Pēckvantu kriptogrāfijas migrācija, izmantojot ISO 27001
Projektora dūkoņa ir vienīgā skaņa valdes sēžu telpā. Sāra, informācijas drošības vadītāja (CISO), tikko ir pabeigusi ceturkšņa risku pārskatu, kad izpilddirektors paceļ izdruku no finanšu ziņu raksta. Virsraksts ir tiešs: “Kvantu atpakaļskaitīšana: vai jūsu dati jau ir novecojuši?”
“Sāra,” viņš saka nevis apsūdzoši, bet patiesi noraizējies, “mēs esam iztērējuši miljonus šifrēšanai. Mēs atbilstam prasībām. Mēs esam droši. Šajā rakstā teikts, ka pietiekami jaudīgs kvantu dators varētu to visu salauzt. Vai mēs esam pakļauti riskam? Kas notiek ar datiem, kurus šifrējam un glabājam jau tagad? Vai tā ir bumba ar laika degli?”
Šī saruna tagad no drošības konferencēm pārceļas uz vadības komitejām. Jautājums vairs nav par to, vai kvantu skaitļošana ir interesanta pētniekiem. Jautājums ir par to, vai šodienas kriptogrāfiskās izvēles spēs aizsargāt rītdienas uzņēmējdarbības saistības.
Daudzām organizācijām godīga atbilde ir neērta. Šifrēšana ir visur: TLS vārtejas, VPN, klientu portāli, identitātes marķieri, datubāzu rezerves kopijas, mobilās lietotnes, maksājumu platformas, S/MIME, SSH, API integrācijas, SaaS pakalpojumi, aparatūras drošības moduļi (HSM), mākoņpakalpojumu atslēgu pārvaldības pakalpojumi, aparātprogrammatūras parakstīšana, koda parakstīšana un digitālie līgumi.
Tā arī ir problēma. Kriptogrāfija ir visur, bet īpašumtiesības bieži nav nekur.
Pēckvantu kriptogrāfijas migrācija nav tikai jautājums par nākotnes kvantu datoru, kas būs kriptogrāfiski nozīmīgs. Tā ir arī par šodienas “ievāc tagad, atšifrē vēlāk” risku, kad uzbrucēji šodien iegūst šifrētus datus un gaida, līdz nākotnes iespējas padarīs atšifrēšanu praktiski iespējamu. Ja jūsu organizācija glabā personas datus, veselības datus, regulētus finanšu datus, komercnoslēpumus, juridisko saziņu, nacionālās infrastruktūras datus, produktu aparātprogrammatūru vai ilglaicīgu intelektuālo īpašumu, šis risks jau ir dzīves cikla risks.
Kvantu riskiem gatavs kriptogrāfijas migrācijas plāns nav panikas projekts. Tā ir strukturēta pārvaldības, uzskaites, piegādātāju, arhitektūras, testēšanas un audita programma. Praktiskais jautājums CISO ir vienkāršs:
Kā izveidot pēckvantu migrācijas plānu, kas ir ticams vadībai, lietojams inženieriem un aizstāvams auditoriem?
Atbilde ir balstīt darbu ISO/IEC 27001:2022, interpretēt kontroles pasākumus, izmantojot ISO/IEC 27002:2022, izmantot NIST pēckvantu kriptogrāfijas standartus kā tehnisko kompasu un izveidot vienotu pierādījumu modeli, kas atbalsta ISO 27001, NIST, COBIT 2019, GDPR, DORA un NIS2 pienākumus.
Kāpēc pēckvantu kriptogrāfijai jābūt IDPS ietvaros
Bieža kļūda ir uzticēt pēckvantu migrāciju tikai kriptogrāfijas inženieriem. Inženieri ir būtiski, taču viņi vieni paši nevar atrisināt pārvaldības problēmu.
Pēckvantu migrācija skar aktīvu pārvaldību, datu klasifikāciju, piegādātāju pārvaldību, drošu arhitektūru, atslēgu pārvaldību, lietojumprogrammu izstrādi, mākoņdrošību, reaģēšanu uz incidentiem, darbības nepārtrauktību, juridisko risku, regulatīvo pārskatatbildību un audita pierādījumus. Tie ir IDPS jautājumi.
ISO/IEC 27001:2022 nodrošina pārvaldības ietvaru. Tas pieprasa organizācijai izprast kontekstu, ieinteresētās puses, riskus, mērķus, pienākumus, kompetenci, dokumentētu informāciju, darbības plānošanu, snieguma izvērtēšanu, iekšējo auditu, vadības pārskatīšanu un nepārtrauktu pilnveidi. ISO/IEC 27002:2022 savukārt sniedz kontroles pasākumu interpretāciju, īpaši attiecībā uz 8.24 Use of cryptography, 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.21 Managing information security in the ICT supply chain, 5.23 Information security for use of cloud services, 8.25 Secure development life cycle, 8.8 Management of technical vulnerabilities, 8.16 Monitoring activities un 5.30 ICT readiness for business continuity.
Clarysec skatījumā tieši tāpēc pēckvantu gatavība ir IDPS vadīta transformācija, nevis izolēta algoritmu nomaiņa.
Kā norādīts Clarysec Zenith Blueprint: auditora 30 soļu ceļkartē, 2. fāzes 8. solī “Aktīvu, atkarību un pierādījumu piemērošanas jomas noteikšana”:
“Kontroles pasākumam nevar uzticēties, kamēr organizācija nevar pierādīt, kur tas ir piemērojams, kam tas pieder, kuri pierādījumi to pamato un kuru risku tas mazina.”
Šis teikums ir īpaši svarīgs pēckvantu kriptogrāfijai. Pirms algoritmu nomaiņas ir jāzina, kur algoritmi tiek izmantoti.
Clarysec Zenith Controls: starpatbilstības ceļvedis raksturo kriptogrāfiju kā savienotu pierādījumu ķēdi, nevis atsevišķu tehnisku iestatījumu:
“Kriptogrāfiskais apliecinājums tiek auditēts visā informācijas dzīves ciklā: identifikācija, klasifikācija, apstiprināta izmantošana, atslēgu aizsardzība, operatīvā uzraudzība, piegādātāju atkarība, izņēmumu pārvaldība un pierādījumu glabāšana.”
Šāds dzīves cikla skatījums novērš visbiežāko kļūdu — jautāt tikai: “Vai mēs izmantojam kvantu drošus algoritmus?” Labāki jautājumi ir šādi:
- Kurām sistēmām pēckvantu migrācija ir nepieciešama vispirms?
- Kuriem datiem konfidencialitātes ilgums pārsniedz kvantu riska horizontu?
- Kuri piegādātāji kontrolē mūsu šifrēšanu, parakstus, sertifikātus vai atslēgu pārvaldību?
- Kuras lietojumprogrammas ir kriptogrāfiski elastīgas un kurās algoritmi ir stingri iestrādāti?
- Kādi kompensējošie kontroles pasākumi pastāv, kamēr migrācija nav pabeigta?
- Kādi pierādījumi apliecinās, ka lēmumi bija balstīti uz risku un pārskatīti?
No kvantu apdraudējuma līdz auditējamam biznesa riskam
Lietderīgs pēckvantu plāns sākas ar riska scenārijiem. Izvairieties no nekonkrētiem apgalvojumiem, piemēram, “kvantu skaitļošana var salauzt šifrēšanu”. Tā vietā izveidojiet auditējamus riska ierakstus, kas sasaista biznesa ietekmi, apdraudējumu, ievainojamību, ietekmētos aktīvus, pašreizējos kontroles pasākumus, atlikušo risku un riska apstrādes darbības.
Piemēram:
“Šifrēti klientu identitātes dokumenti, kas tiek glabāti septiņus gadus, var būt ievainojami pret nākotnes atšifrēšanu, ja rezerves kopijas tiek neatļauti iznestas jau šodien un pašreizējā publiskās atslēgas kriptogrāfija nākotnē kļūst uzlaužama.”
Šis scenārijs norāda uz datu glabāšanu, rezerves kopiju šifrēšanu, atslēgu pārvaldību, piekļuves kontroli, piegādātāja mitināšanu, uzraudzību un migrācijas prioritāti.
Cits piemērs:
“Savienoto ierīču aparātprogrammatūras parakstīšana balstās uz paraksta shēmām, kas var nesaglabāt uzticamību visā paredzamajā ierīces dzīves ciklā.”
Tas norāda uz produktu drošību, drošiem atjaunināšanas mehānismiem, HSM iespējām, klientu drošumu, piegādātāja dizaina apliecinājumu un ilgtermiņa darbības noturību.
Trešais piemērs:
“Šodien šifrētai arhivētai juridiskajai saziņai konfidencialitāte var būt nepieciešama ilgāk par piecpadsmit gadiem, radot ‘ievāc tagad, atšifrē vēlāk’ ekspozīciju.”
Tas norāda uz klasifikāciju, glabāšanu, kriptogrāfisko aizsardzību, juridisko saglabāšanu, drošu saziņu un vadības riska pieņemšanu.
Risks nav tikai nākotnes “Q diena”. Tas ietver trīs saistītus aspektus:
- Ievāc tagad, atšifrē vēlāk — uzbrucēji šodien vāc šifrētus datus nākotnes atšifrēšanai.
- Digitālo parakstu kompromitēšana — nākotnes uzbrukumi grauj uzticēšanos programmatūras atjauninājumiem, identitātes marķieriem, juridiskiem dokumentiem, aparātprogrammatūrai un finanšu darījumiem.
- Kriptogrāfiskās koncentrācijas kļūme — plaša produktu, protokolu, bibliotēku vai piegādātāju klase vienlaikus kļūst novecojusi.
Clarysec uzņēmuma politika Kriptogrāfijas un atslēgu pārvaldības politika, punkts 5.1, pārvaldības prasību formulē šādi:
“Kriptogrāfiskie kontroles pasākumi jāizvēlas, jāievieš, jāpārskata un jāizņem no lietošanas, balstoties uz informācijas klasifikāciju, nepieciešamo aizsardzības ilgumu, apstiprinātiem kriptogrāfiskajiem standartiem, atslēgu īpašumtiesībām un dokumentētiem riska apstrādes lēmumiem.”
Šis punkts ir kritisks, jo aizsardzības ilgums kļūst par prioritizācijas faktoru. Īslaicīgi sesijas dati un ilgtermiņa medicīniskie ieraksti nenes vienādu kvantu risku. Koda parakstīšanas atslēgai, kas piecpadsmit gadus balsta ierīču uzticamību, ir cits riska profils nekā īslaicīgam iekšējam testa sertifikātam.
Tā pati politiku saime, kas Clarysec materiālos minēta kā Kriptogrāfisko kontroles pasākumu politika, var formalizēt arī pārskatīšanas prasības ar šādu formulējumu:
Punkts 5.4: algoritmu un atslēgu garuma standarti
“Visiem organizācijā izmantotajiem kriptogrāfiskajiem algoritmiem un atslēgu garumiem jābūt izvēlētiem no apstiprināta saraksta, ko uztur Informācijas drošības komanda. Šis saraksts ik gadu jāpārskata, salīdzinot ar nozares labāko praksi un nacionālo kiberdrošības iestāžu norādījumiem (piemēram, NIST, ENISA), īpašu uzmanību pievēršot pēckvantu kriptogrāfisko standartu attīstībai. Sistēmu migrācijas ceļkarte prom no algoritmiem, kas ir ievainojami pret kvantu balstītiem uzbrukumiem, jāuztur kā daļa no kriptogrāfisko aktīvu uzskaites.”
Tas neprasa nedrošu agrīnu ieviešanu. Tas prasa apzināšanos, plānošanu, pārskatīšanu un pierādījumus.
Izmantojiet NIST PQC standartus kā tehnisko kompasu
NIST darbs pēckvantu kriptogrāfijas jomā organizācijām sniedz uzticamu tehnisko virzienu. NIST ir standartizējis ML-KEM atslēgu iekapsulēšanai, ML-DSA digitālajiem parakstiem un SLH-DSA bezstāvokļa hešfunkcijās balstītiem parakstiem. Šie standarti piegādātājiem un arhitektiem sniedz pamatu ceļkartēm un pilotprojektu projektējumiem.
CISO uzdevums nav iegaumēt algoritmu detaļas. Uzdevums ir izveidot migrācijas ceļu, kas spēj iekļaut apstiprinātas kriptogrāfiskās izvēles, nesalaužot biznesa pakalpojumus, atbilstības saistības vai audita izsekojamību.
Ar NIST saskaņotam migrācijas plānam jāietver četri virzieni:
- Atklāšana — identificēt, kur pastāv ievainojama publiskās atslēgas kriptogrāfija.
- Prioritizācija — sakārtot sistēmas pēc datu sensitivitātes, aizsardzības ilguma, ekspozīcijas, integritātes ietekmes un darbībkritiskuma.
- Pārejas arhitektūra — noteikt, kur tiks testēti un ieviesti hibrīdi, kriptogrāfiski elastīgi vai pēckvantu mehānismi.
- Apliecinājums — sagatavot pierādījumus, ka lēmumi, izņēmumi, piegādātāju atkarības, testi un atlikušie riski tiek kontrolēti.
Kriptogrāfiskajai elastībai jāpievērš īpaša uzmanība. Kriptogrāfiski elastīga sistēma var mainīt algoritmus, atslēgu izmērus, bibliotēkas, sertifikātus un protokolus bez būtiskas pārprojektēšanas. Pēckvantu laikmetā kriptogrāfiskā elastība nav greznība. Tā ir noturības prasība.
Ja maksājumu API ir stingri iestrādātas kriptogrāfiskās bibliotēkas un nav dokumentēta īpašnieka, tā nav kriptogrāfiski elastīga. Ja mobilā lietotne piesaista sertifikātus bez pārvaldīta atjaunināšanas ceļa, migrācija var kļūt dārga. Ja IoT ierīcei ir piecpadsmit gadu ekspluatācijas laiks ekspluatācijas vidē un tā nevar atbalstīt lielākus parakstus vai drošus aparātprogrammatūras atjauninājumus, risks ir stratēģisks.
Pirms migrācijas ceļa izvēles izveidojiet kriptogrāfisko uzskaiti
Lielākajai daļai organizāciju nav pilnīgas kriptogrāfiskās uzskaites. Tām var būt sertifikātu uzskaite, atslēgu pārvaldības izklājlapa, HSM ieraksti, mākoņpakalpojumu KMS saraksts vai CMDB ieraksti. Reti kad ir vienots skats uz kriptogrāfiskajām atkarībām.
Pēckvantu kriptogrāfijas migrācijas plānam ir vajadzīgs kriptogrāfisko materiālu saraksts jeb CBOM. Tam nav jābūt pilnīgam pirmajā dienā. Tam jābūt strukturētam, ar noteiktām īpašumtiesībām un nepārtraukti pilnveidotam.
Vismaz jāfiksē šādi lauki:
| Uzskaites lauks | Kāpēc tas ir svarīgi pēckvantu migrācijai |
|---|---|
| Biznesa pakalpojums | Prioritizē migrāciju pēc biznesa ietekmes |
| Aktīva īpašnieks | Piešķir pārskatatbildību un lēmumu pieņemšanas pilnvaras |
| Datu klasifikācija | Identificē konfidencialitātes un integritātes prasības |
| Aizsardzības ilgums | Izceļ “ievāc tagad, atšifrē vēlāk” ekspozīciju |
| Kriptogrāfiskā funkcija | Nošķir šifrēšanu, atslēgu apmaiņu, parakstus, hešošanu un sertifikātus |
| Algoritms un protokols | Identificē, kur tiek izmantoti ievainojami publiskās atslēgas mehānismi |
| Bibliotēka vai implementācija | Parāda programmatūras atkarības un atjaunināšanas ierobežojumus |
| Atslēgu atrašanās vieta | Parāda, vai atslēgas atrodas HSM, mākoņpakalpojumu KMS, programmatūrā, galiekārtā vai piegādātāja platformā |
| Piegādātāja atkarība | Atklāj, kur migrācija ir atkarīga no trešajām pusēm |
| Migrācijas sarežģītība | Atbalsta secības noteikšanu, testēšanu un budžeta plānošanu |
| Pierādījumu avots | Padara uzskaiti gatavu auditam |
Sākotnējā uzskaite varētu izskatīties šādi:
| Aktīva ID | Aktīva nosaukums | Īpašnieks | Darbībkritiskums | Kriptogrāfiskais lietojums | Atrašanās vieta | PQC ievainojamība | Migrācijas prioritāte |
|---|---|---|---|---|---|---|---|
| APP-042 | Klientu norēķinu API | Finanšu tehnoloģijas | Augsta | RSA-2048 paraksti, TLS, AES-256 šifrēšana | AWS eu-west-1 | Augsta RSA atkarīgai uzticamībai | 1 |
| NET-007 | Attālās piekļuves VPN | IT infrastruktūra | Augsta | ECDSA autentifikācija, IKEv2 | Lokāli un mākoņvides perimetrā | Augsta ECC atkarīgai autentifikācijai | 1 |
| DB-011 | Arhivēti pacientu ieraksti | Atbilstība | Augsta ar 30 gadu glabāšanu | AES-256 datubāzes šifrēšana | Lokāli izvietota datubāze | Zemāka simetriskajai šifrēšanai, augsta, ja atslēgas tiek apmainītas vai ietītas ar ievainojamām publiskās atslēgas metodēm | 2 |
| CODE-001 | CI/CD koda parakstīšana | DevOps | Augsta integritātes ietekme | RSA-4096 koda parakstīšana | HSM un CI/CD konveijers | Augsta ilgtermiņa paraksta uzticamībai | 1 |
Šī tabula uzreiz parāda, kāpēc uzskaite ir būtiska. AES-256 nav tāda paša veida kvantu risks kā RSA vai ECC, taču arhivētie pacientu ieraksti joprojām var būt atkarīgi no ievainojamas atslēgu ietīšanas, sertifikātiem, identitātes sistēmām vai rezerves kopiju pārsūtīšanas kanāliem. Koda parakstīšana neaizsargā konfidencialitāti, taču aizsargā programmatūras integritāti un uzticēšanos.
Zenith Controls kriptogrāfija ir krusteniski sasaistīta ar atbalstošiem standartiem, kas piešķir papildu dziļumu. ISO/IEC 27005 atbalsta informācijas drošības risku pārvaldību un palīdz kvantu nenoteiktību pārvērst strukturētos riska scenārijos. ISO/IEC 27017 atbalsta mākoņvidei specifiskus drošības kontroles pasākumus, kas ir būtiski, ja kriptogrāfiskie pakalpojumi tiek nodrošināti, izmantojot mākoņpakalpojumu KMS, pārvaldītu TLS, SaaS šifrēšanu vai platformas sertifikātus. ISO/IEC 27018 ir nozīmīgs, ja personas dati tiek apstrādāti publiskajos mākoņpakalpojumos. ISO 22301 ir nozīmīgs, ja kriptogrāfiska kļūme var ietekmēt kritisku pakalpojumu nepārtrauktību. ISO/IEC 27036 atbalsta piegādātāju attiecību drošību, kas ir izšķiroši svarīgi, ja piegādātāji jūsu vārdā pārvalda šifrēšanu, parakstus, sertifikātus vai drošu saziņu.
Mācība ir vienkārša: nevar migrēt to, ko nevar atrast.
Prioritizējiet pēc sensitivitātes, ilguma, ekspozīcijas un migrācijas sarežģītības
Kad CBOM pastāv, prioritizācija kļūst balstīta uz pierādījumiem. Labākais sākumpunkts ir neliels skaits kritisko sistēmu, nevis organizācijas mēroga pilnības vingrinājums.
Iedomājieties finanšu pakalpojumu uzņēmumu ar trim augstas vērtības sistēmām:
- klientu dokumentu glabātuvi, kur identitātes pierādījumi tiek glabāti desmit gadus;
- B2B API vārteju, kas atbalsta partneru darījumus;
- koda parakstīšanas platformu darbvirsmas programmatūras atjauninājumiem.
Izmantojot Zenith Blueprint, 2. fāzes 8. soli, komanda izgūst aktīvus no CMDB, sertifikātus no sertifikātu pārvaldības platformas, atslēgas no HSM un mākoņpakalpojumu KMS, datu klases no privātuma reģistra un piegādātāju atkarības no iepirkumu ierakstiem.
Pēc tam sistēmas tiek novērtētas:
| Sistēma | Datu sensitivitāte | Aizsardzības ilgums | Ārējā ekspozīcija | Piegādātāja atkarība | Migrācijas prioritāte |
|---|---|---|---|---|---|
| Klientu dokumentu glabātuve | Ļoti augsta | Ilgs | Vidēja | Mākoņpakalpojumu KMS un glabāšanas pakalpojumu sniedzējs | Kritiska |
| B2B API vārteja | Augsta | Īss līdz vidējs | Ļoti augsta | API pārvaldības piegādātājs | Augsta |
| Koda parakstīšanas platforma | Ļoti augsta integritātes ietekme | Ilga ierīču uzticamība | Vidēja | HSM un CI/CD konveijera rīki | Kritiska |
Klientu dokumentu glabātuve kļūst par prioritāti konfidencialitātes ilguma dēļ. Koda parakstīšanas platforma kļūst par prioritāti, jo parakstu uzticamība ietekmē programmatūras integritāti un klientu drošumu. API vārteja ir augsta prioritāte ārējās ekspozīcijas dēļ, taču tās glabātajiem datiem var būt īsāks konfidencialitātes ilgums.
Riska reģistram pēc tam katrs scenārijs jāsasaista ar apstrādi un pierādījumiem:
| Riska scenārijs | Pašreizējais kontroles pasākums | Riska apstrādes lēmums | Nepieciešamie pierādījumi |
|---|---|---|---|
| Ilglaicīgi klientu ieraksti var tikt pakļauti nākotnes atšifrēšanai | Šifrēšana glabāšanā, piekļuves kontrole, mākoņpakalpojumu KMS | Izvērtēt glabāšanas šifrēšanas ceļkarti, pastiprināt atslēgu nošķiršanu, pārskatīt rezerves kopiju pārsūtīšanas kriptogrāfiju | CBOM, piegādātāja ceļkarte, arhitektūras lēmums, riska apstrādes ieraksts |
| Programmatūras atjauninājumu uzticamību var vājināt nākotnes parakstu kompromitēšana | Koda parakstīšanas HSM, laidiena apstiprināšana | Izvērtēt pēckvantu parakstu gatavību, laikspiedolu stratēģiju un parakstīšanas dzīves ciklu | Parakstīšanas uzskaite, HSM iespēju pārskats, drošas izstrādes procedūra |
| Partneru API kriptogrāfiju var būt grūti ātri mainīt | TLS sertifikāti, API vārtejas konfigurācija | Ieviest kriptogrāfiskās elastības testēšanu un piegādātāja ceļkartes pārskatīšanu | TLS skenēšana, pamatkonfigurācija, piegādātāja apliecinājums |
Clarysec uzņēmuma politika Drošas izstrādes politika, punkts 6.4, sniedz programmatūras piegādes skatījumu:
“Drošības dizaina pārskatīšanā pirms apstiprināšanas ražošanas videi jāizvērtē kriptogrāfiskās atkarības, bibliotēku dzīves cikls, algoritmu elastība, noslēpumu apstrāde, atjaunināšanas mehānismi un piegādātāja kontrolēti komponenti.”
Šis punkts pārvērš pēckvantu gatavību par inženierijas prasību. Tas neļauj komandām ieviest jaunas sistēmas, kuras vēlāk nevar migrēt.
Ievērojiet 12 mēnešu ceļkarti, ko auditori var saprast
Daudzām organizācijām pēckvantu migrācija prasīs gadus. Pirmajam gadam organizācija jāpārved no nenoteiktības uz pārvaldītu migrāciju.
| Mēnesis | Darba plūsma | Rezultāts | Pierādījumi |
|---|---|---|---|
| 1 | Vadības mandāts | Valdes līmeņa piemērošanas joma, riska apetīte un finansējuma ceļš | Vadības komitejas protokoli, apstiprināts nolikums |
| 1 līdz 2 | Kriptogrāfiskā atklāšana | Sākotnējais CBOM, kas aptver kritiskos pakalpojumus | Uzskaites eksports, CMDB saites, sistēmu īpašnieku apliecinājumi |
| 2 līdz 3 | Datu un aizsardzības ilguma pārskatīšana | Prioritizēts ilglaicīgu sensitīvo datu un augstas integritātes aktīvu saraksts | Klasifikācijas reģistrs, glabāšanas grafiks, riska ieraksti |
| 3 līdz 4 | Piegādātāju atkarību pārskatīšana | Piegādātāju ceļkaršu un līgumu nepilnību analīze | Piegādātāju anketas, līguma klauzulas, riska izņēmumi |
| 4 līdz 6 | Arhitektūras un kriptogrāfiskās elastības izvērtēšana | Mērķa arhitektūras modeļi un migrācijas ierobežojumi | Arhitektūras pārskatīšanas ieraksti, dizaina lēmumi |
| 6 līdz 8 | Pilotprojekta ieviešana | Hibrīds vai pēckvantu tests izvēlētā zema riska vidē | Testēšanas rezultāti, atcelšanas plāns, veiktspējas konstatējumi |
| 8 līdz 10 | Politiku un procedūru atjaunināšana | Atjaunināti kriptogrāfijas, atslēgu pārvaldības, piegādātāju, drošas izstrādes un aktīvu noteikumi | Apstiprinātas politikas, apmācību ieraksti |
| 10 līdz 12 | Gatavība auditam | Iekšējais audits, vadības pārskatīšana un riska apstrādes plāna atsvaidzināšana | Audita pārskats, korektīvās darbības, atjaunināts riska apstrādes plāns |
Zenith Blueprint, 3. fāzes 14. solī “Riska apstrādes dizains un īpašumtiesības”, ceļkarte brīdina par nefinansētiem drošības nodomiem:
“Riska apstrādes plāns bez īpašnieka, pierādījumu prasībām, budžeta ceļa un pārskatīšanas datuma nav plāns. Tas ir neatrisināts risks ar labāku formatējumu.”
Tieši tā pēckvantu programmas izgāžas. Tās sagatavo informētības slaidus, bet ne īpašniekiem piešķirtu novēršanas darbu sarakstu. Tās apspriež algoritmus, bet neatjaunina piegādātāju līgumus. Tās dokumentē risku, bet netestē migrācijas modeļus.
Uzticama ceļkarte izveido lēmumu ierakstus, īpašniekus, atkarības, pierādījumu prasības, budžetus un pārskatīšanas datumus.
Iesaistiet piegādātājus programmā savlaicīgi
Daudzas kriptogrāfiskās atkarības ir nodotas ārpakalpojumā. Mākoņpakalpojumu sniedzēji terminē TLS. SaaS platformas šifrē ierakstus. Identitātes nodrošinātāji paraksta marķierus. Maksājumu apstrādātāji pārvalda sertifikātus. Aparatūras piegādātāji kontrolē aparātprogrammatūras parakstīšanu. Pārvaldīto pakalpojumu sniedzēji (MSP) uztur VPN un drošības vārtejas.
Pat ja jūsu iekšējā komanda ir gatava, migrāciju var bloķēt piegādātāja spējas.
Clarysec uzņēmuma politika Trešo pušu un piegādātāju drošības politika, punkts 5.6, nosaka:
“Piegādātājiem, kas sniedz drošībai nozīmīgus pakalpojumus, jāatklāj būtiskās atkarības, kriptogrāfiskie pienākumi, apliecinājuma pierādījumi, ievainojamību apstrādes procesi un ceļkartes izmaiņas, kas var ietekmēt organizācijas riska stāvokli.”
Pēckvantu gatavībai jautājiet kritiskajiem piegādātājiem:
- Kuri algoritmi, protokoli, sertifikāti un atslēgu pārvaldības pakalpojumi aizsargā mūsu datus vai darījumus?
- Vai jūs uzturat kriptogrāfisko uzskaiti vai CBOM?
- Kāda ir jūsu NIST pēckvantu ceļkarte?
- Vai jūs atbalstīsiet hibrīdu atslēgu apmaiņu, pēckvantu parakstus vai kvantu noturīgu atslēgu iekapsulēšanu?
- Kā tiks paziņotas izmaiņas sertifikātos, marķieros, parakstīšanā un šifrēšanā?
- Kāda klienta rīcība būs nepieciešama?
- Kādas testēšanas vides būs pieejamas?
- Kā tiks pārvaldīta veiktspēja, savietojamība un atcelšana?
- Vai kriptogrāfiskie pienākumi ir noteikti līgumā vai kopīgās atbildības modelī?
- Kādas izejas vai pārnesamības iespējas pastāv, ja jūsu ceļkarte neatbilst mūsu riska prasībām?
Piegādātāju atbildēm jānonāk riska reģistrā. Vājas atbildes ne vienmēr nozīmē tūlītēju nomaiņu, taču tās prasa riska apstrādi. Var būt nepieciešami kompensējošie kontroles pasākumi, līguma grozījumi, paziņošanas klauzulas, izejas plānošana, pastiprināta uzraudzība vai pārskatīta iepirkuma stratēģija.
Tas ir īpaši svarīgi DORA un NIS2 tipa darbības noturības prasību kontekstā. DORA uzsver IKT risku pārvaldību un IKT trešo pušu riska pārvaldību, tostarp kritisko atkarību pārraudzību. NIS2 Article 21 pieprasa piemērotus un samērīgus tehniskus, operatīvus un organizatoriskus drošības riska pārvaldības pasākumus, tostarp piegādes ķēdes drošību, incidentu apstrādi, darbības nepārtrauktību un kriptogrāfiju, kur tas ir atbilstoši. GDPR Article 32 pieprasa riskam atbilstošu drošību, tostarp konfidencialitāti, integritāti, pieejamību, noturību un spēju nodrošināt pastāvīgu personas datu aizsardzību.
Regulatīvā valoda atšķiras, bet kontroles loģika ir konsekventa: ziniet savas atkarības, pārvaldiet risku, saglabājiet pierādījumus un rīkojieties, pirms noturība tiek apdraudēta.
Starpatbilstības kartēšana: viens migrācijas plāns, daudzi pienākumi
Spēcīgam pēckvantu kriptogrāfijas migrācijas plānam jāizvairās no atsevišķu pierādījumu mapju veidošanas katram ietvaram. Tie paši pamatpierādījumi var atbalstīt vairākus pienākumus, ja tie ir pareizi strukturēti.
Zenith Controls kartē kriptogrāfijas tēmu pāri ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA un NIS2, koncentrējoties uz kontroles pasākuma mērķi, nevis uz katra ietvara izmantoto nosaukumu.
| Ietvars | Kā pēckvantu plāns atbalsta atbilstību |
|---|---|
| ISO/IEC 27001:2022 | Parāda uz risku balstītu kontroles pasākumu atlasi, dokumentētu informāciju, iekšējo auditu, vadības pārskatīšanu un nepārtrauktu pilnveidi |
| ISO/IEC 27002:2022 | Atbalsta kontroles pasākumu interpretāciju attiecībā uz 8.24 Use of cryptography, aktīvu uzskaiti, klasifikāciju, piegādātāju drošību, mākoņpakalpojumiem, drošu izstrādi, uzraudzību un nepārtrauktību |
| NIST PQC standarti | Sniedz tehnisko virzienu apstiprinātai pēckvantu algoritmu pārejai un kriptogrāfiskajai plānošanai |
| NIST Cybersecurity Framework 2.0 | Sasaista migrācijas darbības ar Govern, Identify, Protect, Detect, Respond un Recover rezultātiem |
| COBIT 2019 | Saskaņo kriptogrāfisko risku ar pārvaldības un vadības mērķiem, piemēram, APO12 Managed Risk, APO13 Managed Security, APO10 Managed Vendors, DSS05 Managed Security Services un MEA03 Managed Compliance |
| GDPR | Atbalsta Article 32 prasības par atbilstošu drošību, konfidencialitāti, integritāti, noturību un pārskatatbildību personas datu apstrādē |
| DORA | Atbalsta IKT risku pārvaldību, IKT trešo pušu riska pārvaldību, noturības testēšanu, gatavību incidentiem un pārvaldības struktūras pārraudzību |
| NIS2 | Atbalsta Article 21 drošības riska pārvaldības pasākumus, piegādes ķēdes drošību, incidentu apstrādi, darbības nepārtrauktību un pārvaldības pārskatatbildību |
Pierādījumu atkārtota izmantošana ir izšķiroša. Kriptogrāfiskā uzskaite atbalsta ISO aktīvu pārvaldību, NIST Identify rezultātus, DORA IKT aktīvu redzamību, NIS2 risku pārvaldību un GDPR pārskatatbildību. Piegādātāju anketas atbalsta ISO piegādātāju kontroles pasākumus, DORA IKT trešo pušu risku, NIS2 piegādes ķēdes drošību un COBIT piegādātāju pārvaldību. Migrācijas testēšanas rezultāti atbalsta drošas izmaiņas, noturības testēšanu, gatavību auditam un vadības pārskatīšanu.
Ko jautās auditori
Pēckvantu kriptogrāfija joprojām ir jauna audita tēma, taču auditoriem jau ir pietiekami daudz kontroles pasākumu prasību, lai uzdotu sarežģītus jautājumus.
ISO/IEC 27001:2022 auditors parasti sāks ar risku. Viņš jautās, vai ar kvantu tehnoloģijām saistītais kriptogrāfiskais risks IDPS ietvaros ir identificēts, izvērtēts, apstrādāts, uzraudzīts un pārskatīts. Auditors sagaidīs pierādījumus, ka kriptogrāfiskie kontroles pasākumi tiek izvēlēti, balstoties uz biznesa risku, un ka pienākumi ir noteikti.
Uz NIST orientēts izvērtētājs var koncentrēties uz aktīvu redzamību, aizsardzības mehānismiem, piegādes ķēdes risku, ievainojamību pārvaldību un pārvaldības rezultātiem. Viņš var jautāt, vai organizācija ir identificējusi sistēmas, kas izmanto ievainojamu publiskās atslēgas kriptogrāfiju, un vai migrācijas plānošana ir saskaņota ar NIST virzienu.
COBIT vai ISACA auditors bieži jautās par pārvaldību. Kurš ir pārskatatbildīgs? Kā valde saņem ziņojumus? Vai ieguldījumi tiek prioritizēti? Vai piegādātāju atkarības tiek pārvaldītas? Vai ieguvumi, riski un resursi ir līdzsvaroti?
Privātuma auditors var koncentrēties uz to, vai šifrēšana un atslēgu pārvaldība joprojām ir atbilstoša personas datu sensitivitātei un glabāšanas termiņam.
DORA vai NIS2 fokusēts pārskatītājs skatīsies uz noturību, trešo pušu IKT koncentrāciju, darbības nepārtrauktību un gatavību incidentiem.
| Audita skatījums | Iespējamie jautājumi | Sagatavojamie pierādījumi |
|---|---|---|
| ISO/IEC 27001:2022 | Vai pēckvantu risks ir iekļauts IDPS riska procesā? Vai kriptogrāfiskie kontroles pasākumi tiek izvēlēti un pārskatīti? | Riska reģistrs, riska apstrādes plāns, Piemērojamības deklarācija, politiku apstiprinājumi, iekšējā audita rezultāti |
| NIST | Vai organizācija ir uzskaitījusi kriptogrāfijas izmantošanu un plānojusi migrāciju uz apstiprinātām pieejām? | CBOM, arhitektūras lēmumi, pilotprojektu rezultāti, migrācijas darbu saraksts |
| COBIT 2019 | Vai kriptogrāfiskā pāreja tiek pārvaldīta, finansēta un uzraudzīta? | Valdes pārskati, pārvaldības sanāksmju protokoli, KPI, piegādātāju risku informācijas paneļi |
| GDPR | Vai kriptogrāfiskā aizsardzība joprojām ir atbilstoša personas datu sensitivitātei un glabāšanai? | Datu klasifikācija, DPIA atsauces, glabāšanas grafiks, šifrēšanas dizains |
| DORA | Vai IKT un piegādātāju atkarības ir saprastas un noturīgas? | IKT aktīvu reģistrs, piegādātāju apliecinājumi, testēšanas pierādījumi, izejas plāni |
| NIS2 | Vai piegādes ķēdes un drošības riska pārvaldības pasākumi ir efektīvi? | Piegādātāju pārskatīšana, incidentu procedūras, nepārtrauktības plāni, riska apstrādes ieraksti |
Zenith Controls iesaka audita sagatavošanu uztvert kā pierādījumu ceļu. Negaidiet, līdz auditori pieprasīs ekrānuzņēmumus un izklājlapas. Izveidojiet GRC darbvietu, kas katru kriptogrāfisko risku sasaista ar tā īpašnieku, ietekmētajiem aktīviem, piegādātājiem, lēmumiem, testiem, izņēmumiem un pārskatīšanas datumiem.
Atjauniniet politikas, lai programma būtu īstenojama praksē
Lielākā daļa kriptogrāfijas politiku tika rakstītas tradicionālajām konfidencialitātes un integritātes prasībām. Pēckvantu migrācijai nepieciešami mērķēti papildinājumi.
Jūsu kriptogrāfijas un atslēgu pārvaldības politikai jāaptver apstiprinātie standarti, pārskatīšanas biežums, datu klasifikācija, aizsardzības ilgums, algoritmu elastība, atslēgu ģenerēšana, atslēgu glabāšana, rotācija, iznīcināšana, īpašumtiesības, sertifikātu dzīves cikls, HSM atbildība, mākoņpakalpojumu KMS atbildība, izņēmumu apstiprināšana, piegādātāja kontrolēta kriptogrāfija un pēckvantu pārejas uzraudzība.
Jūsu drošas izstrādes politikai jāaptver kriptogrāfisko bibliotēku apstiprināšana, stingri iestrādātu algoritmu nepieļaušana bez pārskatīšanas, atkarību izsekošana, droši atjaunināšanas mehānismi, veiktspējas testēšana lielākām atslēgām vai parakstiem, atpakaļsavietojamība, atcelšana un draudu modelēšana ilglaicīgiem produktiem.
Jūsu piegādātāju drošības politikai jāaptver kriptogrāfiskā pārredzamība, pēckvantu ceļkaršu pieprasījumi, līgumiskie paziņošanas pienākumi, kopīga atbildība par šifrēšanu un atslēgu pārvaldību, izejas plānošana un pārnesamība.
Jūsu aktīvu pārvaldības procedūrai jāaptver kriptogrāfiskās uzskaites lauki, īpašumtiesības, pierādījumu avoti, pārskatīšanas biežums un integrācija ar CMDB, mākoņvides uzskaiti, sertifikātu pārvaldību, HSM ierakstiem un koda repozitorijiem.
Šajā vietā Clarysec politiku bibliotēka palīdz organizācijām rīkoties ātrāk. Tā vietā, lai sāktu no tukšas lapas, komandas var pielāgot politiku punktus procedūrām, reģistriem, anketām un audita pierādījumiem.
Izvairieties no visbiežākajām pēckvantu migrācijas kļūdām
Bīstamākās kļūdas parasti ir pārvaldības, nevis tehniskas kļūmes.
Sākšana ar algoritmiem, nevis aktīviem. Ja nezināt, kur tiek izmantota kriptogrāfija, algoritmu izvēle nepalīdzēs.
Datu dzīves ilguma ignorēšana. Īslaicīgi darījumu dati un ilglaicīgi sensitīvi arhīvi nenes vienādu risku.
Piegādātāju atstāšana vēlākam posmam. Daudzi kriptogrāfiskie kontroles pasākumi ir piegādātāju pārvaldīti. Ja piegādātāji netiek iesaistīti savlaicīgi, plāns var būt nereāls.
Parakstu aizmiršana. Pēckvantu plānošana nav tikai par šifrēšanu. Digitālie paraksti, koda parakstīšana, sertifikāti, identitātes marķieri, aparātprogrammatūras atjauninājumi un dokumentu parakstīšana prasa uzmanību.
Pieņēmums, ka mākoņpakalpojumu sniedzēji atrisinās visu. Mākoņplatformām būs būtiska loma, taču atbildība paliek kopīga. Jums joprojām jāzina, kuri pakalpojumi, konfigurācijas, atslēgas, reģioni un integrācijas tiek ietekmētas.
Audita pierādījumu neveidošana. Migrācijas plāns, ko nevar pierādīt, neapmierinās vadību, regulatorus, klientus vai auditorus.
Veiktspējas un savietojamības testēšanas izlaišana. Pēckvantu algoritmi var ietekmēt izpildslodzes izmēru, rokasspiediena darbību, latentumu, glabāšanu, iegulto ierīču ierobežojumus un savietojamību.
Metrikas, kas CISO jāziņo valdei
Valdes ziņošanai jābūt pietiekami vienkāršai, lai to saprastu, un pietiekami konkrētai, lai virzītu rīcību. Izvairieties no dziļām algoritmu debatēm. Koncentrējieties uz ekspozīciju, progresu, lēmumiem un atlikušo risku.
| Metrika | Nozīme valdes līmenī |
|---|---|
| Kritisko pakalpojumu īpatsvars ar pabeigtu kriptogrāfisko uzskaiti | Parāda redzamību |
| Ilglaicīgu sensitīvo datu īpatsvars, kas kartēts pret kriptogrāfiskajiem kontroles pasākumiem | Parāda gatavību “ievāc tagad, atšifrē vēlāk” riskam |
| Kritisko piegādātāju skaits, no kuriem saņemta pēckvantu ceļkarte | Parāda trešo pušu gatavību |
| Augsta riska kriptogrāfisko izņēmumu skaits | Parāda nepārvaldītu ekspozīciju |
| Kritisko lietojumprogrammu īpatsvars, kam izvērtēta kriptogrāfiskā elastība | Parāda migrācijas īstenojamību |
| Pilotprojekta pabeigšanas statuss | Parāda praktisko progresu |
| Nokavētas atvērtās riska apstrādes darbības | Parāda izpildes risku |
| Atlikušā riska tendence | Parāda, vai programma samazina ekspozīciju |
Noderīgs vēstījums valdei varētu skanēt šādi:
“Esam pabeiguši kriptogrāfisko atklāšanu 72 procentiem kritisko pakalpojumu. Divām sistēmām ir kritiska ilglaicīgas konfidencialitātes ekspozīcija, un trīs piegādātāji vēl nav iesnieguši pēckvantu ceļkartes. Esam sākuši koda parakstīšanas gatavības projektu un mākoņpakalpojumu KMS atkarību pārskatīšanu. Šodien ārkārtas nomaiņa nav ieteicama, taču piegādātāju nenoteiktība joprojām ir lielākais atlikušais risks.”
Tā ir pārvaldīta kiberriska valoda.
Praktisks kontrolsaraksts, ar ko sākt šonedēļ
Nav jāgaida pilnīga noteiktība. Sāciet ar soļiem, kas nekavējoties uzlabo redzamību un pārvaldību.
- Norīkojiet pēckvantu kriptogrāfijas īpašnieku.
- Pievienojiet ar kvantu tehnoloģijām saistītu kriptogrāfisko risku IDPS riska reģistram.
- Identificējiet desmit svarīgākos pakalpojumus ar ilglaicīgiem sensitīviem datiem vai augstu integritātes ietekmi.
- Izveidojiet minimāli nepieciešamu CBOM šiem pakalpojumiem.
- Pieprasiet kritiskajiem piegādātājiem viņu pēckvantu ceļkarti.
- Pārskatiet kriptogrāfijas, drošas izstrādes, piegādātāju un aktīvu politikas.
- Identificējiet sistēmas ar stingri iestrādātiem algoritmiem, novecojušām bibliotēkām, manuālu sertifikātu rotāciju vai vājām īpašumtiesībām.
- Izvēlieties vienu zema riska pilotprojektu kriptogrāfiskās elastības testēšanai.
- Definējiet valdes metrikas un ziņošanas biežumu.
- Ieplānojiet iekšējo auditu, kas fokusēts uz kriptogrāfisko pārvaldību un pierādījumiem.
Svarīgākais solis ir pārvērst nenoteiktību pārvaldītā darbā. Kvantu risks var būt vērsts uz nākotni, bet kriptogrāfiskais parāds pastāv jau šodien.
Nākamie soļi ar Clarysec
Pēckvantu migrācija būs viena no sarežģītākajām drošības pārejām nākamajā desmitgadē, jo tā skar identitāti, šifrēšanu, parakstus, piegādātājus, mākoņpakalpojumus, programmatūru, ierīces, arhīvus un audita pierādījumus. Organizācijas, kas sāk ar pārvaldību un uzskaiti, virzīsies ātrāk nekā tās, kas gaida pēdējā brīža nomaiņas ciklu.
Clarysec var palīdzēt izveidot kvantu riskiem gatavu kriptogrāfijas migrācijas plānu, izmantojot:
- Zenith Blueprint: auditora 30 soļu ceļkarte fāzētai ieviešanai un gatavībai auditam
- Zenith Controls: starpatbilstības ceļvedis ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA un NIS2 kartēšanai
- Kriptogrāfijas un atslēgu pārvaldības politika pārvaldībai gataviem kriptogrāfiskajiem noteikumiem
- Trešo pušu un piegādātāju drošības politika piegādātāju ceļkartes un apliecinājuma prasībām
- Drošas izstrādes politika kriptogrāfiski elastīgām inženierijas praksēm
Labākais laiks sākt pēckvantu plānošanu ir pirms regulators, auditors, klients vai valdes loceklis pieprasa pierādījumus. Sāciet ar uzskaiti, sasaistiet to ar risku un veidojiet migrācijas ceļu pa vienam kontrolētam lēmumam.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
