Quantum computing: zijn onze gegevens nog veilig?

De ontwikkelingen rondom quantum computing gaan razendsnel. Deze nieuwe technologie biedt talloze nieuwe mogelijkheden, maar brengt ook risico's met zich mee. Vooral het gebied van cybersecurity. PwC-experts Gerwin Naber en Peter Avamale  raden organisaties aan zich op tijd voor te bereiden.

De brede inzet van quantum computing is geen vaag toekomstbeeld meer. Met wat er aan onderzoek wordt gedaan en de nu al geboekte vooruitgang verwachten we dat dit binnen vijf jaar werkelijkheid wordt. De nieuwste ontwikkeling is de investering van de Europese Commissie in acht supercomputers met quantum-computingtechnologie. Een van deze computers komt in Nederland te staan, een strategische stap om ecosysteem voor quantumtechnologie verder te versterken. 

Quantum computing biedt talloze nieuwe mogelijkheden, zoals medische doorbraken, versnelling van technologieën als AI en oplossingen om de beveiliging van ons internet in de toekomst te waarborgen. Echter, op korte termijn zorgt quantumtechnologie ook voor aanzienlijke risico's op het gebied van cybersecurity. De komst van quantum computing kan een fundamentele verandering teweegbrengen in de manier waarop we onze digitale informatie beveiligen met cryptografie. En dat kan sneller kunnen gebeuren dan we eerder verwachtten.

Is quantum computing een sluimerend gevaar?

Al jaren bespreken experts de mogelijke implicaties van quantum computing voor de huidige encryptiemethoden besproken. Naarmate de quantumtechnologie vordert, vormt het vermogen van deze computers om steeds complexere vergelijkingen op te lossen een aanzienlijke bedreiging voor bestaande cryptografische raamwerken. Dit heeft geleid tot zorgen over de kwetsbaarheid van de huidige encryptiemethoden, vooral die met 2048-bits sleutels, in de niet zo verre toekomst.  

Terwijl organisaties bedrijfsgevoelige en persoonlijke gegevens versleutelen in de veronderstelling dat deze veilig zijn, is de realiteit dat kwaadwillenden mogelijk al een 'nu verzamelen, later ontcijferen'-strategie hanteren. Hierbij slaan ze versleutelde gegevens op met de intentie om deze in de toekomst met quantumtechnologie te ontcijferen. Als in de toekomst grote taalmodellen ook op quantumcomputers worden uitgevoerd, kunnen encryptiesleutels relatief snel breken.

Inzicht in kwetsbaarheid

De situatie is urgent en dat kan niet genoeg worden benadrukt. Bedrijven moeten aan de slag met het beoordelen van hun huidige gebruik van cryptografie (bijvoorbeeld voor encryptie en digitale handtekeningen) om te begrijpen waar ze kwetsbaar zijn. Dit is meer dan een IT-kwestie; het vraagt om hoge prioriteit bij de top van het bedrijf: cryptografie is fundamenteel voor bedrijfskritische digitale diensten en dan is er nog de mogelijke impact op reputatie, bedrijfscontinuïteit en concurrentievoordeel. 

Een goed startpunt voor een beoordeling zijn de volgende vragen:

• Welke vormen van cryptografie gebruiken we en waar?
• Welke hiervan zijn kwetsbaar voor evoluerende quantumdreigingen?
• Hoe goed zijn we voorbereid om over te schakelen naar quantumveilige oplossingen (en hebben we onze capaciteit om dit te doen gevalideerd)?

Deze beoordeling kan een hele onderneming zijn, vooral voor organisaties met complexe of verouderde infrastructuren. Veel bedrijven realiseren zich mogelijk niet tijdig hoeveel tijd en inspanning het kost om hun systemen te evalueren en bij te werken. Het identificeren van de opslaglocaties van cryptografische sleutels en het bijwerken om quantumveiligheid te waarborgen is een tijdrovende uitdaging die snel wordt onderschat.

Een technologische opfrisbeurt

Sinds 2015 werkt het Amerikaanse National Institute of Standards and Technology (NIST) samen met de cryptografie-gemeenschap aan het selecteren en standaardiseren van quantumresistente algoritmes. Dit zijn encryptiemethoden die bestand zijn tegen quantum-aanvallen. De eerste drie voltooide standaarden werden in augustus 2024 vrijgegeven en organisaties wordt geadviseerd om deze onmiddellijk te implementeren. Maar implementatie van deze nieuwe standaarden vereist coördinatie tussen belanghebbenden en inspanningen om bestaande systemen over te zetten. Bedrijven moeten zich niet alleen voorbereiden op de invoering van deze nieuwe standaarden, maar ook op de technologische upgrades die nodig kunnen zijn om andere afhankelijke systemen compatibel te maken.

Voorbereiden op quantumdreigingen

Door de vooruitgang van quantum computing zijn we ineens bij een kritisch keerpunt in cybersecurity. Het gevolg is dat organisaties in alle sectoren dringend voorbereidingen moeten treffen voor quantumdreigingen. Het is aan te raden om hier een prioriteit op bestuursniveau van te maken. Proactieve stappen kunnen kwetsbaarheden beoordelen en risico's mitigeren. Een gestructureerde aanpak, zoals aanbevolen in de recente richtlijnen van de AIVD, maakt dit proces effectiever. Denk daarbij aan:

• Identificeer kritieke activa: bepaal welke gegevens en systemen het meest kwetsbaar zijn en de grootste impact hebben als ze worden gecompromitteerd door quantumcapaciteiten.
• Beoordeel huidig gebruik van cryptografie: evalueer waar en hoe cryptografische algoritmes in de organisatie worden gebruikt en identificeer welke kwetsbaar zijn voor quantum-aanvallen.
• Ontwikkel een migratieplan: maak een stappenplan om kwetsbare algoritmen te vervangen door quantumveilige alternatieven, rekening houdend met operationele afhankelijkheden en benodigde technologische updates. Begin met het testen van quantumveilige oplossingen op kleine schaal om de impact van een bredere migratie in te kunnen schatten.
• Betrek belanghebbenden: zorg dat het hogere kader, IT-teams en businessunits op één lijn zitten over het belang van quantumvoorbereiding en dat iedereen zijn of haar rol in de transitie begrijpt.

Naast deze stappen raden we aan om voorbereid te zijn op het scenario van een 'cryptografiecrisis', waarin de bestaande encryptie wordt gekraakt vóór de migratie is voltooid (als de migratie niet snel genoeg gaat). 

De ontwikkelingen in quantum computing gaan razendsnel, nog sneller dan verwacht. Wij schatten in dat bedrijven zich desondanks goed kunnen voorbereiden op een toekomst waarin quantumveilige encryptie essentieel is. Maar als kwetsbaarheden niet tijdig worden aangepakt, kunnen er ernstige gevolgen ontstaan op de lange termijn.