Handreiking voor beveiliging tegen quantumcomputers

De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en het Nationaal Cyber Security Centrum (NCSC) publiceren een gezamenlijke handreiking ’Maak je organisatie quantumveilig’. Hiermee kunnen organisaties hun data beveiligen tegen aanvallen met toekomstige quantumcomputers.
De ontwikkeling van krachtige quantumcomputers is de laatste jaren in een stroomversnelling geraakt. Organisaties moeten nu in actie komen en zich gaan voorbereiden om tijdig te kunnen migreren naar quantumveilige cryptografie. De verwachting van experts is dat quantumcomputers tussen 2030 en 2040 waarschijnlijk over voldoende rekenkracht zullen beschikken om veel van de nu meest gebruikte vormen van cryptografie te kunnen breken. De nu gepubliceerde handreiking is een aanvulling op het recent gepubliceerde PQC-migratiehandboek en biedt een nadere uitwerking van de daarin beschreven stappen en maatregelen.
Voorbereiding
De migratie naar quantumveilige cryptografie/post-quantumcryptografie (PQC) zal organisaties veel tijd en middelen gaan kosten. In de handreiking bieden de AIVD en het NCSC de CIO’s, CTO’s en CISO’s van de overheid, het bedrijfsleven en kennisinstellingen een aantal concrete handvatten aan voor het inventariseren van de risico’s die een organisatie loopt ten aanzien van de quantumdreiging. Ook helpt het document bij het inventariseren van cryptomiddelen die een organisatie gebruikt, bij het beoordelen van de risico’s en bij het opstellen van een migratieplan.
Urgentie
De urgentie om te migreren is voor iedere organisatie anders. Sommige organisaties kunnen niet wachten op de standaarden voor post-quantumcryptografie, die naar verwachting vanaf 2024 beschikbaar komen, omdat hun data nu al quantumveilig moeten zijn. Voor andere organisaties is het minder dringend en kunnen nog wachten op het beschikbaar komen van de quantumveilige cryptografische standaarden. De urgentie en snelheid om te migreren is afhankelijk van het risicoprofiel van de organisatie, maar voor alle organisaties geldt dat het belangrijk is om een specifieke risicoanalyse voor de quantumdreiging uit te voeren en te beginnen met het voorbereiden op de migratie naar quantumveilige cryptografie.