ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Цифровая эволюция неудержима, и хотя ее темпы могут варьироваться, все, как правило, складывается скорее раньше, чем позже. Это, конечно, относится и к противникам. Рост популярности программ-вымогателей и кибервымогательства привел к появлению сложной и высокопрофессиональной преступной экосистемы. Эра облачных технологий принесла с собой общедоступность практически бесконечных объемов хранилищ данных. Таким образом, буквально ничто не мешает преступникам красть и торговать огромными массивами данных, будь они зашифрованы или нет.

Терпеливые противники используют стратегию «Собрать сейчас, расшифровать позже» (HNDL). Они тихо накапливают зашифрованные данные с намерением расшифровать их позже с помощью квантовых компьютеров. Любые данные, требующие долгосрочной безопасности, такие как коммерческие тайны или секретные проекты, уязвимы, потому что их срок службы неизбежно превысит срок действия текущего шифрования. Поэтому организациям крайне важно начать планировать переход на PQC уже сейчас, чтобы обеспечить безопасность зашифрованных сегодня данных от будущих атак с использованием квантовых компьютеров.

Криптография является основой цифрового доверия, но надвигающаяся эра квантовых вычислений угрожает ее фундаменту.

Используя квантовую физику, будущие квантовые машины без труда взломают математические схемы шифрования, которые сегодня защищают данные. Текущие прототипы [1] еще не готовы, поскольку им фундаментально не хватает масштаба и способности исправлять ошибки, необходимых для успешного выполнения сложных квантовых алгоритмов. Однако перспектива появления зрелого квантового компьютера, пригодного для криптографии (CRQC), вызывает тревогу. Такая машина, вероятно, сможет взломать современное шифрование за считанные минуты, возможно, к 2030–2035 годам.

Чтобы противостоять надвигающейся угрозе квантовых вычислений, наша криптография должна немедленно развиваться. Именно поэтому в качестве решения внедряется постквантовая криптография (PQC) [2]. PQC предоставляет новые криптографические алгоритмы, разработанные для противостояния атакам как современных классических компьютеров, так и будущих квантовых машин.

Пошаговое руководство по обеспечению будущей защиты с помощью PQC

Переход на PQC — это сложный процесс, который охватывает всю организацию и потенциально затрагивает ее архитектуру безопасности. Этот масштабный переход осложняется текущим состоянием планирования в отрасли. В технической литературе до сих пор нет единого мнения относительно общих шагов или единой терминологии для стратегий перехода. Без общего языка компаниям сложно эффективно сравнивать, принимать или координировать наиболее подходящие стратегии перехода.

Наше исследование показывает, что следующая стратегия предлагает эффективную универсальную структуру, которая может быть адаптирована для любой организации. [3, 4, 5, 6, 7, 8, 9]

Security Navigator 2026 уже доступен — скачайте сейчас

Недавно выпущенный Security Navigator 2026 предлагает важную информацию о текущих цифровых угрозах, документируя 139 373 инцидента и 19 053 подтвержденных нарушения. Это не просто отчет, а руководство по навигации в более безопасном цифровом пространстве.

Углубленный анализ: статистика от CyberSOC, сканирование уязвимостей, пентестинг, CERT, Cy-X и наблюдения за программами-вымогателями из Dark Net.

Готовность к будущему: вооружитесь прогнозами в области безопасности и историями из практики.

Истории от специалистов по безопасности со всего мира.

Углубленный анализ безопасности: получите информацию о новых тенденциях, связанных с генеративным ИИ, операционными технологиями и постквантовой криптографией.

Будьте на шаг впереди в области кибербезопасности. Ваш незаменимый путеводитель ждет вас!

На этом этапе важно подчеркнуть, что для каждой миграции необходимо создать команду по миграции. Эта команда должна состоять из экспертов по криптографии и кибербезопасности, а также менеджеров из области программного обеспечения или инфраструктуры, подлежащей миграции. Команда будет продвигать процесс миграции и обеспечивать его завершение.

Шаг 1 (Подготовка): На этом этапе определяются объем и руководство процессом миграции PQC. Ключевые мероприятия включают оценку актуальности и срочности PQC, назначение руководителя программы, согласование четких целей с заинтересованными сторонами и начало переговоров с поставщиками для определения потребностей миграции.

Шаг 2 (Диагностика): На этом этапе проводится тщательная оценка текущего состояния кибербезопасности для установления комплексной базовой линии безопасности. Ключевые мероприятия включают документирование всех криптографических активов, классификацию данных в зависимости от срока их конфиденциальности, выявление поставщиков криптографических инструментов для оценки их готовности к PQC и проведение формальной оценки рисков для составления приоритезированного списка активов на основе таких принципов, как теорема Моски [12].

Шаг 3 (Планирование): После определения срочности и объема работ этот этап сосредоточен на вопросах «как» и «когда». Он посвящен стратегии миграции, созданию комплексного бизнес-плана и технического плана, а также графика на основе срочности и объема работ, определенных на предыдущих этапах. Ключевые мероприятия включают назначение специального менеджера по миграции для контроля за процессом и проведение комплексной оценки затрат на всю миграцию.

Шаг 4 (Выполнение): Этот критически важный этап включает в себя выполнение плана по созданию квантово-безопасной среды посредством тщательной технической реализации. Ключевые мероприятия включают в себя поддержание обратной совместимости с помощью гибридного криптографического подхода, внедрение рекомендуемых примитивов PQC для обмена ключами и подписей, корректировку размеров ключей и интеграцию криптографической гибкости для обеспечения быстрой адаптации с минимальными перебоями в обслуживании.

Шаг 5 (Непрерывный мониторинг и обновление): этот заключительный этап сосредоточен на постоянной бдительности после миграции с учетом динамичной криптографической среды. Ключевые мероприятия включают регулярный пересмотр и обновление криптографического инвентаря, проведение регулярных обзоров возникающих угроз для схем PQC, проведение проактивных аудитов безопасности и оценок уязвимостей, а также отслеживание последних достижений в области PQC для обеспечения своевременного обновления систем и программного обеспечения.

Решение ключевых проблем: практический чек-лист

Для обеспечения успешной миграции PQC организации должны проактивно выявлять и устранять ключевые препятствия, которые могут помешать прогрессу. Они должны понимать, что переход предполагает решение трех взаимосвязанных категорий задач.

Организационные проблемы: эти нетехнические препятствия связаны с людьми, стратегическим планированием, внутренним управлением и координацией в более широкой экосистеме, что часто осложняется отсутствием срочности или квалифицированного персонала.

Проблемы PQC: они напрямую связаны с незрелостью новой технологии. Хотя в настоящее время у нас есть первоначальные стандарты, такие как ML-KEM и его реализация в протоколах, таких как TLS, отсутствие стандартизации полного набора алгоритмов и неопределенность в выборе и тестировании надежных решений PQC остаются серьезными препятствиями. Основная проблема заключается в отсутствии конкретных руководящих принципов реализации, таких как эффективное внедрение механизмов гибридизации или гибкости.

Проблемы кода и документации: это технические препятствия, вызванные негибкостью существующей ИТ-инфраструктуры (устаревших систем), необходимостью обширных изменений кода и сложностью внедрения безопасных криптографических изменений.

Ниже приводится разбивка основных препятствий для успешного перехода на PQC и предлагаются решения для каждого из них. Каждое препятствие относится к одной из ранее установленных категорий проблем. Более подробное обсуждение дополнительных препятствий см. в ссылках [71] и [11].

Отсутствие срочности и бизнес-обоснования (организационное):

Проблема: угроза квантовых вычислений кажется отдаленной, что затрудняет формирование чувства срочности и получение одобрения бюджета со стороны руководства.

Решение: Организации могут использовать такие инструменты, как теорема Моска [12], для количественной оценки своей уязвимости и инвентаризации криптографических активов, чтобы улучшить текущую кибербезопасность независимо от сроков появления квантовых технологий.

Нехватка внутренних знаний и навыков (организационная):

Проблема: Недостаток внутренних знаний о квантовых угрозах и нехватка квалифицированного персонала для внедрения новых решений PQC.

Решение: Запустить учебные инициативы для ИТ-специалистов и руководства. Привлечь внешних консультантов по PQC для разработки стратегии и передачи знаний.

Внутреннее управление и планирование (организационное):

Проблема: отсутствие управления PQC и четко сформулированного плана перехода, что приводит к неэффективной приоритезации задач и операционной неэффективности.

Решение: Назначить менеджера по миграции PQC или руководящий комитет, который будет отвечать за инвентаризацию криптографических средств для приоритезации миграции с учетом рисков.

Сбои в экосистеме и координации (организационные):

Проблема: Отсутствие вовлеченности экосистемы, нечеткое управление и ограниченное сотрудничество препятствуют переходу на PQC.