Onderzoek DigiCert naar voorbereiden op veilige post-kwantumcryptografie

DigiCert heeft de resul­taten bekend­ge­maakt van een wereld­wijd onderzoek onder 1.426 IT- en secu­ri­ty­pro­fes­si­o­nals naar hoe orga­ni­sa­ties zich voor­be­reiden op veilige post-kwan­tum­cryp­to­grafie (PQC). Terwijl de onder­vraagde IT- en secu­ri­ty­pro­fes­si­o­nals de noodklok luiden dat het nodig is om nu al te inves­teren in een kwan­tum­vei­lige tran­si­tie­plan­ning, worden ze in de praktijk gehinderd door een gebrek aan duidelijk eige­naar­schap, budget en managementsuppport.

Kwantumcomputing 

Kwan­tum­com­pu­ting maakt gebruik van de wetten van de kwan­tum­me­cha­nica om problemen op te lossen die te complex zijn voor klassieke computers. Met kwan­tum­com­pu­ting wordt het kraken van encryptie echter veel eenvou­diger, wat een grote bedrei­ging vormt voor de data- en gebruikersveiligheid.

“Post-kwan­tum­cryp­to­grafie is een seis­mi­sche gebeur­tenis waarvoor IT- en secu­ri­ty­ma­na­gers nu al met de voor­be­rei­ding moeten beginnen. Inno­va­tieve orga­ni­sa­ties die al hebben geïn­ves­teerd in crypto-agility zijn straks beter gepo­si­ti­o­neerd om de transitie naar kwan­tum­vei­lige algo­ritmen te beheren wanneer de defi­ni­tieve stan­daarden in 2024 worden vrij­ge­geven”, aldus Amit Sinha, CEO van DigiCert

Belangrijke onderzoeksresultaten

Het Ponemon Institute heeft 1.426 IT- en IT-secu­ri­ty­pro­fes­si­o­nals in de Verenigde Staten (605), EMEA (428) en Azië-Pacific (393) onder­vraagd die betrokken zijn bij de aanpak van hun orga­ni­sa­ties ten aanzien van post-kwan­tum­cryp­to­grafie. Belang­rijke resul­taten van dit door DigiCert gespon­sorde onderzoek zijn: 

• 61% procent van de respon­denten zegt dat hun orga­ni­sa­ties niet bereid zijn en niet zullen zijn om de impli­ca­ties voor de cyber­vei­lig­heid als gevolg van PQC aan te pakken.
• 49% zegt dat het mana­ge­ment van hun orga­ni­satie zich slechts enigszins bewust is (26%) of zich niet bewust is (23%) van de invloed van kwan­tum­com­pu­ting op de cyberveiligheid.
• 30% van de respon­denten zegt dat hun orga­ni­sa­ties budget vrijmaken om zich voor te bereiden.
• 52% van de onder­vraagden zegt dat hun orga­ni­sa­ties momenteel een inven­ta­ri­satie maken van alle soorten gebruikte cryp­to­gra­fie­sleu­tels en hun kenmerken.

Uitdagingen

Uit het onderzoek blijkt dat secu­ri­ty­teams moeten omgaan met de druk om cyber­aan­vallen die gericht zijn op hun orga­ni­sa­ties te blijven voorkomen en zich gelijk­tijdig moeten voor­be­reiden op een toekomst met post-kwan­tum­cryp­to­grafie. Slechts vijftig procent van de respon­denten zegt dat hun orga­ni­sa­ties zeer effectief zijn in het beperken van risico’s, kwets­baar­heden en aanvallen in de hele onder­ne­ming. Volgens het onderzoek zijn ransom­ware en diefstal van inlog­ge­ge­vens de twee grootste cyber­aan­vallen waar orga­ni­sa­ties momenteel mee te maken krijgen.

41% van de respon­denten zegt dat hun orga­ni­satie minder dan vijf jaar de tijd heeft om er klaar voor te zijn. De grootste uitda­gingen zijn echter niet de benodigde tijd, geld en expertise om succesvol te zijn. Slechts 30 procent van de respon­denten zegt dat hun orga­ni­satie budget vrijmaakt voor PQC-gereedheid.

Veel orga­ni­sa­ties tasten in het duister over de kenmerken en locaties van al hun cryp­to­gra­fi­sche sleutels. Iets meer dan de helft van de respon­denten (52%) zegt dat hun orga­ni­sa­ties al een inven­ta­ri­satie maken van de soorten gebruikte cryp­to­gra­fie­sleu­tels en hun kenmerken. Slechts 39% zegt dat ze prio­ri­teit geven aan cryp­to­gra­fi­sche assets en slechts 36% van de respon­denten bepaalt of data en cryp­to­gra­fi­sche assets zich op locatie of in de cloud bevinden.

Weinig orga­ni­sa­ties hebben een gecen­tra­li­seerde strategie voor cryp­to­ma­na­ge­ment, die consis­tent in de hele onder­ne­ming wordt toegepast. 61% van de respon­denten zegt dat hun orga­ni­sa­ties een beperkte strategie voor het beheren van cryp­to­gra­fie­sleu­tels heeft die wordt toegepast op speci­fieke appli­ca­ties of gebruiksscenario’s (36%), of dat ze geen gecen­tra­li­seerde strategie voor het cryp­to­be­heer hebben (25%).

Om infor­matie en de IT-infra­struc­tuur te bevei­ligen, moeten orga­ni­sa­ties hun vermogen verbe­teren om cryp­to­gra­fi­sche oplos­singen en methoden effectief in te zetten. De meeste respon­denten zeggen dat hun orga­ni­sa­ties niet goed in staat zijn om bedrijfs­brede best practices en beleid toe te passen, misbruik van certificaten/​sleutels op te sporen en daarop te reageren, algo­rit­me­her­stel of inbreuken op te lossen en onge­plande certi­fi­caten te voorkomen.

Orga­ni­sa­ties erkennen dat ze niet over de benodigde expertise beschikken om de post-kwan­tum­ver­eisten voor te blijven. Als gevolg hiervan is het in dienst nemen en behouden van gekwa­li­fi­ceerd personeel de belang­rijkste stra­te­gi­sche prio­ri­teit voor digitale veilig­heid (55% van de respon­denten). Dit wordt gevolgd door het bereiken van crypto-agility (51%), wat het vermogen is om de cryp­to­gra­fi­sche algo­ritmen, para­me­ters, processen en tech­no­lo­gieën efficiënt bij te werken om beter te kunnen reageren op nieuwe proto­collen, stan­daarden en cyber­drei­gingen. Inclusief die kwan­tum­com­pu­ting gebruiken.

Om klaar te zijn voor post-kwan­tum­com­pu­ting hebben orga­ni­sa­ties een strategie met mana­ge­ment­steun nodig, inzicht in alle cryp­to­gra­fi­sche sleutels en activa en gecen­tra­li­seerde stra­te­gieën voor cryp­to­be­heer die consis­tent in de hele orga­ni­satie met verant­woor­de­lijk­heid en eige­naar­schap worden toegepast.

Het volledige onder­zoeks­rap­port is hier te downloaden.