinguid;
• koodi allkirjastamise platvorm töölauatarkvara uuenduste jaoks.

Kasutades Zenith Blueprint 2. faasi 8. sammu, võtab meeskond varad CMDB-st, sertifikaadid sertifikaadihalduse platvormilt, võtmed HSM-ist ja pilve KMS-ist, andmeklassid privaatsusregistrist ning tarnijasõltuvused hankekirjetest.

Seejärel hinnatakse süsteeme:

Klientide dokumendihoidla muutub prioriteediks konfidentsiaalsuse eluea tõttu. Koodi allkirjastamise platvorm muutub prioriteediks, sest allkirja usaldus mõjutab tarkvara terviklust ja kliendiohutust. API-lüüs on kõrge prioriteediga välise kokkupuute tõttu, kuid selle säilitatavatel andmetel võib olla lühem konfidentsiaalsuse eluiga.

Seejärel tuleb riskiregistris siduda iga stsenaarium käsitluse ja tõendusmaterjaliga:

Clarysec ettevõtte poliitika Turvalise arenduse poliitika, punkt 6.4, annab tarkvara tarne vaatenurga:

„Turbedisaini ülevaatustes tuleb enne tootmiskeskkonna heakskiitu hinnata krüptograafilisi sõltuvusi, teekide elutsüklit, algoritmiagiilsust, saladuste käitlemist, uuendusmehhanisme ja tarnija kontrolli all olevaid komponente.“

See punkt muudab postkvantvalmiduse insenerinõudeks. See takistab meeskondadel juurutada uusi süsteeme, mida hiljem ei saa üle viia.

Järgi 12-kuulist teekaarti, millest audiitorid aru saavad

Paljude organisatsioonide jaoks kestab postkvantüleminek aastaid. Esimese aasta eesmärk peab olema liikuda ebakindlusest juhitud üleminekuni.

Zenith Blueprint 3. faasi 14. sammus „Riskikäsitluse disain ja vastutus“ hoiatab teekaart rahastamata turbekavatsuste eest:

„Käsitlusplaan ilma omaniku, tõendusmaterjali ootuse, eelarvetee ja läbivaatamise kuupäevata ei ole plaan. See on paremini vormistatud lahendamata risk.“

Just nii postkvantprogrammid ebaõnnestuvadki. Need toodavad teadlikkuse slaide, kuid mitte omanikuga parandusmeetmete tööjärge. Need arutavad algoritme, kuid ei ajakohasta tarnijalepinguid. Need dokumenteerivad riski, kuid ei testi üleminekumustreid.

Usaldusväärne teekaart loob otsusekirjed, omanikud, sõltuvused, tõendusmaterjali ootused, eelarved ja läbivaatamise kuupäevad.

Kaasa tarnijad programmi varakult

Paljud krüptograafilised sõltuvused on sisse ostetud. Pilveteenuse osutajad lõpetavad TLS-i. SaaS-platvormid krüptivad kirjeid. Identiteedipakkujad allkirjastavad tokeneid. Maksetöötlejad haldavad sertifikaate. Riistvaratarnijad kontrollivad püsivara allkirjastamist. Hallatud teenuse osutajad opereerivad VPN-e ja turbelüüse.

Isegi kui sisemine meeskond on valmis, võib üleminekut takistada tarnija võimekus.

Clarysec ettevõtte poliitika Kolmandate osapoolte ja tarnijate turbepoliitika, punkt 5.6, sätestab:

„Turvalisusega seotud teenuseid osutavad tarnijad peavad avalikustama olulised sõltuvused, krüptograafilised vastutused, kindlust andva tõendusmaterjali, haavatavuste käsitlemise protsessid ja teekaardi muudatused, mis võivad mõjutada organisatsiooni riskipositsiooni.“

Postkvantvalmiduse jaoks tuleb kriitilistelt tarnijatelt küsida:

• Millised algoritmid, protokollid, sertifikaadid ja võtmehaldusteenused kaitsevad meie andmeid või tehinguid?
• Kas te haldate krüptograafilist registrit või CBOM-i?
• Milline on teie NIST postkvantteekaart?
• Kas toetate hübriidset võtmekokkulepet, postkvantallkirju või kvantkindlat võtmekokkulepet?
• Kuidas teavitatakse sertifikaatide, tokenite, allkirjastamise ja krüptimise muudatustest?
• Milliseid kliendipoolseid tegevusi nõutakse?
• Millised testkeskkonnad on kättesaadavad?
• Kuidas käsitletakse jõudlust, koostalitlusvõimet ja tagasipööramist?
• Kas krüptograafilised vastutused on määratletud lepingus või jagatud vastutuse mudelis?
• Millised väljumis- või teisaldatavusvõimalused on olemas, kui teie teekaart ei vasta meie riskinõuetele?

Tarnijate vastused tuleb sisestada riskiregistrisse. Nõrgad vastused ei tähenda alati kohest asendamist, kuid nõuavad käsitlust. Vajalikud võivad olla kompenseerivad kontrollimeetmed, lepingu muudatused, teavitusklauslid, väljumise planeerimine, tugevdatud seire või muudetud hankestrateegia.

See on eriti oluline DORA ja NIS2-laadsete operatsioonilise toimepidevuse ootuste kontekstis. DORA rõhutab IKT-riski juhtimist ja IKT kolmandate osapoolte riskijuhtimist, sealhulgas kriitiliste sõltuvuste järelevalvet. NIS2 Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi turberiski juhtimise meetmeid, sealhulgas tarneahela turvet, intsidentide käsitlemist, talitluspidevust ja vajaduse korral krüptograafiat. GDPR Article 32 nõuab riskile vastavat turvalisust, sealhulgas konfidentsiaalsust, terviklust, käideldavust, vastupidavust ning suutlikkust tagada isikuandmete pidev kaitse.

Regulatiivne sõnastus erineb, kuid kontrolliloogika on sama: tunne oma sõltuvusi, halda riski, säilita tõendusmaterjal ja tegutse enne, kui vastupidavus kahjustub.

Ristvastavuse vastendus: üks üleminekuplaan, mitu kohustust

Tugev postkvantkrüptograafiale ülemineku plaan peab vältima eraldi tõenduspakettide loomist iga raamistiku jaoks. Sama põhitõendusmaterjal saab toetada mitut kohustust, kui see on õigesti struktureeritud.

Zenith Controls vastendab krüptograafiateema ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA ja NIS2 lõikes, keskendudes kontrollimeetme eesmärgile, mitte iga raamistiku kasutatavale sildile.

Tõendusmaterjali taaskasutus on võtmetähtsusega. Krüptograafiline register toetab ISO varahaldust, NIST Identify tulemusi, DORA IKT-varade nähtavust, NIS2 riskijuhtimist ja GDPR vastutust. Tarnijaküsimustikud toetavad ISO tarnijakontrolle, DORA IKT kolmandate osapoolte riski, NIS2 tarneahela turvet ja COBIT tarnijajuhtimist. Ülemineku testitulemused toetavad turvalist muudatust, vastupidavuse testimist, auditiks valmis olekut ja juhtkonna ülevaatust.

Mida audiitorid küsivad

Postkvantkrüptograafia on auditis veel kujunev teema, kuid audiitoritel on juba piisavalt kontrolliootusi, et esitada keerulisi küsimusi.

ISO/IEC 27001:2022 audiitor alustab tavaliselt riskist. Ta küsib, kas kvanttehnoloogiaga seotud krüptograafiline risk on ISMS-is tuvastatud, hinnatud, käsitletud, seiratud ja läbi vaadatud. Ta eeldab tõendusmaterjali, et krüptograafilised kontrollimeetmed on valitud äririski alusel ning vastutused on määratletud.

NIST-keskne hindaja võib keskenduda varade nähtavusele, kaitsemehhanismidele, tarneahela riskile, haavatavuste haldusele ja juhtimistulemustele. Ta võib küsida, kas organisatsioon on tuvastanud süsteemid, mis kasutavad haavatavat avaliku võtme krüptograafiat, ning kas ülemineku planeerimine on kooskõlas NIST suunaga.

COBIT või ISACA audiitor küsib sageli juhtimise kohta. Kes vastutab? Kuidas juhatusele aru antakse? Kas investeeringud on prioriseeritud? Kas tarnijasõltuvusi juhitakse? Kas kasud, riskid ja ressursid on tasakaalus?

Privaatsusaudiitor võib keskenduda sellele, kas krüptimine ja võtmehaldus jäävad isikuandmete tundlikkuse ja säilitamisperioodi suhtes asjakohaseks.

DORA või NIS2 fookusega läbivaataja vaatab vastupidavust, IKT kolmandate osapoolte kontsentratsiooni, talitluspidevust ja intsidendivalmidust.

Zenith Controls soovitab käsitleda auditi ettevalmistust tõendusrajana. Ärge oodake, kuni audiitorid küsivad ekraanipilte ja tabeleid. Looge GRC-tööruum, mis seob iga krüptograafilise riski selle omaniku, mõjutatud varade, tarnijate, otsuste, testide, erandite ja läbivaatamise kuupäevadega.

Ajakohasta poliitikaid, et programm muutuks operatiivseks

Enamik krüptograafiapoliitikaid on kirjutatud traditsiooniliste konfidentsiaalsuse ja tervikluse nõuete jaoks. Postkvantüleminek nõuab sihitud täiendusi.

Krüptograafia ja võtmehalduse poliitika peab käsitlema heakskiidetud standardeid, läbivaatamise sagedust, andmete klassifitseerimist, kaitse eluiga, algoritmiagiilsust, võtmete genereerimist, võtmete säilitamist, rotatsiooni, hävitamist, omandit, sertifikaatide elutsüklit, HSM-i vastutust, pilve KMS-i vastutust, erandite heakskiitmist, tarnija kontrolli all olevat krüptograafiat ja postkvantülemineku seiret.

Turvalise arenduse poliitika peab käsitlema krüptograafiliste teekide heakskiitmist, püsikodeeritud algoritmide keeldu ilma läbivaatamiseta, sõltuvuste jälgimist, turvalisi uuendusmehhanisme, suuremate võtmete või allkirjade jõudlustestimist, tagasiühilduvust, tagasipööramist ja pika elueaga toodete ohumudeldamist.

Tarnijate turbepoliitika peab käsitlema krüptograafilist läbipaistvust, postkvantteekaardi päringuid, lepingulisi teavituskohustusi, jagatud vastutust krüptimise ja võtmehalduse eest, väljumise planeerimist ja teisaldatavust.

Varahalduse protseduur peab käsitlema krüptograafilise registri välju, omandit, tõendusmaterjali allikaid, läbivaatamise sagedust ning integratsiooni CMDB, pilveregistri, sertifikaadihalduse, HSM-i kirjete ja koodirepositooriumidega.

Siin aitab Clarysec poliitikate kogu organisatsioonidel kiiremini edasi liikuda. Tühjalt lehelt alustamise asemel saavad meeskonnad kohandada poliitikapunkte protseduurideks, registriteks, küsimustikeks ja audititõendusmaterjaliks.

Väldi kõige levinumaid postkvantülemineku vigu

Kõige ohtlikumad vead on tavaliselt juhtimisvead, mitte tehnilised vead.

Alustamine algoritmidest, mitte varadest. Kui te ei tea, kus krüptograafiat kasutatakse, ei aita algoritmivalik.

Andmete eluea eiramine. Lühikese elueaga tehinguandmetel ja pika elueaga tundlikel arhiividel ei ole sama risk.

Tarnijate käsitlemine hilisema faasina. Paljud krüptograafilised kontrollimeetmed on tarnija hallatavad. Kui tarnijaid ei kaasata varakult, võib plaan olla ebarealistlik.

Allkirjade unustamine. Postkvantplaneerimine ei puuduta ainult krüptimist. Digiallkirjad, koodi allkirjastamine, sertifikaadid, identiteeditokenid, püsivara uuendused ja dokumentide allkirjastamine vajavad tähelepanu.

Eeldus, et pilveteenuse osutajad lahendavad kõik. Pilveplatvormidel on suur roll, kuid vastutus jääb jagatuks. Teil tuleb endiselt teada, millised teenused, konfiguratsioonid, võtmed, piirkonnad ja integratsioonid on mõjutatud.

Audititõendusmaterjali loomata jätmine. Üleminekuplaan, mida ei saa tõendada, ei rahulda juhtkonda, regulaatoreid, kliente ega audiitoreid.

Jõudluse ja koostalitlusvõime testimise vahelejätmine. Postkvantalgoritmid võivad mõjutada kasulasti suurust, käepigistuse käitumist, latentsust, salvestusmahtu, manussüsteemide piiranguid ja ühilduvust.

Mõõdikud, mida infoturbejuht peaks juhatusele esitama

Juhatuse aruandlus peab olema piisavalt lihtne mõistmiseks ja piisavalt konkreetne tegevuste juhtimiseks. Vältida tuleb sügavaid algoritmiarutelusid. Keskenduda tuleb kokkupuutele, edenemisele, otsustele ja jääkriskile.

Kasulik juhatuse sõnum võiks kõlada nii:

„Oleme lõpetanud krüptograafilise avastamise 72 protsendi kriitiliste teenuste puhul. Kahel süsteemil on kriitiline pika elueaga konfidentsiaalsuse kokkupuude ja kolm tarnijat ei ole veel postkvantteekaarti esitanud. Oleme käivitanud koodi allkirjastamise valmidusprojekti ja pilve KMS-i sõltuvuste läbivaatamise. Täna ei soovitata erakorralist asendamist, kuid tarnijatega seotud ebakindlus on endiselt suurim jääkrisk.“

See on juhitud küberriski keel.

Praktiline kontrollnimekiri selle nädala alustamiseks

Täiuslikku kindlust ei ole vaja oodata. Alustage sammudest, mis parandavad kohe nähtavust ja juhtimist.

1. Määrake postkvantkrüptograafia omanik.
2. Lisage kvanttehnoloogiaga seotud krüptograafiline risk ISMS-i riskiregistrisse.
3. Tuvastage kümme peamist teenust, millel on pika elueaga tundlikud andmed või kõrge terviklusmõju.
4. Koostage nende teenuste jaoks minimaalselt toimiv CBOM.
5. Küsige kriitilistelt tarnijatelt nende postkvantteekaarti.
6. Vaadake läbi krüptograafia, turvalise arenduse, tarnijate ja varade poliitikad.
7. Tuvastage süsteemid, kus on püsikodeeritud algoritmid, aegunud teegid, käsitsi sertifikaadirotatsioon või nõrk omand.
8. Valige üks madala riskiga piloot krüptoagiilsuse testimiseks.
9. Määratlege juhatuse mõõdikud ja aruandlussagedus.
10. Planeerige siseaudit, mis keskendub krüptograafilisele juhtimisele ja tõendusmaterjalile.

Kõige olulisem samm on muuta ebakindlus juhitud tööks. Kvanttehnoloogiaga seotud risk võib olla tulevikku suunatud, kuid krüptograafiline võlg eksisteerib juba täna.

Järgmised sammud Claryseciga

Postkvantüleminekust saab järgmise kümnendi üks keerukamaid turbeüleminekuid, sest see puudutab identiteeti, krüptimist, allkirju, tarnijaid, pilve, tarkvara, seadmeid, arhiive ja audititõendusmaterjali. Organisatsioonid, kes alustavad juhtimisest ja registrist, liiguvad kiiremini kui need, kes ootavad viimase hetke asendustsüklit.

Clarysec aitab koostada kvantajastuks valmis krüptograafia üleminekuplaani, kasutades:

• Zenith Blueprint: audiitori 30-sammuline teekaart etapiviisiliseks rakendamiseks ja auditiks valmis olekuks;
• Zenith Controls: ristvastavuse juhend ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA ja NIS2 vastenduseks;
• Krüptograafia ja võtmehalduse poliitika juhtimiseks valmis krüptograafiliste reeglite jaoks;
• Kolmandate osapoolte ja tarnijate turbepoliitika tarnijate teekaardi ja kindluse andmise nõuete jaoks;
• Turvalise arenduse poliitika krüptoagiilsete inseneritavade jaoks.

Parim aeg postkvantplaneerimise alustamiseks on enne seda, kui regulaator, audiitor, klient või juhatuse liige küsib tõendusmaterjali. Alustage registrist, siduge see riskiga ja ehitage üleminekutee üles ühe kontrollitud otsuse kaupa.