Posztkvantum kriptográfiai migráció ISO 27001 alapokon
A tárgyalóteremben csak a projektor halk zúgása hallatszik. Sarah, az információbiztonsági vezető (CISO), éppen befejezte negyedéves kockázati beszámolóját, amikor a vezérigazgató felemel egy kinyomtatott pénzügyi hírcikket. A cím egyértelmű: „A kvantum-visszaszámlálás: elavultak már az adataink?”
„Sarah” – mondja inkább őszinte aggodalommal, mint vádlón –, „milliókat költöttünk titkosításra. Megfelelünk az előírásoknak. Biztonságban vagyunk. Ez a cikk azt állítja, hogy egy elég erős kvantumszámítógép mindezt feltörheti. Ki vagyunk téve ennek? Mi a helyzet azokkal az adatokkal, amelyeket most titkosítunk és tárolunk? Időzített bomba?”
Ez a beszélgetés ma már a biztonsági konferenciákról a felsővezetői testületek elé kerül. A kérdés már nem az, hogy a kvantumszámítástechnika érdekes-e a kutatók számára. A kérdés az, hogy a mai kriptográfiai döntések képesek-e megvédeni a holnap üzleti kötelezettségeit.
Sok szervezet számára az őszinte válasz kényelmetlen. A titkosítás mindenhol jelen van: TLS-átjárókban, VPN-ekben, ügyfélportálokon, identitástokenekben, adatbázis-biztonsági mentésekben, mobilalkalmazásokban, fizetési platformokon, S/MIME-ban, SSH-ban, API-integrációkban, SaaS szolgáltatásokban, hardveres biztonsági modulokban (HSM-ekben), felhőalapú kulcskezelő szolgáltatásokban, firmware-aláírásban, kódaláírásban és digitális szerződésekben.
Pont ez a probléma. A kriptográfia mindenhol jelen van, de a tulajdonosi felelősség gyakran sehol sincs.
A posztkvantum kriptográfiai migráció nem kizárólag egy jövőbeli, kriptográfiailag releváns kvantumszámítógépről szól. A mai „most begyűjt, később visszafejt” kockázatról is szól, amikor a támadók most rögzítik a titkosított adatokat, és megvárják, amíg a jövőbeli képességek gyakorlati szinten lehetővé teszik a visszafejtést. Ha a szervezet személyes adatokat, egészségügyi nyilvántartásokat, szabályozott pénzügyi adatokat, üzleti titkokat, jogi kommunikációt, nemzeti infrastruktúra-adatokat, termékfirmware-t vagy hosszú élettartamú szellemi tulajdont tárol, a kockázat már most életciklus-kockázat.
A kvantumkész kriptográfiai migrációs terv nem pánikprojekt. Strukturált irányítási, eszköznyilvántartási, beszállítói, architektúra-, tesztelési és auditprogram. Az információbiztonsági vezetők gyakorlati kérdése egyszerű:
Hogyan építsünk olyan posztkvantum migrációs tervet, amely hiteles a felső vezetés számára, használható a mérnököknek, és igazolható az auditorok előtt?
A válasz: a munkát az ISO/IEC 27001:2022 kereteire kell építeni, a kontrollokat az ISO/IEC 27002:2022 alapján kell értelmezni, technikai iránytűként a NIST posztkvantum kriptográfiai szabványait kell használni, és olyan egységes bizonyítékmodellt kell kialakítani, amely támogatja az ISO 27001, NIST, COBIT 2019, GDPR, DORA és NIS2 kötelezettségeket.
Miért az IBIR része a posztkvantum kriptográfia
Gyakori hiba, hogy a posztkvantum migrációt kizárólag a kriptográfiai mérnökökre bízzák. A mérnökök nélkülözhetetlenek, de önmagukban nem tudják megoldani az irányítási problémát.
A posztkvantum migráció érinti az eszközkezelést, az adatosztályozást, a beszállító-kezelést, a biztonságos architektúrát, a kulcskezelést, az alkalmazásfejlesztést, a felhőbiztonságot, az incidensreagálást, az üzletmenet-folytonosságot, a jogi kockázatot, a szabályozói elszámoltathatóságot és az auditbizonyítékokat. Ezek mind IBIR-témák.
Az ISO/IEC 27001:2022 biztosítja az irányítási keretet. Megköveteli, hogy a szervezet értse a kontextust, az érdekelt feleket, a kockázatokat, a célkitűzéseket, a felelősségeket, a kompetenciát, a dokumentált információkat, a működéstervezést, a teljesítményértékelést, a belső auditot, a vezetőségi átvizsgálást és a folyamatos fejlesztést. Az ISO/IEC 27002:2022 ezt követően kontrollértelmezést ad, különösen a következő területeken: 8.24 Use of cryptography, 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.21 Managing information security in the ICT supply chain, 5.23 Information security for use of cloud services, 8.25 Secure development life cycle, 8.8 Management of technical vulnerabilities, 8.16 Monitoring activities és 5.30 ICT readiness for business continuity.
A Clarysec ezért a posztkvantum felkészülést IBIR-vezérelt átalakulásként kezeli, nem elszigetelt algoritmuscserék sorozataként.
Ahogy a Clarysec Zenith Blueprint: auditoroknak szóló 30 lépéses ütemterv című anyaga fogalmaz a 2. fázis 8. lépésében, „Eszközök, függőségek és bizonyítékok hatókörének meghatározása”:
„Egy kontroll addig nem tekinthető megbízhatónak, amíg a szervezet nem tudja igazolni, hol alkalmazandó, ki a felelőse, mely bizonyítékok támasztják alá, és mely kockázatot csökkenti.”
Ez a mondat különösen fontos a posztkvantum kriptográfia esetében. Az algoritmusok cseréje előtt tudni kell, hol használ a szervezet algoritmusokat.
A Clarysec Zenith Controls: több keretrendszerre kiterjedő megfelelési útmutató című anyaga a kriptográfiát nem önálló technikai beállításként, hanem összekapcsolt bizonyítékláncként kezeli:
„A kriptográfiai bizonyosság auditja az információ életciklusán keresztül történik: azonosítás, osztályozás, jóváhagyott használat, kulcsvédelem, üzemeltetési monitorozás, beszállítói függőség, kivételkezelés és bizonyítékmegőrzés.”
Ez az életciklus-szemlélet megelőzi a leggyakoribb hibát: azt, hogy csak ezt kérdezzük: „Használunk kvantumbiztos algoritmusokat?” A jobb kérdések a következők:
- Mely rendszereket kell először posztkvantum migráció alá vonni?
- Mely adatok bizalmassági élettartama hosszabb, mint a kvantumkockázati horizont?
- Mely beszállítók kontrollálják a titkosításunkat, aláírásainkat, tanúsítványainkat vagy kulcskezelésünket?
- Mely alkalmazások kriptoagilisak, és melyek tartalmaznak beégetett megoldásokat?
- Milyen kompenzáló kontrollok léteznek, amíg a migráció nem teljes?
- Mely bizonyítékok igazolják, hogy a döntések kockázatalapúak voltak és felülvizsgálatra kerültek?
A kvantumfenyegetéstől az auditálható üzleti kockázatig
A használható posztkvantum terv kockázati forgatókönyvekkel kezdődik. Kerülni kell az olyan általános állításokat, mint hogy „a kvantumszámítástechnika feltörheti a titkosítást”. Ehelyett auditálható kockázati bejegyzéseket kell létrehozni, amelyek összekapcsolják az üzleti hatást, a fenyegetést, a sérülékenységet, az érintett eszközöket, a meglévő kontrollokat, a maradványkockázatot és a kockázatkezelési intézkedéseket.
Például:
„A hét évig tárolt, titkosított ügyfél-azonosító dokumentumok a jövőben sérülékennyé válhatnak a visszafejtéssel szemben, ha a biztonsági mentéseket ma kimentik, és a jelenlegi nyilvános kulcsú kriptográfia a jövőben feltörhetővé válik.”
Ez a forgatókönyv az adatmegőrzésre, a biztonsági mentések titkosítására, a kulcskezelésre, a hozzáférés-szabályozásra, a beszállítói tárhelyszolgáltatásra, a monitorozásra és a migrációs prioritásra mutat rá.
Egy másik példa:
„A csatlakoztatott eszközök firmware-aláírása olyan aláírási sémákra támaszkodik, amelyek nem feltétlenül maradnak megbízhatók az elvárt eszköz-életciklus teljes időtartama alatt.”
Ez a termékbiztonságra, a biztonságos frissítési mechanizmusokra, a HSM-képességre, az ügyfélbiztonságra, a beszállítói ütemtervbe vetett bizonyosságra és a hosszú távú operatív rezilienciára mutat.
Egy harmadik példa:
„A ma titkosított archivált jogi kommunikáció több mint tizenöt évig igényelhet bizalmasságot, ami „most begyűjt, később visszafejt” kitettséget eredményez.”
Ez az osztályozásra, a megőrzésre, a kriptográfiai védelemre, a jogi zárolásra, a biztonságos kommunikációra és a felsővezetői kockázatelfogadásra mutat.
A kockázat nem csak egy jövőbeli „Q-Day”. Három kapcsolódó aggályt foglal magában:
- Most begyűjt, később visszafejt: az ellenfelek ma gyűjtik be a titkosított adatokat későbbi visszafejtés céljából.
- Digitális aláírások kompromittálódása: a jövőbeli támadások aláássák a szoftverfrissítésekbe, identitástokenekbe, jogi dokumentumokba, firmware-be és pénzügyi tranzakciókba vetett bizalmat.
- Kriptográfiai koncentrációs hiba: termékek, protokollok, könyvtárak vagy beszállítók széles köre válik egyszerre elavulttá.
A Clarysec vállalati szabályzata, a Kriptográfiai és kulcskezelési szabályzat 5.1. pontja így fogalmazza meg az irányítási követelményt:
„A kriptográfiai kontrollokat az információ osztályozása, a szükséges védelmi élettartam, a jóváhagyott kriptográfiai szabványok, a kulcstulajdonosi felelősség és a dokumentált kockázatkezelési döntések alapján kell kiválasztani, bevezetni, felülvizsgálni és kivezetni.”
Ez a pont azért kritikus, mert a védelmi élettartam priorizálási tényezővé válik. A rövid élettartamú munkamenetadatok és a hosszú távú egészségügyi nyilvántartások nem hordoznak azonos kvantumkockázatot. Egy olyan kódaláíró kulcs, amely tizenöt éven át megalapozza az eszközökbe vetett bizalmat, más kockázati profillal rendelkezik, mint egy rövid élettartamú belső teszttanúsítvány.
Ugyanez a szabályzatcsalád, amely a Clarysec-anyagokban Kriptográfiai kontrollok szabályzata néven szerepel, a felülvizsgálati elvárásokat is formalizálhatja például így:
5.4. pont: Algoritmus- és kulcshossz-szabványok
„A szervezeten belül használt valamennyi kriptográfiai algoritmust és kulcshosszt az információbiztonsági csapat által fenntartott jóváhagyott listából kell kiválasztani. Ezt a listát évente felül kell vizsgálni az iparági legjobb gyakorlatok és a nemzeti kiberbiztonsági szervek (pl. NIST, ENISA) útmutatása alapján, különös figyelemmel a posztkvantum kriptográfiai szabványok fejlődésére. A kvantumalapú támadásokkal szemben sérülékeny algoritmusokról történő rendszermigráció ütemtervét a kriptográfiai eszköznyilvántartás részeként fenn kell tartani.”
Ez nem ír elő kockázatos korai bevezetést. Tudatosságot, tervezést, felülvizsgálatot és bizonyítékokat követel meg.
A NIST PQC szabványok mint technikai iránytű
A NIST posztkvantum kriptográfiai munkája hiteles technikai irányt ad a szervezeteknek. A NIST az ML-KEM-et kulcsbekapszulázásra, az ML-DSA-t digitális aláírásokhoz, az SLH-DSA-t pedig állapotmentes, hash-alapú aláírásokhoz szabványosította. Ezek a szabványok alapot adnak a beszállítói ütemtervekhez és az architektúra-pilotokhoz.
Az információbiztonsági vezetők számára nem az algoritmusrészletek memorizálása a cél. A cél olyan migrációs útvonal kialakítása, amely képes befogadni a jóváhagyott kriptográfiai döntéseket anélkül, hogy megszakítaná az üzleti szolgáltatásokat, a megfelelési kötelezettségeket vagy az auditálási visszakövethetőséget.
Egy NIST-tel összhangban álló migrációs tervnek négy munkasávot kell tartalmaznia:
- Feltárás: annak azonosítása, hol található sérülékeny nyilvános kulcsú kriptográfia.
- Priorizálás: a rendszerek rangsorolása adatérzékenység, védelmi élettartam, kitettség, sértetlenségi hatás és üzletmenet-kritikusság alapján.
- Átállási architektúra: annak meghatározása, hol kell tesztelni és bevezetni hibrid, kriptoagilis vagy posztkvantum mechanizmusokat.
- Bizonyosság: bizonyíték előállítása arról, hogy a döntések, kivételek, beszállítói függőségek, tesztek és maradványkockázatok kontrolláltak.
A kriptoagilitás külön figyelmet érdemel. A kriptoagilis rendszer jelentős újratervezés nélkül képes algoritmusokat, kulcsméreteket, könyvtárakat, tanúsítványokat és protokollokat váltani. A posztkvantum korszakban a kriptoagilitás nem luxus, hanem reziliencia-követelmény.
Ha egy fizetési API beégetett kriptográfiai könyvtárakat használ, és nincs dokumentált felelőse, nem kriptoagilis. Ha egy mobilalkalmazás tanúsítvány-rögzítést alkalmaz kezelt frissítési útvonal nélkül, a migráció költségessé válhat. Ha egy IoT-eszköz tizenöt éves terepi élettartammal rendelkezik, és nem képes nagyobb aláírásokat vagy biztonságos firmware-frissítéseket támogatni, a kockázat stratégiai szintű.
A migrációs út kiválasztása előtt építse fel a kriptográfiai nyilvántartást
A legtöbb szervezet nem rendelkezik teljes kriptográfiai nyilvántartással. Lehet tanúsítvány-nyilvántartása, kulcskezelési táblázata, HSM-nyilvántartása, felhőalapú KMS-listája vagy CMDB-bejegyzése. Ritkán rendelkezik azonban egységes képpel a kriptográfiai függőségekről.
A posztkvantum kriptográfiai migrációs tervhez kriptográfiai anyagjegyzékre, azaz CBOM-ra van szükség. Ennek az első napon nem kell tökéletesnek lennie. Strukturáltnak, felelőshöz rendeltnek és folyamatosan fejlesztettnek viszont lennie kell.
Legalább a következő mezőket kell rögzíteni:
| Nyilvántartási mező | Miért fontos a posztkvantum migrációhoz |
|---|---|
| Üzleti szolgáltatás | Az üzleti hatás alapján priorizálja a migrációt |
| Eszközfelelős | Kijelöli az elszámoltathatóságot és a döntési jogosultságot |
| Adatosztályozás | Azonosítja a bizalmassági és sértetlenségi követelményeket |
| Védelmi élettartam | Rámutat a „most begyűjt, később visszafejt” kitettségre |
| Kriptográfiai funkció | Elkülöníti a titkosítást, a kulcscserét, az aláírásokat, a hash-képzést és a tanúsítványokat |
| Algoritmus és protokoll | Azonosítja, hol használnak sérülékeny nyilvános kulcsú mechanizmusokat |
| Könyvtár vagy implementáció | Megmutatja a szoftverfüggőségeket és a frissítési korlátokat |
| Kulcs helye | Megmutatja, hogy a kulcsok HSM-ben, felhőalapú KMS-ben, szoftverben, végponton vagy beszállítói platformon vannak-e |
| Beszállítói függőség | Feltárja, hol függ a migráció harmadik felektől |
| Migrációs összetettség | Támogatja az ütemezést, a tesztelést és a költségtervezést |
| Bizonyítékforrás | Auditkészséget biztosít a nyilvántartásnak |
Egy kezdeti nyilvántartás például így nézhet ki:
| Eszközazonosító | Eszköz neve | Felelős | Üzletmenet-kritikusság | Kriptográfiai használat | Hely | PQC sérülékenység | Migrációs prioritás |
|---|---|---|---|---|---|---|---|
| APP-042 | Customer Billing API | Finance Technology | Magas | RSA-2048 aláírások, TLS, AES-256 titkosítás | AWS eu-west-1 | Magas az RSA-függő bizalom miatt | 1 |
| NET-007 | Remote Access VPN | IT Infrastructure | Magas | ECDSA-hitelesítés, IKEv2 | Helyszíni és felhőperemi | Magas az ECC-függő hitelesítés miatt | 1 |
| DB-011 | Archived Patient Records | Compliance | Magas, 30 éves megőrzéssel | AES-256 adatbázis-titkosítás | Helyszíni adatbázis | Alacsonyabb a szimmetrikus titkosításnál, magas, ha a kulcsokat sérülékeny nyilvános kulcsú módszerekkel cserélik vagy csomagolják | 2 |
| CODE-001 | CI/CD Code Signing | DevOps | Magas sértetlenségi hatás | RSA-4096 kódaláírás | HSM és build pipeline | Magas a hosszú távú aláírási bizalom miatt | 1 |
Ez a táblázat azonnal megmutatja, miért számít a nyilvántartás. Az AES-256 nem ugyanolyan kvantumkockázat, mint az RSA vagy az ECC, de az archivált betegnyilvántartások továbbra is függhetnek sérülékeny kulcscsomagolástól, tanúsítványoktól, identitásrendszerektől vagy biztonsági mentési átviteli csatornáktól. A kódaláírás nem feltétlenül véd bizalmasságot, de védi a szoftver sértetlenségét és a bizalmat.
A Zenith Controls a kriptográfiát mélyebb értelmezést adó támogató szabványokkal kapcsolja össze. Az ISO/IEC 27005 támogatja az információbiztonsági kockázatkezelést, és segít a kvantumbizonytalanságot strukturált kockázati forgatókönyvekké alakítani. Az ISO/IEC 27017 támogatja a felhőspecifikus biztonsági kontrollokat, ami elengedhetetlen, ha a kriptográfiai szolgáltatásokat felhőalapú KMS, menedzselt TLS, SaaS-titkosítás vagy platformtanúsítványok biztosítják. Az ISO/IEC 27018 releváns, ha személyes adatokat nyilvános felhőszolgáltatásokban kezelnek. Az ISO 22301 akkor releváns, ha egy kriptográfiai hiba befolyásolhatja a kritikus szolgáltatások folytonosságát. Az ISO/IEC 27036 támogatja a beszállítói kapcsolatok biztonságát, ami kulcsfontosságú, ha a beszállítók az Ön nevében kezelnek titkosítást, aláírásokat, tanúsítványokat vagy biztonságos kommunikációt.
A tanulság egyszerű: amit nem talál meg, azt nem tudja migrálni.
Priorizálás érzékenység, élettartam, kitettség és migrációs nehézség alapján
Amint a CBOM rendelkezésre áll, a priorizálás bizonyítékalapúvá válik. A legjobb kiindulópont néhány kritikus rendszer, nem pedig egy vállalatszintű tökéletességi gyakorlat.
Képzeljünk el egy pénzügyi szolgáltatót három nagy értékű rendszerrel:
- Ügyféldokumentum-tár, amely tíz évig tárol személyazonossági bizonyítékokat
- B2B API-átjáró partnertranzakciók támogatására
- Kódaláíró platform asztali szoftverfrissítésekhez
A Zenith Blueprint 2. fázisának 8. lépése alapján a csapat kinyeri az eszközöket a CMDB-ből, a tanúsítványokat a tanúsítványkezelő platformról, a kulcsokat a HSM-ből és a felhőalapú KMS-ből, az adatosztályokat az adatvédelmi nyilvántartásból, a beszállítói függőségeket pedig a beszerzési nyilvántartásokból.
Ezt követően pontozzák a rendszereket:
| Rendszer | Adatérzékenység | Védelmi élettartam | Külső kitettség | Beszállítói függőség | Migrációs prioritás |
|---|---|---|---|---|---|
| Ügyféldokumentum-tár | Nagyon magas | Hosszú | Közepes | Cloud KMS és tárhelyszolgáltató | Kritikus |
| B2B API-átjáró | Magas | Rövidtől közepesig | Nagyon magas | API-kezelési beszállító | Magas |
| Kódaláíró platform | Nagyon magas sértetlenségi hatás | Hosszú eszközbizalom | Közepes | HSM és build pipeline eszközök | Kritikus |
Az ügyféldokumentum-tár a bizalmassági élettartam miatt válik prioritássá. A kódaláíró platform azért válik prioritássá, mert az aláírásba vetett bizalom a szoftver sértetlenségét és az ügyfélbiztonságot érinti. Az API-átjáró a külső kitettség miatt magas prioritású, de a megőrzött adatok bizalmassági élettartama rövidebb lehet.
A kockázati nyilvántartásnak ezt követően minden forgatókönyvet össze kell kapcsolnia a kezeléssel és a bizonyítékokkal:
| Kockázati forgatókönyv | Jelenlegi kontroll | Kockázatkezelési döntés | Szükséges bizonyíték |
|---|---|---|---|
| A hosszú élettartamú ügyfélnyilvántartások jövőbeli visszafejtésnek lehetnek kitéve | Tárolt adatok titkosítása, hozzáférés-szabályozás, felhőalapú KMS | A tárolási titkosítási ütemterv értékelése, a kulcsszegregáció erősítése, a biztonsági mentési átvitel kriptográfiájának felülvizsgálata | CBOM, beszállítói ütemterv, architektúradöntés, kockázatkezelési bejegyzés |
| A szoftverfrissítésekbe vetett bizalmat gyengítheti a jövőbeli aláírás-kompromittálódás | Kódaláíró HSM, kiadás-jóváhagyás | A posztkvantum aláírási felkészültség, az időbélyegzési stratégia és az aláírási életciklus értékelése | Aláírási nyilvántartás, HSM-képességjelentés, biztonságos fejlesztési eljárás |
| A partner API kriptográfiája nehezen változtatható gyorsan | TLS-tanúsítványok, API-átjáró konfiguráció | Kriptoagilitási tesztelés és beszállítói ütemterv-felülvizsgálat bevezetése | TLS-vizsgálat, konfigurációs alapbeállítás, beszállítói megfelelőségi nyilatkozat |
A Clarysec vállalati szabályzata, a Biztonságos fejlesztési szabályzat 6.4. pontja a szoftverszállítási szempontot adja meg:
„A biztonsági tervfelülvizsgálatoknak éles üzembe helyezési jóváhagyás előtt értékelniük kell a kriptográfiai függőségeket, a könyvtárak életciklusát, az algoritmus-agilitást, a titokkezelést, a frissítési mechanizmusokat és a beszállítók által kontrollált komponenseket.”
Ez a pont a posztkvantum felkészülést mérnöki követelménnyé teszi. Megakadályozza, hogy a csapatok olyan új rendszereket vezessenek be, amelyek később nem migrálhatók.
Kövessen 12 hónapos, auditorok számára érthető ütemtervet
A posztkvantum migráció sok szervezetnél évekig fog tartani. Az első év célja, hogy a szervezet a bizonytalanságból irányított migrációba lépjen át.
| Hónap | Munkasáv | Eredmény | Bizonyíték |
|---|---|---|---|
| 1 | Felsővezetői felhatalmazás | Igazgatósági szintű hatókör, kockázatvállalási hajlandóság és finanszírozási út | Irányító testületi jegyzőkönyvek, jóváhagyott alapító dokumentum |
| 1–2 | Kriptográfiai feltárás | Kritikus szolgáltatásokat lefedő kezdeti CBOM | Nyilvántartás-export, CMDB-kapcsolatok, rendszergazdai igazolások |
| 2–3 | Adat- és védelmi élettartam felülvizsgálata | Hosszú élettartamú érzékeny adatok és magas sértetlenségi hatású eszközök priorizált listája | Osztályozási nyilvántartás, megőrzési ütemterv, kockázati bejegyzések |
| 3–4 | Beszállítói függőségek felülvizsgálata | Beszállítói ütemterv és szerződéses hiányelemzés | Beszállítói kérdőívek, szerződéses záradékok, kockázati kivételek |
| 4–6 | Architektúra- és kriptoagilitási értékelés | Célarchitektúra-minták és migrációs korlátok | Architektúra-felülvizsgálati bejegyzések, tervezési döntések |
| 6–8 | Pilot bevezetés | Hibrid vagy posztkvantum teszt kiválasztott alacsony kockázatú környezetben | Teszteredmények, visszaállítási terv, teljesítménymegállapítások |
| 8–10 | Szabályzat- és eljárásfrissítés | Frissített kriptográfiai, kulcskezelési, beszállítói, biztonságos fejlesztési és eszközkezelési szabályok | Jóváhagyott szabályzatok, képzési nyilvántartások |
| 10–12 | Auditkészség | Belső audit, vezetőségi átvizsgálás és kockázatkezelési terv frissítése | Auditjelentés, helyesbítő intézkedések, frissített kockázatkezelési terv |
A Zenith Blueprint 3. fázisának 14. lépése, „Kockázatkezelési terv és felelősség kialakítása”, figyelmeztet a finanszírozás nélküli biztonsági szándékokra:
„Az a kockázatkezelési terv, amelynek nincs felelőse, bizonyítékelvárása, költségvetési útja és felülvizsgálati dátuma, nem terv. Csupán egy rendezetlen kockázat jobb formázással.”
Pontosan így buknak el a posztkvantum programok. Tudatossági diasorokat készítenek, de nincs felelőshöz rendelt korrekciós backlog. Algoritmusokról beszélnek, de nem frissítik a beszállítói szerződéseket. Dokumentálják a kockázatot, de nem tesztelik a migrációs mintákat.
A hiteles ütemterv döntési bejegyzéseket, felelősöket, függőségeket, bizonyítékelvárásokat, költségvetéseket és felülvizsgálati dátumokat hoz létre.
Vonja be korán a beszállítókat a programba
Sok kriptográfiai függőség kiszervezett. A felhőszolgáltatók terminálják a TLS-t. A SaaS platformok titkosítják a nyilvántartásokat. Az identitásszolgáltatók tokeneket írnak alá. A fizetésfeldolgozók tanúsítványokat kezelnek. A hardvergyártók kontrollálják a firmware-aláírást. A menedzselt szolgáltatók VPN-eket és biztonsági átjárókat üzemeltetnek.
Még ha a belső csapat fel is készült, a migrációt blokkolhatja a beszállítói képesség hiánya.
A Clarysec vállalati szabályzata, a Harmadik fél és beszállítói biztonsági szabályzat 5.6. pontja kimondja:
„A biztonsági szempontból releváns szolgáltatásokat nyújtó beszállítóknak fel kell tárniuk a lényeges függőségeket, a kriptográfiai felelősségeket, a bizonyossági bizonyítékokat, a sérülékenységkezelési folyamatokat és az ütemterv-változásokat, amelyek befolyásolhatják a szervezet kockázati helyzetét.”
A posztkvantum felkészüléshez a kritikus beszállítóktól a következőket kell megkérdezni:
- Mely algoritmusok, protokollok, tanúsítványok és kulcskezelő szolgáltatások védik az adatainkat vagy tranzakcióinkat?
- Fenntartanak-e kriptográfiai nyilvántartást vagy CBOM-ot?
- Mi az Önök NIST posztkvantum ütemterve?
- Támogatni fogják-e a hibrid kulcscserét, a posztkvantum aláírásokat vagy a kvantumálló kulcslétesítést?
- Hogyan kommunikálják a tanúsítvány-, token-, aláírási és titkosítási változásokat?
- Milyen ügyféloldali intézkedésre lesz szükség?
- Milyen tesztkörnyezetek lesznek elérhetők?
- Hogyan kezelik a teljesítményt, az interoperabilitást és a visszaállítást?
- Meghatározza-e a szerződés vagy a megosztott felelősségi modell a kriptográfiai felelősségeket?
- Milyen kilépési vagy hordozhatósági lehetőségek állnak rendelkezésre, ha az ütemtervük nem felel meg a kockázati követelményeinknek?
A beszállítói válaszoknak be kell kerülniük a kockázati nyilvántartásba. A gyenge válaszok nem mindig jelentenek azonnali cserét, de kockázatkezelést igényelnek. Szükség lehet kompenzáló kontrollokra, szerződésmódosításokra, értesítési záradékokra, kilépési tervezésre, fokozott monitorozásra vagy módosított beszerzési stratégiára.
Ez különösen fontos a DORA és NIS2 jellegű operatív rezilienciaelvárások mellett. A DORA hangsúlyt helyez az IKT-kockázatkezelésre és az IKT harmadik fél kockázatkezelésre, beleértve a kritikus függőségek felügyeletét. A NIS2 Article 21 megfelelő és arányos technikai, operatív és szervezeti biztonsági kockázatkezelési intézkedéseket ír elő, ideértve az ellátási lánc biztonságát, az incidenskezelést, az üzletmenet-folytonosságot és adott esetben a kriptográfiát. A GDPR Article 32 a kockázatnak megfelelő biztonságot ír elő, beleértve a bizalmasságot, a sértetlenséget, a rendelkezésre állást, a rezilienciát és a személyes adatok folyamatos védelmének biztosítására való képességet.
A szabályozói nyelvezet eltér, de a kontrolllogika azonos: ismerje a függőségeket, kezelje a kockázatot, őrizze meg a bizonyítékokat, és cselekedjen, mielőtt a reziliencia sérülne.
Több keretrendszerre kiterjedő megfeleltetés: egy migrációs terv, több kötelezettség
Egy erős posztkvantum kriptográfiai migrációs tervnek kerülnie kell, hogy minden keretrendszerhez külön bizonyítékcsomagokat hozzon létre. Ugyanaz az alapvető bizonyítékkészlet több kötelezettséget is támogat, ha megfelelően strukturált.
A Zenith Controls a kriptográfia témáját az ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA és NIS2 között úgy térképezi fel, hogy a kontroll céljára összpontosít, nem pedig az egyes keretrendszerek által használt címkére.
| Keretrendszer | Hogyan támogatja a posztkvantum terv a megfelelést |
|---|---|
| ISO/IEC 27001:2022 | Bemutatja a kockázatalapú kontrollkiválasztást, a dokumentált információkat, a belső auditot, a vezetőségi átvizsgálást és a folyamatos fejlesztést |
| ISO/IEC 27002:2022 | Támogatja a kontrollértelmezést a 8.24 Use of cryptography, az eszköznyilvántartás, az osztályozás, a beszállítói biztonság, a felhőszolgáltatások, a biztonságos fejlesztés, a monitorozás és a folytonosság területén |
| NIST PQC szabványok | Technikai irányt ad a jóváhagyott posztkvantum algoritmusokra történő átálláshoz és a kriptográfiai tervezéshez |
| NIST Cybersecurity Framework 2.0 | Összekapcsolja a migrációs tevékenységeket a Govern, Identify, Protect, Detect, Respond és Recover eredményekkel |
| COBIT 2019 | Összhangba hozza a kriptográfiai kockázatot olyan irányítási és menedzsmentcélokkal, mint az APO12 Managed Risk, APO13 Managed Security, APO10 Managed Vendors, DSS05 Managed Security Services és MEA03 Managed Compliance |
| GDPR | Támogatja az Article 32 szerinti elvárásokat a megfelelő biztonság, bizalmasság, sértetlenség, reziliencia és a személyes adatok kezelésével kapcsolatos elszámoltathatóság területén |
| DORA | Támogatja az IKT-kockázatkezelést, az IKT harmadik fél kockázatkezelést, a rezilienciatesztelést, az incidenskezelésre való felkészültséget és az irányító testületi felügyeletet |
| NIS2 | Támogatja az Article 21 szerinti biztonsági kockázatkezelési intézkedéseket, az ellátási lánc biztonságát, az incidenskezelést, az üzletmenet-folytonosságot és az irányítási elszámoltathatóságot |
A kulcs a bizonyítékok újrahasznosítása. A kriptográfiai nyilvántartás támogatja az ISO szerinti eszközkezelést, a NIST Identify eredményeket, a DORA IKT-eszközláthatóságot, a NIS2 kockázatkezelést és a GDPR elszámoltathatóságot. A beszállítói kérdőívek támogatják az ISO beszállítói kontrollokat, a DORA IKT harmadik fél kockázatot, a NIS2 ellátási lánc biztonságát és a COBIT beszállítói irányítását. A migrációs teszteredmények támogatják a biztonságos változáskezelést, a rezilienciatesztelést, az auditkészséget és a vezetőségi átvizsgálást.
Mit fognak kérdezni az auditorok?
A posztkvantum kriptográfia még kialakulóban lévő audittéma, de az auditoroknak már most elegendő kontrollelvárásuk van ahhoz, hogy nehéz kérdéseket tegyenek fel.
Egy ISO/IEC 27001:2022 auditor általában a kockázattal kezd. Meg fogja kérdezni, hogy a kvantumhoz kapcsolódó kriptográfiai kockázat azonosítása, értékelése, kezelése, nyomon követése és felülvizsgálata az IBIR-en belül történik-e. Bizonyítékot vár arra, hogy a kriptográfiai kontrollokat üzleti kockázat alapján választották ki, és hogy a felelősségek meghatározottak.
Egy NIST-orientált értékelő az eszközláthatóságra, a védelmi mechanizmusokra, az ellátási lánc kockázataira, a sérülékenységkezelésre és az irányítási eredményekre összpontosíthat. Megkérdezheti, hogy a szervezet azonosította-e a sérülékeny nyilvános kulcsú kriptográfiát használó rendszereket, és hogy a migrációs tervezés összhangban van-e a NIST irányával.
Egy COBIT vagy ISACA auditor gyakran az irányításról kérdez. Ki elszámoltatható? Hogyan kap jelentést az igazgatóság? Prioritást kapnak-e a beruházások? Kezelik-e a beszállítói függőségeket? Egyensúlyban vannak-e az előnyök, kockázatok és erőforrások?
Egy adatvédelmi auditor arra összpontosíthat, hogy a titkosítás és a kulcskezelés továbbra is megfelelő-e a személyes adatok érzékenységéhez és megőrzési idejéhez képest.
Egy DORA- vagy NIS2-fókuszú felülvizsgáló a rezilienciát, az IKT harmadik felekkel kapcsolatos koncentrációt, az operatív folytonosságot és az incidenskezelésre való felkészültséget vizsgálja.
| Auditnézőpont | Várható kérdések | Előkészítendő bizonyíték |
|---|---|---|
| ISO/IEC 27001:2022 | Szerepel-e a posztkvantum kockázat az IBIR kockázatkezelési folyamatában? Kiválasztották és felülvizsgálták-e a kriptográfiai kontrollokat? | Kockázati nyilvántartás, kezelési terv, alkalmazhatósági nyilatkozat, szabályzat-jóváhagyások, belső audit eredményei |
| NIST | Nyilvántartásba vette-e a szervezet a kriptográfiai használatot, és megtervezte-e a migrációt a jóváhagyott megközelítések felé? | CBOM, architektúradöntések, pilot eredmények, migrációs backlog |
| COBIT 2019 | Irányított, finanszírozott és monitorozott-e a kriptográfiai átállás? | Igazgatósági jelentések, irányítási jegyzőkönyvek, kulcsfontosságú teljesítménymutatók, beszállítói kockázati irányítópultok |
| GDPR | A kriptográfiai védelem továbbra is megfelelő-e a személyes adatok érzékenységéhez és megőrzéséhez? | Adatosztályozás, DPIA-hivatkozások, megőrzési ütemterv, titkosítási terv |
| DORA | Ismertek és reziliensek-e az IKT- és beszállítói függőségek? | IKT-eszköznyilvántartás, beszállítói megfelelőségi nyilatkozatok, tesztelési bizonyítékok, kilépési tervek |
| NIS2 | Hatékonyak-e az ellátási lánc és a biztonsági kockázatkezelési intézkedések? | Beszállítói felülvizsgálatok, incidenskezelési eljárások, folytonossági tervek, kockázatkezelési bejegyzések |
A Zenith Controls azt javasolja, hogy az auditfelkészülést bizonyítékútvonalként kezeljük. Ne várja meg, amíg az auditorok képernyőképeket és táblázatokat kérnek. Olyan GRC-munkaterületet kell kialakítani, amely minden kriptográfiai kockázatot összekapcsol a felelősével, az érintett eszközökkel, beszállítókkal, döntésekkel, tesztekkel, kivételekkel és felülvizsgálati dátumokkal.
Frissítse a szabályzatokat, hogy a program működésbe lépjen
A legtöbb kriptográfiai szabályzatot hagyományos bizalmassági és sértetlenségi követelményekre írták. A posztkvantum migráció célzott kiegészítéseket igényel.
A kriptográfiai és kulcskezelési szabályzatnak ki kell térnie a jóváhagyott szabványokra, a felülvizsgálati gyakoriságra, az adatosztályozásra, a védelmi élettartamra, az algoritmus-agilitásra, a kulcsgenerálásra, a kulcstárolásra, a rotációra, a megsemmisítésre, a tulajdonosi felelősségre, a tanúsítvány-életciklusra, a HSM-felelősségre, a felhőalapú KMS-felelősségre, a kivételjóváhagyásra, a beszállító által kontrollált kriptográfiára és a posztkvantum átállás nyomon követésére.
A biztonságos fejlesztési szabályzatnak ki kell térnie a kriptográfiai könyvtárak jóváhagyására, a felülvizsgálat nélküli beégetett algoritmusok tiltására, a függőségek nyomon követésére, a biztonságos frissítési mechanizmusokra, a nagyobb kulcsokra vagy aláírásokra vonatkozó teljesítménytesztelésre, a visszafelé kompatibilitásra, a visszaállításra és a hosszú élettartamú termékek fenyegetésmodellezésére.
A beszállítói biztonsági szabályzatnak ki kell térnie a kriptográfiai átláthatóságra, a posztkvantum ütemtervek bekérésére, a szerződéses értesítési kötelezettségekre, a titkosításért és kulcskezelésért viselt megosztott felelősségre, a kilépési tervezésre és a hordozhatóságra.
Az eszközkezelési eljárásnak ki kell térnie a kriptográfiai nyilvántartási mezőkre, a tulajdonosi felelősségre, a bizonyítékforrásokra, a felülvizsgálati gyakoriságra, valamint a CMDB-vel, felhőnyilvántartással, tanúsítványkezeléssel, HSM-nyilvántartásokkal és kódtárakkal való integrációra.
Itt segíti a Clarysec szabályzatkönyvtára a szervezetek gyorsabb előrehaladását. Üres oldalról történő szabályzatírás helyett a csapatok szabályzati pontokat alakíthatnak eljárásokká, nyilvántartásokká, kérdőívekké és auditbizonyítékokká.
Kerülje el a leggyakoribb posztkvantum migrációs hibákat
A legveszélyesebb hibák többnyire irányítási, nem technikai hibák.
Algoritmusokkal kezdeni eszközök helyett. Ha nem tudja, hol használ kriptográfiát, az algoritmusválasztás nem fog segíteni.
Figyelmen kívül hagyni az adatok élettartamát. A rövid élettartamú tranzakciós adatok és a hosszú élettartamú érzékeny archívumok nem hordoznak azonos kockázatot.
A beszállítókat későbbi fázisként kezelni. Sok kriptográfiai kontrollt beszállítók kezelnek. Ha a beszállítókat nem vonják be korán, a terv irreális lehet.
Megfeledkezni az aláírásokról. A posztkvantum tervezés nem csak a titkosításról szól. A digitális aláírások, a kódaláírás, a tanúsítványok, az identitástokenek, a firmware-frissítések és a dokumentumaláírások is figyelmet igényelnek.
Azt feltételezni, hogy a felhőszolgáltatók mindent megoldanak. A felhőplatformok jelentős szerepet fognak játszani, de a felelősség továbbra is megosztott. Továbbra is tudni kell, mely szolgáltatásokat, konfigurációkat, kulcsokat, régiókat és integrációkat érinti a változás.
Nem létrehozni auditbizonyítékot. Az a migrációs terv, amely nem támasztható alá bizonyítékokkal, nem fog megfelelni a vezetés, a szabályozók, az ügyfelek vagy az auditorok elvárásainak.
Kihagyni a teljesítmény- és interoperabilitási tesztelést. A posztkvantum algoritmusok befolyásolhatják a hasznos teher méretét, a kézfogási viselkedést, a késleltetést, a tárolást, a beágyazott korlátokat és a kompatibilitást.
Milyen mutatókat jelentsen az információbiztonsági vezető az igazgatóságnak?
Az igazgatósági jelentésnek elég egyszerűnek kell lennie ahhoz, hogy érthető legyen, és elég konkrétnak ahhoz, hogy intézkedést váltson ki. Kerülni kell a mély algoritmusvitákat. A kitettségre, az előrehaladásra, a döntésekre és a maradványkockázatra kell összpontosítani.
| Mutató | Igazgatósági szintű jelentés |
|---|---|
| A kriptográfiai nyilvántartással rendelkező kritikus szolgáltatások aránya | Láthatóságot mutat |
| A kriptográfiai kontrollokhoz rendelt hosszú élettartamú érzékeny adatok aránya | A „most begyűjt, később visszafejt” felkészültséget mutatja |
| A posztkvantum ütemtervet megküldő kritikus beszállítók száma | A harmadik felek felkészültségét mutatja |
| Magas kockázatú kriptográfiai kivételek száma | Kezeletlen kitettséget mutat |
| A kriptoagilitás szempontjából értékelt kritikus alkalmazások aránya | A migráció megvalósíthatóságát mutatja |
| Pilot teljesítési állapota | Gyakorlati előrehaladást mutat |
| Lejárt határidejű nyitott kockázatkezelési intézkedések | Végrehajtási kockázatot mutat |
| Maradványkockázati trend | Megmutatja, hogy a program csökkenti-e a kitettséget |
Egy hasznos igazgatósági üzenet például így hangozhat:
„A kritikus szolgáltatások 72 százalékánál elvégeztük a kriptográfiai feltárást. Két rendszer kritikus, hosszú élettartamú bizalmassági kitettséggel rendelkezik, három beszállító pedig még nem adott posztkvantum ütemtervet. Elindítottunk egy kódaláírási felkészültségi projektet és egy felhőalapú KMS függőségi felülvizsgálatot. Ma nem javaslunk sürgősségi cserét, de a beszállítói bizonytalanság továbbra is a legnagyobb maradványkockázat.”
Ez az irányított kiberkockázat nyelve.
Gyakorlati ellenőrzőlista erre a hétre
Nem kell megvárni a tökéletes bizonyosságot. Olyan lépésekkel kell kezdeni, amelyek azonnal javítják a láthatóságot és az irányítást.
- Jelöljön ki posztkvantum kriptográfiai felelőst.
- Vegye fel a kvantumhoz kapcsolódó kriptográfiai kockázatot az IBIR kockázati nyilvántartásába.
- Azonosítsa a tíz legfontosabb szolgáltatást, amely hosszú élettartamú érzékeny adatokat vagy magas sértetlenségi hatást hordoz.
- Készítsen minimálisan működőképes CBOM-ot ezekre a szolgáltatásokra.
- Kérje be a kritikus beszállítók posztkvantum ütemtervét.
- Vizsgálja felül a kriptográfiai, biztonságos fejlesztési, beszállítói és eszközkezelési szabályzatokat.
- Azonosítsa a beégetett algoritmusokkal, elavult könyvtárakkal, manuális tanúsítványrotációval vagy gyenge tulajdonosi felelősséggel rendelkező rendszereket.
- Válasszon ki egy alacsony kockázatú pilotot kriptoagilitási tesztelésre.
- Határozza meg az igazgatósági mutatókat és a jelentéstételi gyakoriságot.
- Ütemezzen belső auditot a kriptográfiai irányításra és bizonyítékokra fókuszálva.
A legfontosabb lépés a bizonytalanság irányított munkává alakítása. A kvantumkockázat a jövő felé mutathat, de a kriptográfiai adósság ma létezik.
Következő lépések a Clarysec segítségével
A posztkvantum migráció a következő évtized egyik legösszetettebb biztonsági átállása lesz, mert érinti az identitást, a titkosítást, az aláírásokat, a beszállítókat, a felhőt, a szoftvereket, az eszközöket, az archívumokat és az auditbizonyítékokat. Azok a szervezetek, amelyek irányítással és nyilvántartással kezdenek, gyorsabban fognak haladni, mint azok, amelyek az utolsó pillanatban induló csereciklusra várnak.
A Clarysec segíthet kvantumkész kriptográfiai migrációs terv kialakításában a következőkkel:
- Zenith Blueprint: auditoroknak szóló 30 lépéses ütemterv a fázisokra bontott bevezetéshez és az auditkészséghez
- Zenith Controls: több keretrendszerre kiterjedő megfelelési útmutató az ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA és NIS2 megfeleltetéshez
- Kriptográfiai és kulcskezelési szabályzat irányításra kész kriptográfiai szabályokhoz
- Harmadik fél és beszállítói biztonsági szabályzat a beszállítói ütemtervekre és bizonyossági követelményekre vonatkozóan
- Biztonságos fejlesztési szabályzat kriptoagilis mérnöki gyakorlatokhoz
A posztkvantum tervezést érdemes azelőtt megkezdeni, hogy egy szabályozó, auditor, ügyfél vagy igazgatósági tag bizonyítékot kérne. Kezdje a nyilvántartással, kapcsolja össze a kockázattal, és építse fel a migrációs útvonalat kontrollált döntésről kontrollált döntésre.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
