Migrarea la criptografia post-cuantică cu ISO 27001
Zumzetul proiectorului este singurul sunet din sala de consiliu. Sarah, CISO-ul organizației, tocmai și-a încheiat actualizarea trimestrială privind riscurile, când directorul general ridică o pagină tipărită dintr-o publicație financiară. Titlul este direct: „Numărătoarea inversă cuantică: datele dumneavoastră sunt deja depășite?”
„Sarah”, spune el, mai degrabă îngrijorat decât acuzator, „am investit milioane în criptare. Suntem conformi. Suntem securizați. Articolul spune că un calculator cuantic suficient de puternic ar putea compromite totul. Suntem expuși? Ce se întâmplă cu datele pe care le criptăm și le stocăm chiar acum? Este o bombă cu ceas?”
Aceasta este conversația care se mută acum din conferințele de securitate în comitetele executive. Problema nu mai este dacă tehnologia cuantică este interesantă pentru cercetători. Problema este dacă alegerile criptografice de astăzi pot proteja obligațiile operaționale de mâine.
Pentru multe organizații, răspunsul sincer este incomod. Criptarea este peste tot: gateway-uri TLS, VPN-uri, portaluri pentru clienți, token-uri de identitate, backup-uri ale bazelor de date, aplicații mobile, platforme de plăți, S/MIME, SSH, integrări API, servicii SaaS, module hardware de securitate (HSM), servicii cloud de management al cheilor, semnarea firmware-ului, semnarea codului și contracte digitale.
Aceasta este problema. Criptografia este peste tot, dar responsabilitatea este adesea nicăieri.
Migrarea la criptografia post-cuantică nu privește doar un viitor calculator cuantic relevant din punct de vedere criptografic. Privește și riscul de tip „colectează acum, decriptează mai târziu”, în care adversarii colectează astăzi date criptate și așteaptă până când capabilitățile viitoare fac decriptarea fezabilă. Dacă organizația stochează date cu caracter personal, evidențe medicale, date financiare reglementate, secrete comerciale, comunicări juridice, date privind infrastructura națională, firmware de produs sau proprietate intelectuală cu durată lungă de viață, riscul este deja un risc de ciclu de viață.
Un plan de migrare criptografică pregătit pentru era cuantică nu este un proiect de panică. Este un program structurat de guvernanță, inventariere, management al furnizorilor, arhitectură, testare și audit. Întrebarea practică pentru CISO este simplă:
Cum construim un plan de migrare post-cuantică credibil pentru conducere, utilizabil de ingineri și defensabil în fața auditorilor?
Răspunsul este să ancorăm activitatea în ISO/IEC 27001:2022, să interpretăm controalele prin ISO/IEC 27002:2022, să folosim standardele NIST privind criptografia post-cuantică drept reper tehnic și să creăm un model unic de dovezi care susține obligațiile ISO 27001, NIST, COBIT 2019, GDPR, DORA și NIS2.
De ce criptografia post-cuantică aparține SMSI
O greșeală frecventă este alocarea migrației post-cuantice exclusiv inginerilor criptografi. Inginerii sunt esențiali, dar nu pot rezolva singuri problema de guvernanță.
Migrarea post-cuantică atinge managementul activelor, clasificarea datelor, managementul furnizorilor, arhitectura securizată, managementul cheilor, dezvoltarea aplicațiilor, securitatea cloud, răspunsul la incidente, continuitatea activității, riscul juridic, responsabilitatea de reglementare și dovezile de audit. Acestea sunt teme specifice SMSI.
ISO/IEC 27001:2022 oferă cadrul de guvernanță. Acesta cere organizației să înțeleagă contextul, părțile interesate, riscul, obiectivele, responsabilitățile, competența, informațiile documentate, planificarea operațională, evaluarea performanței, auditul intern, revizuirea de către management și îmbunătățirea continuă. ISO/IEC 27002:2022 oferă apoi interpretarea controalelor, în special în jurul 8.24 Use of cryptography, 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.21 Managing information security in the ICT supply chain, 5.23 Information security for use of cloud services, 8.25 Secure development life cycle, 8.8 Management of technical vulnerabilities, 8.16 Monitoring activities și 5.30 ICT readiness for business continuity.
La Clarysec, acesta este motivul pentru care pregătirea post-cuantică este tratată ca o transformare condusă de SMSI, nu ca o înlocuire izolată de algoritmi.
Așa cum se precizează în Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului de la Clarysec, faza 2, pasul 8, „Stabilirea domeniului pentru active, dependențe și dovezi”:
„Un control nu poate fi considerat de încredere până când organizația nu poate dovedi unde se aplică, cine îl deține, ce dovezi îl susțin și ce risc reduce.”
Această afirmație este deosebit de importantă pentru criptografia post-cuantică. Înainte de a înlocui algoritmi, trebuie să știți unde sunt utilizați algoritmii.
Zenith Controls: ghidul de conformitate transversală de la Clarysec tratează criptografia ca pe un lanț conectat de dovezi, nu ca pe o singură setare tehnică:
„Asigurarea criptografică este auditată pe parcursul ciclului de viață al informațiilor: identificare, clasificare, utilizare aprobată, protecția cheilor, monitorizare operațională, dependență de furnizori, gestionarea excepțiilor și păstrarea dovezilor.”
Această perspectivă de ciclu de viață previne cea mai frecventă eroare: întrebarea exclusivă „Folosim algoritmi siguri în fața tehnologiei cuantice?” Întrebările mai bune sunt:
- Ce sisteme au nevoie primele de migrare post-cuantică?
- Ce date au o durată de confidențialitate mai mare decât orizontul de risc cuantic?
- Ce furnizori controlează criptarea, semnăturile, certificatele sau managementul cheilor noastre?
- Ce aplicații au agilitate criptografică și care au componente codificate rigid?
- Ce controale compensatorii există cât timp migrarea este incompletă?
- Ce dovezi vor demonstra că deciziile au fost bazate pe risc și revizuite?
De la amenințare cuantică la risc de afaceri verificabil
Un plan post-cuantic util începe cu scenarii de risc. Evitați formulările vagi precum „calculul cuantic ar putea compromite criptarea”. În schimb, creați înregistrări de risc verificabile, care leagă impactul asupra activității, amenințarea, vulnerabilitatea, activele afectate, controalele existente, riscul rezidual și acțiunile de tratare.
De exemplu:
„Documentele criptate de identitate ale clienților, stocate timp de șapte ani, pot deveni vulnerabile la decriptare viitoare dacă backup-urile sunt exfiltrate astăzi și criptografia actuală cu cheie publică devine compromitibilă în viitor.”
Acest scenariu indică retenția datelor, criptarea backup-urilor, managementul cheilor, controlul accesului, găzduirea la furnizori, monitorizarea și prioritatea de migrare.
Un alt exemplu:
„Semnarea firmware-ului pentru dispozitive conectate se bazează pe scheme de semnătură care pot să nu rămână de încredere pe durata ciclului de viață preconizat al dispozitivului.”
Acesta indică securitatea produsului, mecanismele de actualizare securizată, capabilitatea HSM, siguranța clienților, asigurarea proiectării la furnizori și reziliența operațională pe termen lung.
Un al treilea exemplu:
„Comunicările juridice arhivate și criptate astăzi pot necesita confidențialitate pentru mai mult de cincisprezece ani, generând expunere de tip «colectează acum, decriptează mai târziu».”
Acesta indică clasificarea, retenția, protecția criptografică, blocarea legală, comunicațiile securizate și acceptarea riscului la nivel executiv.
Riscul nu este doar un viitor „Q-Day”. Acesta include trei preocupări conexe:
- Colectează acum, decriptează mai târziu, adversarii colectează astăzi date criptate pentru decriptare viitoare.
- Compromiterea semnăturilor digitale, atacurile viitoare subminează încrederea în actualizări software, token-uri de identitate, documente juridice, firmware și tranzacții financiare.
- Eșec de concentrare criptografică, o clasă largă de produse, protocoale, biblioteci sau furnizori devine depășită în același timp.
Politica Enterprise Clarysec, Politica privind criptografia și managementul cheilor, clauza 5.1, surprinde astfel cerința de guvernanță:
„Controalele criptografice trebuie selectate, implementate, revizuite și retrase pe baza clasificării informațiilor, a duratei necesare de protecție, a standardelor criptografice aprobate, a deținerii cheilor și a deciziilor documentate de tratare a riscurilor.”
Această clauză este critică deoarece durata de protecție devine un factor de prioritizare. Datele de sesiune cu durată scurtă și evidențele medicale pe termen lung nu au același risc cuantic. O cheie de semnare a codului care susține încrederea în dispozitive timp de cincisprezece ani are un profil de risc diferit de un certificat intern de test cu durată scurtă.
Aceeași familie de politici, menționată în materialele Clarysec ca Politica privind controalele criptografice, poate formaliza și așteptările de revizuire prin formulări precum:
Clauza 5.4: standarde privind algoritmii și lungimea cheilor
„Toți algoritmii criptografici și toate lungimile de chei utilizate în organizație trebuie selectate dintr-o listă aprobată, menținută de echipa de securitate a informațiilor. Această listă trebuie revizuită anual în raport cu cele mai bune practici din industrie și cu îndrumările organismelor naționale de securitate cibernetică (de exemplu, NIST, ENISA), cu atenție specifică asupra dezvoltării standardelor criptografice post-cuantice. O foaie de parcurs pentru migrarea sistemelor de la algoritmi vulnerabili la atacuri bazate pe tehnologie cuantică trebuie menținută ca parte a inventarului activelor criptografice.”
Aceasta nu impune adoptarea timpurie nesigură. Impune conștientizare, planificare, revizuire și dovezi.
Folosiți standardele NIST PQC drept reper tehnic
Activitatea NIST privind criptografia post-cuantică oferă organizațiilor o direcție tehnică credibilă. NIST a standardizat ML-KEM pentru stabilirea cheilor criptografice, ML-DSA pentru semnături digitale și SLH-DSA pentru semnături bazate pe hash fără stare. Aceste standarde oferă furnizorilor și arhitecților o bază pentru foi de parcurs și proiecte pilot.
Pentru CISO, scopul nu este memorarea detaliilor algoritmilor. Scopul este crearea unei căi de migrare care poate absorbi alegerile criptografice aprobate fără a afecta serviciile de business, angajamentele de conformitate sau trasabilitatea de audit.
Un plan de migrare aliniat la NIST trebuie să includă patru direcții:
- Descoperire, identificarea locurilor în care există criptografie vulnerabilă cu cheie publică.
- Prioritizare, clasificarea sistemelor în funcție de sensibilitatea datelor, durata de protecție, expunere, impact asupra integrității și criticitate pentru activitate.
- Arhitectură de tranziție, definirea locurilor în care mecanismele hibride, cu agilitate criptografică sau post-cuantice vor fi testate și adoptate.
- Asigurare, producerea de dovezi că deciziile, excepțiile, dependențele de furnizori, testele și riscurile reziduale sunt controlate.
Agilitatea criptografică merită atenție specială. Un sistem cu agilitate criptografică poate schimba algoritmi, dimensiuni ale cheilor, biblioteci, certificate și protocoale fără reproiectare majoră. În era post-cuantică, agilitatea criptografică nu este un lux. Este o cerință de reziliență.
Dacă un API de plăți are biblioteci criptografice codificate rigid și nu are un proprietar documentat, nu are agilitate criptografică. Dacă o aplicație mobilă fixează certificate fără o cale de actualizare administrată, migrarea poate deveni costisitoare. Dacă un dispozitiv IoT are o durată de viață în teren de cincisprezece ani și nu poate susține semnături mai mari sau actualizări securizate de firmware, riscul este strategic.
Construiți inventarul criptografic înainte de a alege calea de migrare
Majoritatea organizațiilor nu au un inventar criptografic complet. Pot avea un inventar de certificate, un tabel de management al cheilor, înregistrări HSM, o listă KMS în cloud sau intrări CMDB. Rareori au o vedere unică asupra dependențelor criptografice.
Un plan de migrare la criptografia post-cuantică are nevoie de un inventar criptografic al componentelor, sau CBOM. Nu trebuie să fie perfect din prima zi. Trebuie însă să fie structurat, deținut și îmbunătățit continuu.
Cel puțin, colectați următoarele câmpuri:
| Câmp de inventar | De ce contează pentru migrarea post-cuantică |
|---|---|
| Serviciu de business | Prioritizează migrarea în funcție de impactul asupra activității |
| Proprietar de activ | Atribuie responsabilitatea și autoritatea decizională |
| Clasificarea datelor | Identifică cerințele de confidențialitate și integritate |
| Durata de protecție | Evidențiază expunerea de tip „colectează acum, decriptează mai târziu” |
| Funcție criptografică | Separă criptarea, schimbul de chei, semnăturile, hashingul și certificatele |
| Algoritm și protocol | Identifică locurile în care sunt utilizate mecanisme vulnerabile cu cheie publică |
| Bibliotecă sau implementare | Arată dependențele software și constrângerile de actualizare |
| Locația cheii | Arată dacă cheile se află în HSM, KMS în cloud, software, punct terminal sau platforma furnizorului |
| Dependență de furnizor | Evidențiază unde migrarea depinde de terți |
| Complexitatea migrării | Susține secvențierea, testarea și planificarea bugetului |
| Sursă de dovezi | Face inventarul pregătit pentru audit |
Un inventar inițial ar putea arăta astfel:
| ID activ | Denumire activ | Proprietar | Criticitate pentru activitate | Utilizare criptografică | Locație | Vulnerabilitate PQC | Prioritate de migrare |
|---|---|---|---|---|---|---|---|
| APP-042 | API de facturare clienți | Tehnologie financiară | Ridicată | semnături RSA-2048, TLS, criptare AES-256 | AWS eu-west-1 | Ridicată pentru încrederea dependentă de RSA | 1 |
| NET-007 | VPN de acces la distanță | Infrastructură IT | Ridicată | autentificare ECDSA, IKEv2 | la sediu și edge cloud | Ridicată pentru autentificarea dependentă de ECC | 1 |
| DB-011 | Evidențe arhivate ale pacienților | Conformitate | Ridicată, cu retenție de 30 de ani | criptare AES-256 a bazei de date | bază de date la sediu | Mai redusă pentru criptarea simetrică, ridicată dacă cheile sunt schimbate sau împachetate prin metode vulnerabile cu cheie publică | 2 |
| CODE-001 | Semnarea codului CI/CD | DevOps | Impact ridicat asupra integrității | semnare cod RSA-4096 | HSM și flux de build | Ridicată pentru încrederea în semnături pe termen lung | 1 |
Acest tabel arată imediat de ce inventarul contează. AES-256 nu are același tip de risc cuantic ca RSA sau ECC, dar evidențele arhivate ale pacienților pot depinde în continuare de împachetarea cheilor vulnerabilă, certificate, sisteme de identitate sau canale de transfer pentru backup. Semnarea codului poate să nu protejeze confidențialitatea, dar protejează integritatea software-ului și încrederea.
În Zenith Controls, criptografia este corelată cu standarde suport care adaugă profunzime. ISO/IEC 27005 susține managementul riscurilor de securitate a informației și ajută la traducerea incertitudinii cuantice în scenarii de risc structurate. ISO/IEC 27017 susține controale de securitate specifice cloud, ceea ce este esențial atunci când serviciile criptografice sunt livrate prin KMS în cloud, TLS administrat, criptare SaaS sau certificate de platformă. ISO/IEC 27018 este relevant atunci când datele cu caracter personal sunt prelucrate în servicii cloud publice. ISO 22301 este relevant atunci când un eșec al controalelor criptografice ar putea afecta continuitatea serviciilor critice. ISO/IEC 27036 susține securitatea relațiilor cu furnizorii, ceea ce este crucial atunci când furnizorii gestionează criptarea, semnăturile, certificatele sau comunicațiile securizate în numele dumneavoastră.
Lecția este simplă: nu puteți migra ceea ce nu puteți găsi.
Prioritizați în funcție de sensibilitate, durată, expunere și dificultatea migrării
După ce CBOM există, prioritizarea devine bazată pe dovezi. Cel mai bun punct de pornire este un număr mic de sisteme critice, nu un exercițiu de perfecțiune la nivelul întregii întreprinderi.
Imaginați-vă o companie de servicii financiare cu trei sisteme de valoare ridicată:
- Un seif pentru documentele clienților care stochează dovezi de identitate timp de zece ani
- Un gateway API B2B care susține tranzacții cu parteneri
- O platformă de semnare a codului pentru actualizări de software desktop
Folosind Zenith Blueprint, faza 2, pasul 8, echipa extrage activele din CMDB, certificatele din platforma de management al certificatelor, cheile din HSM și KMS în cloud, clasele de date din registrul de confidențialitate și dependențele de furnizori din înregistrările de achiziții.
Apoi evaluează sistemele:
| Sistem | Sensibilitatea datelor | Durata de protecție | Expunere externă | Dependență de furnizor | Prioritate de migrare |
|---|---|---|---|---|---|
| Seif pentru documentele clienților | Foarte ridicată | Lungă | Medie | KMS în cloud și furnizor de stocare | Critică |
| Gateway API B2B | Ridicată | Scurtă spre medie | Foarte ridicată | Furnizor de management API | Ridicată |
| Platformă de semnare a codului | Impact foarte ridicat asupra integrității | Încredere pe termen lung în dispozitive | Medie | HSM și instrumente de flux de build | Critică |
Seiful pentru documentele clienților devine prioritar din cauza duratei de confidențialitate. Platforma de semnare a codului devine prioritară deoarece încrederea în semnături afectează integritatea software-ului și siguranța clienților. Gateway-ul API are prioritate ridicată din cauza expunerii externe, dar datele păstrate de acesta pot avea o durată de confidențialitate mai scurtă.
Registrul de riscuri trebuie apoi să lege fiecare scenariu de tratare și dovezi:
| Scenariu de risc | Control curent | Decizie de tratare | Dovezi necesare |
|---|---|---|---|
| Înregistrările clienților cu durată lungă de viață pot fi expuse la decriptare viitoare | Criptare pentru date în repaus, controlul accesului, KMS în cloud | Evaluarea foii de parcurs pentru criptarea stocării, consolidarea segregării cheilor, revizuirea criptografiei transferului de backup | CBOM, foaie de parcurs a furnizorului, decizie arhitecturală, înregistrare de tratare a riscului |
| Încrederea în actualizările software poate fi slăbită de compromiterea viitoare a semnăturilor | HSM pentru semnarea codului, aprobare de lansare | Evaluarea pregătirii pentru semnături post-cuantice, a strategiei de marcare temporală și a ciclului de viață al semnării | Inventar de semnare, raport privind capabilitatea HSM, procedură de dezvoltare securizată |
| Criptografia API-urilor pentru parteneri poate fi dificil de schimbat rapid | Certificate TLS, configurație gateway API | Implementarea testării agilității criptografice și revizuirea foii de parcurs a furnizorului | Scanare TLS, configurație de referință, atestare din partea furnizorului |
Politica Enterprise Clarysec, Politica de dezvoltare securizată, clauza 6.4, oferă perspectiva livrării software:
„Revizuirile de proiectare a securității trebuie să evalueze dependențele criptografice, ciclul de viață al bibliotecilor, agilitatea algoritmică, gestionarea secretelor, mecanismele de actualizare și componentele controlate de furnizori înainte de aprobarea pentru mediul de producție.”
Această clauză transformă pregătirea post-cuantică într-o cerință de inginerie. Împiedică echipele să implementeze sisteme noi care nu pot fi migrate ulterior.
Urmați o foaie de parcurs de 12 luni pe care auditorii o pot înțelege
Migrarea post-cuantică va dura ani pentru multe organizații. Primul an trebuie să mute organizația de la incertitudine la migrare guvernată.
| Lună | Flux de lucru | Rezultat | Dovezi |
|---|---|---|---|
| 1 | Mandat executiv | Domeniu de aplicare la nivel de consiliu, apetit la risc și cale de finanțare | Procese-verbale ale comitetului director, mandat aprobat |
| 1-2 | Descoperire criptografică | CBOM inițial care acoperă serviciile critice | Export de inventar, legături CMDB, atestări ale proprietarilor de sistem |
| 2-3 | Revizuirea datelor și a duratei de protecție | Listă prioritizată de date sensibile cu durată lungă de viață și active cu impact ridicat asupra integrității | Registru de clasificare, calendar de retenție, înregistrări de risc |
| 3-4 | Revizuirea dependențelor de furnizori | Analiză a foii de parcurs a furnizorilor și a lacunelor contractuale | Chestionare pentru furnizori, clauze contractuale, excepții de risc |
| 4-6 | Evaluarea arhitecturii și a agilității criptografice | Tipare de arhitectură țintă și constrângeri de migrare | Înregistrări ale revizuirilor de arhitectură, decizii de proiectare |
| 6-8 | Implementare pilot | Test hibrid sau post-cuantic într-un mediu selectat cu risc redus | Rezultatele testelor, plan de revenire, constatări privind performanța |
| 8-10 | Actualizarea politicilor și procedurilor | Reguli actualizate privind criptografia, managementul cheilor, furnizorii, dezvoltarea securizată și activele | Politici aprobate, înregistrări privind instruirea |
| 10-12 | Pregătire pentru audit | Audit intern, revizuire de către management și actualizarea planului de tratare | Raport de audit, acțiuni corective, plan de tratare a riscurilor actualizat |
În Zenith Blueprint, faza 3, pasul 14, „Proiectarea tratamentului riscului și deținerea responsabilității”, foaia de parcurs avertizează împotriva intențiilor de securitate nefinanțate:
„Un plan de tratament fără proprietar, așteptări privind dovezile, cale bugetară și dată de revizuire nu este un plan. Este un risc nerezolvat cu o formatare mai bună.”
Exact așa eșuează programele post-cuantice. Produc prezentări de conștientizare, dar nu un backlog de remediere asumat. Discută algoritmi, dar nu actualizează contractele cu furnizorii. Documentează riscul, dar nu testează tiparele de migrare.
O foaie de parcurs credibilă creează înregistrări ale deciziilor, proprietari, dependențe, așteptări privind dovezile, bugete și date de revizuire.
Includeți furnizorii în program din timp
Multe dependențe criptografice sunt externalizate. Furnizorii cloud termină TLS. Platformele SaaS criptează înregistrări. Furnizorii de identitate semnează token-uri. Procesatorii de plăți gestionează certificate. Furnizorii hardware controlează semnarea firmware-ului. Furnizorii de servicii administrate operează VPN-uri și gateway-uri de securitate.
Chiar dacă echipa internă este pregătită, migrarea poate fi blocată de capabilitatea furnizorilor.
Politica Enterprise Clarysec, Politica de securitate privind terții și furnizorii, clauza 5.6, precizează:
„Furnizorii care prestează servicii relevante pentru securitate trebuie să divulge dependențele materiale, responsabilitățile criptografice, dovezile de asigurare, procesele de gestionare a vulnerabilităților și modificările foii de parcurs care pot afecta profilul de risc al organizației.”
Pentru pregătirea post-cuantică, întrebați furnizorii critici:
- Ce algoritmi, protocoale, certificate și servicii de management al cheilor protejează datele sau tranzacțiile noastre?
- Mențineți un inventar criptografic sau CBOM?
- Care este foaia dumneavoastră de parcurs post-cuantică aliniată la NIST?
- Veți susține schimbul de chei hibrid, semnăturile post-cuantice sau stabilirea cheilor rezistentă la atacuri cuantice?
- Cum vor fi comunicate modificările privind certificatele, token-urile, semnarea și criptarea?
- Ce acțiuni vor fi necesare din partea clientului?
- Ce medii de testare vor fi disponibile?
- Cum vor fi gestionate performanța, interoperabilitatea și revenirea?
- Responsabilitățile criptografice sunt definite în contract sau în modelul de responsabilitate partajată?
- Ce opțiuni de ieșire sau portabilitate există dacă foaia dumneavoastră de parcurs nu îndeplinește cerințele noastre de risc?
Răspunsurile furnizorilor trebuie introduse în Registrul de riscuri. Răspunsurile slabe nu înseamnă întotdeauna înlocuire imediată, dar necesită tratare. Este posibil să fie necesare controale compensatorii, amendamente contractuale, clauze de notificare, planificare a ieșirii, monitorizare consolidată sau o strategie de aprovizionare revizuită.
Acest lucru este deosebit de important în contextul așteptărilor de reziliență operațională de tip DORA și NIS2. DORA pune accent pe managementul riscurilor TIC și pe managementul riscurilor asociate terților TIC, inclusiv supravegherea dependențelor critice. NIS2 Article 21 cere măsuri tehnice, operaționale și organizatorice adecvate și proporționale de management al riscurilor de securitate, inclusiv securitatea lanțului de aprovizionare, gestionarea incidentelor, continuitatea activității și criptografia, acolo unde este cazul. GDPR Article 32 cere securitate adecvată riscului, inclusiv confidențialitate, integritate, disponibilitate, reziliență și capacitatea de a asigura protecția continuă a datelor cu caracter personal.
Limbajul de reglementare diferă, dar logica de control este consecventă: cunoașteți dependențele, gestionați riscul, păstrați dovezile și acționați înainte ca reziliența să fie compromisă.
Mapare transversală a conformității: un singur plan de migrare, mai multe obligații
Un plan solid de migrare la criptografia post-cuantică trebuie să evite crearea unor pachete de dovezi separate pentru fiecare cadru. Aceleași dovezi de bază pot susține mai multe obligații dacă sunt structurate corect.
Zenith Controls mapează tema criptografiei în ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA și NIS2 concentrându-se pe scopul controlului, nu pe eticheta folosită de fiecare cadru.
| Cadru | Cum susține planul post-cuantic conformitatea |
|---|---|
| ISO/IEC 27001:2022 | Demonstrează selectarea controalelor bazată pe risc, informații documentate, audit intern, revizuire de către management și îmbunătățire continuă |
| ISO/IEC 27002:2022 | Susține interpretarea controalelor pentru 8.24 Use of cryptography, inventarul activelor, clasificare, securitatea furnizorilor, servicii cloud, dezvoltare securizată, monitorizare și continuitate |
| Standardele NIST PQC | Oferă direcție tehnică pentru tranziția aprobată către algoritmi post-cuantici și planificarea criptografică |
| NIST Cybersecurity Framework 2.0 | Leagă activitățile de migrare de rezultatele Govern, Identify, Protect, Detect, Respond și Recover |
| COBIT 2019 | Aliniază riscul criptografic la obiective de guvernanță și management precum APO12 Managed Risk, APO13 Managed Security, APO10 Managed Vendors, DSS05 Managed Security Services și MEA03 Managed Compliance |
| GDPR | Susține așteptările Article 32 privind securitatea adecvată, confidențialitatea, integritatea, reziliența și responsabilitatea pentru prelucrarea datelor cu caracter personal |
| DORA | Susține managementul riscurilor TIC, managementul riscurilor asociate terților TIC, testarea rezilienței, pregătirea pentru incidente și supravegherea de către organul de conducere |
| NIS2 | Susține măsurile de management al riscurilor de securitate prevăzute la Article 21, securitatea lanțului de aprovizionare, gestionarea incidentelor, continuitatea activității și responsabilitatea de guvernanță |
Reutilizarea dovezilor este cheia. Un inventar criptografic susține managementul activelor ISO, rezultatele Identify din NIST, vizibilitatea activelor TIC în DORA, managementul riscurilor NIS2 și responsabilitatea GDPR. Chestionarele pentru furnizori susțin controalele ISO privind furnizorii, riscul asociat terților TIC în DORA, securitatea lanțului de aprovizionare NIS2 și guvernanța furnizorilor în COBIT. Rezultatele testelor de migrare susțin schimbarea securizată, testarea rezilienței, pregătirea pentru audit și revizuirea de către management.
Ce vor întreba auditorii
Criptografia post-cuantică este încă un subiect emergent de audit, dar auditorii au deja suficiente așteptări de control pentru a pune întrebări dificile.
Un auditor ISO/IEC 27001:2022 va începe, de regulă, cu riscul. Va întreba dacă riscul criptografic asociat tehnologiilor cuantice este identificat, evaluat, tratat, monitorizat și revizuit în cadrul SMSI. Va aștepta dovezi că controalele criptografice sunt selectate pe baza riscului de business și că responsabilitățile sunt definite.
Un evaluator orientat către NIST se poate concentra pe vizibilitatea activelor, mecanismele de protecție, riscul lanțului de aprovizionare, managementul vulnerabilităților și rezultatele de guvernanță. Poate întreba dacă organizația a identificat sistemele care utilizează criptografie vulnerabilă cu cheie publică și dacă planificarea migrării este aliniată la direcția NIST.
Un auditor COBIT sau ISACA va întreba adesea despre guvernanță. Cine este responsabil? Cum primește consiliul raportarea? Sunt investițiile prioritizate? Sunt gestionate dependențele de furnizori? Sunt echilibrate beneficiile, riscurile și resursele?
Un auditor de confidențialitate se poate concentra asupra măsurii în care criptarea și managementul cheilor rămân adecvate sensibilității și perioadei de retenție a datelor cu caracter personal.
Un revizor axat pe DORA sau NIS2 va analiza reziliența, concentrarea terților TIC, continuitatea operațională și pregătirea pentru incidente.
| Perspectivă de audit | Întrebări probabile | Dovezi de pregătit |
|---|---|---|
| ISO/IEC 27001:2022 | Este riscul post-cuantic inclus în procesul de risc al SMSI? Sunt controalele criptografice selectate și revizuite? | Registrul de riscuri, plan de tratare, Declarație de aplicabilitate, aprobări de politici, rezultate ale auditului intern |
| NIST | A inventariat organizația utilizarea criptografiei și a planificat migrarea către abordări aprobate? | CBOM, decizii arhitecturale, rezultate pilot, backlog de migrare |
| COBIT 2019 | Este tranziția criptografică guvernată, finanțată și monitorizată? | Rapoarte către consiliu, procese-verbale de guvernanță, indicatori-cheie de performanță, tablouri de bord privind riscurile furnizorilor |
| GDPR | Rămâne protecția criptografică adecvată sensibilității și retenției datelor cu caracter personal? | Clasificarea datelor, referințe DPIA, calendar de retenție, proiectare a criptării |
| DORA | Sunt înțelese și reziliente dependențele TIC și de furnizori? | Registrul activelor TIC, atestări ale furnizorilor, dovezi de testare, planuri de ieșire |
| NIS2 | Sunt eficiente măsurile de management al riscurilor privind lanțul de aprovizionare și securitatea? | Revizuiri ale furnizorilor, proceduri de incident, planuri de continuitate, înregistrări de tratare a riscurilor |
Zenith Controls recomandă tratarea pregătirii pentru audit ca pe o cale de dovezi. Nu așteptați ca auditorii să solicite capturi de ecran și foi de calcul. Construiți un spațiu de lucru GRC care conectează fiecare risc criptografic la proprietarul său, activele afectate, furnizori, decizii, teste, excepții și date de revizuire.
Actualizați politicile astfel încât programul să devină operațional
Majoritatea politicilor de criptografie au fost scrise pentru cerințe tradiționale de confidențialitate și integritate. Migrarea post-cuantică necesită completări țintite.
Politica privind criptografia și managementul cheilor trebuie să abordeze standardele aprobate, frecvența de revizuire, clasificarea datelor, durata de protecție, agilitatea algoritmică, generarea cheilor, stocarea cheilor, rotirea, distrugerea, deținerea responsabilității, ciclul de viață al certificatelor, responsabilitatea HSM, responsabilitatea KMS în cloud, aprobarea excepțiilor, criptografia controlată de furnizori și monitorizarea tranziției post-cuantice.
Politica de dezvoltare securizată trebuie să abordeze aprobarea bibliotecilor criptografice, interdicția algoritmilor codificați rigid fără revizuire, urmărirea dependențelor, mecanismele de actualizare securizată, testarea performanței pentru chei sau semnături mai mari, compatibilitatea inversă, revenirea și modelarea amenințărilor pentru produsele cu durată lungă de viață.
Politica de securitate a furnizorilor trebuie să abordeze transparența criptografică, solicitările privind foile de parcurs post-cuantice, obligațiile contractuale de notificare, responsabilitatea partajată pentru criptare și managementul cheilor, planificarea ieșirii și portabilitatea.
Procedura de management al activelor trebuie să abordeze câmpurile inventarului criptografic, deținerea responsabilității, sursele de dovezi, frecvența de revizuire și integrarea cu CMDB, inventarul cloud, managementul certificatelor, înregistrările HSM și depozitele de cod.
Aici biblioteca de politici Clarysec ajută organizațiile să se miște mai rapid. În loc să redacteze de la zero, echipele pot adapta clauze de politică în proceduri, registre, chestionare și dovezi de audit.
Evitați cele mai frecvente greșeli în migrarea post-cuantică
Cele mai periculoase greșeli sunt, de obicei, eșecuri de guvernanță, nu eșecuri tehnice.
Începerea cu algoritmii în locul activelor. Dacă nu știți unde este utilizată criptografia, selecția algoritmilor nu va ajuta.
Ignorarea duratei de viață a datelor. Datele tranzacționale cu durată scurtă și arhivele sensibile pe termen lung nu au același risc.
Tratarea furnizorilor ca o fază ulterioară. Multe controale criptografice sunt gestionate de furnizori. Dacă furnizorii nu sunt incluși din timp, planul poate fi nerealist.
Uitarea semnăturilor. Planificarea post-cuantică nu privește doar criptarea. Semnăturile digitale, semnarea codului, certificatele, token-urile de identitate, actualizările de firmware și semnarea documentelor necesită atenție.
Presupunerea că furnizorii cloud rezolvă totul. Platformele cloud vor avea un rol major, dar responsabilitatea rămâne partajată. Trebuie să știți în continuare ce servicii, configurații, chei, regiuni și integrări sunt afectate.
Nereușita de a crea dovezi de audit. Un plan de migrare care nu poate fi dovedit nu va satisface conducerea, autoritățile de reglementare, clienții sau auditorii.
Omiterea testării performanței și interoperabilității. Algoritmii post-cuantici pot afecta dimensiunea payload-ului, comportamentul handshake-ului, latența, stocarea, constrângerile sistemelor integrate și compatibilitatea.
Metrici pe care CISO trebuie să le raporteze consiliului
Raportarea către consiliu trebuie să fie suficient de simplă pentru a fi înțeleasă și suficient de specifică pentru a determina acțiuni. Evitați dezbaterile tehnice aprofundate despre algoritmi. Concentrați-vă pe expunere, progres, decizii și risc rezidual.
| Metrică | Semnificație la nivel de consiliu |
|---|---|
| Procentul serviciilor critice cu inventar criptografic finalizat | Arată vizibilitatea |
| Procentul datelor sensibile cu durată lungă de viață mapate la controale criptografice | Arată pregătirea pentru riscul „colectează acum, decriptează mai târziu” |
| Numărul furnizorilor critici de la care s-a primit foaia de parcurs post-cuantică | Arată pregătirea terților |
| Numărul excepțiilor criptografice cu risc ridicat | Arată expunerea negestionată |
| Procentul aplicațiilor critice evaluate pentru agilitate criptografică | Arată fezabilitatea migrării |
| Stadiul finalizării pilotului | Arată progresul practic |
| Acțiuni de tratare deschise și depășite | Arată riscul de execuție |
| Tendința riscului rezidual | Arată dacă programul reduce expunerea |
Un mesaj util pentru consiliu ar putea suna astfel:
„Am finalizat descoperirea criptografică pentru 72% dintre serviciile critice. Două sisteme au expunere critică de confidențialitate pe termen lung, iar trei furnizori nu au furnizat încă foi de parcurs post-cuantice. Am lansat un proiect de pregătire pentru semnarea codului și o revizuire a dependențelor KMS în cloud. Nu se recomandă astăzi o înlocuire de urgență, dar incertitudinea privind furnizorii rămâne cel mai mare risc rezidual.”
Acesta este limbajul riscului cibernetic guvernat.
O listă de verificare practică pentru a începe săptămâna aceasta
Nu trebuie să așteptați certitudinea perfectă. Începeți cu pași care îmbunătățesc imediat vizibilitatea și guvernanța.
- Desemnați un responsabil pentru criptografia post-cuantică.
- Adăugați riscul criptografic asociat tehnologiilor cuantice în Registrul de riscuri al SMSI.
- Identificați primele zece servicii cu date sensibile pe termen lung sau impact ridicat asupra integrității.
- Construiți un CBOM minim viabil pentru aceste servicii.
- Solicitați furnizorilor critici foaia lor de parcurs post-cuantică.
- Revizuiți politicile de criptografie, dezvoltare securizată, furnizori și active.
- Identificați sistemele cu algoritmi codificați rigid, biblioteci depășite, rotire manuală a certificatelor sau responsabilitate slab definită.
- Selectați un pilot cu risc redus pentru testarea agilității criptografice.
- Definiți metricile pentru consiliu și frecvența raportării.
- Programați un audit intern axat pe guvernanța criptografică și dovezi.
Cea mai importantă acțiune este transformarea incertitudinii în activitate gestionată. Riscul cuantic poate privi spre viitor, dar datoria criptografică există astăzi.
Pașii următori cu Clarysec
Migrarea post-cuantică va fi una dintre cele mai complexe tranziții de securitate ale următorului deceniu, deoarece atinge identitatea, criptarea, semnăturile, furnizorii, cloud-ul, software-ul, dispozitivele, arhivele și dovezile de audit. Organizațiile care încep cu guvernanța și inventarierea se vor mișca mai rapid decât cele care așteaptă un ciclu de înlocuire în ultimul moment.
Clarysec vă poate ajuta să construiți un plan de migrare criptografică pregătit pentru era cuantică utilizând:
- Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului pentru implementare etapizată și pregătire pentru audit
- Zenith Controls: ghidul de conformitate transversală pentru maparea ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA și NIS2
- Politica privind criptografia și managementul cheilor pentru reguli criptografice pregătite pentru guvernanță
- Politica de securitate privind terții și furnizorii pentru cerințe privind foile de parcurs ale furnizorilor și asigurarea controalelor
- Politica de dezvoltare securizată pentru practici de inginerie cu agilitate criptografică
Cel mai bun moment pentru a începe planificarea post-cuantică este înainte ca o autoritate de reglementare, un auditor, un client sau un membru al consiliului să ceară dovezi. Începeți cu inventarul, conectați-l la risc și construiți calea de migrare prin decizii controlate, una câte una.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
