Blogg
Q-Day kan være nærmere enn du tror
Etter hvert som samtalen om Q-Day utvikler seg, handler den reelle risikoen ikke lenger bare om når det skjer, men om hvor godt forberedt organisasjoner er når det skjer. Denne artikkelen ser nærmere på hvorfor utviklingen innen kvanteteknologi kan gå raskere enn forventet, hvilke skjulte risikoer som følger av sen bevissthet, og hvilke praktiske grep organisasjoner kan ta nå for å beskytte tillit og sikkerhet på lang sikt.
Hopp til:
- Hvorfor tidslinjen kan bevege seg raskere enn forventet
- Risikoen handler ikke bare om når verden får vite det
- Kryptografi har alltid hatt begrenset levetid
- De fleste organisasjoner er ikke klare for en rask tidslinje
- Hva organisasjoner bør gjøre nå
I flere år har diskusjoner om kvantedatamaskiner ofte vært ledsaget av et velkjent forbehold: Teknologien er lovende, men praktiske konsekvenser føles fortsatt et stykke unna. Det har gjort at mange organisasjoner har behandlet sikkerhetskonsekvensene som viktige, men ikke akutte. Utfordringen er at tidslinjen kanskje ikke beveger seg rett frem. Innen kvanteteknologi kan utviklingen være ujevn over lang tid, før den plutselig akselererer. Derfor er det risikabelt å anta at det fortsatt er god tid.
Q-Day er tidspunktet der kvantedatamaskiner blir i stand til å bryte den offentlige nøkkelkryptografien som mye av dagens digitale tillit bygger på. I praksis betyr det at systemene som brukes til nøkkelutveksling og digitale signaturer, inkludert RSA og elliptisk kurvekryptografi, ikke lenger vil gi den beskyttelsen organisasjoner forventer. Den nøyaktige datoen er ukjent. Det som betyr noe, er at konsekvensene av å være sent ute er store, mens arbeidet som kreves for å forberede seg sjelden går raskt.
Hvorfor tidslinjen kan bevege seg raskere enn forventet
Én grunn til at samtalen er i endring, er at kvanteforskningen ikke lenger følger én enkelt og forutsigbar retning. Ulike maskinvaretilnærminger utforskes parallelt, store teknologileverandører publiserer stadig mer ambisiøse veikart, og myndigheter investerer av både kommersielle og strategiske grunner. Det betyr ikke at et gjennombrudd er garantert på en bestemt dato. Men det betyr at estimater kan flyttes frem raskere enn mange sikkerhetsteam er vant til.
En annen faktor er den økende rollen KI spiller i vitenskapelig og teknisk forskning. Når KI brukes til å støtte modellering, optimalisering og eksperimentering, kan det også bidra til å gjøre deler av forsknings- og utviklingsarbeidet rundt kvantesystemer raskere. Det gjør ikke spådommene sikre, men det forsterker inntrykket av at lange tidslinjer ikke bør tas for gitt. Når flere teknologier begynner å forsterke hverandre, kan endring komme tidligere enn forventet.
Risikoen handler ikke bare om når verden får vite det
Det finnes også en annen grunn til å unngå selvtilfredshet: Organisasjoner får kanskje ikke mye forvarsel. Et kryptografisk gjennombrudd blir ikke farlig først når det kunngjøres offentlig. Det blir farlig når noen kan bruke det. Historien gir en nyttig parallell. Under andre verdenskrig ble det holdt hemmelig at Enigma-koden var knekt, fordi fordelen ikke bare lå i selve evnen, men i at andre ikke visste at den var oppnådd.
Det samme prinsippet er viktig i en kvantekontekst. Hvis en kapabel aktør når et kryptografisk relevant nivå før markedet forventer det, kan organisasjoner oppleve en periode der sensitiv kommunikasjon, signaturer eller tidligere stjålne krypterte data er utsatt, før konsekvensene er fullt ut forstått. Derfor bør ikke Q-Day behandles som én enkelt offentlig hendelse. Det kan være mer presist å se på det som et punkt der tillit begynner å svekkes, med mindre organisasjoner har forberedt seg på forhånd.
Kryptografi har alltid hatt begrenset levetid
Det ligger en nyttig historisk lærdom i dette. Kryptografiske standarder varer ikke evig. Over tid blir algoritmer som en gang virket robuste, utdaterte etter hvert som datakraften øker og angrepsmetodene utvikler seg. Vi har sett det før med eldre standarder som DES, RC4 og Triple DES. Hver av dem fylte en viktig rolle i sin tid, og hver av dem ble etter hvert forbigått. Overgangen til sterkere alternativer var ikke et tegn på at kryptering som konsept hadde feilet. Det var et tegn på at sikkerhet må utvikle seg i takt med omgivelsene.
Dette er et viktig poeng for ledere. Overgangen til postkvantekryptografi er ikke en helt ny type utfordring. På én måte er det nok et kapittel i en kjent historie: Betrodde standarder eldes, organisasjoner tilpasser seg, og de som planlegger tidlig, kan gjennomføre endringen med mindre friksjon. Forskjellen denne gangen er hvor avhengige vi er av offentlig nøkkelkryptografi, og hvor mye eldre teknologi som er involvert. Endringen kan være kjent i prinsippet, men den blir trolig langt mer kompleks i praksis.
De fleste organisasjoner er ikke klare for en rask tidslinje
Selv om det nøyaktige tidspunktet fortsatt er usikkert, er ett poeng allerede klart: Mange organisasjoner er ikke i stand til å respondere raskt. Kryptografi er ofte dypt innebygd i applikasjoner, enheter, sertifikater, VPN-er, identitetssystemer og tredjepartsplattformer. I noen tilfeller er den hardkodet. I andre ligger den i produkter organisasjonen ikke fullt ut kontrollerer. Det betyr at migrering ikke er et enkelt bytte. Det er et program for kartlegging, prioritering, testing og trinnvis utskifting.
Det finnes også en organisatorisk utfordring. Mange organisasjoner har ennå ikke en fullstendig oversikt over hvor kryptografi brukes, hvem som eier den, eller hvilke systemer som beskytter de mest langlivede og sensitive dataene. Noen mangler den interne kompetansen som trengs for å lede overgangen trygt. Derfor kan en migrering som kan ta flere år, bli akutt langt tidligere enn forventet. Hvis forberedelsene tar et tiår, er ikke usikkerhet rundt Q-Day en beroligelse. Det er en grunn til å starte tidligere.
Hva organisasjoner bør gjøre nå
Den umiddelbare prioriteten er ikke å forutsi den nøyaktige datoen for Q-Day. Den er å redusere risikoen for å være uforberedt dersom tidslinjen blir kortere. Det starter med å identifisere de mest sensitive dataene, systemene som er avhengige av sårbar offentlig nøkkelkryptografi, og tjenestene som er mest utsatt for tillitssvikt dersom digitale signaturer eller sikker kommunikasjon ikke lenger kan stoles på.
Derfra må organisasjoner bygge en kryptografisk oversikt og styrke den kryptografiske smidigheten. I praksis betyr det å forstå hvor algoritmer brukes, hvor krevende de er å erstatte, og hvordan kryptografi over tid kan skilles fra tett koblet applikasjonslogikk. Organisasjonene som starter dette arbeidet nå, vil være bedre rustet til å ta i bruk postkvantekontroller på en kontrollert måte, og bedre i stand til å bevare tillit når markedet begynner å spørre hvem som faktisk er klare.
Q-Day kan fortsatt komme senere enn noen forventer. Den kan også komme tidligere enn mange har planlagt for. Nettopp denne usikkerheten er grunnen til at temaet fortjener oppmerksomhet nå. Organisasjonene som forbereder seg tidlig, satser ikke på en dramatisk overskrift. De erkjenner at tillit, robusthet og langsiktig sikkerhet er enklere å beskytte før presset blir synlig. Innen kvantesikkerhet er den reelle risikoen ikke bare å ta feil om datoen. Den er å ta feil om hvor lang tid en trygg overgang faktisk krever.
Lær om kvantedatamaskiner og post-kvantum kryptografi på bare 6 e‑poster
Om våre eksperter
Kristian von Staffeldt
Chief Security Architect - Conscia Denmark
Kristian jobber daglig med å oversette teknologien bak digitale sikkerhetsløsninger til verdi for våre kunder. Han har en dyp teknisk forståelse, med de høyeste sertifiseringene fra Cisco (CCIE), Palo Alto (CNSE) og VMware (VCP-NV), og er en AWS-arkitekt. Til tross for sin dype tekniske ekspertise, vet han hvordan han skal forklare IT-sikkerhet og dens verdi på en måte som alle kan forstå.
Relatert
