Como controlar seus ativos para se preparar para a computação pós-quântica?

Previsões sugerem que nos próximos dez anos haverá 50 mil milhões de dispositivos conectados, analisando e gerando informação, dando origem ao boom da Internet das Coisas (IoT)

Compartilhar:

A tendência de digitalização em todos os setores está acelerando nossa vida cada vez mais. Previsões, como as da consultora de dados Statista, sugerem que nos próximos dez anos haverá 50 mil milhões de dispositivos conectados, analisando e gerando informação, dando origem ao boom da Internet das Coisas (IoT).

 

O maior desafio que enfrentaremos será aproveitar os dados gerados para colocá-los ao serviço do desenvolvimento empresarial, mas estas enormes quantidades de informação são quase impossíveis de analisar com os computadores atuais. É aqui que reside a importância da computação quântica para o futuro da indústria 4.0.

 

A chegada iminente da computação quântica está expondo o que os especialistas em criptografia já sabem: a criptografia está em toda parte. Quase tudo que implementa práticas modernas de segurança depende de criptografia e infraestruturas de chave pública (PKIs) para fornecer confiança digital.

 

Mas por que a onipresença da criptografia é importante?

 

Quatro palavras: computadores quânticos criptograficamente relevantes (CRQCs), máquinas poderosas o suficiente para quebrar algoritmos assimétricos tradicionais como RSA e ECC.

 

É uma ameaça que a criptografia pós-quântica (PQC) pode resolver, e o lançamento do primeiro rascunho de padrões PQC pelo NIST em agosto de 2023 trouxe o mundo um passo mais perto de um futuro seguro quântico.

 

Empregar o PQC significa que as organizações precisam identificar sua pegada digital criando um inventário de seus ativos criptográficos. É um processo que começou com as agências federais dos EUA, que foram instruídas a enviar listas de seus sistemas criptográficos mais críticos até maio de 2023. Mas muitas agências lutaram para cumprir o prazo, e só em dezembro é que um inventário de toda a agência a criptografia assimétrica estava completa.

 

Os desafios do governo federal revelaram as complexidades da criação de um inventário de ativos criptográficos – especialmente quando uma organização possui ativos que talvez nem soubesse que existiam. Dividimos o processo em quatro etapas para ajudá-lo a começar a planejar sua transição.

 

Transitando para PQC

 

“Quando a DigiCert se uniu ao Ponemon Institute para ver o quão preparado o mundo está para a computação quântica, aprendemos que a maioria dos líderes de TI teme que suas empresas estejam longe de estar prontas. Se você faz parte de uma organização que lida com ativos criptográficos e ainda não iniciou a transição para o PQC, veja como começar”, explica Dean Coclin, Diretor Sênior de Desenvolvimento de Negócios da DigiCert.

 

1) Faça um inventário de seus ativos criptográficos

 

A primeira etapa é começar a inventariar seus certificados, algoritmos e outros ativos criptográficos, priorizando-os com base no nível de criticidade. A partir daí, você pode determinar o que precisa ser atualizado ou substituído para garantir que seus sistemas permaneçam seguros quando a computação quântica se tornar realidade.

 

Ao longo do processo de inventário, você precisará fazer algumas perguntas importantes:

 

  • Quais algoritmos seus certificados estão usando atualmente?
  • Quem emitiu os certificados?
  • Quando os certificados expiram?
  • Quais domínios os certificados protegem?
  • Quais chaves assinam seu software?

 

A realização de um inventário completo não para por aí. Você também precisará fazer perguntas como:

 

  • O seu pacote de software ou dispositivo baixa atualizações automaticamente?
  • Ele se conecta a um servidor back-end?
  • Está associado a um site ou portal?
  • Esse site ou portal é operado por terceiros ou provedor de nuvem?

 

Se a resposta for sim, você precisará entrar em contato com cada provedor para descobrir em quem eles confiam – quais pacotes de software os provedores de seus provedores usam, quem são os provedores de back-end dos provedores e assim por diante.

 

Como dissemos, é um processo complexo. Mas é por isso que a hora de começar é agora – não depois que a computação quântica começar a revelar (e explorar) suas vulnerabilidades.

 

2) Priorize criptomoedas nas quais você precisa confiar por muito tempo

 

“O lugar para começar a trocar algoritmos de criptografia é com criptografia que produz assinaturas que precisam ser confiáveis por um longo tempo: pense em coisas como raízes de confiança e firmware para dispositivos de longa duração. E sim, isso significa produzir inventários detalhados de software e dispositivos e de onde vem sua criptografia”, explica Dean.

 

Por quê? Os invasores estão jogando um jogo longo, gravando dados criptografados como parte de uma estratégia de vigilância chamada “coletar agora, descriptografar depois”. Quando a computação quântica estiver disponível, os cibercriminosos irão descriptografá-la – e a única maneira segura de se proteger contra essa estratégia é priorizar qualquer criptografia na qual sua organização confiará no longo prazo.

 

3) Explore e teste as maneiras de incorporar algoritmos PQC

 

O NIST ainda está trabalhando para padronizar e documentar os métodos de implementação, teste e implantação segura dos novos algoritmos criptografados. Mas os implementadores de bibliotecas criptográficas e software de segurança precisam começar a integrar os algoritmos em seus produtos agora. Acomodar os algoritmos PQC selecionados exigirá algum esforço, para que sua organização possa ficar à frente explorando como incorporá-los em sua biblioteca de criptografia.

 

4) Torne-se criptoágil

 

As etapas que descrevemos até agora não são tarefas fáceis de verificar. Mas inventariar seus ativos criptográficos agora terá retorno quando a computação quântica começar a quebrar algoritmos – e embora não saibamos exatamente quando isso acontecerá, sabemos que é uma questão de quando, não se.

 

Após a conclusão do seu inventário, a próxima fase da transição do PQC será alcançar a criptoagilidade, que envolve visibilidade de ativos, métodos estabelecidos para implantação de tecnologias de criptografia e a capacidade de responder rapidamente quando surgirem problemas de segurança.

 

“Uma solução como o DigiCert®Trust Lifecycle Manager usa a descoberta, automação e gerenciamento centralizado de certificados para fornecer controle sobre seu inventário de certificados, possibilitando a substituição de ativos criptográficos desatualizados sem interrupção significativa da infraestrutura do seu sistema”, conclui Dean Coclin.

 

A transição para a criptografia resistente a quantum é uma tarefa significativa. Mas ao identificar e gerenciar seus ativos criptográficos, sua organização pode estabelecer as bases para um futuro digital seguro e confiável.

Conteúdos Relacionados

Security Report | Overview

Ataques cibernéticos crescem cerca de 70% no Brasil em um ano

Os pesquisadores da Check Point Software relatam ainda o maior aumento de ciberataques globais visto nos últimos dois anos, um...
Security Report | Overview

Espiões Cibernéticos respondem pela maioria dos ataques Zero Day, revela análise

Segundo o Google, entre fevereiro de 2020 e março de 2021, foram identificados 11 grupos diferentes explorando 22 vulnerabilidades Zero...
Security Report | Overview

77% dos usuários já tiveram fricção com autenticações por senhas, alerta estudo

Estudo da Unico com o Instituto Locomotiva também informa que 45% desses entrevistados chegaram a enfrentar perdas financeiras. Tais problemas...
Security Report | Overview

Ministério Público Federal entra com ação judicial contra WhatsApp e ANPD

Maior ação judicial da história do Brasil em proteção de dados pessoais tem como base as alterações aplicadas em 2021...