Migrering till postkvantkryptografi med ISO 27001

Projektorns surr är det enda ljudet i styrelserummet. Sarah, informationssäkerhetschefen, har just avslutat sin kvartalsvisa riskuppdatering när vd:n lyfter ett utskrivet klipp från finansnyheterna. Rubriken är tydlig: ”Kvantnedräkningen: Är era data redan föråldrade?”

”Sarah”, säger han, mer uppriktigt bekymrad än anklagande, ”vi har lagt miljoner på kryptering. Vi uppfyller kraven. Vi är säkra. Artikeln säger att en tillräckligt kraftfull kvantdator kan knäcka allt. Är vi exponerade? Och hur är det med de data vi krypterar och lagrar just nu? Är det en tickande bomb?”

Det här samtalet flyttar nu från säkerhetskonferenser till ledningsgrupper. Frågan är inte längre om kvantdatorer är intressanta för forskare. Frågan är om dagens kryptografiska val kan skydda morgondagens verksamhetsåtaganden.

För många organisationer är det ärliga svaret obekvämt. Kryptering finns överallt: TLS-gateways, VPN:er, kundportaler, identitetstoken, säkerhetskopior av databaser, mobilappar, betalningsplattformar, S/MIME, SSH, API-integrationer, SaaS-tjänster, hårdvarubaserade säkerhetsmoduler (HSM), molnbaserade nyckelhanteringstjänster, signering av firmware, kodsignering och digitala avtal.

Det är problemet. Kryptografi finns överallt, men ägarskapet saknas ofta.

Migrering till postkvantkryptografi handlar inte bara om en framtida kryptografiskt relevant kvantdator. Det handlar också om dagens risk för ”harvest now, decrypt later”, där angripare samlar in krypterade data i dag och väntar tills framtida förmågor gör dekryptering praktiskt möjlig. Om organisationen lagrar personuppgifter, patientjournaler, reglerade finansiella data, företagshemligheter, juridisk kommunikation, data om nationell infrastruktur, produktfirmware eller långlivade immateriella rättigheter är risken redan en livscykelrisk.

En kvantförberedd migrationsplan för kryptografi är inte ett panikprojekt. Det är ett strukturerat program för styrning, inventering, leverantörer, arkitektur, testning och revision. Den praktiska frågan för informationssäkerhetschefer är enkel:

Hur bygger vi en postkvantmigrationsplan som är trovärdig för ledningen, användbar för tekniker och försvarbar inför revisorer?

Svaret är att förankra arbetet i ISO/IEC 27001:2022, tolka kontroller genom ISO/IEC 27002:2022, använda NIST:s standarder för postkvantkryptografi som teknisk kompass och skapa en sammanhållen evidensmodell som stödjer krav enligt ISO 27001, NIST, COBIT 2019, GDPR, DORA och NIS2.

Varför postkvantkryptografi hör hemma i ISMS

Ett vanligt misstag är att lägga postkvantmigreringen enbart på kryptografiingenjörer. Ingenjörerna är avgörande, men de kan inte lösa styrningsproblemet på egen hand.

Postkvantmigrering berör tillgångshantering, dataklassificering, leverantörshantering, säker arkitektur, nyckelhantering, applikationsutveckling, molnsäkerhet, incidenthantering, verksamhetskontinuitet, rättslig risk, regulatorisk ansvarsskyldighet och revisionsbevis. Detta är ISMS-frågor.

ISO/IEC 27001:2022 ger styrningsramen. Den kräver att organisationen förstår kontext, intressenter, risk, mål, ansvar, kompetens, dokumenterad information, operativ planering, utvärdering av prestanda, internrevision, ledningens genomgång och ständig förbättring. ISO/IEC 27002:2022 ger därefter kontrolltolkningen, särskilt avseende 8.24 Use of cryptography, 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.21 Managing information security in the ICT supply chain, 5.23 Information security for use of cloud services, 8.25 Secure development life cycle, 8.8 Management of technical vulnerabilities, 8.16 Monitoring activities och 5.30 ICT readiness for business continuity.

På Clarysec är detta skälet till att postkvantberedskap behandlas som en ISMS-driven transformation, inte som ett isolerat algoritmbyte.

Som anges i Clarysecs Zenith Blueprint: en revisors 30-stegs färdplan, fas 2, steg 8, ”Omfattning av tillgångar, beroenden och bevismaterial”:

”En kontroll kan inte betraktas som tillförlitlig förrän organisationen kan visa var den gäller, vem som äger den, vilket bevismaterial som stödjer den och vilken risk den reducerar.”

Den meningen är särskilt viktig för postkvantkryptografi. Innan algoritmer ersätts måste organisationen veta var algoritmerna används.

Clarysecs Zenith Controls: vägledningen för korsvis regelefterlevnad beskriver kryptografi som en sammanhängande beviskedja snarare än en enskild teknisk inställning:

”Kryptografisk säkerhet granskas genom informationens livscykel: identifiering, klassificering, godkänd användning, nyckelskydd, operativ övervakning, leverantörsberoende, undantagshantering och bevarande av underlag.”

Det livscykelperspektivet förhindrar det vanligaste felet: att bara fråga ”Använder vi kvantsäkra algoritmer?” Bättre frågor är:

• Vilka system behöver postkvantmigreras först?
• Vilka data har en konfidentialitetslivslängd som är längre än kvantriskhorisonten?
• Vilka leverantörer kontrollerar vår kryptering, våra signaturer, certifikat eller vår nyckelhantering?
• Vilka applikationer är kryptoagila och vilka har hårdkodade lösningar?
• Vilka kompenserande kontroller finns medan migreringen är ofullständig?
• Vilket underlag visar att besluten var riskbaserade och granskade?

Från kvanthot till granskningsbar verksamhetsrisk

En användbar postkvantplan börjar med riskscenarier. Undvik vaga påståenden som ”kvantdatorer kan knäcka kryptering”. Skapa i stället granskningsbara riskposter som kopplar verksamhetspåverkan, hot, sårbarhet, berörda tillgångar, nuvarande kontroller, kvarstående risk och riskbehandlingsåtgärder.

Till exempel:

”Krypterade kundidentitetshandlingar som lagras i sju år kan vara sårbara för framtida dekryptering om säkerhetskopior exfiltreras i dag och dagens kryptografi med publik nyckel blir möjlig att knäcka i framtiden.”

Scenariot pekar på databevarande, kryptering av säkerhetskopior, nyckelhantering, åtkomstkontroll, leverantörsdrift, övervakning och migrationsprioritet.

Ett annat exempel:

”Firmware-signering för uppkopplade enheter bygger på signaturscheman som kanske inte förblir betrodda under enhetens förväntade livscykel.”

Det pekar på produktsäkerhet, säkra uppdateringsmekanismer, HSM-förmåga, kundsäkerhet, leverantörens designsäkring och långsiktig operativ resiliens.

Ett tredje exempel:

”Arkiverad juridisk kommunikation som krypteras i dag kan kräva konfidentialitet i mer än femton år, vilket skapar exponering för ”harvest now, decrypt later”.”

Det pekar på klassificering, bevarande, kryptografiskt skydd, juridiskt bevarande, säker kommunikation och riskacceptans på ledningsnivå.

Risken är inte bara en framtida ”Q-Day”. Den omfattar tre närliggande områden:

1. Harvest now, decrypt later, angripare samlar in krypterade data i dag för framtida dekryptering.
2. Kompromettering av digitala signaturer, framtida angrepp undergräver förtroendet för programvaruuppdateringar, identitetstoken, juridiska dokument, firmware och finansiella transaktioner.
3. Kryptografiskt koncentrationsfel, en bred klass av produkter, protokoll, bibliotek eller leverantörer blir föråldrad samtidigt.

Clarysecs företagspolicy, Policy för kryptografi och nyckelhantering, klausul 5.1, fångar styrningskravet på följande sätt:

”Kryptografiska kontroller ska väljas, införas, granskas och avvecklas utifrån informationsklassificering, den skyddslivslängd som krävs, godkända kryptografiska standarder, nyckelägarskap och dokumenterade riskbehandlingsbeslut.”

Den klausulen är central eftersom skyddslivslängd blir en prioriteringsfaktor. Kortlivade sessionsdata och långsiktiga medicinska journaler har inte samma kvantrisk. En kodsigneringsnyckel som ligger till grund för enhetsförtroende i femton år har en annan riskprofil än ett kortlivat internt testcertifikat.

Samma policyfamilj, som i Clarysecs material benämns Policy för kryptografiska kontroller, kan också formalisera granskningsförväntningar genom formuleringar som:

Klausul 5.4: Standarder för algoritmer och nyckellängder
”Alla kryptografiska algoritmer och nyckellängder som används inom organisationen ska väljas från en godkänd lista som underhålls av informationssäkerhetsteamet. Listan ska granskas årligen mot bästa branschpraxis och vägledning från nationella cybersäkerhetsorgan (t.ex. NIST, ENISA), med särskilt fokus på utvecklingen av kryptografiska postkvantstandarder. En färdplan för att migrera system bort från algoritmer som är sårbara för kvantbaserade angrepp ska underhållas som en del av det kryptografiska tillgångsregistret.”

Detta kräver inte osäker tidig användning. Det kräver medvetenhet, planering, granskning och underlag.

Använd NIST:s PQC-standarder som teknisk kompass

NIST:s arbete med postkvantkryptografi ger organisationer en trovärdig teknisk riktning. NIST har standardiserat ML-KEM för nyckeletablering, ML-DSA för digitala signaturer och SLH-DSA för tillståndslösa hashbaserade signaturer. Dessa standarder ger leverantörer och arkitekter en grund för färdplaner och pilotlösningar.

För informationssäkerhetschefer är poängen inte att memorera algoritmdetaljer. Poängen är att skapa en migrationsväg som kan ta upp godkända kryptografiska val utan att störa verksamhetstjänster, efterlevnadsåtaganden eller revisionsspårbarhet.

En NIST-anpassad migrationsplan bör omfatta fyra spår:

1. Identifiering, fastställ var sårbar kryptografi med publik nyckel finns.
2. Prioritering, rangordna system efter datakänslighet, skyddslivslängd, exponering, riktighetspåverkan och verksamhetskritikalitet.
3. Övergångsarkitektur, definiera var hybrida, kryptoagila eller postkvantmekanismer ska testas och införas.
4. Säkring, ta fram underlag som visar att beslut, undantag, leverantörsberoenden, tester och kvarstående risker är kontrollerade.

Kryptoagilitet förtjänar särskild uppmärksamhet. Ett kryptoagilt system kan ändra algoritmer, nyckelstorlekar, bibliotek, certifikat och protokoll utan större omdesign. I postkvanttiden är kryptoagilitet inte en lyx. Det är ett resilienskrav.

Om ett betalnings-API har hårdkodade kryptografiska bibliotek och saknar dokumenterad ägare är det inte kryptoagilt. Om en mobilapp använder certifikatspinning utan en hanterad uppdateringsväg kan migreringen bli kostsam. Om en IoT-enhet har femton års livslängd i fält och inte kan stödja större signaturer eller säkra firmwareuppdateringar är risken strategisk.

Bygg den kryptografiska inventeringen innan migrationsvägen väljs

De flesta organisationer saknar en komplett kryptografisk inventering. De kan ha ett certifikatregister, ett kalkylblad för nyckelhantering, HSM-poster, en lista över molnbaserade KMS-tjänster eller CMDB-poster. Det är ovanligt att de har en samlad bild av kryptografiska beroenden.

En migrationsplan för postkvantkryptografi behöver en kryptografisk materialförteckning, eller CBOM. Den behöver inte vara perfekt första dagen. Den ska däremot vara strukturerad, ägd och föremål för löpande förbättring.

Fånga minst följande fält:

En inledande inventering kan se ut så här:

Tabellen visar direkt varför inventering är viktig. AES-256 innebär inte samma typ av kvantrisk som RSA eller ECC, men arkiverade patientjournaler kan fortfarande bero på sårbar nyckelkapsling, certifikat, identitetssystem eller överföringskanaler för säkerhetskopior. Kodsignering skyddar kanske inte konfidentialitet, men den skyddar programvarans riktighet och förtroende.

I Zenith Controls korsrefereras kryptografi med stödjande standarder som ger större djup. ISO/IEC 27005 stödjer informationssäkerhetsriskhantering och hjälper till att omvandla kvantosäkerhet till strukturerade riskscenarier. ISO/IEC 27017 stödjer molnspecifika säkerhetskontroller, vilket är avgörande när kryptografiska tjänster levereras genom moln-KMS, hanterad TLS, SaaS-kryptering eller plattformscertifikat. ISO/IEC 27018 är relevant när personuppgifter behandlas i publika molntjänster. ISO 22301 är relevant där kryptografiska fel kan påverka kontinuiteten i kritiska tjänster. ISO/IEC 27036 stödjer säkerhet i leverantörsrelationer, vilket är avgörande när leverantörer hanterar kryptering, signaturer, certifikat eller säker kommunikation för organisationens räkning.

Lärdomen är enkel: det går inte att migrera det som inte går att hitta.

Prioritera efter känslighet, livslängd, exponering och migrationssvårighet

När CBOM finns blir prioriteringen evidensbaserad. Den bästa startpunkten är ett mindre antal kritiska system, inte en övning i organisationsövergripande perfektion.

Föreställ dig ett finansiellt företag med tre högt värderade system:

• Ett kunddokumentvalv som lagrar identitetsunderlag i tio år
• En B2B API-gateway som stödjer partnertransaktioner
• En kodsigneringsplattform för uppdateringar av skrivbordsprogramvara

Med Zenith Blueprint, fas 2, steg 8, hämtar teamet tillgångar från CMDB, certifikat från certifikathanteringsplattformen, nycklar från HSM och moln-KMS, dataklasser från integritetsregistret och leverantörsberoenden från upphandlingsunderlag.

Därefter poängsätter de systemen:

Riskregistret bör därefter koppla varje scenario till behandling och underlag:

Clarysecs företagspolicy, Policy för säker utveckling, klausul 6.4, ger programvaruleveransperspektivet:

”Säkerhetsdesigngranskningar ska utvärdera kryptografiska beroenden, bibliotekens livscykel, algoritmagilitet, hantering av hemligheter, uppdateringsmekanismer och leverantörsstyrda komponenter före produktionsgodkännande.”

Den klausulen gör postkvantberedskap till ett tekniskt krav. Den hindrar team från att driftsätta nya system som inte kan migreras senare.

Följ en 12-månaders färdplan som revisorer kan förstå

Postkvantmigrering kommer för många organisationer att ta flera år. Det första året bör föra organisationen från osäkerhet till styrd migrering.

I Zenith Blueprint, fas 3, steg 14, ”Utformning och ägarskap för riskbehandling”, varnar färdplanen för ofinansierade säkerhetsambitioner:

”En behandlingsplan utan ägare, förväntat underlag, budgetväg och granskningsdatum är ingen plan. Det är en olöst risk med bättre formatering.”

Det är precis så postkvantprogram misslyckas. De producerar medvetenhetspresentationer, men ingen ägd åtgärdsbacklogg. De diskuterar algoritmer, men uppdaterar inte leverantörsavtal. De dokumenterar risk, men testar inte migrationsmönster.

En trovärdig färdplan skapar beslutsunderlag, ägare, beroenden, förväntat underlag, budgetar och granskningsdatum.

Involvera leverantörer tidigt i programmet

Många kryptografiska beroenden är outsourcade. Molnleverantörer terminerar TLS. SaaS-plattformar krypterar poster. Identitetsleverantörer signerar token. Betalningsförmedlare hanterar certifikat. Hårdvaruleverantörer kontrollerar firmware-signering. Leverantörer av managerade tjänster driver VPN:er och säkerhetsgateways.

Även om det interna teamet är redo kan migreringen blockeras av leverantörens förmåga.

Clarysecs företagspolicy, Policy för leverantörssäkerhet och tredjepartssäkerhet, klausul 5.6, anger:

”Leverantörer som tillhandahåller säkerhetsrelevanta tjänster ska redovisa väsentliga beroenden, kryptografiska ansvar, underlag för säkerhetsförsäkran, processer för sårbarhetshantering och ändringar i färdplaner som kan påverka organisationens riskläge.”

För postkvantberedskap bör kritiska leverantörer få följande frågor:

• Vilka algoritmer, protokoll, certifikat och nyckelhanteringstjänster skyddar våra data eller transaktioner?
• Upprätthåller ni en kryptografisk inventering eller CBOM?
• Vilken är er postkvantfärdplan enligt NIST?
• Kommer ni att stödja hybridnyckelutbyte, postkvantsignaturer eller kvantresistent nyckeletablering?
• Hur kommer ändringar av certifikat, token, signering och kryptering att kommuniceras?
• Vilka åtgärder kommer kunden att behöva vidta?
• Vilka testmiljöer kommer att finnas tillgängliga?
• Hur kommer prestanda, interoperabilitet och rollback att hanteras?
• Är kryptografiska ansvar definierade i avtalet eller i modellen för delat ansvar?
• Vilka exit- eller portabilitetsalternativ finns om er färdplan inte uppfyller våra riskkrav?

Leverantörernas svar bör föras in i riskregistret. Svaga svar innebär inte alltid omedelbart leverantörsbyte, men de kräver behandling. Det kan krävas kompenserande kontroller, avtalsändringar, aviseringsklausuler, exit-planering, förstärkt övervakning eller en reviderad sourcingstrategi.

Detta är särskilt viktigt enligt DORA och NIS2-liknande förväntningar på operativ resiliens. DORA betonar IKT-riskhantering och riskhantering för IKT-tredjeparter, inklusive tillsyn över kritiska beroenden. NIS2 Article 21 kräver lämpliga och proportionerliga tekniska, operativa och organisatoriska säkerhetsåtgärder för riskhantering, inklusive säkerhet i leveranskedjan, incidenthantering, verksamhetskontinuitet och kryptografi där så är lämpligt. GDPR Article 32 kräver säkerhet som är lämplig i förhållande till risken, inklusive konfidentialitet, riktighet, tillgänglighet, resiliens och förmågan att säkerställa löpande skydd av personuppgifter.

Det regulatoriska språket skiljer sig åt, men kontrollogiken är densamma: känn till beroendena, hantera risken, bevara underlag och agera innan resiliensen äventyras.

Mappning för korsvis regelefterlevnad: en migrationsplan, många krav

En stark migrationsplan för postkvantkryptografi bör undvika separata underlagspaket för varje ramverk. Samma kärnunderlag kan stödja flera krav om det struktureras korrekt.

Zenith Controls mappar kryptografiområdet över ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA och NIS2 genom att fokusera på kontrollens syfte snarare än den etikett som respektive ramverk använder.

Återanvändning av underlag är nyckeln. En kryptografisk inventering stödjer ISO:s tillgångshantering, resultat inom NIST Identify, synlighet över IKT-tillgångar enligt DORA, NIS2-riskhantering och ansvarsskyldighet enligt GDPR. Leverantörsfrågeformulär stödjer ISO:s leverantörskontroller, DORA:s IKT-tredjepartsrisk, NIS2:s säkerhet i leveranskedjan och COBIT:s leverantörsstyrning. Migrationstestresultat stödjer säker ändring, resiliensprovning, revisionsberedskap och ledningens genomgång.

Vad revisorer kommer att fråga

Postkvantkryptografi är fortfarande ett framväxande revisionsområde, men revisorer har redan tillräckliga kontrollförväntningar för att ställa svåra frågor.

En ISO/IEC 27001:2022-revisor börjar vanligtvis med risk. Revisorn frågar om kvantrelaterad kryptografisk risk är identifierad, bedömd, behandlad, övervakad och granskad inom ISMS. Revisorn förväntar sig underlag som visar att kryptografiska kontroller väljs utifrån verksamhetsrisk och att ansvar är definierade.

En NIST-orienterad bedömare kan fokusera på tillgångssynlighet, skyddsmekanismer, risk i leveranskedjan, hantering av sårbarheter och styrningsresultat. Bedömaren kan fråga om organisationen har identifierat system som använder sårbar kryptografi med publik nyckel och om migrationsplaneringen följer NIST:s riktning.

En COBIT- eller ISACA-revisor frågar ofta om styrning. Vem är ansvarig? Hur får styrelsen rapportering? Är investeringar prioriterade? Hanteras leverantörsberoenden? Balanseras nytta, risker och resurser?

En integritetsrevisor kan fokusera på om kryptering och nyckelhantering fortsatt är lämpliga i förhållande till personuppgifternas känslighet och bevarandetid.

En DORA- eller NIS2-fokuserad granskare kommer att titta på resiliens, IKT-koncentration hos tredje part, verksamhetskontinuitet och incidentberedskap.

Zenith Controls rekommenderar att förberedelse inför revision behandlas som en evidensväg. Vänta inte på att revisorer ska begära skärmbilder och kalkylblad. Bygg en GRC-arbetsyta som kopplar varje kryptografisk risk till dess ägare, berörda tillgångar, leverantörer, beslut, tester, undantag och granskningsdatum.

Uppdatera policyer så att programmet blir operativt

De flesta kryptografipolicyer skrevs för traditionella krav på konfidentialitet och riktighet. Postkvantmigrering kräver riktade tillägg.

Organisationens policy för kryptografi och nyckelhantering bör behandla godkända standarder, granskningsfrekvens, dataklassificering, skyddslivslängd, algoritmagilitet, nyckelgenerering, nyckellagring, rotation, destruktion, ägarskap, certifikatlivscykel, HSM-ansvar, ansvar för moln-KMS, godkännande av undantag, leverantörsstyrd kryptografi och övervakning av postkvantövergången.

Organisationens policy för säker utveckling bör behandla godkännande av kryptografiska bibliotek, förbud mot hårdkodade algoritmer utan granskning, beroendeuppföljning, säkra uppdateringsmekanismer, prestandatestning för större nycklar eller signaturer, bakåtkompatibilitet, rollback och hotmodellering för långlivade produkter.

Organisationens policy för leverantörssäkerhet bör behandla kryptografisk transparens, begäran om postkvantfärdplaner, avtalsenliga aviseringsskyldigheter, delat ansvar för kryptering och nyckelhantering, exit-planering och portabilitet.

Organisationens rutin för tillgångshantering bör behandla fält i den kryptografiska inventeringen, ägarskap, källor till underlag, granskningsfrekvens och integration med CMDB, molninventering, certifikathantering, HSM-poster och kodlagringsplatser.

Här hjälper Clarysecs policybibliotek organisationer att komma vidare snabbare. I stället för att börja från ett tomt dokument kan team anpassa policyklausuler till rutiner, register, frågeformulär och revisionsunderlag.

Undvik de vanligaste misstagen vid postkvantmigrering

De farligaste misstagen är oftast styrningsbrister, inte tekniska fel.

Att börja med algoritmer i stället för tillgångar. Om ni inte vet var kryptografi används hjälper algoritmval inte.

Att ignorera datalivslängd. Kortlivade transaktionsdata och långlivade känsliga arkiv har inte samma risk.

Att behandla leverantörer som en senare fas. Många kryptografiska kontroller hanteras av leverantörer. Om leverantörer inte inkluderas tidigt kan planen bli orealistisk.

Att glömma signaturer. Postkvantplanering handlar inte bara om kryptering. Digitala signaturer, kodsignering, certifikat, identitetstoken, firmwareuppdateringar och dokumentsignering kräver uppmärksamhet.

Att anta att molnleverantörer löser allt. Molnplattformar kommer att spela en viktig roll, men ansvaret är fortsatt delat. Organisationen behöver fortfarande veta vilka tjänster, konfigurationer, nycklar, regioner och integrationer som påverkas.

Att inte skapa revisionsunderlag. En migrationsplan som inte kan styrkas med underlag kommer inte att tillfredsställa ledning, tillsynsmyndigheter, kunder eller revisorer.

Att hoppa över prestanda- och interoperabilitetstestning. Postkvantalgoritmer kan påverka nyttolaststorlek, handskakningsbeteende, latens, lagring, inbyggda begränsningar och kompatibilitet.

Mätetal som informationssäkerhetschefen bör rapportera till styrelsen

Styrelserapportering bör vara tillräckligt enkel att förstå och tillräckligt konkret för att driva åtgärder. Undvik djupa algoritmdiskussioner. Fokusera på exponering, framdrift, beslut och kvarstående risk.

Ett användbart styrelsebudskap kan låta så här:

”Vi har slutfört kryptografisk kartläggning för 72 procent av de kritiska tjänsterna. Två system har kritisk långlivad konfidentialitetsexponering, och tre leverantörer har ännu inte tillhandahållit postkvantfärdplaner. Vi har startat ett projekt för beredskap inom kodsignering och en granskning av beroenden till moln-KMS. Inget akut byte rekommenderas i dag, men leverantörsosäkerhet är fortsatt den största kvarstående risken.”

Det är språket för styrd cyberrisk.

En praktisk checklista för att börja den här veckan

Ni behöver inte vänta på perfekt säkerhet. Börja med steg som omedelbart förbättrar synlighet och styrning.

1. Utse en ansvarig för postkvantkryptografi.
2. Lägg till kvantrelaterad kryptografisk risk i ISMS-riskregistret.
3. Identifiera de tio viktigaste tjänsterna med långlivade känsliga data eller hög riktighetspåverkan.
4. Bygg en minsta användbar CBOM för dessa tjänster.
5. Begär postkvantfärdplaner från kritiska leverantörer.
6. Granska policyer för kryptografi, säker utveckling, leverantörer och tillgångar.
7. Identifiera system med hårdkodade algoritmer, föråldrade bibliotek, manuell certifikatrotation eller otydligt ägarskap.
8. Välj en lågriskpilot för testning av kryptoagilitet.
9. Definiera styrelsemätetal och rapporteringsfrekvens.
10. Planera en internrevision med fokus på kryptografisk styrning och underlag.

Det viktigaste steget är att omvandla osäkerhet till styrt arbete. Kvantrisk kan vara framtidsinriktad, men den kryptografiska skulden finns redan i dag.

Nästa steg med Clarysec

Postkvantmigrering kommer att vara en av nästa årtiondes mest komplexa säkerhetsövergångar eftersom den berör identitet, kryptering, signaturer, leverantörer, moln, programvara, enheter, arkiv och revisionsbevis. Organisationer som börjar med styrning och inventering kommer att kunna agera snabbare än de som väntar på ett sista minuten-byte.

Clarysec kan hjälpa er att bygga en kvantförberedd migrationsplan för kryptografi med:

• Zenith Blueprint: en revisors 30-stegs färdplan för fasindelat genomförande och revisionsberedskap
• Zenith Controls: vägledningen för korsvis regelefterlevnad för mappning mot ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA och NIS2
• Policy för kryptografi och nyckelhantering för styrningsklara kryptografiska regler
• Policy för leverantörssäkerhet och tredjepartssäkerhet för krav på leverantörsfärdplaner och säkerhetsförsäkran
• Policy för säker utveckling för kryptoagila utvecklingsrutiner

Den bästa tidpunkten att börja planera för postkvant är innan en tillsynsmyndighet, revisor, kund eller styrelseledamot begär underlag. Börja med inventeringen, koppla den till risk och bygg migrationsvägen ett kontrollerat beslut i taget.