DigiCert onderzoek over voorbereiden op veilige post-kwantumcryptografie

DigiCert onderzoek over voorbereiden op veilige post-kwantumcryptografie

DigiCert presenteert de resultaten van een wereldwijd onderzoek onder 1.426 IT- en securityprofessionals. Hierin analyseert de organisatie hoe organisaties zich voorbereiden op veilige post-kwantumcryptografie (PQC). Ondervraagde IT- en securityprofessionals luiden de noodklok. Ze stellen dat het nodig is om nu al te investeren in een kwantumveilige transitieplanning. In de praktijk hindert men hen door een gebrek aan duidelijk eigenaarschap. Dit naast te weinig budget en managementsuppport.

Kwantumcomputing

Kwantumcomputing maakt gebruik van de wetten van de kwantummechanica. Dit om problemen op te lossen die te complex zijn voor klassieke computers. Met kwantumcomputing wordt het kraken van encryptie echter veel eenvoudiger. Dit vormt een grote bedreiging voor de data- en gebruikersveiligheid.
“Post-kwantumcryptografie is een seismische gebeurtenis. IT- en securitymanagers moeten nu al met de voorbereiding beginnen. Innovatieve organisaties die al investeerden in crypto-agility zijn straks beter gepositioneerd om de transitie naar kwantumveilige algoritmen te beheren wanneer de definitieve standaarden in 2024 worden vrijgegeven”, aldus Amit Sinha, CEO van DigiCert

Belangrijke onderzoeksresultaten

Het Ponemon Institute ondervroeg 1.426 IT- en IT-securityprofessionals in de Verenigde Staten (605), EMEA (428) en Azië-Pacific (393). Zij zijn betrokken bij de aanpak van hun organisaties ten aanzien van post-kwantumcryptografie. Belangrijke resultaten van dit door DigiCert gesponsorde onderzoek zijn:

61% procent van de respondenten zegt dat hun organisaties niet bereid zijn en niet zullen zijn om de implicaties voor de cyberveiligheid als gevolg van PQC aan te pakken.
49% zegt dat het management van hun organisatie zich slechts enigszins bewust is (26%) of zich niet bewust is (23%) van de invloed van kwantumcomputing op de cyberveiligheid.
30% van de respondenten zegt dat hun organisaties budget vrijmaken om zich voor te bereiden.
52% van de ondervraagden zegt dat hun organisaties momenteel een inventarisatie maken van alle soorten gebruikte cryptografiesleutels en hun kenmerken.

Uitdagingen

Uit het onderzoek blijkt dat securityteams moeten omgaan met de druk om cyberaanvallen die gericht zijn op hun organisaties te blijven voorkomen en zich gelijktijdig moeten voorbereiden op een toekomst met post-kwantumcryptografie. Slechts vijftig procent van de respondenten zegt dat hun organisaties zeer effectief zijn in het beperken van risico’s, kwetsbaarheden en aanvallen in de hele onderneming. Volgens het onderzoek zijn ransomware en diefstal van inloggegevens de twee grootste cyberaanvallen waar organisaties momenteel mee te maken krijgen.

41% van de respondenten zegt dat hun organisatie minder dan vijf jaar de tijd heeft om er klaar voor te zijn. De grootste uitdagingen zijn echter niet de benodigde tijd, geld en expertise om succesvol te zijn. Slechts 30 procent van de respondenten zegt dat hun organisatie budget vrijmaakt voor PQC-gereedheid.

Gecentraliseerde strategie

Veel organisaties tasten in het duister over de kenmerken en locaties van al hun cryptografische sleutels. Iets meer dan de helft van de respondenten (52%) zegt dat hun organisaties al een inventarisatie maken van de soorten gebruikte cryptografiesleutels en hun kenmerken. Slechts 39% zegt dat ze prioriteit geven aan cryptografische assets en slechts 36% van de respondenten bepaalt of data en cryptografische assets zich op locatie of in de cloud bevinden.

Weinig organisaties hebben een gecentraliseerde strategie voor cryptomanagement, die consistent in de hele onderneming wordt toegepast. 61% van de respondenten zegt dat hun organisaties een beperkte strategie voor het beheren van cryptografiesleutels heeft die wordt toegepast op specifieke applicaties of gebruiksscenario’s (36%), of dat ze geen gecentraliseerde strategie voor het cryptobeheer hebben (25%).

Best practices

Om informatie en de IT-infrastructuur te beveiligen, moeten organisaties hun vermogen verbeteren om cryptografische oplossingen en methoden effectief in te zetten. De meeste respondenten zeggen dat hun organisaties niet goed in staat zijn om bedrijfsbrede best practices en beleid toe te passen, misbruik van certificaten/sleutels op te sporen en daarop te reageren, algoritmeherstel of inbreuken op te lossen en ongeplande certificaten te voorkomen.

Organisaties erkennen dat ze niet over de benodigde expertise beschikken om de post-kwantumvereisten voor te blijven. Als gevolg hiervan is het in dienst nemen en behouden van gekwalificeerd personeel de belangrijkste strategische prioriteit voor digitale veiligheid (55% van de respondenten).

Dit wordt gevolgd door het bereiken van crypto-agility (51%). Dit is het vermogen om de cryptografische algoritmen, parameters, processen en technologieën efficiënt bij te werken. Dit om beter te kunnen reageren op nieuwe protocollen, standaarden en cyberdreigingen. Inclusief die kwantumcomputing gebruiken.

Managementsteun

Om klaar te zijn voor post-kwantumcomputing hebben organisaties een strategie met managementsteun nodig. Naast inzicht in alle cryptografische sleutels en activa. En men behoeft gecentraliseerde strategieën voor cryptobeheer die consistent in de hele organisatie met verantwoordelijkheid en eigenaarschap worden toegepast.