BLOG – Of het nu gaat over hoe quantumcomputers werken of de nieuwe quantumchip van Microsoft: quantum computing speelt een vooraanstaande rol in de technologische toekomst. Om dit te benadrukken, neemt de Europese Commissie het initiatief om acht Europese quantumcomputers te ontwikkelen. Maar veel organisaties zijn nog niet voorbereid op een toekomst met quantumtechnologie – terwijl we écht niet meer om de schaduwzijde heen kunnen als quantumcomputers in handen van cybercriminelen vallen. Investeren in post-quantum safety is daarom de stap om je bedrijfskritische data te beschermen.
In tegenstelling tot normale computers, die werken met bits die ofwel 0 of 1 zijn, gebruiken quantumcomputers qubits. Qubits kunnen tegelijkertijd 0 en 1 zijn, waardoor ze meer informatie kunnen verwerken. Het wordt pas echt mooi als je heel veel qubits kan laten samenwerken. Dat levert een enorme rekenkracht op en maakt complexe berekeningen mogelijk die onbereikbaar zijn voor traditionele computers. Voorbeelden van toepassingen zijn:
- Kankerbehandelingen op maat voor patiënten;
- Weermodellering;
- Nieuwe batterijen voor elektrische auto’s;
- CO₂-reductie.
Quantumcomputers bieden dus kansen, maar brengen ook aanzienlijke risico’s met zich mee. Zo wordt het in de toekomst mogelijk de hedendaagse cryptografie te kraken. Daarom stelen cybercriminelen nú al data die weliswaar veilig en versleuteld zijn, maar in de toekomst eenvoudig zijn te ontcijferen door quantumcomputers; het zogeheten store-now-decrypt-later-principe. Het is dus zaak dat je ervoor waakt dat je gegevens beschermd zijn én blijven.
Langlevende data
Het gaat hierbij specifiek om gevoelige en langlevende data, zoals persoonsgegevens en medische gegevens. Een goede oefening is om te analyseren hoe kwetsbaar jouw data is – zo weet je welke bedrijfsdata je moet beschermen. En voordat je begint aan je quantumreis, moet je weten welke quantumproof-oplossingen er al zijn. Welke oplossing is voor jouw bedrijf een goede match?
- Quantum key distribution
Zodra een cybercrimineel probeert om een sleutel te onderscheppen of te kopiëren, wordt deze onbruikbaar. Hierdoor is afluisteren onmogelijk gemaakt. De technologie is nog duur en technisch uitdagend, zeker wanneer je ze wil toepassen over langere afstanden. De oplossing is zeker quantumveilig en toepasbaar voor bijvoorbeeld datacenterverbindingen met hoge bandbreedte. - Symmetrische encryptie
Een encryptietechniek waarbij dezelfde sleutel voor zowel het ver- als ontsleutelen van gegevens wordt gebruikt. AES-256 is een bekend en veelgebruikt algoritme. Symmetrische algoritmes zijn veel beter bestand tegen de rekenkracht van de quantumcomputer dan asymmetrische algoritmes zoals RSA-2048. Je kunt als organisatie nu al gebruikmaken van deze strategie, bijvoorbeeld als je klanttransacties verwerkt en je vertrouwelijke financiële gegevens wilt versleutelen. - Post-quantumcryptografie
Verwijst naar cryptografische algoritmen die bestand zijn tegen aanvallen van quantumcomputers. Deze beschermingsmethode is bij uitstek quantum-safe en kan ook jouw organisatie beschermen. Denk hierbij bijvoorbeeld aan het veiligstellen van digitale handtekeningen en sleuteluitwisseling. Zo voorkom je op de lange termijn dat quantumcomputers kwetsbare gegevens kunnen ontcijferen. We zien op dit moment de eerste implementaties van deze protocollen in netwerk- en security apparatuur.
Nog een laatste advies: introduceer crypto agility in je it-infrastructuur. Dit betekent dat je in staat bent om beveiligingsalgoritmes en encryptiemethodes te vervangen met quantumproof-oplossingen als deze gecompromiteerd zijn.
Race
Sommigen denken dat quantumcomputers over vijf jaar alomtegenwoordig zijn, anderen verwachten dat het vijftien jaar duurt. Maar het risico dat je loopt, is nu al voelbaar. Het is zaak nu al langlevende data te identificeren en te beveiligen.
De race begint vandaag. Staat jouw organisatie in de startblokken voor de quantumrevolutie?
Tom Engels, portfolio lead Proximus NXT Nederland
Angst verkoopt maar hoe realistisch is een store-now-decrypt-later (SNDL) principe vanuit economisch perspectief? Criminelen zijn uiteindelijk ook gewoon ondernemer waardoor het langdurig opslaan van grote hoeveelheden data waarvan de waarde onzeker is niet een slim bedrijfsmodel is. En beter verzamel je gericht data waarvan return on investment groter is omdat de kans op gevoelige informatie groter is. En ook speculatief is de dreiging van quantum computing omdat kosten hiervan nog hoger zijn dan grote hoeveelheden data bewaren. Cybersecuritybedrijven die post-quantum cryptografie (PQC) willen verkopen maken dan ook gebruik van een onrealistische angst want voor gewone criminelen is SNDL economisch onzinnig. De kosten zijn hoog en de opbrengsten onzeker want alleen statelijke actoren hebben de middelen en het geduld om dit te doen.
Nu is het de vraag of diplomatieke communicatie, militaire geheimen, biotech- of AI-patenten over 15 tot 20 jaar nog net zoveel waard zijn als nu want informatie neemt snel in waarde af. We leven in een tijdperk waarin de economische halfwaardetijd van informatie extreem kort is want in de 15 tot 20 jaar zijn organisaties al 4 keer veranderd. Angstbeeld voor de urgentie van post-quantum cryptografie is grotendeels gewoon marketing, een verkooppraatje van een portfolio lead.