kwantum kom hier is wat die databeskermingsreguleerder sê baner

Quantum kom: hier is wat die databeskermingsreguleerder sê

’n Nuwe tegnologiese ontwikkeling kom in die voortdurende wapenwedloop tussen netwerkverdedigers en hul teëstanders, wat die huidige landskap dramaties kan ontwrig. Wanneer ten volle funksionerende kwantumrekenaars uiteindelik begin na vore kom, kan die enkripsie waarop die meeste van die digitale wêreld staatmaak verbreek word. Dit het enorme implikasies vir databeskerming, en daarom het die Britse reguleerder, die Inligtingskommissaris se kantoor (ICO), vrygestel nuwe leiding vir organisasies.

Die boodskap is duidelik. Dit is tyd om te begin om kwantumverwante risiko's te identifiseer en aan te spreek as deel van programme vir nakoming van databeskerming.

Wat sal kwantumberekening beteken?

Regerings en private beleggers wêreldwyd is tientalle miljarde bestee om kwantumrekenaarnavorsing te befonds. Dit is maklik om te sien hoekom: die wetenskaplike en wiskundige deurbrake wat dit beloof, is verbysterend. Nie sonder rede is die betekenis van kwantumberekening vergelyk met die benutting van elektrisiteit nie.

Kwantumrekenaarkunde is gebaseer op die teorie van kwantummeganika, baanbreker in werk deur Albert Einstein wat hom die Nobelprys gewen het. Vir die onopgeleide oog blyk dit logika te trotseer. Kwantumdeeltjies, of qubits, gedra nie volgens die tradisionele reëls van fisika nie. Hulle doen vreemde dinge soos om op twee plekke gelyktydig te bestaan ​​en vorentoe of agtertoe in tyd te reis.

Terwyl vandag se rekenaars inligting in nulle en ene verwerk en stoor, gebruik kwantumrekenaars qubits, wat 'n nul en 'n een op dieselfde tyd kan wees. Dit verminder radikaal die tyd wat dit neem om data te verwerk, te bereken en probleme op te los.

Volgens die ICO is daar verskeie potensiële gebruiksgevalle vir die tegnologie, insluitend:

  • 'n Nuwe generasie kwantumsensors en gevorderde kwantumtydberekeningtegnologieë wat gebruik sal word in mediese diagnostiek, stedelike infrastruktuur en omgewingshulpbronbestuur, klimaatsveranderingbeplanning, en toesig en storingsbestande navigasie
  • Kwantumversterkte beeldvorming om mense en voorwerpe om hoeke of agter mure op te spoor, of om molekules in die liggaam meer akkuraat te identifiseer.
  • 'n Nuwe en potensieel 'onkapbare' metode om kriptografiese sleutels veilig te deel, bekend as kwantumsleutelverspreiding (QKD)

Dekripteer die internet

Die mees kommerwekkende potensiële gebruiksgeval van kwantum is egter die vermoë daarvan om die komplekse wiskundige probleme op te los waarop moderne asimmetriese enkripsie (publieke sleutelkriptografie) gebaseer is. Dit kan eendag vyandige state of goed befondsde kubermisdaadgroepe die vermoë gee om alles van geënkripteerde e-handel en aanlyn kommunikasie tot digitale bankdata te ontmasker. Die implikasies vir organisasies wat asimmetriese enkripsie gebruik om kliëntedata en sensitiewe IP te beskerm, is voor die hand liggend.

Trouens, daar is kommer dat slegte akteurs dalk reeds geënkripteerde data oes met die oog daarop om dit in die toekoms te dekripteer in die sogenaamde "stoor nou, dekripteer later" (SNDL) attacks. Dit is hoekom pogings versnel om post-kwantumalgoritmes (PQA's) te vind wat kwantumgedrewe dekripsie sal weerstaan.

Dinge is beslis besig om te versnel. In 'n benadering gerugsteun deur die Verenigde Koninkryk se Nasionale Kuberveiligheidsentrum (NCSC) en die Amerikaanse Nasionale Instituut vir Standaarde en Tegnologie (NIST), hulle het die eerste drie vrygestel post-kwantum kriptografie (PQC) standaarde in Augustus vanjaar. Die VSA het reeds doelwitte gestel vir die openbare sektor om teen 2035 na kwantumveilige stelsels oor te skakel, terwyl die Britse regering versagtings ingestel vir kritieke dienste en stel tegniese leiding en verwagtinge vir groot organisasies en stelseleienaars uiteen. Die Europese Kommissie het 'n beroep op lidlande gedoen om 'n padkaart te ontwikkel terwyl groot tegnologiemaatskappye kwantumveilige stelsels ondersoek.

Die ICO wil Crypto Agility hê

So waar laat dit die meerderheid Britse organisasies? Die huidige NIS-regulasies (word binnekort bygewerk deur die Wetsontwerp op kuberveiligheid en veerkragtigheid) dek wolkdienste en verskaffers van e-handel, organisasies wat digitale identiteits- of stawingdienste verskaf, en internet- en telekommunikasieverskaffers. Hulle moet die ICO in kennis stel van 'n persoonlike data-oortreding (GDPR) of 'n NIS-verwante sekuriteitsvoorval indien:

  • Hulle het 'n SNDL-aanval ontdek wat "hul diens wesenlik beïnvloed het of gelei het tot die openbaarmaking van persoonlike inligting."
  • Hulle het 'n fout gemaak met die implementering van PQC, wat persoonlike inligting blootgelê het en 'n risiko vir mense se regte en vryhede ingehou het.

Alle ander organisasies het verpligtinge kragtens die GDPR om persoonlike data te beveilig "met toepaslike tegniese en organisatoriese maatreëls" wat ooreenstem met die risiko van verwerking en die stand van die kuns in ag neem. Volgens die ICO beteken dit dat hulle: "moet oorweeg om kwantumrisiko's te identifiseer en aan te spreek as deel van hul bestaande wetlike verpligtinge om aan te pas by nuwe en opkomende kuberbedreigings vir persoonlike inligting."

Wat beteken dit in die praktyk? Soos altyd, sê die ICO dat – kragtens die Data Protection Act 2018 en GDPR – organisasies moet bepaal watter tegniese maatreëls hulle nodig het om die “toepaslike vlak van sekuriteit” te verseker. Maar daar is 'n verdere wenk. Die reguleerder se eie leiding oor enkripsie moedig organisasies aan om "crypto agile" te wees. Dit beteken om die gebruik van enkripsie gereeld te hersien en bedag te wees op nuwe opdaterings en moontlike kwesbaarhede.

"Nuwe standaarde is ontwikkel en op 'n stadium in die volgende 10 jaar sal PQC waarskynlik 'n aanvaarde en wyd geïmplementeerde norm word in die toekomstige toestand van die kuns," voeg dit by.

'n Kontrolelys vir nakoming

Dus, die meeste organisasies moet voortgaan om persoonlike data te beskerm in ooreenstemming met enkripsie beste praktyke en standaarde en enige oortredings of lekkasies, insluitend SNDL en enige voorvalle wat veroorsaak word deur foute in die implementering van PQC rapporteer. Die ICO voeg by dat hulle proaktief moet:

  • Begin risikoblootstelling "in die onmiddellike en nabye toekoms" oorweeg, insluitend die identifisering van hoërisiko-inligting en risiko-kriptografie en -stelsels.
  • Bly op hoogte van ontwikkelende internasionale kriptostandaarde en NCSC-leiding, soos per NIS en Britse GDPR.
  • As hulle dit oorweeg om QKD of ander kwantum-veilige tegnologie bykomend tot PQC te implementeer, moet hulle dit oorweeg om 'n databeskermingsimpakbeoordeling (DPIA) te voltooi. Dit kan help om te bepaal of regte en vryhede wat verband hou met persoonlike inligting in gevaar kan wees en dokumenteer watter maatreëls hulle neem om hierdie risiko's aan te spreek.
  • Gaan voort om "wydlopende, kort- en mediumtermyn" kuberrisiko's wat nie met kwantumrekenaar verband hou nie, te versag, volgens noodsaaklike kuberhigiëne-beste praktyke vir databeskerming.

Dit sal jare duur voordat kwantumrekenaars wat asimmetriese enkripsie kan kraak, verskyn. Maar dit is geen rede vir selfvoldaanheid nie. Dit is beter om vandag die risiko's te evalueer en vir die toekoms te beplan as om môre oorhaastige (en potensieel duur) besluite te neem.

skrywer

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Bekyk alle plasings deur Phil Muncaster

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!