Migracija na postkvantnu kriptografiju uz ISO 27001
Zujanje projektora jedini je zvuk u prostoriji za sastanke uprave. Sarah, direktorica informacijske sigurnosti (CISO), upravo je završila tromjesečno izvješće o rizicima kada glavni izvršni direktor podiže ispis članka iz financijskih vijesti. Naslov je izravan: „Kvantno odbrojavanje: jesu li vaši podaci već zastarjeli?”
„Sarah”, kaže, više iskreno zabrinut nego optužujući, „potrošili smo milijune na šifriranje. Usklađeni smo. Sigurni smo. Ovaj članak kaže da bi dovoljno snažno kvantno računalo moglo sve to probiti. Jesmo li izloženi? Što je s podacima koje upravo sada šifriramo i pohranjujemo? Je li to tempirana bomba?”
Ovaj se razgovor sada premješta sa sigurnosnih konferencija u izvršne i upravljačke odbore. Pitanje više nije je li kvantno računalstvo zanimljivo istraživačima. Pitanje je mogu li današnji kriptografski odabiri zaštititi sutrašnje poslovne obveze.
Za mnoge organizacije iskren odgovor nije ugodan. Šifriranje je posvuda: TLS pristupnici, VPN-ovi, korisnički portali, tokeni identiteta, sigurnosne kopije baza podataka, mobilne aplikacije, platne platforme, S/MIME, SSH, API integracije, SaaS usluge, hardverski sigurnosni moduli, usluge upravljanja ključevima u oblaku, potpisivanje firmvera, potpisivanje koda i digitalni ugovori.
U tome je problem. Kriptografija je posvuda, ali vlasništvo često nije nigdje jasno određeno.
Migracija na postkvantnu kriptografiju ne odnosi se samo na buduće kriptografski relevantno kvantno računalo. Odnosi se i na današnji rizik „prikupi sada, dešifriraj kasnije”, u kojem protivnici sada prikupljaju šifrirane podatke i čekaju da buduće sposobnosti učine dešifriranje izvedivim. Ako vaša organizacija pohranjuje osobne podatke, zdravstvene zapise, regulirane financijske podatke, poslovne tajne, pravnu komunikaciju, podatke nacionalne infrastrukture, firmver proizvoda ili dugoročno intelektualno vlasništvo, rizik je već pitanje životnog ciklusa.
Plan migracije kriptografije spreman za kvantno doba nije panični projekt. To je strukturirani program upravljanja, popisa imovine, dobavljača, arhitekture, testiranja i revizije. Praktično pitanje za CISO-e jednostavno je:
Kako izgraditi postkvantni plan migracije koji je vjerodostojan izvršnom rukovodstvu, upotrebljiv inženjerima i dokaziv revizorima?
Odgovor je usidriti aktivnosti u ISO/IEC 27001:2022, tumačiti kontrole kroz ISO/IEC 27002:2022, koristiti NIST standarde za postkvantnu kriptografiju kao tehnički kompas i uspostaviti jedinstveni dokazni model koji podupire obveze prema ISO 27001, NIST, COBIT 2019, GDPR, DORA i NIS2.
Zašto postkvantna kriptografija pripada unutar ISMS-a
Česta je pogreška dodijeliti postkvantnu migraciju isključivo kriptografskim inženjerima. Inženjeri su nužni, ali sami ne mogu riješiti problem upravljanja.
Postkvantna migracija obuhvaća upravljanje imovinom, klasifikaciju podataka, upravljanje dobavljačima, sigurnu arhitekturu, upravljanje ključevima, razvoj aplikacija, sigurnost oblaka, odgovor na incidente, neprekidnost poslovanja, pravni rizik, regulatornu odgovornost i revizijske dokaze. To su teme ISMS-a.
ISO/IEC 27001:2022 pruža upravljački okvir. Od organizacije zahtijeva razumijevanje konteksta, zainteresiranih strana, rizika, ciljeva, odgovornosti, kompetencija, dokumentiranih informacija, operativnog planiranja, vrednovanja učinkovitosti, interne revizije, preispitivanja od strane uprave i kontinuiranog poboljšanja. ISO/IEC 27002:2022 zatim daje tumačenje kontrola, osobito u području 8.24 Use of cryptography, 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.21 Managing information security in the ICT supply chain, 5.23 Information security for use of cloud services, 8.25 Secure development life cycle, 8.8 Management of technical vulnerabilities, 8.16 Monitoring activities i 5.30 ICT readiness for business continuity.
U Clarysecu se upravo zato postkvantna spremnost tretira kao transformacija vođena ISMS-om, a ne kao izolirana zamjena algoritama.
Kako je navedeno u Clarysecovu dokumentu Zenith Blueprint: revizorski plan u 30 koraka, faza 2, korak 8, „Određivanje opsega imovine, ovisnosti i dokaza”:
„Kontroli se ne može vjerovati dok organizacija ne može dokazati gdje se primjenjuje, tko je vlasnik, koji je dokazi podupiru i koji rizik smanjuje.”
Ta je rečenica osobito važna za postkvantnu kriptografiju. Prije zamjene algoritama morate znati gdje se algoritmi koriste.
Clarysecov Zenith Controls: vodič za usklađenost kroz više okvira prikazuje kriptografiju kao povezani lanac dokaza, a ne kao pojedinačnu tehničku postavku:
„Kriptografsko osiguranje revidira se kroz životni ciklus informacija: identifikaciju, klasifikaciju, odobrenu uporabu, zaštitu ključeva, operativno praćenje, ovisnost o dobavljačima, postupanje s iznimkama i zadržavanje dokaza.”
Takav pogled na životni ciklus sprječava najčešći propust: postavljanje samo pitanja „Koristimo li algoritme sigurne u kvantnom dobu?” Bolja su pitanja:
- Koji sustavi prvo trebaju postkvantnu migraciju?
- Koji podaci imaju razdoblje povjerljivosti dulje od horizonta kvantnog rizika?
- Koji dobavljači kontroliraju naše šifriranje, potpise, certifikate ili upravljanje ključevima?
- Koje su aplikacije kriptografski agilne, a koje imaju tvrdo kodirane algoritme?
- Koje kompenzacijske kontrole postoje dok migracija nije dovršena?
- Koji će dokazi potvrditi da su odluke bile temeljene na riziku i pregledane?
Od kvantne prijetnje do poslovnog rizika koji se može revidirati
Koristan postkvantni plan počinje scenarijima rizika. Izbjegavajte neodređene tvrdnje poput „kvantno računalstvo može probiti šifriranje”. Umjesto toga izradite revizijski provjerljive zapise rizika koji povezuju poslovni utjecaj, prijetnju, ranjivost, pogođenu imovinu, postojeće kontrole, preostali rizik i aktivnosti obrade rizika.
Primjerice:
„Šifrirani dokumenti za identifikaciju klijenata koji se čuvaju sedam godina mogu biti ranjivi na buduće dešifriranje ako se sigurnosne kopije danas iznesu, a postojeća kriptografija javnog ključa u budućnosti postane probijena.”
Taj scenarij upućuje na zadržavanje podataka, šifriranje sigurnosnih kopija, upravljanje ključevima, kontrolu pristupa, hosting kod dobavljača, praćenje i prioritet migracije.
Drugi primjer:
„Potpisivanje firmvera za povezane uređaje oslanja se na potpisne sheme koje možda neće ostati pouzdane tijekom očekivanog životnog ciklusa uređaja.”
To upućuje na sigurnost proizvoda, sigurne mehanizme ažuriranja, sposobnosti HSM-a, sigurnost korisnika, dokazivanje sigurnosti dizajna dobavljača i dugoročnu operativnu otpornost.
Treći primjer:
„Arhivirana pravna komunikacija koja je danas šifrirana može zahtijevati povjerljivost dulje od petnaest godina, čime nastaje izloženost „prikupi sada, dešifriraj kasnije”.”
To upućuje na klasifikaciju, zadržavanje, kriptografsku zaštitu, pravno zadržavanje podataka, sigurne komunikacije i prihvaćanje rizika na razini izvršnog rukovodstva.
Rizik nije samo budući „Q-Day”. Uključuje tri povezana pitanja:
- Prikupi sada, dešifriraj kasnije, protivnici danas prikupljaju šifrirane podatke radi budućeg dešifriranja.
- Kompromitacija digitalnih potpisa, budući napadi narušavaju povjerenje u ažuriranja softvera, tokene identiteta, pravne dokumente, firmver i financijske transakcije.
- Neuspjeh zbog kriptografske koncentracije, široka klasa proizvoda, protokola, biblioteka ili dobavljača istodobno postaje zastarjela.
Clarysecova korporativna politika Politika kriptografije i upravljanja ključevima, točka 5.1, ovako sažima upravljački zahtjev:
„Kriptografske kontrole moraju se odabrati, implementirati, pregledavati i povlačiti iz uporabe na temelju klasifikacije informacija, potrebnog trajanja zaštite, odobrenih kriptografskih standarda, vlasništva nad ključevima i dokumentiranih odluka o obradi rizika.”
Ta je točka ključna jer trajanje zaštite postaje čimbenik prioritizacije. Kratkotrajni podaci sesije i dugoročni medicinski zapisi nemaju isti kvantni rizik. Ključ za potpisivanje koda koji podupire povjerenje u uređaje tijekom petnaest godina ima drugačiji profil rizika od kratkotrajnog internog testnog certifikata.
Ista obitelj politika, u Clarysec materijalima navedena kao Politika kriptografskih kontrola, može formalizirati očekivanja pregleda i ovakvim tekstom:
Točka 5.4: Standardi algoritama i duljine ključeva
„Svi kriptografski algoritmi i duljine ključeva koji se koriste u organizaciji moraju se odabrati s odobrenog popisa koji održava tim za informacijsku sigurnost. Taj se popis mora pregledavati jednom godišnje u odnosu na najbolje industrijske prakse i smjernice nacionalnih tijela za kibernetičku sigurnost (npr. NIST, ENISA), uz posebnu pozornost na razvoj postkvantnih kriptografskih standarda. Plan migracije sustava s algoritama ranjivih na kvantne napade mora se održavati kao dio popisa kriptografske imovine.”
To ne zahtijeva nesigurno rano uvođenje. Zahtijeva svijest, planiranje, pregled i dokaze.
Koristite NIST PQC standarde kao tehnički kompas
NIST-ov rad na postkvantnoj kriptografiji daje organizacijama vjerodostojan tehnički smjer. NIST je standardizirao ML-KEM za uspostavu ključa, ML-DSA za digitalne potpise i SLH-DSA za potpise bez stanja temeljene na sažecima. Ti standardi dobavljačima i arhitektima daju osnovu za planove i pilot-projekte.
Za CISO-e poanta nije pamćenje detalja algoritama. Poanta je uspostaviti migracijski put koji može prihvatiti odobrene kriptografske odabire bez narušavanja poslovnih usluga, obveza usklađenosti ili revizijske sljedivosti.
Plan migracije usklađen s NIST-om mora sadržavati četiri toka rada:
- Otkrivanje, identificirati gdje postoji ranjiva kriptografija javnog ključa.
- Prioritizacija, rangirati sustave prema osjetljivosti podataka, trajanju zaštite, izloženosti, utjecaju na cjelovitost i poslovnoj kritičnosti.
- Prijelazna arhitektura, definirati gdje će se hibridni, kriptografski agilni ili postkvantni mehanizmi testirati i usvajati.
- Osiguranje, proizvesti dokaze da su odluke, iznimke, ovisnosti o dobavljačima, testovi i preostali rizici pod kontrolom.
Kriptografska agilnost zaslužuje posebnu pozornost. Kriptografski agilan sustav može mijenjati algoritme, veličine ključeva, biblioteke, certifikate i protokole bez većeg redizajna. U postkvantnom dobu kriptografska agilnost nije luksuz. To je zahtjev otpornosti.
Ako platni API ima tvrdo kodirane kriptografske biblioteke i nema dokumentiranog vlasnika, nije kriptografski agilan. Ako mobilna aplikacija provodi vezivanje certifikata bez upravljanog puta ažuriranja, migracija može postati skupa. Ako IoT uređaj ima petnaestogodišnji životni vijek na terenu i ne može podržati veće potpise ili sigurna ažuriranja firmvera, rizik je strateški.
Izgradite kriptografski popis prije odabira migracijskog puta
Većina organizacija nema potpun kriptografski popis. Mogu imati popis certifikata, proračunsku tablicu za upravljanje ključevima, zapise HSM-a, popis KMS-a u oblaku ili zapise u CMDB-u. Rijetko imaju jedinstveni prikaz kriptografskih ovisnosti.
Plan migracije na postkvantnu kriptografiju treba kriptografski popis komponenti, odnosno CBOM. Ne mora biti savršen prvog dana. Mora biti strukturiran, imati vlasnika i kontinuirano se poboljšavati.
U najmanju ruku zabilježite sljedeća polja:
| Polje popisa | Zašto je važno za postkvantnu migraciju |
|---|---|
| Poslovna usluga | Prioritizira migraciju prema poslovnom utjecaju |
| Vlasnik imovine | Dodjeljuje odgovornost i ovlasti odlučivanja |
| Klasifikacija podataka | Identificira zahtjeve povjerljivosti i cjelovitosti |
| Trajanje zaštite | Ističe izloženost „prikupi sada, dešifriraj kasnije” |
| Kriptografska funkcija | Razdvaja šifriranje, razmjenu ključeva, potpise, sažimanje i certifikate |
| Algoritam i protokol | Identificira gdje se koriste ranjivi mehanizmi javnog ključa |
| Biblioteka ili implementacija | Prikazuje softverske ovisnosti i ograničenja ažuriranja |
| Lokacija ključa | Prikazuje jesu li ključevi u HSM-u, KMS-u u oblaku, softveru, krajnjem uređaju ili platformi dobavljača |
| Ovisnost o dobavljaču | Otkriva gdje migracija ovisi o trećim stranama |
| Složenost migracije | Podupire redoslijed aktivnosti, testiranje i planiranje proračuna |
| Izvor dokaza | Čini popis spremnim za reviziju |
Početni popis mogao bi izgledati ovako:
| ID imovine | Naziv imovine | Vlasnik | Poslovna kritičnost | Kriptografska uporaba | Lokacija | PQC ranjivost | Prioritet migracije |
|---|---|---|---|---|---|---|---|
| APP-042 | API za naplatu klijentima | Financijska tehnologija | Visoka | RSA-2048 potpisi, TLS, AES-256 šifriranje | AWS eu-west-1 | Visoka za povjerenje ovisno o RSA-u | 1 |
| NET-007 | VPN za udaljeni pristup | IT infrastruktura | Visoka | ECDSA autentifikacija, IKEv2 | Lokalno i na rubu oblaka | Visoka za autentifikaciju ovisnu o ECC-u | 1 |
| DB-011 | Arhivirani zapisi pacijenata | Usklađenost | Visoka uz rok zadržavanja od 30 godina | AES-256 šifriranje baze podataka | Lokalna baza podataka | Niža za simetrično šifriranje, visoka ako se ključevi razmjenjuju ili omataju ranjivim metodama javnog ključa | 2 |
| CODE-001 | CI/CD potpisivanje koda | DevOps | Visok utjecaj na cjelovitost | RSA-4096 potpisivanje koda | HSM i cjevovod izrade | Visoka za dugoročno povjerenje u potpis | 1 |
Ova tablica odmah pokazuje zašto je popis važan. AES-256 nije ista vrsta kvantnog rizika kao RSA ili ECC, ali arhivirani zapisi pacijenata i dalje mogu ovisiti o ranjivom omatanju ključeva, certifikatima, sustavima identiteta ili kanalima prijenosa sigurnosnih kopija. Potpisivanje koda možda ne štiti povjerljivost, ali štiti cjelovitost softvera i povjerenje.
U Zenith Controls, kriptografija je unakrsno povezana s pratećim standardima koji dodaju dubinu. ISO/IEC 27005 podupire upravljanje rizicima informacijske sigurnosti i pomaže prevesti kvantnu neizvjesnost u strukturirane scenarije rizika. ISO/IEC 27017 podupire sigurnosne kontrole specifične za oblak, što je ključno kada se kriptografske usluge pružaju kroz KMS u oblaku, upravljani TLS, SaaS šifriranje ili platformne certifikate. ISO/IEC 27018 relevantan je kada se osobni podaci obrađuju u javnim uslugama u oblaku. ISO 22301 relevantan je kada bi kriptografski neuspjeh mogao utjecati na neprekidnost kritičnih usluga. ISO/IEC 27036 podupire sigurnost odnosa s dobavljačima, što je ključno kada dobavljači u vaše ime upravljaju šifriranjem, potpisima, certifikatima ili sigurnim komunikacijama.
Pouka je jednostavna: ne možete migrirati ono što ne možete pronaći.
Prioritizirajte prema osjetljivosti, trajanju, izloženosti i složenosti migracije
Kada CBOM postoji, prioritizacija postaje utemeljena na dokazima. Najbolje je početi s malim brojem kritičnih sustava, a ne s pokušajem savršenstva na razini cijele organizacije.
Zamislite društvo za financijske usluge s tri visokovrijedna sustava:
- spremište korisničkih dokumenata koje čuva identifikacijske dokaze deset godina
- B2B API pristupnik koji podržava partnerske transakcije
- platforma za potpisivanje koda za ažuriranja desktop softvera
Koristeći Zenith Blueprint, faza 2, korak 8, tim izdvaja imovinu iz CMDB-a, certifikate iz platforme za upravljanje certifikatima, ključeve iz HSM-a i KMS-a u oblaku, klase podataka iz registra privatnosti i ovisnosti o dobavljačima iz zapisa nabave.
Zatim boduju sustave:
| Sustav | Osjetljivost podataka | Trajanje zaštite | Vanjska izloženost | Ovisnost o dobavljaču | Prioritet migracije |
|---|---|---|---|---|---|
| Spremište korisničkih dokumenata | Vrlo visoka | Dugo | Srednja | KMS u oblaku i pružatelj pohrane | Kritičan |
| B2B API pristupnik | Visoka | Kratko do srednje | Vrlo visoka | Dobavljač upravljanja API-jima | Visok |
| Platforma za potpisivanje koda | Vrlo visok utjecaj na cjelovitost | Dugoročno povjerenje u uređaje | Srednja | HSM i alati cjevovoda izrade | Kritičan |
Spremište korisničkih dokumenata postaje prioritet zbog vijeka povjerljivosti. Platforma za potpisivanje koda postaje prioritet jer povjerenje u potpis utječe na cjelovitost softvera i sigurnost korisnika. API pristupnik visokog je prioriteta zbog vanjske izloženosti, ali njegovi zadržani podaci mogu imati kraći vijek povjerljivosti.
Registar rizika zatim mora povezati svaki scenarij s obradom i dokazima:
| Scenarij rizika | Trenutačna kontrola | Odluka o obradi | Potrebni dokazi |
|---|---|---|---|
| Dugoročni zapisi klijenata mogu biti izloženi budućem dešifriranju | Šifriranje podataka u mirovanju, kontrola pristupa, KMS u oblaku | Procijeniti plan šifriranja pohrane, ojačati razdvajanje ključeva, pregledati kriptografiju prijenosa sigurnosnih kopija | CBOM, plan dobavljača, arhitekturna odluka, zapis obrade rizika |
| Povjerenje u ažuriranja softvera može biti oslabljeno budućom kompromitacijom potpisa | HSM za potpisivanje koda, odobrenje izdanja | Procijeniti spremnost za postkvantne potpise, strategiju vremenskog označavanja i životni ciklus potpisivanja | Popis potpisivanja, izvješće o sposobnostima HSM-a, postupak sigurnog razvoja |
| Kriptografiju partnerskog API-ja može biti teško brzo promijeniti | TLS certifikati, konfiguracija API pristupnika | Uvesti testiranje kriptografske agilnosti i pregled plana dobavljača | TLS skeniranje, početna konfiguracija, potvrda dobavljača |
Clarysecova korporativna politika Politika sigurnog razvoja, točka 6.4, daje perspektivu isporuke softvera:
„Pregledi sigurnosnog dizajna moraju prije odobrenja produkcije procijeniti kriptografske ovisnosti, životni ciklus biblioteka, agilnost algoritama, postupanje s tajnama, mehanizme ažuriranja i komponente pod kontrolom dobavljača.”
Ta točka pretvara postkvantnu spremnost u inženjerski zahtjev. Sprječava timove da uvode nove sustave koji se kasnije ne mogu migrirati.
Slijedite 12-mjesečni plan koji revizori mogu razumjeti
Postkvantna migracija za mnoge će organizacije trajati godinama. Prva godina mora organizaciju pomaknuti iz neizvjesnosti u upravljanu migraciju.
| Mjesec | Tok rada | Ishod | Dokazi |
|---|---|---|---|
| 1 | Mandat izvršnog rukovodstva | Opseg na razini upravnog odbora, apetit za rizik i put financiranja | Zapisnici upravljačkog odbora, odobrena povelja |
| 1 do 2 | Kriptografsko otkrivanje | Početni CBOM koji obuhvaća kritične usluge | Izvoz podataka iz popisa imovine, poveznice na CMDB, potvrde vlasnika sustava |
| 2 do 3 | Pregled podataka i trajanja zaštite | Prioritizirani popis dugoročnih osjetljivih podataka i imovine s visokim utjecajem na cjelovitost | Registar klasifikacije, raspored zadržavanja, zapisi rizika |
| 3 do 4 | Pregled ovisnosti o dobavljačima | Planovi dobavljača i analiza ugovornih nedostataka | Upitnici za dobavljače, ugovorne odredbe, iznimke rizika |
| 4 do 6 | Procjena arhitekture i kriptografske agilnosti | Ciljni arhitekturni obrasci i ograničenja migracije | Zapisi pregleda arhitekture, odluke o dizajnu |
| 6 do 8 | Pilot-implementacija | Hibridni ili postkvantni test u odabranom okruženju niskog rizika | Rezultati testiranja, plan povrata na prethodno stanje, nalazi o performansama |
| 8 do 10 | Ažuriranje politika i postupaka | Ažurirana pravila za kriptografiju, upravljanje ključevima, dobavljače, siguran razvoj i imovinu | Odobrene politike, zapisi o osposobljavanju |
| 10 do 12 | Spremnost za reviziju | Interna revizija, preispitivanje od strane uprave i osvježeni plan obrade | Izvješće o reviziji, korektivne radnje, ažurirani plan obrade rizika |
U Zenith Blueprint, faza 3, korak 14, „Dizajn obrade rizika i vlasništvo”, plan upozorava na nefinancirane sigurnosne namjere:
„Plan obrade bez vlasnika, očekivanja dokaza, puta financiranja i datuma pregleda nije plan. To je neriješeni rizik u boljem formatu.”
Upravo tako propadaju postkvantni programi. Izrađuju prezentacije za podizanje svijesti, ali ne i popis korektivnih radnji s vlasnicima. Raspravljaju o algoritmima, ali ne ažuriraju ugovore s dobavljačima. Dokumentiraju rizik, ali ne testiraju migracijske obrasce.
Vjerodostojan plan stvara zapise odluka, vlasnike, ovisnosti, očekivanja dokaza, proračune i datume pregleda.
Uključite dobavljače u program rano
Mnoge kriptografske ovisnosti povjerene su vanjskim stranama. Pružatelji usluga u oblaku terminiraju TLS. SaaS platforme šifriraju zapise. Pružatelji identiteta potpisuju tokene. Platni procesori upravljaju certifikatima. Dobavljači hardvera kontroliraju potpisivanje firmvera. Pružatelji upravljanih usluga upravljaju VPN-ovima i sigurnosnim pristupnicima.
Čak i ako je vaš interni tim spreman, migraciju može blokirati sposobnost dobavljača.
Clarysecova korporativna politika Politika sigurnosti trećih strana i dobavljača, točka 5.6, navodi:
„Dobavljači koji pružaju usluge relevantne za sigurnost moraju otkriti značajne ovisnosti, kriptografske odgovornosti, dokaze osiguranja, procese postupanja s ranjivostima i promjene plana koje mogu utjecati na profil rizika organizacije.”
Za postkvantnu spremnost pitajte kritične dobavljače:
- Koji algoritmi, protokoli, certifikati i servisi za upravljanje ključevima štite naše podatke ili transakcije?
- Održavate li kriptografski popis ili CBOM?
- Koji je vaš NIST postkvantni plan?
- Hoćete li podržati hibridnu razmjenu ključeva, postkvantne potpise ili uspostavu ključeva otpornu na kvantne napade?
- Kako će se komunicirati promjene certifikata, tokena, potpisivanja i šifriranja?
- Koje će radnje korisnik morati poduzeti?
- Koja će testna okruženja biti dostupna?
- Kako će se postupati s performansama, interoperabilnošću i povratom na prethodno stanje?
- Jesu li kriptografske odgovornosti definirane u ugovoru ili modelu zajedničke odgovornosti?
- Koje mogućnosti izlaska ili prenosivosti postoje ako vaš plan ne zadovoljava naše zahtjeve rizika?
Odgovori dobavljača moraju se unijeti u registar rizika. Slabi odgovori ne znače uvijek trenutačnu zamjenu, ali zahtijevaju obradu. Možda će vam trebati kompenzacijske kontrole, izmjene ugovora, odredbe o obavješćivanju, planiranje izlaska, pojačano praćenje ili revidirana strategija nabave.
To je osobito važno prema očekivanjima operativne otpornosti u okviru DORA i NIS2. DORA naglašava upravljanje IKT rizicima i upravljanje IKT rizicima trećih strana, uključujući nadzor nad kritičnim ovisnostima. NIS2 Article 21 zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere upravljanja sigurnosnim rizicima, uključujući sigurnost opskrbnog lanca, postupanje s incidentima, neprekidnost poslovanja i kriptografiju gdje je primjenjivo. GDPR Article 32 zahtijeva sigurnost primjerenu riziku, uključujući povjerljivost, cjelovitost, dostupnost, otpornost i sposobnost osiguranja kontinuirane zaštite osobnih podataka.
Regulatorni jezik razlikuje se, ali kontrolna logika je dosljedna: poznajte svoje ovisnosti, upravljajte rizikom, čuvajte dokaze i djelujte prije nego što otpornost bude ugrožena.
Mapiranje usklađenosti kroz više okvira: jedan plan migracije, mnogo obveza
Snažan plan migracije na postkvantnu kriptografiju ne bi trebao stvarati odvojene pakete dokaza za svaki okvir. Isti temeljni dokazi mogu podržati više obveza ako su ispravno strukturirani.
Zenith Controls mapira temu kriptografije kroz ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA i NIS2 usmjeravanjem na svrhu kontrole, a ne na naziv koji pojedini okvir koristi.
| Okvir | Kako postkvantni plan podupire usklađenost |
|---|---|
| ISO/IEC 27001:2022 | Prikazuje odabir kontrola temeljen na riziku, dokumentirane informacije, internu reviziju, preispitivanje od strane uprave i kontinuirano poboljšanje |
| ISO/IEC 27002:2022 | Podupire tumačenje kontrola za 8.24 Use of cryptography, popis imovine, klasifikaciju, sigurnost dobavljača, usluge u oblaku, siguran razvoj, praćenje i neprekidnost |
| NIST PQC standards | Pruža tehnički smjer za prijelaz na odobrene postkvantne algoritme i kriptografsko planiranje |
| NIST Cybersecurity Framework 2.0 | Povezuje migracijske aktivnosti s ishodima Govern, Identify, Protect, Detect, Respond i Recover |
| COBIT 2019 | Usklađuje kriptografski rizik s ciljevima upravljanja i rukovođenja kao što su APO12 Managed Risk, APO13 Managed Security, APO10 Managed Vendors, DSS05 Managed Security Services i MEA03 Managed Compliance |
| GDPR | Podupire očekivanja iz Article 32 za odgovarajuću sigurnost, povjerljivost, cjelovitost, otpornost i odgovornost za obradu osobnih podataka |
| DORA | Podupire upravljanje IKT rizicima, upravljanje IKT rizicima trećih strana, testiranje otpornosti, spremnost za incidente i nadzor upravljačkog tijela |
| NIS2 | Podupire mjere upravljanja sigurnosnim rizicima iz Article 21, sigurnost opskrbnog lanca, postupanje s incidentima, neprekidnost poslovanja i upravljačku odgovornost |
Ponovna uporaba dokaza ključna je. Kriptografski popis podupire ISO upravljanje imovinom, ishode NIST Identify, DORA vidljivost IKT imovine, NIS2 upravljanje rizicima i GDPR odgovornost. Upitnici za dobavljače podupiru ISO kontrole dobavljača, DORA IKT rizik trećih strana, NIS2 sigurnost opskrbnog lanca i COBIT upravljanje dobavljačima. Rezultati migracijskih testova podupiru sigurne promjene, testiranje otpornosti, spremnost za reviziju i preispitivanje od strane uprave.
Što će revizori pitati
Postkvantna kriptografija još je uvijek tema revizije u nastajanju, ali revizori već imaju dovoljno očekivanja u pogledu kontrola da postave zahtjevna pitanja.
Revizor za ISO/IEC 27001:2022 obično će krenuti od rizika. Pitat će je li kriptografski rizik povezan s kvantnim računalstvom identificiran, procijenjen, obrađen, praćen i pregledan unutar ISMS-a. Očekivat će dokaze da su kriptografske kontrole odabrane na temelju poslovnog rizika i da su odgovornosti definirane.
Procjenitelj usmjeren na NIST može se usredotočiti na vidljivost imovine, mehanizme zaštite, rizik opskrbnog lanca, upravljanje ranjivostima i upravljačke ishode. Može pitati je li organizacija identificirala sustave koji koriste ranjivu kriptografiju javnog ključa i je li planiranje migracije usklađeno sa smjerom NIST-a.
Revizor za COBIT ili ISACA često će pitati o upravljanju. Tko je odgovoran? Kako upravni odbor prima izvješća? Jesu li ulaganja prioritizirana? Upravljaju li se ovisnosti o dobavljačima? Jesu li koristi, rizici i resursi uravnoteženi?
Revizor privatnosti može se usredotočiti na to ostaju li šifriranje i upravljanje ključevima primjereni osjetljivosti i roku zadržavanja osobnih podataka.
Pregledavatelj usmjeren na DORA ili NIS2 razmatrat će otpornost, koncentraciju IKT ovisnosti o trećim stranama, operativnu neprekidnost i spremnost za incidente.
| Revizijska perspektiva | Vjerojatna pitanja | Dokazi za pripremu |
|---|---|---|
| ISO/IEC 27001:2022 | Je li postkvantni rizik uključen u proces upravljanja rizicima ISMS-a? Jesu li kriptografske kontrole odabrane i pregledane? | Registar rizika, plan obrade, Izjava o primjenjivosti, odobrenja politika, rezultati interne revizije |
| NIST | Je li organizacija popisala kriptografsku uporabu i planirala migraciju prema odobrenim pristupima? | CBOM, arhitekturne odluke, rezultati pilota, popis planiranih migracijskih aktivnosti |
| COBIT 2019 | Je li kriptografski prijelaz pod upravljanjem, financiran i praćen? | Izvješća upravnom odboru, zapisnici upravljanja, KPI-jevi, nadzorne ploče rizika dobavljača |
| GDPR | Ostaje li kriptografska zaštita primjerena osjetljivosti i zadržavanju osobnih podataka? | Klasifikacija podataka, reference na DPIA, raspored zadržavanja, dizajn šifriranja |
| DORA | Jesu li IKT i dobavljačke ovisnosti razumljive i otporne? | Registar IKT imovine, potvrde dobavljača, dokazi testiranja, planovi izlaska |
| NIS2 | Jesu li mjere upravljanja sigurnosnim rizicima i rizicima opskrbnog lanca učinkovite? | Pregledi dobavljača, postupci za incidente, planovi neprekidnosti, zapisi obrade rizika |
Zenith Controls preporučuje tretirati pripremu za reviziju kao put dokaza. Nemojte čekati da revizori zatraže snimke zaslona i proračunske tablice. Izgradite GRC radni prostor koji povezuje svaki kriptografski rizik s njegovim vlasnikom, pogođenom imovinom, dobavljačima, odlukama, testovima, iznimkama i datumima pregleda.
Ažurirajte politike kako bi program postao operativan
Većina kriptografskih politika napisana je za tradicionalne zahtjeve povjerljivosti i cjelovitosti. Postkvantna migracija zahtijeva ciljane dopune.
Vaša politika kriptografije i upravljanja ključevima treba obuhvatiti odobrene standarde, učestalost pregleda, klasifikaciju podataka, trajanje zaštite, agilnost algoritama, generiranje ključeva, pohranu ključeva, periodičnu promjenu ključeva, uništenje, vlasništvo, životni ciklus certifikata, odgovornost za HSM, odgovornost za KMS u oblaku, odobravanje iznimaka, kriptografiju pod kontrolom dobavljača i praćenje postkvantnog prijelaza.
Vaša politika sigurnog razvoja treba obuhvatiti odobravanje kriptografskih biblioteka, zabranu tvrdo kodiranih algoritama bez pregleda, praćenje ovisnosti, sigurne mehanizme ažuriranja, testiranje performansi za veće ključeve ili potpise, kompatibilnost unatrag, povrat na prethodno stanje i modeliranje prijetnji za dugovječne proizvode.
Vaša politika sigurnosti dobavljača treba obuhvatiti kriptografsku transparentnost, zahtjeve za postkvantne planove, ugovorne obveze obavješćivanja, zajedničku odgovornost za šifriranje i upravljanje ključevima, planiranje izlaska i prenosivost.
Vaš postupak upravljanja imovinom treba obuhvatiti polja kriptografskog popisa, vlasništvo, izvore dokaza, učestalost pregleda i integraciju s CMDB-om, popisom imovine u oblaku, upravljanjem certifikatima, zapisima HSM-a i repozitorijima koda.
Tu Clarysecova knjižnica politika pomaže organizacijama ubrzati rad. Umjesto pisanja od prazne stranice, timovi mogu prilagoditi točke politika u postupke, registre, upitnike i revizijske dokaze.
Izbjegnite najčešće pogreške u postkvantnoj migraciji
Najopasnije pogreške obično su upravljački, a ne tehnički propusti.
Početak s algoritmima umjesto s imovinom. Ako ne znate gdje se kriptografija koristi, odabir algoritama neće pomoći.
Zanemarivanje životnog vijeka podataka. Kratkotrajni transakcijski podaci i dugoročne osjetljive arhive nemaju isti rizik.
Tretiranje dobavljača kao kasnije faze. Mnoge kriptografske kontrole upravljaju dobavljači. Ako dobavljači nisu uključeni rano, vaš plan može biti nerealan.
Zaboravljanje potpisa. Postkvantno planiranje ne odnosi se samo na šifriranje. Digitalni potpisi, potpisivanje koda, certifikati, tokeni identiteta, ažuriranja firmvera i potpisivanje dokumenata zahtijevaju pozornost.
Pretpostavka da pružatelji usluga u oblaku rješavaju sve. Platforme u oblaku imat će važnu ulogu, ali odgovornost ostaje zajednička. I dalje morate znati koje su usluge, konfiguracije, ključevi, regije i integracije pogođeni.
Neuspjeh u stvaranju revizijskih dokaza. Plan migracije koji se ne može dokazati neće zadovoljiti upravu, regulatore, klijente ni revizore.
Preskakanje testiranja performansi i interoperabilnosti. Postkvantni algoritmi mogu utjecati na veličinu korisnog tereta, ponašanje pri uspostavi veze, latenciju, pohranu, ograničenja ugrađenih sustava i kompatibilnost.
Metrike koje CISO treba izvještavati upravnom odboru
Izvješćivanje upravnom odboru mora biti dovoljno jednostavno za razumijevanje i dovoljno konkretno da potakne djelovanje. Izbjegavajte duboke rasprave o algoritmima. Usredotočite se na izloženost, napredak, odluke i preostali rizik.
| Metrika | Značenje na razini upravnog odbora |
|---|---|
| Postotak kritičnih usluga s dovršenim kriptografskim popisom | Pokazuje vidljivost |
| Postotak dugoročnih osjetljivih podataka mapiranih na kriptografske kontrole | Pokazuje spremnost za rizik „prikupi sada, dešifriraj kasnije” |
| Broj kritičnih dobavljača od kojih je zaprimljen postkvantni plan | Pokazuje spremnost trećih strana |
| Broj kriptografskih iznimaka visokog rizika | Pokazuje neupravljanu izloženost |
| Postotak kritičnih aplikacija procijenjenih za kriptografsku agilnost | Pokazuje izvedivost migracije |
| Status dovršetka pilota | Pokazuje praktičan napredak |
| Otvorene aktivnosti obrade s prekoračenim rokom | Pokazuje rizik izvršenja |
| Trend preostalog rizika | Pokazuje smanjuje li program izloženost |
Korisna poruka upravnom odboru mogla bi zvučati ovako:
„Dovršili smo kriptografsko otkrivanje za 72 posto kritičnih usluga. Dva sustava imaju kritičnu dugoročnu izloženost povjerljivosti, a tri dobavljača još nisu dostavila postkvantne planove. Pokrenuli smo projekt spremnosti za potpisivanje koda i pregled ovisnosti o KMS-u u oblaku. Hitna zamjena danas se ne preporučuje, ali neizvjesnost dobavljača ostaje najveći preostali rizik.”
To je jezik upravljanog kibernetičkog rizika.
Praktičan kontrolni popis za početak ovog tjedna
Ne morate čekati savršenu sigurnost. Započnite koracima koji odmah poboljšavaju vidljivost i upravljanje.
- Imenujte vlasnika postkvantne kriptografije.
- Dodajte kriptografski rizik povezan s kvantnim računalstvom u registar rizika ISMS-a.
- Identificirajte deset najvažnijih usluga s dugoročnim osjetljivim podacima ili visokim utjecajem na cjelovitost.
- Izradite minimalno održiv CBOM za te usluge.
- Zatražite od kritičnih dobavljača njihove postkvantne planove.
- Pregledajte politike kriptografije, sigurnog razvoja, dobavljača i imovine.
- Identificirajte sustave s tvrdo kodiranim algoritmima, zastarjelim bibliotekama, ručnom periodičnom promjenom certifikata ili slabim vlasništvom.
- Odaberite jedan pilot niskog rizika za testiranje kriptografske agilnosti.
- Definirajte metrike za upravni odbor i učestalost izvješćivanja.
- Zakažite internu reviziju usmjerenu na kriptografsko upravljanje i dokaze.
Najvažniji potez jest pretvoriti neizvjesnost u upravljani rad. Kvantni rizik možda je okrenut budućnosti, ali kriptografski dug postoji danas.
Sljedeći koraci s Clarysecom
Postkvantna migracija bit će jedna od najsloženijih sigurnosnih tranzicija sljedećeg desetljeća jer obuhvaća identitet, šifriranje, potpise, dobavljače, oblak, softver, uređaje, arhive i revizijske dokaze. Organizacije koje počnu s upravljanjem i popisom napredovat će brže od onih koje čekaju posljednji ciklus zamjene.
Clarysec vam može pomoći izgraditi plan migracije kriptografije spreman za kvantno doba koristeći:
- Zenith Blueprint: revizorski plan u 30 koraka za faznu implementaciju i spremnost za reviziju
- Zenith Controls: vodič za usklađenost kroz više okvira za mapiranje ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA i NIS2
- Politika kriptografije i upravljanja ključevima za kriptografska pravila spremna za upravljanje
- Politika sigurnosti trećih strana i dobavljača za zahtjeve u pogledu planova dobavljača i osiguranja
- Politika sigurnog razvoja za inženjerske prakse kriptografske agilnosti
Najbolje vrijeme za početak postkvantnog planiranja jest prije nego što regulator, revizor, klijent ili član upravnog odbora zatraži dokaze. Počnite s popisom, povežite ga s rizikom i gradite migracijski put jednom kontroliranom odlukom za drugom.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
