Mentre molti team IT sono attualmente concentrati sull’evoluzione della propria infrastruttura di sicurezza per combattere la nuova ondata di attacchi basati sull’intelligenza artificiale, c’è un’altra tecnologia emergente che è destinata a causare notevoli cambiamenti nei prossimi anni: la crittografia post-quantistica.
L’imminente commercializzazione del quantum computing – e le implicazioni che ciò comporta per la crittografia – potrebbe introdurre seri pericoli per i team di cybersecurity se non ci si prendono provvedimenti il prima possibile. Ma quanto è vicina questa tecnologia a diventare una forza concreta nelle mani dei criminali informatici? Come dovrebbero prepararsi oggi le aziende per proteggere reti e dati e farsi trovare pronte per quando sarà il momento?
Indice degli argomenti
Il rischio quantistico
Il calcolo quantistico, nella sua funzione principale, consente di risolvere problemi matematici troppo complessi per i computer tradizionali, come la fattorizzazione di numeri molto grandi.
Tuttavia, questa capacità permetterà anche al quantum computing di decifrare molti algoritmi crittografici moderni che sono ampiamente utilizzati in varie piattaforme IT per crittografare le comunicazioni, proteggere i dati o creare firme digitali.
I computer quantistici che rappresentano una minaccia per la crittografia moderna non sono ancora disponibili in commercio. Ritengo però che la crittografia post-quantistica debba essere considerata una preoccupazione strategica aziendale per due motivi fondamentali.
- Innanzitutto, c’è il rischio concreto di attacchi retrospettivi. Le tecnologie crittografiche sono diventate così onnipresenti e integrate nei processi aziendali che la maggior parte dei dati viene crittografata digitalmente sia a riposo che in movimento per ridurre al minimo il rischio. Ma gli attacchi retrospettivi – noti anche come “raccogli ora e decifra dopo – consentono ai criminali di raccogliere dati cifrati oggi (che non sono ancora in grado di decifrare) e conservarli finché non disporranno di computer quantistici abbastanza potenti da violare la crittografia. Anche se i dati possono avere qualche anno quando saranno accessibili, potrebbero comunque essere sensibili e potrebbero causare danni ad aziende, dipendenti e clienti se divulgati.
- Il secondo motivo di preoccupazione per i vertici aziendali è l’entità degli investimenti richiesti e dei costi operativi per aggiornare o sostituire i sistemi IT legacy che utilizzano schemi crittografici vulnerabili ai computer quantistici. Ci sono molti rischi, sia dal punto di vista finanziario che della sicurezza, nel migrare da vecchi sistemi legacy a versioni più recenti – e tutti sono aggravati quando questa attività viene svolta in fretta. Attualmente non esistono computer quantistici in grado di compromettere la crittografia tradizionale, ma grandi aziende private e governi stanno investendo massicciamente in questo campo. quindi la prospettiva è che siamo solo a pochi anni da questa svolta. Per ridurre l’impatto economico, le aziende dovrebbero aggiornare i propri sistemi gradualmente in vista del quantum computing commerciale, piuttosto che aspettare la svolta ed essere costrette a investire pesantemente in una ricostruzione della propria infrastruttura (o rischiare di essere lasciate indietro dalla concorrenza).
Occorre agire in tempo
Sebbene non ci sia ancora un consenso unanime su quando saranno disponibili i computer quantistici commerciali, la maggior parte degli scienziati concorda sul fatto che non sarà prima di almeno 3-5 anni. Ma i governi stanno già delineando raccomandazioni per le aziende in modo tale che inizino ora a prepararsi alla transizione verso la crittografia quantistica.
Ad esempio, l’agenzia di sicurezza informatica del Regno Unito – il National Cyber Security Centre (NCSC) – ha recentemente pubblicato una guida che incoraggiava le aziende a prepararsi sin da subito alla transizione per consentire una migrazione più fluida e controllata che ridurrà il rischio di implementazioni affrettate e relative lacune di sicurezza. In particolare, il NCSC ha invitato le aziende a investire in visibilità, per comprendere quali sistemi possiedono e quali dovranno essere aggiornati in vista della transizione.
Anche l’Unione Europea sta lavorando a una guida sulla crittografia quantistica e prevedo che le normative di settore, come la NIS2 e la DORA, si evolveranno presto per includere la crittografia post-quantistica come parte delle loro misure di conformità fondamentali.
Tenendo presente questo, mentre qualsiasi documentazione governativa sul quantistico è attualmente solo indicativa e non obbligatoria, suggerirei ai CISO e ai responsabili IT di assicurarsi che sia nell’agenda del loro consiglio di amministrazione il prima possibile. Ciò li aiuterà a evitare di dover correre per raggiungere la conformità e spendere un sacco di tempo e denaro in un colpo solo quando queste linee guida diventeranno legge.
Il prossimo passo
Mentre la minaccia tangibile del quantum computing potrebbe essere ancora a qualche anno di distanza da una prospettiva di cybersecurity, i rischi che pone sono abbastanza significativi da giustificare misure proattive oggi. Le aziende dovrebbero iniziare a prepararsi ora comprendendo i loro sistemi attuali e pianificando aggiornamenti incrementali per garantire una transizione graduale alla crittografia post-quantistica. Così facendo, possono mitigare il rischio di attacchi retrospettivi ed evitare la pressione finanziaria e operativa di implementazioni affrettate.
Governi e agenzie di cybersecurity stanno già fornendo indicazioni per aiutare le aziende ad affrontare questa transizione. È fondamentale che i CISO e i responsabili IT diano la priorità a questo problema e lo portino all’attenzione dei loro consigli di amministrazione.
La preparazione tempestiva non solo salvaguarderà i dati sensibili, ma posizionerà anche le aziende per mantenere il loro vantaggio nel panorama competitivo man mano che il quantum computing diventa una realtà.
In definitiva, la chiave del successo futuro risiede nella lungimiranza e nella pianificazione strategica. Affrontando il rischio quantistico ora, le aziende possono garantire che la loro infrastruttura di sicurezza rimanga solida e resiliente di fronte alle minacce tecnologiche emergenti.
