DigiCert heeft de resul­taten bekend­ge­maakt van een wereld­wijd onder­zoek onder 1.426 IT- en securi­ty­pro­fes­si­o­nals naar hoe organi­sa­ties zich voorbe­reiden op veilige post-kwantum­cryp­to­grafie (PQC). Terwijl de onder­vraagde IT- en securi­ty­pro­fes­si­o­nals de noodklok luiden dat het nodig is om nu al te inves­teren in een kwantum­vei­lige transi­tie­plan­ning, worden ze in de praktijk gehin­derd door een gebrek aan duide­lijk eigenaar­schap, budget en managementsuppport.

Kwantum­com­pu­ting maakt gebruik van de wetten van de kwantum­me­cha­nica om problemen op te lossen die te complex zijn voor klassieke compu­ters. Met kwantum­com­pu­ting wordt het kraken van encryptie echter veel eenvou­diger, wat een grote bedrei­ging vormt voor de data- en gebruikersveiligheid.

“Post-kwantum­cryp­to­grafie is een seismi­sche gebeur­tenis waarvoor IT- en securi­ty­ma­na­gers nu al met de voorbe­rei­ding moeten beginnen. Innova­tieve organi­sa­ties die al hebben geïnves­teerd in crypto-agility zijn straks beter geposi­ti­o­neerd om de transitie naar kwantum­vei­lige algoritmen te beheren wanneer de defini­tieve standaarden in 2024 worden vrijge­geven”, aldus Amit Sinha, CEO van DigiCert

Belangrijke onderzoeksresultaten

Het Ponemon Insti­tute heeft 1.426 IT- en IT-securi­ty­pro­fes­si­o­nals in de Verenigde Staten (605), EMEA (428) en Azië-Pacific (393) onder­vraagd die betrokken zijn bij de aanpak van hun organi­sa­ties ten aanzien van post-kwantum­cryp­to­grafie. Belang­rijke resul­taten van dit door DigiCert gespon­sorde onder­zoek zijn: 

• 61% procent van de respon­denten zegt dat hun organi­sa­ties niet bereid zijn en niet zullen zijn om de impli­ca­ties voor de cyber­vei­lig­heid als gevolg van PQC aan te pakken.
• 49% zegt dat het manage­ment van hun organi­satie zich slechts enigs­zins bewust is (26%) of zich niet bewust is (23%) van de invloed van kwantum­com­pu­ting op de cyberveiligheid.
• 30% van de respon­denten zegt dat hun organi­sa­ties budget vrijmaken om zich voor te bereiden.
• 52% van de onder­vraagden zegt dat hun organi­sa­ties momen­teel een inven­ta­ri­satie maken van alle soorten gebruikte crypto­gra­fie­sleu­tels en hun kenmerken.

Uitdagingen

Uit het onder­zoek blijkt dat securi­ty­teams moeten omgaan met de druk om cyber­aan­vallen die gericht zijn op hun organi­sa­ties te blijven voorkomen en zich gelijk­tijdig moeten voorbe­reiden op een toekomst met post-kwantum­cryp­to­grafie. Slechts vijftig procent van de respon­denten zegt dat hun organi­sa­ties zeer effec­tief zijn in het beperken van risico’s, kwets­baar­heden en aanvallen in de hele onder­ne­ming. Volgens het onder­zoek zijn ransom­ware en diefstal van inlog­ge­ge­vens de twee grootste cyber­aan­vallen waar organi­sa­ties momen­teel mee te maken krijgen.

41% van de respon­denten zegt dat hun organi­satie minder dan vijf jaar de tijd heeft om er klaar voor te zijn. De grootste uitda­gingen zijn echter niet de benodigde tijd, geld en exper­tise om succesvol te zijn. Slechts 30 procent van de respon­denten zegt dat hun organi­satie budget vrijmaakt voor PQC-gereedheid.

Veel organi­sa­ties tasten in het duister over de kenmerken en locaties van al hun crypto­gra­fi­sche sleutels. Iets meer dan de helft van de respon­denten (52%) zegt dat hun organi­sa­ties al een inven­ta­ri­satie maken van de soorten gebruikte crypto­gra­fie­sleu­tels en hun kenmerken. Slechts 39% zegt dat ze priori­teit geven aan crypto­gra­fi­sche assets en slechts 36% van de respon­denten bepaalt of data en crypto­gra­fi­sche assets zich op locatie of in de cloud bevinden.

Weinig organi­sa­ties hebben een gecen­tra­li­seerde strategie voor crypto­ma­na­ge­ment, die consis­tent in de hele onder­ne­ming wordt toege­past. 61% van de respon­denten zegt dat hun organi­sa­ties een beperkte strategie voor het beheren van crypto­gra­fie­sleu­tels heeft die wordt toege­past op speci­fieke appli­ca­ties of gebruiksscenario’s (36%), of dat ze geen gecen­tra­li­seerde strategie voor het crypto­be­heer hebben (25%).

Om infor­matie en de IT-infra­struc­tuur te bevei­ligen, moeten organi­sa­ties hun vermogen verbe­teren om crypto­gra­fi­sche oplos­singen en methoden effec­tief in te zetten. De meeste respon­denten zeggen dat hun organi­sa­ties niet goed in staat zijn om bedrijfs­brede best practices en beleid toe te passen, misbruik van certificaten/​sleutels op te sporen en daarop te reageren, algorit­me­her­stel of inbreuken op te lossen en ongeplande certi­fi­caten te voorkomen.

Organi­sa­ties erkennen dat ze niet over de benodigde exper­tise beschikken om de post-kwantum­ver­eisten voor te blijven. Als gevolg hiervan is het in dienst nemen en behouden van gekwa­li­fi­ceerd perso­neel de belang­rijkste strate­gi­sche priori­teit voor digitale veilig­heid (55% van de respon­denten). Dit wordt gevolgd door het bereiken van crypto-agility (51%), wat het vermogen is om de crypto­gra­fi­sche algoritmen, parame­ters, processen en techno­lo­gieën efficiënt bij te werken om beter te kunnen reageren op nieuwe proto­collen, standaarden en cyber­drei­gingen. Inclu­sief die kwantum­com­pu­ting gebruiken.

Om klaar te zijn voor post-kwantum­com­pu­ting hebben organi­sa­ties een strategie met manage­ment­steun nodig, inzicht in alle crypto­gra­fi­sche sleutels en activa en gecen­tra­li­seerde strate­gieën voor crypto­be­heer die consis­tent in de hele organi­satie met verant­woor­de­lijk­heid en eigenaar­schap worden toegepast.

Het volle­dige onder­zoeks­rap­port is hier te vinden.