Quantumdreiging: een nieuwe cyberdreiging voor organisaties in de publieke sector

De opkomst van quantumcomputers belooft de samenleving veel voordelen, maar creëert tegelijkertijd een ernstig cybersecurity- risico voor moderne digitale systemen. Het beveiligen van kritieke infrastructuur en systemen tegen deze nieuwe dreiging is binnen organisaties in de publieke sector dan ook van cruciaal belang. Een goed begrip van de dreiging, en van tevoren weten hoe erop te reageren, kan organisaties helpen om de ergste gevolgen te voorkomen.

Recentelijk is er een toenemend aantal cyberaanvallen op kritieke infrastructuur geweest, gepleegd door statelijke actoren. Maar met de opkomst van de quantumcomputer ontstaat er ook een nieuwe dreiging. Statelijke en cyberdreigingsactoren met kwade bedoelingen kunnen met behulp van quantumcomputers de beveiliging van overheids- en bedrijfssystemen doorbreken.

Dit artikel gaat in op de aard van de dreiging die quantumcomputers met zich mee kunnen brengen en hoe overheden en andere instanties in landen de dreiging hebben erkend en zijn begonnen met het reageren erop. Ook gaan we dieper in op de risico’s die de quantumdreiging kan veroorzaken, en hoe organisaties in de publieke sector de dreiging kunnen aanpakken met de inzet van post-quantum cryptografie. Tot slot geeft dit artikel een aantal aanbevelingen en mogelijke maatregelen die organisaties in de publieke sector kunnen overwegen voor de transitie naar een quantumveilige wereld.

Toenemende statelijke cyberdreigingen

De volatiele geopolitiek speelt een aanzienlijke rol in cybersecurity. Met een toenemend aantal aanvallen, groeiende dreigingsvectoren en escalerend algehele impact geeft dit gestalte aan het dreigingslandschap, waarbij zich voor cyberdreigingen een geheel nieuw paradigma aandient. Volgens recent onderzoek uitgevoerd door Dr. Mike McGuire, ‘Nation States, Cyberconflict and the Web of Profit’1, is er tussen 2017 en 2020 100% toename geweest van significante incidenten waarbij natiestaten betrokken waren. Statelijke cyberaanvallen kunnen aanvallen zijn op kritieke civiele en niet-civiele infrastructuur van overheids- en particuliere organisaties. Bovendien, zegt het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA)“Destructieve aanvallen vormen een prominente component van de operaties van statelijke actoren2”. Deze statelijke aanvallen worden steeds geraffineerder en kunnen zeer veel schade aanrichten. De motivatie hiervan is spionage met de intentie om toegang te verkrijgen tot gevoelige/geheime gegevens en ander intellectueel eigendom. Ze kunnen ernstige verstoringen veroorzaken door mogelijke destructieve aanvallen. Volgens een rapport van Microsoft3 is gedurende 2021 en 2022 een toenemend aandeel (20 tot 40%) cyberaanvallen gericht geweest op kritieke infrastructuur.

Quantumdreiging: een nieuwe dreiging op komst

Als gevolg van de opkomst van quantumcomputers wacht ons een nieuwe dreiging. Deze computers werken op basis van de principes van quantumfysica. In potentie zorgen ze voor een exponentiële versnelling bij het oplossen van bepaalde soorten computerberekeningen in vergelijking met klassieke computers. Deze ongekende rekenkracht zal het mogelijk maken om problemen op te lossen die tot nu toe onhaalbaar leken. Hiermee zal het industrieën en economieën in detoekomst transformeren. Echter, vormen deze quantumcomputers mogelijk ook een significante dreiging voor de veiligheid van veel van de huidige cryptografische systemen die gebruikt worden.

De huidige asymmetrische cryptografische algoritmes bieden de gewenste beveiliging op basis van de complexiteit van wiskundige problemen, zoals de ontbinding van getallen in priemfactoren. Dit is met klassieke computers vrijwel onmogelijk binnen een redelijk tijdsbestek op te lossen. Toch, kan een voldoende grote en geschikte quantumcomputer, die gebruik maakt van het algoritme van Shor4, de factoratie-opdracht mogelijk binnen enkele uren uitvoeren, zo niet minuten.

Statelijke en andere cyberdreigingsactoren met kwade bedoelingen die quantum computers gebruiken, kunnen mogelijk de beveiliging kraken van overheids- en bedrijfssystemen. Daarmee zouden ze openbare voorzieningen en nutsinfrastructuur kunnen ontwrichten en zelfs beschadigen, financiële transacties verstoren en persoonsgegevensbescherming kunnen aantasten. Gezien de kritieke aard van systemen in de publieke sector, is de veiligheid hiervan van cruciaal belang. Elke potentiële aanval op de systemen zou ernstige gevolgen kunnen hebben voor de economische activiteit en veiligheid van een land.

Terwijl organisaties in de publieke sector groots investeren in digitale transformatietrajecten binnen hun IT- en OT-landschappen, blijken grootschalige beveiligingsgerelateerde kwetsbaarheden veel voor te komen. Een aanvaller met een cryptografisch-relevante quantumcomputer vormt een potentieel risico voor:

• Digitale systemen en platformen die bedrijfsgevoelige data verwerken, zoals de persoonsgegevens van burgers, klanten en ambtenaren/medewerkers. Het zou grote schade kunnen toebrengen aan de bedrijfsvoering en digitaal opgeslagen gegevens kunnen manipuleren, inclusief juridische documenten door gecompromitteerde certificaten en handtekeningen. Dit veroorzaakt een verlaagd vertrouwensniveau en betrouwbaarheid van systemen bij organisaties in de publieke sector.
• Kritieke infrastructuursystemen, resulterend in gecompromitteerde controle over nutsinfrastructuur die betrekking heeft op bijvoorbeeld het elektriciteitsnet, gaspijpleidingen en waterinstallaties, met verstoringen van publieke voorzieningen tot gevolg, en de daaruit voortvloeiende negatieve impact op volksgezondheid, veiligheid en de economie.
• Nationale defensiesystemen: een aanvaller zou toegang kunnen krijgen tot – en controle over – destructieve wapens, staatsgeheimen en communicatiesystemen. Dit kan de nationale veiligheid in gevaar brengen.

Een quantumcomputer die in staat is om de huidige cryptografie te kraken en bovenstaande dreigingen te vormen, bestaat op dit moment echter nog niet. Het zal misschien nog vele jaren duren voordat dit gerealiseerd wordt. Er is geen tijdslijn voor deze quantumdreiging bekend. Toch volgen de ontwikkelingen op het gebied van quantumcomputers in rap tempo, zowel voor hardware als software. Nieuwe, creatieve en verfijnde algoritmes en methoden worden onderzocht en ontwikkeld, waarmee het quantumvoordeel in een steeds hogere versnelling komt. Bovendien is er ook een ander soort aanval, namelijk de ‘Store Now, Decrypt Later’ aanval. Hierbij kunnen dreigingsactoren versleutelde data vandaag opslaan om deze in de toekomst te ontcijferen, wanneer ze werkelijk over krachtige quantumcomputers beschikken. Dit vormt een serieuze uitdaging voor organisaties in de publieke sector die werken met data met langere termijn geheimhoudingsplicht. Het is daarom van cruciaal belang dat alle overheidsorganisaties en organisaties in de publieke sector spoedig beginnen met hun traject naar quantumveilig.

Hoe reageren overheden en gerelateerde organisaties op de quantumdreiging?

Overheden en andere instanties in landen onderkennen de dreiging en zijn begonnen om zich erop voor te bereiden. In 2022 waren er veel ontwikkelingen met betrekking tot voorbereidingen voor quantumveilige cryptografie. Zes daarvan waren belangrijke mijlpalen die veel aandacht op de ernst van de quantumdreiging vestigden.

• De eerste is de aankondiging5 door de National Institute of Standards and Technology (NIST) over de selectie van de eerste groep van vier Post-Quantum Cryptografie (PQC) encryptie algoritmes voor standaardisatie. Deze algoritmes zijn ontworpen om weerbaarheid te bieden tegen dreigingen van toekomstige quantumcomputers. Dit is geen kleine prestatie, gezien het feit dat dit selectieproces het resultaat is van wereldwijde inspanningen onder leiding van NIST als post-standaardisatieproject voor kwantumcryptografie. Dit heeft meer dan zes jaar gekost (startend in 2016).
• De tweede ontwikkeling is de publicatie in de VS van het National Security Memorandum6, dat de belangrijkste stappen identificeert die genomen moeten worden voor concurrentievoordeel in quantum-informatiewetenschap en quantumcomputer risicovermindering door quantumbestendige cryptografie. Dit vormt een leidraad voor overheidsinstellingen die vroeg beginnen met actie ondernemen in de transitie van cryptografische systemen naar quantumbestendige cryptografie. De National Security Agency (NSA) verwacht dat de transitie van ‘National Security Systems’ (NSS) naar quantumveilige cryptografie zal verlopen volgens verschillende tijdlijnen op basis van use- cases. De eerstkomende is een begin van de transitie van software en firmware signing use cases, zodat deze in 2025 worden ondersteund door quantumveilige algoritmes, met een complete transitie van alle national securitysystemen in 2035.
• De derde ontwikkeling is de toezegging die is gedaan door leden van de G7 7 om samenwerking op het gebied van cyber te intensiveren en bevorderen, en om quantumbestendige cryptografie in te zetten voor beveiligde interoperabiliteit tussen de systemen van de digitale economie.
• De vierde ontwikkeling is de publicatie van het rapport over het post-quantum cryptografie integratie-onderzoek8 door het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA). Het document verkent de uitdagingen van PQC-standaardisatie, en de noodzaak om nieuwe protocollen en modificaties te ontwerpen voor bestaande cryptografische protocollen.
• De vijfde ontwikkeling is de publicatie van een memorandum9 door het “Office of Management and Budget” van het Witte Huis, dat overheidsinstanties instructies geeft om te beginnen met de migratie naar post-quantum cryptografie. Daarbij worden duidelijke deadlines meegegeven.
• En tot slot, de zesde ontwikkeling, het invoeren van het Quantum Computing Cybersecurity Preparedness Act 10 in de Verenigde Staten, dat alle federale instanties verplicht om te migreren naar post-quantum cryptografie.
• Overheden en instanties wereldwijd houden verschillende tijdlijnen aan wat betreft de vorderingen, en bevinden zich in verschillende stadia van het migratieproces. De algemene richting is om organisaties in de publieke sector de quantumdreigingen te laten inzien en voorbereidingen te treffen om dit aan te pakken. Om dit proces te faciliteren en versnellen, moeten cybersecurity instanties en industrieën, de organisaties in de publieke sector praktische methoden, kaders en tools in handen geven, evenals een duidelijk stappenplan.

Het transitietraject naar quantumveilige cryptografie is onder te verdelen in twee belangrijke fasen:

Voorbereidingsfase: Dit is de fase om een goed begrip te ontwikkelen van – en alle informatie te verzamelen over – de cryptografie die wordt gebruikt voor de verschillende applicaties binnen een organisatie, en om te begrijpen hoe verschillende post-quantum cryptografische en hybride algoritmes impact hebben op de prestaties van verschillende applicaties. De belangrijke stappen in deze fase zijn onder anderen:

• Informeer directies, management en medewerkers over quantumdreiging en post-quantum cryptografie door gerichte workshops en trainingen te geven.
• Verricht een snelle quantumrisico assessment om diepgaand inzicht te krijgen in de grootte en complexiteit van het landschap, zodat de migratie goed kan worden gepland.
• Doe onderzoek, maak een inventarisatie organisatie van cryptografie systemen en applicaties, en verzamel informatie en data, de gevoeligheid ervan en hoe lang het bewaard dient te worden.
• Voer een gedetailleerde analyse uit van de inventarisatie en de verzamelde data, definieer een roadmap en plan met prioritering van systemen voor transitie.
• Experimenteer met post-quantum cryptografische algoritmes en protocollen, inclusief hybride varianten, in verschillende applicaties met specifieke prestatie-eisen.
• Bepaal specifiek beleid en governance mechanismes, in lijn met de beveiligingsmaatregelen en behoeften van organisaties. Voor zowel het opschonen van bestaande systemen als huidige en toekomstige transformatieprogramma’s.
• Creëer specifieke partner- en leveranciersecosystemen, in lijn met de roadmap en het beleid van de
• Tref voorbereidingen om Crypto Agility te implementeren als onderdeel van dit traject. Maak plannen om het volwassenheidsniveau van Crypto Agility te verhogen gedurende het gehele proces. Dit maakt het voor organisaties mogelijk om zich aan te passen aan dynamische situaties en om opkomende cryptografie te kunnen implementeren met minimale systeemaanpassingen.

Migratiefase: Na de voorbereidingsfase en met een goed gedefinieerde roadmap, kan de migratiefase worden gestart. Gedurende deze fase wordt de transitie naar quantumveilige cryptografie geïmplementeerd in de systemen binnen de organisatie. Nieuwe implementaties worden getest en gevalideerd op hun verwachte veiligheid, functionaliteit en prestaties. De belangrijkste stappen in deze fase zijn onder anderen:

• Definieer en implementeer governance en programmamanagementprocessen en systemen ten behoeve van efficiënte uitvoering van de transitie.
• De selectie van productiewaardige PQC- content en gerelateerde protocollen ter ondersteuning van klassieke, post- quantum en hybride aanpakken die voldoen aan de nieuwste standaarden en specificaties.
• Update systemen naar quantumveilige algoritmes en protocollen, alsmede de aanpassing van applicaties en versterking van kritieke openbare infrastructuur volgens de roadmap.
• Voer testen en validatie uit op de geüpgradede systemen voor beveiliging, functionaliteit en prestaties.
• Doorloop het compliance- of certificeringsproces, naargelang van toepassing.
• Tot slot wordt de fase bereikt van voortdurend onderhoud van de systemen, met continue verbetering van de crypto agility van de organisatie.
• Gedurende deze fase moet post- quantum cryptografie ook worden geïntegreerd in systemen van doorlopende en toekomstige programma’s.

De vooruitgang in quantumcomputer- technologie brengt de potentiële dreiging van statelijke en andere actoren steeds dichterbij. Migratie naar quantumveilige cryptografie is cruciaal in de beveiliging tegen zulke dreigingen. Met het oog op een soepele transitie naar een quantumveilige wereld, dienen overheids- en andere organisaties in de publieke sector te starten met hun migratie door een post-quantum cryptografische roadmap te volgen. Dit hele migratieproces is zeer complex en vergt misschien jarenlange en continue inspanning. Daarom worden organisaties in de publieke sector aangeraden om nu te starten met de voorbereidingen voor een lang en gecompliceerd traject naar quantumveilig.

Reference

1. https://threatresearch.ext.hp.com/web-of-profit-nation-state-report/

2. https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

3. https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5bUvv?culture=en-us&country=us

4. https://en.wikipedia.org/wiki/Short_algorithm

5. https://www.nist.gov/news-events/news/2022/07/nist-announces-first-four-quantum-resistant-cryptographic-algorithms

6. https://www.whitehouse.gov/briefing-room/statements-releases/2022/05/04/national-security-memorandum-on-promoting-united-states-leadership-in-quantum-computing-while-mitigating-risks-to-vulnerable-cryptographic-systems/

7. https://www.whitehouse.gov/briefing-room/statements-releases/2022/06/28/fact-sheet-the-united-states-continues-to-strengthen-cooperation-with-g7-on-21st-century-challenges-including-those-posed-by-the-peoples-republic-of-china-prc/

8. https://www.enisa.europa.eu/news/enisa-news/

9. https://www.whitehouse.gov/wp-content/uploads/2022/11/M-23-02-M-Memo-on-Migrating-to-Post-  Quantum-Cryptography.pdf

10. https://www.congress.gov/bill/1