Migracija na postkvantno kriptografijo z ISO 27001
V sejni sobi je slišati le tiho brnenje projektorja. Sarah, vodja informacijske varnosti, je pravkar zaključila četrtletno poročilo o tveganjih, ko generalni direktor dvigne natisnjen članek iz finančnega medija. Naslov je neposreden: »Kvantno odštevanje: ali so vaši podatki že zastareli?«
»Sarah,« reče, ne toliko obtožujoče kot resnično zaskrbljeno, »v šifriranje smo vložili milijone. Smo skladni. Smo varni. Ta članek pravi, da bi dovolj zmogljiv kvantni računalnik lahko vse to zlomil. Smo izpostavljeni? Kaj pa podatki, ki jih šifriramo in hranimo danes? Je to tempirana bomba?«
Ta pogovor se zdaj seli z varnostnih konferenc v vodstva organizacij. Vprašanje ni več, ali je kvantno računalništvo zanimivo za raziskovalce. Vprašanje je, ali lahko današnje kriptografske odločitve zaščitijo jutrišnje poslovne obveznosti.
Za številne organizacije je iskren odgovor neprijeten. Šifriranje je povsod: prehodi TLS, VPN, portali za stranke, identitetni žetoni, varnostne kopije podatkovnih baz, mobilne aplikacije, plačilne platforme, S/MIME, SSH, integracije API, storitve SaaS, Hardware Security Modules (HSM), storitve upravljanja ključev v oblaku, podpisovanje vdelane programske opreme, podpisovanje kode in digitalne pogodbe.
To je bistvo težave. Kriptografija je povsod, lastništvo pa pogosto nikjer.
Migracija na postkvantno kriptografijo ni povezana le s prihodnjim kriptografsko relevantnim kvantnim računalnikom. Povezana je tudi z današnjim tveganjem »zajemi zdaj, dešifriraj pozneje«, pri katerem napadalci danes zajamejo šifrirane podatke in čakajo, da bodo prihodnje zmogljivosti omogočile praktično dešifriranje. Če vaša organizacija hrani osebne podatke, zdravstvene evidence, regulirane finančne podatke, poslovne skrivnosti, pravno komunikacijo, podatke nacionalne infrastrukture, vdelano programsko opremo izdelkov ali dolgoročno intelektualno lastnino, je tveganje že danes tveganje življenjskega cikla.
Načrt migracije kriptografije, odporen na kvantna tveganja, ni paničen projekt. Je strukturiran program upravljanja, popisa, dobaviteljev, arhitekture, testiranja in presoje. Praktično vprašanje za vodje informacijske varnosti je preprosto:
Kako vzpostaviti načrt postkvantne migracije, ki je prepričljiv za vodstvo, uporaben za inženirje in zagovorljiv pred presojevalci?
Odgovor je, da delo zasidramo v ISO/IEC 27001:2022, kontrole razlagamo skozi ISO/IEC 27002:2022, uporabimo standarde postkvantne kriptografije NIST kot tehnični kompas in vzpostavimo enoten model dokazil, ki podpira obveznosti ISO 27001, NIST, COBIT 2019, GDPR, DORA in NIS2.
Zakaj postkvantna kriptografija sodi v ISMS
Pogosta napaka je, da se postkvantna migracija dodeli izključno kriptografskim inženirjem. Inženirji so nujni, vendar sami ne morejo rešiti vprašanja upravljanja.
Postkvantna migracija posega na področja, kot so upravljanje sredstev, razvrščanje podatkov, upravljanje dobaviteljev, varna arhitektura, upravljanje ključev, razvoj aplikacij, varnost v oblaku, odzivanje na incidente, neprekinjeno poslovanje, pravno tveganje, regulatorna odgovornost in revizijska dokazila. To so teme ISMS.
ISO/IEC 27001:2022 zagotavlja upravljavski okvir. Od organizacije zahteva razumevanje konteksta, zainteresiranih strani, tveganj, ciljev, odgovornosti, kompetenc, dokumentiranih informacij, operativnega načrtovanja, vrednotenja uspešnosti, notranje presoje, vodstvenega pregleda in nenehnega izboljševanja. ISO/IEC 27002:2022 nato zagotovi razlago kontrol, zlasti v zvezi z 8.24 Use of cryptography, 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.21 Managing information security in the ICT supply chain, 5.23 Information security for use of cloud services, 8.25 Secure development life cycle, 8.8 Management of technical vulnerabilities, 8.16 Monitoring activities in 5.30 ICT readiness for business continuity.
Pri Clarysec zato pripravljenost na postkvantna tveganja obravnavamo kot transformacijo, vodeno prek ISMS, in ne kot izolirano zamenjavo algoritmov.
Kot je navedeno v Clarysecovem Zenith Blueprint: 30-koračni časovni načrt za presojevalce, faza 2, korak 8, »opredelitev obsega sredstev, odvisnosti in dokazil«:
»Kontroli ni mogoče zaupati, dokler organizacija ne more dokazati, kje se uporablja, kdo je njen lastnik, katera dokazila jo podpirajo in katero tveganje zmanjšuje.«
Ta stavek je posebej pomemben za postkvantno kriptografijo. Preden zamenjate algoritme, morate vedeti, kje se algoritmi uporabljajo.
Clarysecov Zenith Controls: vodnik za navzkrižno skladnost kriptografijo obravnava kot povezano dokazno verigo in ne kot eno samo tehnično nastavitev:
»Kriptografsko zagotovilo se presoja skozi življenjski cikel informacij: identifikacijo, razvrščanje, odobreno uporabo, zaščito ključev, operativno spremljanje, odvisnost od dobaviteljev, obravnavo izjem in hrambo dokazil.«
Tak pogled na življenjski cikel preprečuje najpogostejšo napako: vprašanje zgolj »Ali uporabljamo kvantno varne algoritme?« Boljša vprašanja so:
- Kateri sistemi najprej potrebujejo postkvantno migracijo?
- Kateri podatki imajo življenjsko dobo zaupnosti daljšo od horizonta kvantnega tveganja?
- Kateri dobavitelji nadzorujejo naše šifriranje, podpise, digitalna potrdila ali upravljanje ključev?
- Katere aplikacije so kriptografsko agilne in katere uporabljajo trdo kodirane mehanizme?
- Katere kompenzacijske kontrole obstajajo, dokler migracija ni zaključena?
- Katera dokazila bodo pokazala, da so bile odločitve sprejete na podlagi tveganj in pregledane?
Od kvantne grožnje do preverljivega poslovnega tveganja
Uporaben postkvantni načrt se začne s scenariji tveganj. Izogibajte se nejasnim navedbam, kot je »kvantno računalništvo lahko zlomi šifriranje«. Namesto tega pripravite preverljive zapise o tveganjih, ki povezujejo poslovni vpliv, grožnjo, ranljivost, prizadeta sredstva, obstoječe kontrole, preostalo tveganje in ukrepe obravnave.
Na primer:
»Šifrirani identitetni dokumenti strank, hranjeni sedem let, so lahko ranljivi za prihodnje dešifriranje, če so varnostne kopije danes odtujene in bo trenutna kriptografija javnega ključa v prihodnosti zlomljiva.«
Ta scenarij usmerja pozornost na hrambo podatkov, šifriranje varnostnih kopij, upravljanje ključev, nadzor dostopa, gostovanje pri dobavitelju, spremljanje in prednost migracije.
Drug primer:
»Podpisovanje vdelane programske opreme za povezane naprave temelji na podpisnih shemah, ki morda ne bodo ostale zaupanja vredne skozi pričakovani življenjski cikel naprave.«
To usmerja pozornost na varnost izdelkov, varne mehanizme posodabljanja, zmožnosti HSM, varnost strank, zagotovilo dobaviteljeve zasnove in dolgoročno operativno odpornost.
Tretji primer:
»Arhivirana pravna komunikacija, šifrirana danes, lahko zahteva zaupnost več kot petnajst let, kar ustvarja izpostavljenost »zajemi zdaj, dešifriraj pozneje«.«
To usmerja pozornost na razvrščanje, hrambo, kriptografsko zaščito, pravno zadržanje, varne komunikacije in sprejem tveganja na ravni vodstva.
Tveganje ni samo prihodnji »Q-Day«. Vključuje tri povezana vprašanja:
- Zajemi zdaj, dešifriraj pozneje, pri katerem napadalci danes zbirajo šifrirane podatke za prihodnje dešifriranje.
- Kompromitacija digitalnih podpisov, pri kateri prihodnji napadi spodkopljejo zaupanje v posodobitve programske opreme, identitetne žetone, pravne dokumente, vdelano programsko opremo in finančne transakcije.
- Odpoved zaradi kriptografske koncentracije, pri kateri širok razred izdelkov, protokolov, knjižnic ali dobaviteljev hkrati zastara.
Clarysecova Enterprise Policy, Politika kriptografije in upravljanja ključev, klavzula 5.1, zahtevo upravljanja povzema tako:
»Kriptografske kontrole se izberejo, uvedejo, pregledajo in umaknejo na podlagi razvrstitve informacij, zahtevane življenjske dobe zaščite, odobrenih kriptografskih standardov, lastništva ključev in dokumentiranih odločitev o obravnavi tveganja.«
Ta klavzula je ključna, ker življenjska doba zaščite postane dejavnik določanja prioritet. Kratkotrajni sejni podatki in dolgoročne zdravstvene evidence nimajo enakega kvantnega tveganja. Ključ za podpisovanje kode, ki podpira zaupanje v naprave petnajst let, ima drugačen profil tveganja kot kratkotrajno interno testno digitalno potrdilo.
Ista družina politik, v gradivih Clarysec navedena kot Politika kriptografskih kontrol, lahko pričakovanja glede pregledov formalizira tudi z besedilom, kot je:
Klavzula 5.4: standardi algoritmov in dolžin ključev
»Vsi kriptografski algoritmi in dolžine ključev, ki se uporabljajo v organizaciji, morajo biti izbrani s seznama odobrenih metod, ki ga vzdržuje ekipa za informacijsko varnost. Seznam se mora letno pregledati glede na dobre industrijske prakse in smernice nacionalnih organov za kibernetsko varnost (npr. NIST, ENISA), s posebno pozornostjo na razvoj postkvantnih kriptografskih standardov. Časovni načrt za migracijo sistemov z algoritmov, ranljivih za kvantne napade, je treba vzdrževati kot del kriptografskega popisa sredstev.«
To ne zahteva nevarnega prezgodnjega uvajanja. Zahteva ozaveščenost, načrtovanje, pregled in dokazila.
Uporabite standarde NIST PQC kot tehnični kompas
Delo NIST na področju postkvantne kriptografije organizacijam daje verodostojno tehnično usmeritev. NIST je standardiziral ML-KEM za vzpostavitev ključev, ML-DSA za digitalne podpise in SLH-DSA za podpise na podlagi zgoščevalnih funkcij brez stanja. Ti standardi dobaviteljem in arhitektom dajejo podlago za časovne načrte in pilotne zasnove.
Za vodje informacijske varnosti namen ni pomnjenje podrobnosti algoritmov. Namen je vzpostaviti migracijsko pot, ki lahko prevzame odobrene kriptografske izbire, ne da bi ogrozila poslovne storitve, obveznosti skladnosti ali revizijsko sledljivost.
Migracijski načrt, usklajen z NIST, mora vključevati štiri sklope:
- Odkrivanje, opredelitev, kje obstaja ranljiva kriptografija javnega ključa.
- Določanje prioritet, razvrstitev sistemov glede na občutljivost podatkov, življenjsko dobo zaščite, izpostavljenost, vpliv na celovitost in poslovno kritičnost.
- Prehodna arhitektura, opredelitev, kje se bodo testirali in uvajali hibridni, kriptografsko agilni ali postkvantni mehanizmi.
- Zagotovilo, priprava dokazil, da so odločitve, izjeme, odvisnosti od dobaviteljev, testi in preostala tveganja nadzorovani.
Kriptografska agilnost zahteva posebno pozornost. Kriptografsko agilen sistem lahko spremeni algoritme, velikosti ključev, knjižnice, digitalna potrdila in protokole brez večje prenove. V postkvantni dobi kriptografska agilnost ni razkošje. Je zahteva odpornosti.
Če ima plačilni API trdo kodirane kriptografske knjižnice in nima dokumentiranega lastnika, ni kriptografsko agilen. Če mobilna aplikacija uporablja pripenjanje digitalnih potrdil brez upravljane poti posodobitev, lahko migracija postane draga. Če ima naprava IoT petnajstletno življenjsko dobo na terenu in ne podpira večjih podpisov ali varnih posodobitev vdelane programske opreme, je tveganje strateško.
Vzpostavite kriptografski popis, preden izberete migracijsko pot
Večina organizacij nima popolnega kriptografskega popisa. Morda imajo popis digitalnih potrdil, preglednico za upravljanje ključev, zapise HSM, seznam KMS v oblaku ali zapise CMDB. Redko pa imajo enoten pregled kriptografskih odvisnosti.
Načrt migracije na postkvantno kriptografijo potrebuje kriptografsko kosovnico oziroma CBOM. Prvi dan ni treba, da je popolna. Mora pa biti strukturirana, imeti mora lastnika in se mora nenehno izboljševati.
Najmanj zajemite naslednja polja:
| Polje popisa | Zakaj je pomembno za postkvantno migracijo |
|---|---|
| Poslovna storitev | Določa prioriteto migracije glede na poslovni vpliv |
| Lastnik sredstva | Določa odgovornost in pristojnost odločanja |
| Razvrščanje podatkov | Opredeli zahteve glede zaupnosti in celovitosti |
| Življenjska doba zaščite | Izpostavi tveganje »zajemi zdaj, dešifriraj pozneje« |
| Kriptografska funkcija | Loči šifriranje, izmenjavo ključev, podpise, zgoščevanje in digitalna potrdila |
| Algoritem in protokol | Opredeli, kje se uporabljajo ranljivi mehanizmi javnega ključa |
| Knjižnica ali implementacija | Prikaže programske odvisnosti in omejitve posodobitev |
| Lokacija ključa | Pokaže, ali so ključi v HSM, KMS v oblaku, programski opremi, končni točki ali platformi dobavitelja |
| Odvisnost od dobavitelja | Razkrije, kje je migracija odvisna od tretjih oseb |
| Zahtevnost migracije | Podpira zaporedje izvedbe, testiranje in načrtovanje proračuna |
| Vir dokazil | Omogoča, da je popis pripravljen za presojo |
Začetni popis je lahko videti tako:
| ID sredstva | Ime sredstva | Lastnik | Poslovna kritičnost | Kriptografska uporaba | Lokacija | Ranljivost PQC | Prioriteta migracije |
|---|---|---|---|---|---|---|---|
| APP-042 | API za obračunavanje strankam | Finančna tehnologija | Visoka | podpisi RSA-2048, TLS, šifriranje AES-256 | AWS eu-west-1 | Visoka za zaupanje, odvisno od RSA | 1 |
| NET-007 | VPN za oddaljeni dostop | IT infrastruktura | Visoka | avtentikacija ECDSA, IKEv2 | lokalno okolje in rob v oblaku | Visoka za avtentikacijo, odvisno od ECC | 1 |
| DB-011 | Arhivirane evidence pacientov | Skladnost | Visoka s 30-letnim rokom hrambe | šifriranje podatkovne baze AES-256 | lokalna podatkovna baza | Nižja za simetrično šifriranje, visoka, če se ključi izmenjujejo ali ovijajo z ranljivimi metodami javnega ključa | 2 |
| CODE-001 | Podpisovanje kode CI/CD | DevOps | Visok vpliv na celovitost | podpisovanje kode RSA-4096 | HSM in gradbeni cevovod | Visoka za dolgoročno zaupanje v podpise | 1 |
Ta tabela takoj pokaže, zakaj je popis pomemben. AES-256 ni enaka vrsta kvantnega tveganja kot RSA ali ECC, vendar so arhivirane evidence pacientov lahko še vedno odvisne od ranljivega ovijanja ključev, digitalnih potrdil, identitetnih sistemov ali kanalov za prenos varnostnih kopij. Podpisovanje kode morda ne varuje zaupnosti, vendar varuje celovitost programske opreme in zaupanje.
V Zenith Controls je kriptografija navzkrižno povezana s podpornimi standardi, ki dodajo globino. ISO/IEC 27005 podpira obvladovanje tveganj informacijske varnosti in pomaga kvantno negotovost prevesti v strukturirane scenarije tveganj. ISO/IEC 27017 podpira varnostne kontrole, specifične za oblak, kar je nujno, kadar se kriptografske storitve izvajajo prek KMS v oblaku, upravljanega TLS, šifriranja SaaS ali digitalnih potrdil platforme. ISO/IEC 27018 je pomemben, kadar se osebni podatki obdelujejo v javnih storitvah v oblaku. ISO 22301 je pomemben, kadar bi kriptografska odpoved lahko vplivala na neprekinjenost kritičnih storitev. ISO/IEC 27036 podpira varnost odnosov z dobavitelji, kar je ključno, kadar dobavitelji v vašem imenu upravljajo šifriranje, podpise, digitalna potrdila ali varne komunikacije.
Lekcija je preprosta: ne morete migrirati tistega, česar ne najdete.
Določajte prioritete glede na občutljivost, življenjsko dobo, izpostavljenost in zahtevnost migracije
Ko CBOM obstaja, postane določanje prioritet utemeljeno na dokazilih. Najboljše izhodišče je majhno število kritičnih sistemov, ne pa popolnost na ravni celotne organizacije.
Predstavljajte si podjetje za finančne storitve s tremi sistemi visoke vrednosti:
- trezor dokumentov strank, ki identitetna dokazila hrani deset let,
- prehod B2B API, ki podpira partnerske transakcije,
- platforma za podpisovanje kode za posodobitve namizne programske opreme.
Z uporabo Zenith Blueprint, faza 2, korak 8, ekipa iz CMDB pridobi sredstva, iz platforme za upravljanje digitalnih potrdil digitalna potrdila, iz HSM in KMS v oblaku ključe, iz registra zasebnosti razrede podatkov ter iz evidenc nabave odvisnosti od dobaviteljev.
Nato sisteme oceni:
| Sistem | Občutljivost podatkov | Življenjska doba zaščite | Zunanja izpostavljenost | Odvisnost od dobavitelja | Prioriteta migracije |
|---|---|---|---|---|---|
| Trezor dokumentov strank | Zelo visoka | Dolga | Srednja | KMS v oblaku in ponudnik shrambe | Kritična |
| Prehod B2B API | Visoka | Kratka do srednja | Zelo visoka | Dobavitelj za upravljanje API | Visoka |
| Platforma za podpisovanje kode | Zelo visok vpliv na celovitost | Dolgotrajno zaupanje v naprave | Srednja | HSM in orodja gradbenega cevovoda | Kritična |
Trezor dokumentov strank postane prioriteta zaradi življenjske dobe zaupnosti. Platforma za podpisovanje kode postane prioriteta, ker zaupanje v podpise vpliva na celovitost programske opreme in varnost strank. Prehod API ima visoko prioriteto zaradi zunanje izpostavljenosti, vendar imajo njegovi hranjeni podatki lahko krajšo življenjsko dobo zaupnosti.
Register tveganj mora nato vsak scenarij povezati z obravnavo in dokazili:
| Scenarij tveganja | Trenutna kontrola | Odločitev o obravnavi | Zahtevana dokazila |
|---|---|---|---|
| Dolgoročne evidence strank so lahko izpostavljene prihodnjemu dešifriranju | šifriranje podatkov v mirovanju, nadzor dostopa, KMS v oblaku | oceniti časovni načrt šifriranja shrambe, okrepiti ločevanje ključev, pregledati kriptografijo prenosa varnostnih kopij | CBOM, časovni načrt dobavitelja, arhitekturna odločitev, zapis o obravnavi tveganja |
| Zaupanje v posodobitve programske opreme je lahko oslabljeno zaradi prihodnje kompromitacije podpisov | HSM za podpisovanje kode, odobritev izdaje | oceniti pripravljenost na postkvantne podpise, strategijo časovnega žigosanja in življenjski cikel podpisovanja | popis podpisovanja, poročilo o zmožnostih HSM, postopek varnega razvoja |
| Kriptografijo partnerskega API je lahko težko hitro spremeniti | digitalna potrdila TLS, konfiguracija prehoda API | uvesti testiranje kriptografske agilnosti in pregled časovnega načrta dobavitelja | skeniranje TLS, izhodiščna konfiguracija, potrdilo dobavitelja |
Clarysecova Enterprise Policy, Politika varnega razvoja, klavzula 6.4, podaja vidik dobave programske opreme:
»Pregledi varnostne zasnove morajo pred odobritvijo za produkcijo oceniti kriptografske odvisnosti, življenjski cikel knjižnic, agilnost algoritmov, ravnanje s skrivnostmi, mehanizme posodabljanja in komponente pod nadzorom dobaviteljev.«
Ta klavzula spremeni postkvantno pripravljenost v inženirsko zahtevo. Preprečuje, da bi ekipe uvajale nove sisteme, ki jih pozneje ni mogoče migrirati.
Sledite 12-mesečnemu načrtu, ki ga presojevalci razumejo
Postkvantna migracija bo v številnih organizacijah trajala več let. Prvo leto mora organizacijo premakniti iz negotovosti v upravljano migracijo.
| Mesec | Delovni sklop | Rezultat | Dokazila |
|---|---|---|---|
| 1 | Mandat vodstva | Obseg na ravni upravnega odbora, apetit po tveganju in pot financiranja | zapisniki usmerjevalnega odbora, odobrena listina |
| 1 do 2 | Kriptografsko odkrivanje | Začetni CBOM, ki pokriva kritične storitve | izvoz popisa, povezave CMDB, potrditve lastnikov sistemov |
| 2 do 3 | Pregled podatkov in življenjske dobe zaščite | Prednostni seznam dolgoročno občutljivih podatkov in sredstev z visokim vplivom na celovitost | register razvrstitev, roki hrambe, zapisi o tveganjih |
| 3 do 4 | Pregled odvisnosti od dobaviteljev | Časovni načrt dobaviteljev in analiza pogodbenih vrzeli | vprašalniki za dobavitelje, pogodbene klavzule, izjeme pri tveganjih |
| 4 do 6 | Presoja arhitekture in kriptografske agilnosti | Ciljni arhitekturni vzorci in migracijske omejitve | zapisi pregledov arhitekture, odločitve o zasnovi |
| 6 do 8 | Pilotna implementacija | Hibridni ali postkvantni test v izbranem okolju z nizkim tveganjem | rezultati testiranja, načrt povrnitve, ugotovitve o zmogljivosti |
| 8 do 10 | Posodobitev politik in postopkov | Posodobljena pravila za kriptografijo, upravljanje ključev, dobavitelje, varen razvoj in sredstva | odobrene politike, zapisi o opravljenih usposabljanjih |
| 10 do 12 | Pripravljenost za presojo | Notranja presoja, vodstveni pregled in osvežitev načrta obravnave | poročilo o presoji, korektivni ukrepi, posodobljen načrt obravnave tveganja |
V Zenith Blueprint, faza 3, korak 14, »zasnova obravnave tveganj in lastništvo«, časovni načrt opozarja pred varnostnimi namerami brez financiranja:
»Načrt obravnave brez lastnika, pričakovanih dokazil, poti financiranja in datuma pregleda ni načrt. Je nerešeno tveganje z boljšim oblikovanjem.«
Tako propadejo tudi postkvantni programi. Pripravijo predstavitve za ozaveščanje, nimajo pa lastniško določenega zaostanka sanacijskih nalog. Razpravljajo o algoritmih, ne posodobijo pa pogodb z dobavitelji. Tveganje dokumentirajo, vendar ne testirajo migracijskih vzorcev.
Verodostojen časovni načrt ustvari zapise odločitev, lastnike, odvisnosti, pričakovana dokazila, proračune in datume pregledov.
Dobavitelje vključite v program zgodaj
Številne kriptografske odvisnosti so zunanje izvajane. Ponudniki storitev v oblaku zaključujejo TLS. Platforme SaaS šifrirajo evidence. Ponudniki identitet podpisujejo žetone. Procesorji plačil upravljajo digitalna potrdila. Dobavitelji strojne opreme nadzorujejo podpisovanje vdelane programske opreme. Ponudniki upravljanih storitev upravljajo VPN-je in varnostne prehode.
Tudi če je vaša interna ekipa pripravljena, lahko migracijo blokirajo zmožnosti dobaviteljev.
Clarysecova Enterprise Policy, Politika varnosti tretjih oseb in dobaviteljev, klavzula 5.6, določa:
»Dobavitelji, ki zagotavljajo varnostno pomembne storitve, morajo razkriti bistvene odvisnosti, kriptografske odgovornosti, dokazila o zagotovilu, procese obravnave ranljivosti in spremembe časovnega načrta, ki lahko vplivajo na profil tveganja organizacije.«
Za postkvantno pripravljenost ključne dobavitelje vprašajte:
- Kateri algoritmi, protokoli, digitalna potrdila in storitve upravljanja ključev varujejo naše podatke ali transakcije?
- Ali vzdržujete kriptografski popis ali CBOM?
- Kakšen je vaš postkvantni časovni načrt NIST?
- Ali boste podpirali hibridno izmenjavo ključev, postkvantne podpise ali kvantno odporno vzpostavitev ključev?
- Kako bodo sporočene spremembe digitalnih potrdil, žetonov, podpisovanja in šifriranja?
- Katera dejanja bodo zahtevana od stranke?
- Katera testna okolja bodo na voljo?
- Kako bodo obravnavani zmogljivost, interoperabilnost in povrnitev?
- Ali so kriptografske odgovornosti opredeljene v pogodbi ali modelu deljene odgovornosti?
- Katere možnosti izstopa ali prenosljivosti obstajajo, če vaš časovni načrt ne izpolnjuje naših zahtev glede tveganj?
Odgovori dobaviteljev se morajo vključiti v register tveganj. Šibki odgovori ne pomenijo vedno takojšnje zamenjave, zahtevajo pa obravnavo. Morda boste potrebovali kompenzacijske kontrole, spremembe pogodb, klavzule o obveščanju, načrtovanje izstopa, okrepljeno spremljanje ali revidirano strategijo nabave.
To je posebej pomembno glede na pričakovanja operativne odpornosti v DORA in NIS2. DORA poudarja obvladovanje tveganj IKT in obvladovanje tveganj tretjih oseb na področju IKT, vključno z nadzorom kritičnih odvisnosti. NIS2 Article 21 zahteva ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje varnostnih tveganj, vključno z varnostjo dobavne verige, obravnavo incidentov, neprekinjenim poslovanjem in kriptografijo, kadar je ustrezno. GDPR Article 32 zahteva varnost, ustrezno tveganju, vključno z zaupnostjo, celovitostjo, razpoložljivostjo, odpornostjo in zmožnostjo zagotavljanja stalne zaščite osebnih podatkov.
Regulativni jezik se razlikuje, kontrolna logika pa je dosledna: poznajte svoje odvisnosti, obvladujte tveganje, ohranite dokazila in ukrepajte, preden je odpornost ogrožena.
Preslikava navzkrižne skladnosti: en migracijski načrt, več obveznosti
Dober načrt migracije na postkvantno kriptografijo se mora izogniti ustvarjanju ločenih paketov dokazil za vsak okvir. Ista jedrna dokazila lahko podpirajo več obveznosti, če so pravilno strukturirana.
Zenith Controls kriptografijo preslika čez ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA in NIS2 tako, da se osredotoči na namen kontrole in ne na oznako, ki jo uporablja posamezni okvir.
| Okvir | Kako postkvantni načrt podpira skladnost |
|---|---|
| ISO/IEC 27001:2022 | Prikazuje izbiro kontrol na podlagi tveganj, dokumentirane informacije, notranjo presojo, vodstveni pregled in nenehno izboljševanje |
| ISO/IEC 27002:2022 | Podpira razlago kontrol za 8.24 Use of cryptography, popis sredstev, razvrščanje, varnost dobaviteljev, storitve v oblaku, varen razvoj, spremljanje in neprekinjenost |
| Standardi NIST PQC | Zagotavljajo tehnično usmeritev za prehod na odobrene postkvantne algoritme in kriptografsko načrtovanje |
| NIST Cybersecurity Framework 2.0 | Povezuje migracijske dejavnosti z izidi Govern, Identify, Protect, Detect, Respond in Recover |
| COBIT 2019 | Usklajuje kriptografsko tveganje s cilji upravljanja in vodenja, kot so APO12 Managed Risk, APO13 Managed Security, APO10 Managed Vendors, DSS05 Managed Security Services in MEA03 Managed Compliance |
| GDPR | Podpira pričakovanja Article 32 glede ustrezne varnosti, zaupnosti, celovitosti, odpornosti in odgovornosti pri obdelavi osebnih podatkov |
| DORA | Podpira obvladovanje tveganj IKT, obvladovanje tveganj tretjih oseb IKT, testiranje odpornosti, pripravljenost na incidente in nadzor upravljalnega organa |
| NIS2 | Podpira ukrepe za obvladovanje varnostnih tveganj iz Article 21, varnost dobavne verige, obravnavo incidentov, neprekinjeno poslovanje in odgovornost upravljanja |
Ključ je ponovna uporaba dokazil. Kriptografski popis podpira upravljanje sredstev po ISO, izide Identify po NIST, vidnost sredstev IKT po DORA, obvladovanje tveganj po NIS2 in odgovornost po GDPR. Vprašalniki za dobavitelje podpirajo kontrole dobaviteljev po ISO, tveganje tretjih oseb IKT po DORA, varnost dobavne verige po NIS2 in upravljanje dobaviteljev po COBIT. Rezultati migracijskih testov podpirajo varne spremembe, testiranje odpornosti, pripravljenost za presojo in vodstveni pregled.
Kaj bodo vprašali presojevalci
Postkvantna kriptografija je še vedno nastajajoča tema presoje, vendar imajo presojevalci že dovolj kontrolnih pričakovanj, da zastavijo zahtevna vprašanja.
Presojevalec ISO/IEC 27001:2022 bo običajno začel s tveganjem. Vprašal bo, ali je kriptografsko tveganje, povezano s kvantnimi tehnologijami, v ISMS identificirano, ocenjeno, obravnavano, spremljano in pregledano. Pričakoval bo dokazila, da so kriptografske kontrole izbrane na podlagi poslovnega tveganja in da so odgovornosti opredeljene.
Ocenjevalec, usmerjen v NIST, se lahko osredotoči na vidnost sredstev, zaščitne mehanizme, tveganje dobavne verige, upravljanje ranljivosti in izide upravljanja. Vpraša lahko, ali je organizacija identificirala sisteme, ki uporabljajo ranljivo kriptografijo javnega ključa, in ali je migracijsko načrtovanje usklajeno z usmeritvami NIST.
Presojevalec COBIT ali ISACA bo pogosto spraševal o upravljanju. Kdo je odgovoren? Kako upravni odbor prejema poročila? Ali so naložbe prednostno razvrščene? Ali se upravljajo odvisnosti od dobaviteljev? Ali so koristi, tveganja in viri uravnoteženi?
Presojevalec za zasebnost se lahko osredotoči na to, ali sta šifriranje in upravljanje ključev še vedno ustrezna glede na občutljivost in rok hrambe osebnih podatkov.
Pregledovalec, osredotočen na DORA ali NIS2, bo obravnaval odpornost, koncentracijo tretjih oseb IKT, operativno neprekinjenost in pripravljenost na incidente.
| Revizijski vidik | Verjetna vprašanja | Dokazila za pripravo |
|---|---|---|
| ISO/IEC 27001:2022 | Ali je postkvantno tveganje vključeno v proces obvladovanja tveganj ISMS? Ali so kriptografske kontrole izbrane in pregledane? | register tveganj, načrt obravnave tveganja, Izjava o uporabnosti, odobritve politik, rezultati notranje presoje |
| NIST | Ali je organizacija popisala uporabo kriptografije in načrtovala migracijo k odobrenim pristopom? | CBOM, arhitekturne odločitve, rezultati pilotov, migracijski zaostanek nalog |
| COBIT 2019 | Ali je kriptografski prehod upravljan, financiran in spremljan? | poročila upravnemu odboru, zapisniki upravljanja, KPI, nadzorne plošče tveganj dobaviteljev |
| GDPR | Ali kriptografska zaščita ostaja ustrezna glede na občutljivost in hrambo osebnih podatkov? | razvrščanje podatkov, sklici na DPIA, roki hrambe, zasnova šifriranja |
| DORA | Ali so odvisnosti IKT in dobaviteljev razumljene in odporne? | register sredstev IKT, potrdila dobaviteljev, dokazila testiranja, načrti izstopa |
| NIS2 | Ali so ukrepi za obvladovanje tveganj dobavne verige in varnostnih tveganj učinkoviti? | pregledi dobaviteljev, postopki obravnave incidentov, načrti neprekinjenega poslovanja, zapisi obravnave tveganj |
Zenith Controls priporoča, da se priprava na presojo obravnava kot dokazna pot. Ne čakajte, da presojevalci zahtevajo posnetke zaslona in preglednice. Zgradite delovni prostor GRC, ki vsako kriptografsko tveganje poveže z njegovim lastnikom, prizadetimi sredstvi, dobavitelji, odločitvami, testi, izjemami in datumi pregledov.
Posodobite politike, da program postane operativen
Večina kriptografskih politik je bila napisana za tradicionalne zahteve glede zaupnosti in celovitosti. Postkvantna migracija zahteva ciljno usmerjene dodatke.
Vaša politika kriptografije in upravljanja ključev mora obravnavati odobrene standarde, pogostost pregledov, razvrščanje podatkov, življenjsko dobo zaščite, agilnost algoritmov, generiranje ključev, hrambo ključev, menjavo, uničenje, lastništvo, življenjski cikel digitalnih potrdil, odgovornost za HSM, odgovornost za KMS v oblaku, odobritev izjem, kriptografijo pod nadzorom dobaviteljev in spremljanje postkvantnega prehoda.
Vaša politika varnega razvoja mora obravnavati odobritev kriptografskih knjižnic, prepoved trdo kodiranih algoritmov brez pregleda, sledenje odvisnostim, varne mehanizme posodabljanja, testiranje zmogljivosti za večje ključe ali podpise, združljivost za nazaj, povrnitev in modeliranje groženj za dolgoročne izdelke.
Vaša politika varnosti dobaviteljev mora obravnavati kriptografsko preglednost, zahteve za postkvantne časovne načrte, pogodbene obveznosti obveščanja, deljeno odgovornost za šifriranje in upravljanje ključev, načrtovanje izstopa in prenosljivost.
Vaš postopek upravljanja sredstev mora obravnavati polja kriptografskega popisa, lastništvo, vire dokazil, pogostost pregledov in integracijo s CMDB, popisom v oblaku, upravljanjem digitalnih potrdil, zapisi HSM in repozitoriji kode.
Tu knjižnica politik Clarysec pomaga organizacijam napredovati hitreje. Namesto priprave iz nič lahko ekipe klavzule politik prilagodijo v postopke, registre, vprašalnike in revizijska dokazila.
Izognite se najpogostejšim napakam pri postkvantni migraciji
Najnevarnejše napake so običajno napake upravljanja, ne tehnične napake.
Začeti z algoritmi namesto s sredstvi. Če ne veste, kje se kriptografija uporablja, izbor algoritmov ne bo pomagal.
Spregledati življenjsko dobo podatkov. Kratkotrajni transakcijski podatki in dolgoročni občutljivi arhivi nimajo enakega tveganja.
Dobavitelje obravnavati kot poznejšo fazo. Številne kriptografske kontrole upravljajo dobavitelji. Če dobavitelji niso vključeni zgodaj, je lahko vaš načrt nerealističen.
Pozabiti na podpise. Postkvantno načrtovanje ni samo vprašanje šifriranja. Pozornost zahtevajo digitalni podpisi, podpisovanje kode, digitalna potrdila, identitetni žetoni, posodobitve vdelane programske opreme in podpisovanje dokumentov.
Predpostavljati, da ponudniki storitev v oblaku rešijo vse. Oblačne platforme bodo imele pomembno vlogo, vendar odgovornost ostaja deljena. Še vedno morate vedeti, katere storitve, konfiguracije, ključi, regije in integracije so prizadeti.
Ne ustvariti revizijskih dokazil. Migracijski načrt, ki ga ni mogoče dokazati, ne bo zadovoljil vodstva, regulatorjev, strank ali presojevalcev.
Preskočiti testiranje zmogljivosti in interoperabilnosti. Postkvantni algoritmi lahko vplivajo na velikost koristnih obremenitev, vedenje rokovanja, zakasnitev, hrambo, omejitve vgrajenih sistemov in združljivost.
Kazalniki, o katerih mora vodja informacijske varnosti poročati upravnemu odboru
Poročanje upravnemu odboru mora biti dovolj preprosto za razumevanje in dovolj konkretno za ukrepanje. Izogibajte se podrobnim razpravam o algoritmih. Osredotočite se na izpostavljenost, napredek, odločitve in preostalo tveganje.
| Kazalnik | Pomen na ravni upravnega odbora |
|---|---|
| Delež kritičnih storitev z zaključenim kriptografskim popisom | Prikazuje vidnost |
| Delež dolgoročno občutljivih podatkov, preslikanih na kriptografske kontrole | Prikazuje pripravljenost na tveganje »zajemi zdaj, dešifriraj pozneje« |
| Število kritičnih dobaviteljev s prejetim postkvantnim časovnim načrtom | Prikazuje pripravljenost tretjih oseb |
| Število visoko tveganih kriptografskih izjem | Prikazuje neupravljano izpostavljenost |
| Delež kritičnih aplikacij, ocenjenih glede kriptografske agilnosti | Prikazuje izvedljivost migracije |
| Status zaključka pilota | Prikazuje praktični napredek |
| Odprti ukrepi obravnave po roku | Prikazuje tveganje izvedbe |
| Trend preostalega tveganja | Prikazuje, ali program zmanjšuje izpostavljenost |
Uporabno sporočilo upravnemu odboru bi lahko zvenelo takole:
»Kriptografsko odkrivanje smo zaključili za 72 odstotkov kritičnih storitev. Dva sistema imata kritično dolgoročno izpostavljenost zaupnosti, trije dobavitelji pa še niso predložili postkvantnih časovnih načrtov. Začeli smo projekt pripravljenosti podpisovanja kode in pregled odvisnosti od KMS v oblaku. Danes nujna zamenjava ni priporočena, vendar negotovost dobaviteljev ostaja največje preostalo tveganje.«
To je jezik upravljanega kibernetskega tveganja.
Praktični kontrolni seznam za začetek ta teden
Ni vam treba čakati na popolno gotovost. Začnite s koraki, ki takoj izboljšajo vidnost in upravljanje.
- Imenujte lastnika postkvantne kriptografije.
- Dodajte kriptografsko tveganje, povezano s kvantnimi tehnologijami, v register tveganj ISMS.
- Identificirajte deset najpomembnejših storitev z dolgoročno občutljivimi podatki ali visokim vplivom na celovitost.
- Za te storitve vzpostavite minimalno izvedljiv CBOM.
- Od kritičnih dobaviteljev zahtevajte njihov postkvantni časovni načrt.
- Preglejte politike kriptografije, varnega razvoja, dobaviteljev in sredstev.
- Identificirajte sisteme s trdo kodiranimi algoritmi, zastarelimi knjižnicami, ročno menjavo digitalnih potrdil ali šibkim lastništvom.
- Izberite en pilot z nizkim tveganjem za testiranje kriptografske agilnosti.
- Določite kazalnike za upravni odbor in pogostost poročanja.
- Načrtujte notranjo presojo, osredotočeno na kriptografsko upravljanje in dokazila.
Najpomembnejši korak je pretvoriti negotovost v upravljano delo. Kvantno tveganje je morda usmerjeno v prihodnost, vendar kriptografski dolg obstaja že danes.
Naslednji koraki s Clarysec
Postkvantna migracija bo ena najzahtevnejših varnostnih tranzicij naslednjega desetletja, ker posega v identitete, šifriranje, podpise, dobavitelje, oblak, programsko opremo, naprave, arhive in revizijska dokazila. Organizacije, ki začnejo z upravljanjem in popisom, bodo napredovale hitreje kot tiste, ki čakajo na zadnji trenutek za zamenjavo.
Clarysec vam lahko pomaga vzpostaviti načrt migracije kriptografije, odporen na kvantna tveganja, z uporabo:
- Zenith Blueprint: 30-koračni časovni načrt za presojevalce za fazno implementacijo in pripravljenost za presojo
- Zenith Controls: vodnik za navzkrižno skladnost za preslikavo ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA in NIS2
- Politika kriptografije in upravljanja ključev za kriptografska pravila, pripravljena za upravljanje
- Politika varnosti tretjih oseb in dobaviteljev za zahteve glede časovnih načrtov dobaviteljev in zagotovil
- Politika varnega razvoja za kriptografsko agilne inženirske prakse
Najboljši čas za začetek postkvantnega načrtovanja je preden regulator, presojevalec, stranka ali član upravnega odbora zahteva dokazila. Začnite s popisom, povežite ga s tveganji in gradite migracijsko pot z eno nadzorovano odločitvijo naenkrat.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
