Joko olet kuullut kvanttiuhkasta? Jos et, nyt on korkea aika havahtua. Jokaisen yrityksen täytyy aloittaa kvanttiturvallinen matka pikapuoliin. Ilman kvanttikestävää salausta liiketoimintasi kulmakivet altistuvat äärimmäisen vakavalle riskille. Tienviitat matkalle näyttää huippuasiantuntija Suvi Lampila SSH Communications Securityltä.
Digitaalisella aikakaudellamme data ja sen suojaaminen ovat liiketoiminnan kannalta kriittisiä. Jo tällä hetkellä kaikkea dataamme kuitenkin koskee kvanttiuhka, jolle tämänhetkinen vahvinkaan tietoturva ei mahda mitään. Syynä on se, että tulevaisuuden kvanttitietokoneet pystyvät vaivattomasti purkamaan tietoliikennettä suojaavan salaustekniikan algoritmit.
”Emme kuitenkaan voi jäädä odottamaan sitä hetkeä, että on olemassa tehokas kvanttikone. Jo nyt voidaan tallentaa kiinnostavia yhteyksiä ja varautua purkamaan tallenteet myöhemmin. Hyökkäykset ovat takautuvia. Siksi kvanttiuhkaan täytyy reagoida hyvin etupainotteisesti”, valottaa salausteknologian huippuasiantuntija Suvi Lampila, SSH Fellow.
Yrityspäättäjä voi helposti ajatella, että kvanttiuhka on joutavaa scifiä. Käytännössä uhka koskee arkipäivässäkin liki kaikkea aina maksuliikenteestä henkilökohtaisiin terveystietoihin.
”Esimerkiksi luottokortit pitää vaihtaa, koska niissä käytetyt algoritmit eivät kestä kvanttiuhkaa. Sama koskee kaikkia verkkokauppoja. Jos siirtymä kvanttiturvalliseen salaukseen onnistuu, kaikki jatkuu kuin ennenkin. Jos se menee pieleen, voi olla käsissä totaalinen kaaos ja isoja ongelmia koko yhteiskunnassa, kun esimerkiksi luottamus maksamisessa katoaa”, Lampila sanoo.
Näin alkaa kvanttiturvallinen matka
Jokaisen yrityspäättäjän täytyy viipymättä huolehtia, että yritys käynnistää toimenpiteet, joilla siirrytään kvanttikestävään salaukseen. Kvanttiturvallisen matkan ensimmäinen etappi on datan kartoitus sen salaamisen arvon perusteella.
”Jokaisen organisaation on ratkaistava, mikä on meille äärimmäisen tärkeää tietoa, jonka haluamme pitää salassa ja jolla on arvoa vuosienkin kuluttua. Kysymys kuuluu: mitä seuraisi, jos tällainen tieto tulisi julkiseksi. Lähteekö firmalta bisnes alta, onko kyse katastrofaalisesta vai nolosta jutusta”, Lampila sanoo.
Siirtymä kvanttikestävään salaukseen on yksi suurimmista tietoturvan muutoksista koskaan.
Ensimmäiset kvanttikestävän salauksen standardoidut PQC-algoritmit on hyväksytty Yhdysvalloissa elokuussa 2024. Niitä on pian saatavilla muun muassa Chromium-pohjaisissa selaimissa ja verkkosivustoja suojaavan Cloudflaren palveluissa. Tämä on kuitenkin vain yksi loppukäyttäjille näkyvä osa vaadittavista muutoksista, sillä uusi salaus tarvitaan kaikkialle, esimerkiksi kaikkiin käyttöjärjestelmiin ja verkkoon liittyviin laitteisiin. Siirtymä kvanttikestävään salaukseen on yksi suurimmista tietoturvan muutoksista koskaan.
Matkalla kvanttiturvalliseen maailmaan täytyy varoa pahoja harha-askelia.
”Peräänkuulutan isomman luokan tietoisuutta, jotta yritys ei tule katsoneeksi tätä liian kapeasti ja erillisinä projekteina. Suuressa organisaatiossa käy helposti niin, että kun esimerkiksi alun inventaario on tehty, kapula ei siirry järkevästi eteenpäin. Haasteena on myös se, että esimerkiksi CISO-tehtävässä olevien ajasta suurin osa kuluu erilaisten tulipalojen sammutteluun.”
Vuoden 2025 kyberturvallisuuden agendalle Suvi Lampila suosittelee nostamaan myös olemassa olevan pääsynhallinnan. Olennaista on soveltaa zero trust -ajattelua, jonka mukaan autentikointi ja valtuutukset aina varmistetaan.
”Monessa yrityksessä ei välttämättä ole käsitystä siitä, mistä kohdasta autentikaation purkki vuotaa. Siksi täytyy kartoittaa, kenellä on pääsy mihinkin ja mitä oikeuksia on käyttäjillä ja erilaisilla automatisoiduilla järjestelmillä. Tämä myös auttaa ottamaan seuraavia askelia kvanttiturvallisella matkalla”, hän sanoo.
Lataa DNA:n Tietoturvatutkimus 2024 ja selvitä, miltä kyberturvallisuuden kenttä näyttää suomalaisyritysten silmin!
