Vain murto-osa Suomen kriittisen infrastruktuurin toimijoista on varautunut kvanttitietokoneiden tulevaan kykyyn murtaa tietoliikenteen salaus, ilmenee Teknologian tutkimuskeskus VTT:n Huoltovarmuuskeskukselle tekemässä kattavassa selvityksessä.
Kyselyyn vastasi sata organisaatiota eri toimialoilta, kuten energia- ja vesihuollosta sekä finanssi- ja logistiikka-alalta. Vastaukset paljastivat karusti, että valmius on heikolla tolalla.
– Kolme neljästä on tietoisia kvanttiuhasta, mutta odotukset ovat kovin optimistisia. Yli puolet organisaatioista uskoi, että ne voivat vaihtaa salausalgoritmit, vaikka vain neljäsosalla oli tiedossa, mitä ja millaista salausta koskevaa tekniikkaa ja menetelmiä on tällä hetkellä käytössä. Vasta kolme prosenttia oli varannut resursseja kvanttiturvalliseen salaukseen siirtymiseksi. Tämä on aika synkkä tilanne, sanoo VTT:n salausmenetelmien erikoistutkija Visa Vallivaara tiedotteessa.
Kvanttitietokoneiden arvioidaan saavuttavan 5–15 vuoden kuluttua kyvyn murtaa nykyiset tietoliikenteen salaukset. Vaikka aikaa siis näyttäisi olevan, siirtymistä uudenlaiseen salaukseen ei ole syytä lykätä.
VTT:n mukaan vihamieliset valtiot ja kyberrikolliset voivat jo nyt tallentaa kannaltaan kiinnostavien organisaatioiden tietoliikennettä odottamaan aikaa, jolloin salaukset voidaan purkaa. Kvanttikoneiden kehitys voi myös edetä ennakoitua nopeammin.
Lähes kaikki huoltovarmuustoimijat käyttävät salausta tiedonsiirtoon eli vaiheeseen, jossa tietoa on helppo varastaa. Kyse voi olla esimerkiksi luottamuksellisista dokumenteista, asiakas- ja henkilötiedoista tai sähköposteista ja muusta viestinnästä. Selvityksen vastaajista yli puolella on tietoa, joka täytyy salata yli kymmenen vuotta, kolmasosalla yli 20 vuotta.
Ensimmäiset kvanttiturvallisten salausalgoritmien standardit ovat tulossa tämän vuoden aikana. Siirtymisen niiden käyttöön voi sen jälkeen käynnistää. Sertifioituja versioita ja kaupallisia sovelluksia saapunee saataville pari vuotta myöhemmin.
Tiekartta auttaa inventaariossa ja priorisoinnissa
Edistääkseen siirtymistä kvanttiturvallisiin algoritmeihin VTT ja Huoltovarmuuskeskus ovat laatineet kriittisen infrastruktuurin organisaatioille ohjeistavan varautumistiekartan, joka näyttää miten ja missä järjestyksessä kannattaa edetä.
– Siirtymään menee aikaa etenkin isossa organisaatiossa. Esimerkiksi ministeriössä se voi kestää vuosia. Siksi siirtymä kannattaa paloitella. Olennaista on aluksi tehdä käytössä olevan salauksen kattava inventaario, koska sen pohjalta onnistuu siirtymän priorisointi. Siirtymä täytyy aloittaa kaikkein kriittisimmistä tiedoista, joiden täytyy pysyä salattuina ajallisesti pisimpään, Vallivaara sanoo.
Siirtymä kvanttiturvalliseen salaukseen täytyy suunnitella ja sen toteuttamiseen täytyy varata resursseja. Lisäksi siirtymä täytyy koordinoida kumppaneiden kanssa, jotta yhteensopivuus varmistuu. Tiekartan alkupuoleen kuuluu myös avainhenkilöstön koulutus ymmärtämään, miksi ja miten siirtyä kvanttiturvallisiin algoritmeihin.
Vallivaaran mukaan tärkeä tekijä on kryptoketteryys eli kyky vaihtaa klassisesta kvanttiturvalliseen salausalgoritmiin sekä yhdestä kvanttiturvallisesta algoritmista toiseen.
– Siksi nyt kannattaa valita tuotteita, joissa on helposti päivitettävät salausmenetelmät. Lisäksi siirtymävaiheessa voi käyttää hybridiratkaisuja, jotka käyttävät molempia algoritmeja yhtä aikaa.
Yhdysvalloissa ja Britanniassa suositellaan, että siirrytään kerralla. Euroopassa Ranskassa ja Saksassa halutaan käyttää hybridimenetelmiä, jotka kuitenkin hidastavat toimintoja. Ne ovat myös mutkikkaampia, jolloin virheiden riski on suurempi.
Suomi ja Eurooppa pahasti jäljessä
Selvityksen yhteydessä VTT kartoitti myös kansainvälisesti kvanttiaikakauteen varautumisen tason. Suomessa valmius on selvästi jäljessä naapurimaista.
– Suomessa hyvin harvoilla on salausstrategia toisin kuin naapurimaissa, eivätkä organisaatiot ole riittävästi varautuneet salauksen ketteryyteen, Vallivaara vertaa.
Eurooppa taas laahaa Yhdysvaltojen ja muiden englanninkielisten maiden perässä. Yhdysvalloissa laki vaatii jo, että viranomaisilla on oltava kvanttiturvalliset algoritmit vuoteen 2030 mennessä.
– Jos yritys siellä haluaa tehdä viranomaisten kanssa yhteistyötä, sen täytyy todistaa, että kvanttiturvallisuus on huomioitu. Tämä koskee myös suomalaisia yrityksiä, jos niiden liiketoimintaan liittyy jokin viranomainen, Vallivaara huomauttaa.