Migracija prie postkvantinės kriptografijos pagal ISO 27001

Projektoriaus ūžesys yra vienintelis garsas posėdžių salėje. Sarah, vyriausioji informacijos saugumo vadovė (CISO), ką tik baigė ketvirtinę rizikos apžvalgą, kai generalinis direktorius pakelia išspausdintą finansų naujienų straipsnio kopiją. Antraštė tiesmuka: „Kvantinis atgalinis skaičiavimas: ar jūsų duomenys jau paseno?“

„Sarah,“ – sako jis ne kaltindamas, o nuoširdžiai nerimaudamas, – „šifravimui išleidome milijonus. Atitinkame reikalavimus. Esame saugūs. Šiame straipsnyje rašoma, kad pakankamai galingas kvantinis kompiuteris galėtų viską nulaužti. Ar esame pažeidžiami? O kaip duomenys, kuriuos šifruojame ir saugome dabar? Ar tai tiksinti bomba?“

Šis pokalbis dabar keliasi iš saugumo konferencijų į vykdomuosius komitetus. Klausimas nebėra, ar kvantinė kompiuterija įdomi tyrėjams. Klausimas – ar šiandien pasirinktos kriptografinės priemonės pajėgios apsaugoti rytojaus verslo įsipareigojimus.

Daugeliui organizacijų sąžiningas atsakymas nėra patogus. Šifravimas yra visur: TLS šliuzuose, VPN, klientų portaluose, tapatybės žetonuose, duomenų bazių atsarginėse kopijose, mobiliosiose taikomosiose programose, mokėjimų platformose, S/MIME, SSH, API integracijose, SaaS paslaugose, aparatinės įrangos saugumo moduliuose, debesijos raktų valdymo paslaugose, programinės aparatinės įrangos pasirašyme, kodo pasirašyme ir skaitmeninėse sutartyse.

Čia ir yra problema. Kriptografija yra visur, tačiau jos savininkystė dažnai nėra aiški niekur.

Migracija prie postkvantinės kriptografijos nėra vien klausimas apie būsimą kriptografiškai reikšmingą kvantinį kompiuterį. Tai ir šiandieninė „surink dabar, iššifruok vėliau“ rizika, kai priešininkai jau dabar renka šifruotus duomenis ir laukia, kol būsimos galimybės iššifravimą pavers praktišku. Jei jūsų organizacija saugo asmens duomenis, sveikatos įrašus, reglamentuojamus finansinius duomenis, komercines paslaptis, teisinį susirašinėjimą, nacionalinės infrastruktūros duomenis, produkto programinę aparatinę įrangą arba ilgalaikę intelektinę nuosavybę, ši rizika jau yra gyvavimo ciklo rizika.

Kvantinėms grėsmėms atsparus kriptografijos migracijos planas nėra panikos projektas. Tai struktūruota valdysenos, inventorizacijos, tiekėjų, architektūros, testavimo ir audito programa. Praktinis klausimas CISO yra paprastas:

Kaip parengti postkvantinės migracijos planą, kuris būtų įtikinamas vadovybei, pritaikomas inžinieriams ir pagrindžiamas auditoriams?

Atsakymas – darbus įtvirtinti ISO/IEC 27001:2022, kontrolės priemones aiškinti per ISO/IEC 27002:2022, NIST postkvantinės kriptografijos standartus naudoti kaip techninį orientyrą ir sukurti vieną įrodymų modelį, palaikantį ISO 27001, NIST, COBIT 2019, GDPR, DORA ir NIS2 įpareigojimus.

Kodėl postkvantinė kriptografija turi būti ISVS dalis

Dažna klaida – postkvantinę migraciją priskirti vien kriptografijos inžinieriams. Inžinieriai būtini, tačiau vieni jie neišspręs valdysenos problemos.

Postkvantinė migracija apima turto valdymą, duomenų klasifikavimą, tiekėjų valdymą, saugią architektūrą, raktų valdymą, taikomųjų programų kūrimą, debesijos saugumą, reagavimą į incidentus, veiklos tęstinumą, teisinę riziką, reglamentavimo atskaitomybę ir audito įrodymus. Tai yra ISVS sritys.

ISO/IEC 27001:2022 suteikia valdysenos pagrindą. Jis reikalauja, kad organizacija suprastų kontekstą, suinteresuotąsias šalis, rizikas, tikslus, atsakomybes, kompetenciją, dokumentuotą informaciją, veiklos planavimą, veiklos vertinimą, vidaus auditą, vadovybės peržiūrą ir nuolatinį tobulinimą. ISO/IEC 27002:2022 pateikia kontrolės priemonių aiškinimą, ypač susijusį su 8.24 Use of cryptography, 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.21 Managing information security in the ICT supply chain, 5.23 Information security for use of cloud services, 8.25 Secure development life cycle, 8.8 Management of technical vulnerabilities, 8.16 Monitoring activities ir 5.30 ICT readiness for business continuity.

Clarysec būtent todėl pasirengimą postkvantinėms grėsmėms laiko ISVS valdoma transformacija, o ne izoliuotu algoritmo pakeitimu.

Kaip nurodyta Clarysec Zenith Blueprint: auditoriaus 30 žingsnių veiksmų plane, 2 fazėje, 8 žingsnyje, „Turto, priklausomybių ir įrodymų taikymo srities nustatymas“:

„Kontrolės priemone negalima pasitikėti tol, kol organizacija negali įrodyti, kur ji taikoma, kam ji priklauso, kokie įrodymai ją pagrindžia ir kokią riziką ji mažina.“

Šis sakinys ypač svarbus postkvantinei kriptografijai. Prieš keičiant algoritmus būtina žinoti, kur jie naudojami.

Clarysec Zenith Controls: kryžminės atitikties vadovas kriptografiją apibrėžia kaip susietą įrodymų grandinę, o ne vieną techninį nustatymą:

„Kriptografinis patikinimas audituojamas per informacijos gyvavimo ciklą: identifikavimą, klasifikavimą, patvirtintą naudojimą, raktų apsaugą, operacinę stebėseną, tiekėjų priklausomybes, išimčių tvarkymą ir įrodymų saugojimą.“

Toks gyvavimo ciklo požiūris apsaugo nuo dažniausios klaidos – klausti tik: „Ar naudojame kvantinėms grėsmėms atsparius algoritmus?“ Geresni klausimai yra šie:

• Kurias sistemas pirmiausia reikia migruoti prie postkvantinės kriptografijos?
• Kurių duomenų konfidencialumo trukmė ilgesnė už kvantinės rizikos horizontą?
• Kurie tiekėjai valdo mūsų šifravimą, parašus, sertifikatus ar raktų valdymą?
• Kurios taikomosios programos yra kriptografiškai lanksčios, o kuriose algoritmai yra įrašyti kode?
• Kokios kompensuojamosios kontrolės priemonės taikomos, kol migracija neužbaigta?
• Kokie įrodymai patvirtins, kad sprendimai buvo grindžiami rizika ir peržiūrėti?

Nuo kvantinės grėsmės iki audituojamos verslo rizikos

Naudingas postkvantinis planas prasideda nuo rizikos scenarijų. Venkite miglotų teiginių, pavyzdžiui: „kvantinė kompiuterija gali nulaužti šifravimą“. Vietoj to kurkite audituojamus rizikos įrašus, kurie susieja poveikį verslui, grėsmę, pažeidžiamumą, paveiktą turtą, esamas kontrolės priemones, liekamąją riziką ir tvarkymo veiksmus.

Pavyzdžiui:

„Septynerius metus saugomi šifruoti klientų tapatybės dokumentai ateityje gali tapti pažeidžiami iššifravimui, jei atsarginės kopijos būtų iškeltos šiandien, o dabartinė viešojo rakto kriptografija ateityje taptų pralaužiama.“

Šis scenarijus nurodo duomenų saugojimą, atsarginių kopijų šifravimą, raktų valdymą, prieigos kontrolę, tiekėjo prieglobą, stebėseną ir migracijos prioritetą.

Kitas pavyzdys:

„Prijungtų įrenginių programinės aparatinės įrangos pasirašymas remiasi parašų schemomis, kurios gali neišlikti patikimos per numatomą įrenginio gyvavimo ciklą.“

Tai nukreipia į produkto saugumą, saugaus atnaujinimo mechanizmus, HSM galimybes, klientų saugą, tiekėjo projektavimo patikinimą ir ilgalaikį veiklos atsparumą.

Trečias pavyzdys:

„Šiandien šifruotas archyvuotas teisinis susirašinėjimas gali reikalauti konfidencialumo ilgiau kaip penkiolika metų, todėl atsiranda „surink dabar, iššifruok vėliau“ ekspozicija.“

Tai nukreipia į klasifikavimą, saugojimą, kriptografinę apsaugą, teisinį sulaikymą, saugią komunikaciją ir vadovybės rizikos priėmimą.

Rizika nėra tik būsima „Q diena“. Ji apima tris susijusias problemas:

1. Surink dabar, iššifruok vėliau – priešininkai šiandien renka šifruotus duomenis būsimam iššifravimui.
2. Skaitmeninių parašų kompromitavimas – būsimos atakos pakerta pasitikėjimą programinės įrangos atnaujinimais, tapatybės žetonais, teisiniais dokumentais, programine aparatine įranga ir finansinėmis operacijomis.
3. Kriptografinės koncentracijos gedimas – plati produktų, protokolų, bibliotekų ar tiekėjų klasė tuo pačiu metu tampa pasenusi.

Clarysec įmonės politika Kriptografijos ir raktų valdymo politika, 5.1 punktas, valdysenos reikalavimą apibrėžia taip:

„Kriptografinės kontrolės priemonės turi būti parenkamos, įgyvendinamos, peržiūrimos ir nutraukiamos remiantis informacijos klasifikavimu, reikalaujama apsaugos trukme, patvirtintais kriptografiniais standartais, raktų savininkyste ir dokumentuotais rizikos tvarkymo sprendimais.“

Šis punktas kritiškai svarbus, nes apsaugos trukmė tampa prioritetizavimo veiksniu. Trumpalaikiai sesijų duomenys ir ilgalaikiai medicininiai įrašai neturi vienodos kvantinės rizikos. Kodo pasirašymo raktas, kuriuo penkiolika metų grindžiamas pasitikėjimas įrenginiu, turi kitokį rizikos profilį nei trumpalaikis vidinis testavimo sertifikatas.

Ta pati politikų šeima, Clarysec medžiagoje vadinama Kriptografinių kontrolės priemonių politika, taip pat gali formalizuoti peržiūros lūkesčius tokia formuluote:

5.4 punktas: algoritmų ir raktų ilgių standartai
„Visi organizacijoje naudojami kriptografiniai algoritmai ir raktų ilgiai turi būti parenkami iš patvirtinto sąrašo, kurį tvarko informacijos saugumo komanda. Šis sąrašas kasmet turi būti peržiūrimas pagal pramonės gerąją praktiką ir nacionalinių kibernetinio saugumo institucijų gaires (pvz., NIST, ENISA), ypatingą dėmesį skiriant postkvantinių kriptografinių standartų raidai. Sistemų migracijos nuo kvantinėms atakoms pažeidžiamų algoritmų veiksmų planas turi būti palaikomas kaip kriptografinio turto inventorizacijos dalis.“

Tai nereikalauja nesaugaus ankstyvo įsisavinimo. Tai reikalauja informuotumo, planavimo, peržiūros ir įrodymų.

Naudokite NIST PQC standartus kaip techninį orientyrą

NIST postkvantinės kriptografijos darbai organizacijoms suteikia patikimą techninę kryptį. NIST standartizavo ML-KEM raktų įkapsuliavimui, ML-DSA skaitmeniniams parašams ir SLH-DSA būsenos neturintiems maišos funkcijomis pagrįstiems parašams. Šie standartai tiekėjams ir architektams suteikia pagrindą veiksmų planams ir pilotiniams sprendimams.

CISO tikslas nėra įsiminti algoritmų detales. Tikslas – sukurti migracijos kelią, kuris leistų perimti patvirtintus kriptografinius sprendimus nesutrikdant verslo paslaugų, atitikties įsipareigojimų ar audito atsekamumo.

Su NIST suderintas migracijos planas turėtų apimti keturias kryptis:

1. Atradimas – nustatyti, kur naudojama pažeidžiama viešojo rakto kriptografija.
2. Prioritetizavimas – reitinguoti sistemas pagal duomenų jautrumą, apsaugos trukmę, ekspoziciją, vientisumo poveikį ir verslo kritiškumą.
3. Pereinamoji architektūra – apibrėžti, kur bus testuojami ir taikomi hibridiniai, kriptografiškai lankstūs arba postkvantiniai mechanizmai.
4. Patikinimas – pateikti įrodymus, kad sprendimai, išimtys, tiekėjų priklausomybės, testai ir liekamosios rizikos yra kontroliuojami.

Kriptografinis lankstumas nusipelno atskiro dėmesio. Kriptografiškai lanksti sistema gali keisti algoritmus, raktų dydžius, bibliotekas, sertifikatus ir protokolus be esminio perprojektavimo. Postkvantinėje eroje kriptografinis lankstumas nėra prabanga. Tai atsparumo reikalavimas.

Jei mokėjimų API turi kode įrašytas kriptografines bibliotekas ir neturi dokumentuoto savininko, ji nėra kriptografiškai lanksti. Jei mobilioji taikomoji programa prisega sertifikatus be valdomo atnaujinimo kelio, migracija gali tapti brangi. Jei IoT įrenginio numatoma eksploatavimo lauke trukmė yra penkiolika metų ir jis negali palaikyti didesnių parašų ar saugių programinės aparatinės įrangos atnaujinimų, rizika tampa strateginė.

Sudarykite kriptografinę inventorizaciją prieš pasirinkdami migracijos kelią

Dauguma organizacijų neturi išsamios kriptografinės inventorizacijos. Jos gali turėti sertifikatų apskaitą, raktų valdymo skaičiuoklę, HSM įrašus, debesijos KMS sąrašą arba CMDB įrašus. Retai jos turi vieną kriptografinių priklausomybių vaizdą.

Migracijos prie postkvantinės kriptografijos planui reikia kriptografinių komponentų sąrašo, arba CBOM. Jis neturi būti tobulas pirmą dieną. Tačiau jis turi būti struktūruotas, turėti savininką ir būti nuolat tobulinamas.

Mažiausiai fiksuokite šiuos laukus:

Pradinė inventorizacija galėtų atrodyti taip:

Ši lentelė iš karto parodo, kodėl inventorizacija svarbi. AES-256 nėra tokios pačios rūšies kvantinė rizika kaip RSA ar ECC, tačiau archyvuoti pacientų įrašai vis tiek gali priklausyti nuo pažeidžiamo raktų apgaubimo, sertifikatų, tapatybės sistemų ar atsarginių kopijų perdavimo kanalų. Kodo pasirašymas gali nesaugoti konfidencialumo, tačiau jis saugo programinės įrangos vientisumą ir pasitikėjimą.

Zenith Controls kriptografiją kryžmiškai sieja su pagalbiniais standartais, kurie suteikia papildomo išsamumo. ISO/IEC 27005 palaiko informacijos saugumo rizikos valdymą ir padeda kvantinį neapibrėžtumą paversti struktūruotais rizikos scenarijais. ISO/IEC 27017 palaiko debesijai būdingas saugumo kontrolės priemones, o tai būtina, kai kriptografinės paslaugos teikiamos per debesijos KMS, valdomą TLS, SaaS šifravimą arba platformų sertifikatus. ISO/IEC 27018 aktualus, kai asmens duomenys tvarkomi viešosiose debesijos paslaugose. ISO 22301 aktualus, kai kriptografinių priemonių gedimas galėtų paveikti kritinių paslaugų tęstinumą. ISO/IEC 27036 palaiko tiekėjų santykių saugumą, kuris yra kritiškas, kai tiekėjai jūsų vardu valdo šifravimą, parašus, sertifikatus ar saugią komunikaciją.

Pamoka paprasta: negalite migruoti to, ko negalite rasti.

Prioritetizuokite pagal jautrumą, trukmę, ekspoziciją ir migracijos sudėtingumą

Kai CBOM jau yra, prioritetizavimas tampa grindžiamas įrodymais. Geriausia pradžia – nedidelis kritinių sistemų skaičius, o ne visos įmonės masto tobulumo siekis.

Įsivaizduokite finansinių paslaugų įmonę, turinčią tris didelės vertės sistemas:

• klientų dokumentų saugyklą, kurioje tapatybės įrodymai saugomi dešimt metų;
• B2B API šliuzą, palaikantį partnerių operacijas;
• kodo pasirašymo platformą darbalaukio programinės įrangos atnaujinimams.

Naudodama Zenith Blueprint, 2 fazę, 8 žingsnį, komanda iš CMDB ištraukia turtą, iš sertifikatų valdymo platformos – sertifikatus, iš HSM ir debesijos KMS – raktus, iš privatumo registro – duomenų klases, o iš pirkimų įrašų – tiekėjų priklausomybes.

Tada ji įvertina sistemas:

Klientų dokumentų saugykla tampa prioritetu dėl konfidencialumo trukmės. Kodo pasirašymo platforma tampa prioritetu, nes pasitikėjimas parašais veikia programinės įrangos vientisumą ir klientų saugą. API šliuzas yra aukšto prioriteto dėl išorinio pasiekiamumo, tačiau jo saugomi duomenys gali turėti trumpesnę konfidencialumo trukmę.

Rizikų registras tuomet turėtų susieti kiekvieną scenarijų su tvarkymu ir įrodymais:

Clarysec įmonės politika Saugaus kūrimo politika, 6.4 punktas, pateikia programinės įrangos teikimo perspektyvą:

„Saugumo projektavimo peržiūros turi įvertinti kriptografines priklausomybes, bibliotekų gyvavimo ciklą, algoritmų lankstumą, paslapčių tvarkymą, atnaujinimo mechanizmus ir tiekėjo valdomus komponentus prieš patvirtinant paleidimą į produkcinę aplinką.“

Šis punktas paverčia pasirengimą postkvantinėms grėsmėms inžineriniu reikalavimu. Jis neleidžia komandoms diegti naujų sistemų, kurių vėliau nebūtų galima migruoti.

Laikykitės 12 mėnesių veiksmų plano, kurį supras auditoriai

Daugeliui organizacijų postkvantinė migracija užtruks ne vienus metus. Pirmieji metai turi perkelti organizaciją nuo neapibrėžtumo prie valdomos migracijos.

Zenith Blueprint, 3 fazėje, 14 žingsnyje, „Rizikos tvarkymo projektavimas ir savininkystė“, veiksmų planas perspėja dėl nefinansuotų saugumo ketinimų:

„Tvarkymo planas be savininko, įrodymų lūkesčio, biudžeto kelio ir peržiūros datos nėra planas. Tai neišspręsta rizika su geresniu formatavimu.“

Būtent taip žlunga postkvantinės programos. Jos sukuria informuotumo skaidres, bet ne savininkus turintį taisomųjų veiksmų darbų sąrašą. Jos aptaria algoritmus, bet neatnaujina tiekėjų sutarčių. Jos dokumentuoja riziką, bet netestuoja migracijos modelių.

Patikimas veiksmų planas sukuria sprendimų įrašus, savininkus, priklausomybes, įrodymų lūkesčius, biudžetus ir peržiūros datas.

Įtraukite tiekėjus į programą anksti

Daugelis kriptografinių priklausomybių yra išorės paslaugos. Debesijos paslaugų teikėjai užbaigia TLS. SaaS platformos šifruoja įrašus. Tapatybės teikėjai pasirašo žetonus. Mokėjimų tvarkytojai valdo sertifikatus. Aparatinės įrangos tiekėjai kontroliuoja programinės aparatinės įrangos pasirašymą. Valdomų paslaugų teikėjai eksploatuoja VPN ir saugumo šliuzus.

Net jei jūsų vidinė komanda pasirengusi, jūsų migraciją gali blokuoti tiekėjo galimybės.

Clarysec įmonės politika Trečiųjų šalių ir tiekėjų saugumo politika, 5.6 punktas, nurodo:

„Tiekėjai, teikiantys saugai svarbias paslaugas, turi atskleisti esmines priklausomybes, kriptografines atsakomybes, patikinimo įrodymus, pažeidžiamumų tvarkymo procesus ir veiksmų plano pakeitimus, kurie gali paveikti organizacijos rizikos laikyseną.“

Rengiantis postkvantinėms grėsmėms, kritinių tiekėjų klauskite:

• Kurie algoritmai, protokolai, sertifikatai ir raktų valdymo paslaugos saugo mūsų duomenis ar operacijas?
• Ar tvarkote kriptografinę inventorizaciją arba CBOM?
• Koks jūsų NIST postkvantinis veiksmų planas?
• Ar palaikysite hibridinius raktų mainus, postkvantinius parašus arba kvantinėms grėsmėms atsparų raktų įkapsuliavimą?
• Kaip bus komunikuojami sertifikatų, žetonų, pasirašymo ir šifravimo pakeitimai?
• Kokių kliento veiksmų reikės?
• Kokios testavimo aplinkos bus prieinamos?
• Kaip bus tvarkomas našumas, sąveikumas ir grąžinimas į ankstesnę būseną?
• Ar kriptografinės atsakomybės apibrėžtos sutartyje arba bendros atsakomybės modelyje?
• Kokios pasitraukimo ar perkeliamumo galimybės numatytos, jei jūsų veiksmų planas neatitinka mūsų rizikos reikalavimų?

Tiekėjų atsakymai turi patekti į rizikų registrą. Silpni atsakymai ne visada reiškia neatidėliotiną pakeitimą, tačiau jie reikalauja rizikos tvarkymo. Gali prireikti kompensuojamųjų kontrolės priemonių, sutarčių pakeitimų, pranešimo sąlygų, pasitraukimo planavimo, sustiprintos stebėsenos arba peržiūrėtos tiekimo strategijos.

Tai ypač svarbu pagal DORA ir NIS2 tipo veiklos atsparumo lūkesčius. DORA pabrėžia IRT rizikos valdymą ir IRT trečiųjų šalių rizikos valdymą, įskaitant kritinių priklausomybių priežiūrą. NIS2 Article 21 reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių saugumo rizikos valdymo priemonių, įskaitant tiekimo grandinės saugumą, incidentų tvarkymą, veiklos tęstinumą ir, kai tinkama, kriptografiją. GDPR Article 32 reikalauja rizikai tinkamo saugumo, įskaitant konfidencialumą, vientisumą, prieinamumą, atsparumą ir gebėjimą užtikrinti nuolatinę asmens duomenų apsaugą.

Reglamentavimo kalba skiriasi, tačiau kontrolės logika vienoda: žinokite savo priklausomybes, valdykite riziką, saugokite įrodymus ir veikite prieš pažeidžiant atsparumą.

Kryžminės atitikties susiejimas: vienas migracijos planas, daug įpareigojimų

Stiprus migracijos prie postkvantinės kriptografijos planas neturėtų kurti atskirų įrodymų paketų kiekvienai sistemai. Tie patys pagrindiniai įrodymai gali palaikyti kelis įpareigojimus, jei yra tinkamai struktūruoti.

Zenith Controls susieja kriptografijos temą su ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA ir NIS2, sutelkdamas dėmesį į kontrolės tikslą, o ne į kiekvienos sistemos naudojamą etiketę.

Įrodymų pakartotinis naudojimas yra esminis. Kriptografinė inventorizacija palaiko ISO turto valdymą, NIST Identify rezultatus, DORA IRT turto matomumą, NIS2 rizikos valdymą ir GDPR atskaitomybę. Tiekėjų klausimynai palaiko ISO tiekėjų kontrolės priemones, DORA IRT trečiųjų šalių riziką, NIS2 tiekimo grandinės saugumą ir COBIT tiekėjų valdyseną. Migracijos testavimo rezultatai palaiko saugų pakeitimų valdymą, atsparumo testavimą, pasirengimą auditui ir vadovybės peržiūrą.

Ko klaus auditoriai

Postkvantinė kriptografija vis dar yra besiformuojanti audito tema, tačiau auditoriai jau turi pakankamai kontrolės lūkesčių, kad galėtų užduoti sudėtingus klausimus.

ISO/IEC 27001:2022 auditorius paprastai pradės nuo rizikos. Jis klaus, ar su kvantinėmis grėsmėmis susijusi kriptografinė rizika yra identifikuota, įvertinta, tvarkoma, stebima ir peržiūrima ISVS. Jis tikėsis įrodymų, kad kriptografinės kontrolės priemonės parenkamos pagal verslo riziką ir kad atsakomybės apibrėžtos.

Į NIST orientuotas vertintojas gali sutelkti dėmesį į turto matomumą, apsaugos mechanizmus, tiekimo grandinės riziką, pažeidžiamumų valdymą ir valdysenos rezultatus. Jis gali klausti, ar organizacija identifikavo sistemas, naudojančias pažeidžiamą viešojo rakto kriptografiją, ir ar migracijos planavimas suderintas su NIST kryptimi.

COBIT arba ISACA auditorius dažnai klaus apie valdyseną. Kas atskaitingas? Kaip valdyba gauna ataskaitas? Ar investicijos prioritetizuotos? Ar tiekėjų priklausomybės valdomos? Ar subalansuojama nauda, rizikos ir ištekliai?

Privatumo auditorius gali sutelkti dėmesį į tai, ar šifravimas ir raktų valdymas išlieka tinkami asmens duomenų jautrumui ir saugojimo laikotarpiui.

Į DORA arba NIS2 orientuotas vertintojas žiūrės į atsparumą, trečiųjų šalių IRT koncentraciją, veiklos tęstinumą ir pasirengimą incidentams.

Zenith Controls rekomenduoja pasirengimą auditui traktuoti kaip įrodymų kelią. Nelaukite, kol auditoriai paprašys ekrano kopijų ir skaičiuoklių. Sukurkite GRC darbo erdvę, kurioje kiekviena kriptografinė rizika susieta su jos savininku, paveiktu turtu, tiekėjais, sprendimais, testais, išimtimis ir peržiūros datomis.

Atnaujinkite politikas, kad programa taptų operacinė

Dauguma kriptografijos politikų buvo rašytos tradiciniams konfidencialumo ir vientisumo reikalavimams. Postkvantinė migracija reikalauja tikslinių papildymų.

Jūsų kriptografijos ir raktų valdymo politika turėtų apimti patvirtintus standartus, peržiūros dažnumą, duomenų klasifikavimą, apsaugos trukmę, algoritmų lankstumą, raktų generavimą, raktų saugojimą, periodinį raktų keitimą, sunaikinimą, savininkystę, sertifikatų gyvavimo ciklą, HSM atsakomybę, debesijos KMS atsakomybę, išimčių patvirtinimą, tiekėjų valdomą kriptografiją ir postkvantinio perėjimo stebėseną.

Jūsų saugaus kūrimo politika turėtų apimti kriptografinių bibliotekų patvirtinimą, draudimą naudoti kode įrašytus algoritmus be peržiūros, priklausomybių sekimą, saugaus atnaujinimo mechanizmus, didesnių raktų ar parašų našumo testavimą, suderinamumą atgal, grąžinimą į ankstesnę būseną ir grėsmių modeliavimą ilgalaikiams produktams.

Jūsų tiekėjų saugumo politika turėtų apimti kriptografinį skaidrumą, postkvantinio veiksmų plano užklausas, sutartines pranešimo pareigas, bendrą atsakomybę už šifravimą ir raktų valdymą, pasitraukimo planavimą ir perkeliamumą.

Jūsų turto valdymo procedūra turėtų apimti kriptografinės inventorizacijos laukus, savininkystę, įrodymų šaltinius, peržiūros dažnumą ir integraciją su CMDB, debesijos inventorizacija, sertifikatų valdymu, HSM įrašais ir kodo saugyklomis.

Čia Clarysec politikų biblioteka padeda organizacijoms judėti greičiau. Užuot rengus nuo tuščio lapo, komandos gali pritaikyti politikos punktus procedūroms, registrams, klausimynams ir audito įrodymams.

Venkite dažniausių postkvantinės migracijos klaidų

Pavojingiausios klaidos dažniausiai yra valdysenos, o ne techninės klaidos.

Pradžia nuo algoritmų, o ne nuo turto. Jei nežinote, kur naudojama kriptografija, algoritmo pasirinkimas nepadės.

Duomenų gyvavimo trukmės ignoravimas. Trumpalaikiai operaciniai duomenys ir ilgalaikiai jautrūs archyvai neturi vienodos rizikos.

Tiekėjų palikimas vėlesniam etapui. Daugelis kriptografinių kontrolės priemonių yra valdomos tiekėjų. Jei tiekėjai neįtraukiami anksti, planas gali būti nerealistiškas.

Parašų pamiršimas. Postkvantinis planavimas nėra vien šifravimas. Skaitmeniniai parašai, kodo pasirašymas, sertifikatai, tapatybės žetonai, programinės aparatinės įrangos atnaujinimai ir dokumentų pasirašymas taip pat reikalauja dėmesio.

Prielaida, kad debesijos teikėjai išspręs viską. Debesijos platformos atliks svarbų vaidmenį, tačiau atsakomybė išlieka bendra. Vis tiek turite žinoti, kurios paslaugos, konfigūracijos, raktai, regionai ir integracijos paveikiami.

Audito įrodymų nesukūrimas. Migracijos planas, kurio negalima pagrįsti įrodymais, nepatenkins vadovybės, reguliuotojų, klientų ar auditorių.

Našumo ir sąveikumo testavimo praleidimas. Postkvantiniai algoritmai gali paveikti naudingosios apkrovos dydį, TLS rankos paspaudimo elgseną, delsą, saugyklą, įterptinių sistemų apribojimus ir suderinamumą.

Rodikliai, kuriuos CISO turėtų teikti valdybai

Ataskaitos valdybai turi būti pakankamai paprastos suprasti ir pakankamai konkrečios veiksmams inicijuoti. Venkite gilių algoritmų diskusijų. Sutelkite dėmesį į ekspoziciją, pažangą, sprendimus ir liekamąją riziką.

Naudinga valdybai skirta žinutė galėtų skambėti taip:

„Baigėme kriptografinį atradimą 72 procentams kritinių paslaugų. Dvi sistemos turi kritinę ilgalaikio konfidencialumo ekspoziciją, o trys tiekėjai dar nepateikė postkvantinių veiksmų planų. Pradėjome kodo pasirašymo pasirengimo projektą ir debesijos KMS priklausomybių peržiūrą. Šiandien neatidėliotinas pakeitimas nerekomenduojamas, tačiau tiekėjų neapibrėžtumas išlieka didžiausia liekamoji rizika.“

Tai yra valdomos kibernetinės rizikos kalba.

Praktinis kontrolinis sąrašas šiai savaitei

Nereikia laukti tobulo tikrumo. Pradėkite nuo veiksmų, kurie iš karto pagerina matomumą ir valdyseną.

1. Paskirkite postkvantinės kriptografijos savininką.
2. Įtraukite su kvantinėmis grėsmėmis susijusią kriptografinę riziką į ISVS rizikų registrą.
3. Identifikuokite dešimt svarbiausių paslaugų, kuriose yra ilgalaikių jautrių duomenų arba didelis vientisumo poveikis.
4. Sudarykite minimaliai pakankamą CBOM šioms paslaugoms.
5. Paprašykite kritinių tiekėjų pateikti jų postkvantinį veiksmų planą.
6. Peržiūrėkite kriptografijos, saugaus kūrimo, tiekėjų ir turto valdymo politikas.
7. Identifikuokite sistemas su kode įrašytais algoritmais, pasenusiomis bibliotekomis, rankiniu sertifikatų periodiniu keitimu arba silpna savininkyste.
8. Pasirinkite vieną mažos rizikos pilotinį projektą kriptografinio lankstumo testavimui.
9. Apibrėžkite valdybos rodiklius ir ataskaitų teikimo dažnumą.
10. Suplanuokite vidaus auditą, sutelktą į kriptografinę valdyseną ir įrodymus.

Svarbiausias žingsnis – neapibrėžtumą paversti valdomu darbu. Kvantinė rizika gali būti nukreipta į ateitį, tačiau kriptografinė skola egzistuoja jau šiandien.

Tolesni veiksmai su Clarysec

Postkvantinė migracija bus vienas sudėtingiausių saugumo perėjimų per ateinantį dešimtmetį, nes ji apima tapatybę, šifravimą, parašus, tiekėjus, debesiją, programinę įrangą, įrenginius, archyvus ir audito įrodymus. Organizacijos, kurios pradės nuo valdysenos ir inventorizacijos, judės greičiau nei tos, kurios lauks paskutinės minutės pakeitimų ciklo.

Clarysec gali padėti parengti kvantinėms grėsmėms atsparų kriptografijos migracijos planą naudojant:

• Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą etapiniam įgyvendinimui ir pasirengimui auditui;
• Zenith Controls: kryžminės atitikties vadovą ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA ir NIS2 susiejimui;
• Kriptografijos ir raktų valdymo politiką valdysenai parengtoms kriptografinėms taisyklėms;
• Trečiųjų šalių ir tiekėjų saugumo politiką tiekėjų veiksmų plano ir patikinimo reikalavimams;
• Saugaus kūrimo politiką kriptografiškai lanksčioms inžinerinėms praktikoms.

Geriausias laikas pradėti postkvantinį planavimą yra prieš reguliuotojui, auditoriui, klientui ar valdybos nariui paprašant įrodymų. Pradėkite nuo inventorizacijos, susiekite ją su rizika ir kurkite migracijos kelią po vieną kontroliuojamą sprendimą.