Квантовые технологии могут казаться чем-то далеким, но определенные риски уже существуют в форме атаки «собери сейчас, расшифруй потом» — вектора атаки, при котором злоумышленники похищают данные сейчас, чтобы в будущем, имея доступ к квантовым вычислительным инструментам, взломать шифрование, используемое сегодня большинством компаний для защиты своих данных.
Несмотря на растущее обсуждение этой проблемы, не все организации осведомлены о риске. Согласно опросу ISACA за 2025 год, только 5% специалистов по кибербезопасности сочли эту угрозу приоритетной, хотя две трети выразили обеспокоенность по поводу будущей способности квантовых систем взламывать шифрование. Эти 5% составили тот же процент организаций, которые определили стратегию подготовки к квантовой угрозе, согласно результатам опроса.
В отличие от риторики о «Дне К» — поворотной дате, когда классическая криптография будет взломана квантовыми компьютерами, — такие организации, как европейский аналитический центр CEPS, предупреждают, что это событие произойдет не внезапно, а постепенно.
«Мы уже некоторое время ждем чего-то вроде квантового компьютера, который, вероятно, позволит нам взломать традиционные системы шифрования, казалось бы, простым способом», — объясняет по видеосвязи Феликс Баррио, генеральный директор испанского национального института кибербезопасности INCIBE. «Хотя это было продемонстрировано теоретически, и мы еще не видели компьютеров с такими возможностями, существуют разные оценки» — от нескольких месяцев до десяти лет.
Баррио отмечает, однако, что такая вычислительная мощность, вероятно, будет доступна лишь немногим структурам, как правило, государственным органам, учитывая ее высокую стоимость.
Первые три стандарта шифрования с использованием постквантовой криптографии (PQC) были опубликованы Национальным институтом стандартов и технологий США (NIST) в 2024 году.
«Это алгоритмы, которые предположительно могут противостоять квантовой атаке с использованием квантового компьютера», — говорит Баррио. В настоящее время эти алгоритмы тестируются и адаптируются к различным технологиям.
Квантовое распределение ключей (QKD) — квантово-подобная система, которую можно применять для передачи данных по кабелю, адаптированному оптоволокну или через спутник, — создает альтернативную систему обмена ключами, которая благодаря свойствам квантовой физики функционирует как система раннего предупреждения в случае обнаружения взломов или вторжений, позволяя отбрасывать скомпрометированные ключи.
ЕС уже разработал дорожную карту перехода к постквантовой криптографии, которая устанавливает конец 2026 года как первый этап развертывания этих инструментов, 2030 год — как крайний срок для сценариев высокого риска, а 2035 год — для остальных.
Баррио объясняет, что INCIBE выделил часть ресурсов своей программы инновационных государственных закупок на передовую криптографию, устойчивую к квантовым атакам, финансируя пять инициатив в разных городах Испании.
«В Испании мы взяли на себя инициативу по инвестированию в этот переходный этап с наиболее многообещающими проектами, выявленными в рамках этих публичных конкурсов, и в течение этих трех лет мы работаем над тем, чтобы можно было предложить тестовые системы с использованием испанских технологий, а также над тем, чтобы эти системы можно было коммерциализировать», — отмечает он. «В Европе в целом, когда вы разговариваете с другими агентствами по кибербезопасности, они искренне обеспокоены».
Позиция сектора в отношении квантовой устойчивости
«Сегодня мы принимаем как должное, что связь с нашими банками или системами здравоохранения является конфиденциальной, а цифровые подписи — например, те, что обеспечивают финансовые операции или криптовалюты, — невозможно подделать. Последствия утраты этих гарантий огромны как в экономическом, так и в социальном плане», — говорит Альберто де Меркадо, менеджер по системной инженерии для поставщиков услуг в Fortinet, в интервью Computerworld Spain по электронной почте.
С точки зрения поставщика решений по кибербезопасности, Де Меркадо говорит о необходимости «внедрения поэтапной стратегии перехода», учитывая такие элементы, как тип обмениваемой информации и ее потребность в долгосрочной конфиденциальности, имеющиеся ресурсы, совместимость с существующей архитектурой и приоритетность по сравнению с другими, более насущными рисками кибербезопасности.
«В этом контексте ключевым является понятие криптогибкости: развертывание решений, которые позволяют гибко изменять или комбинировать криптографические алгоритмы при необходимости, гарантируя непрерывность обслуживания без необходимости полной переработки архитектуры или смены поставщиков», — утверждает он.
Де Меркадо призывает «действовать сейчас» при работе с конфиденциальной информацией, которая должна оставаться таковой в долгосрочной перспективе.
«В этих случаях ожидание абсолютной уверенности означает принятие неприемлемого риска», — говорит он, добавляя регуляторный фактор: хотя явного европейского регулирования по этому вопросу нет, его можно увязать с такими нормами, как GDPR, NIS2 или DORA, которые устанавливают обязательства по защите, «не ограничивая явно временные рамки».
«С этой точки зрения, организации, работающие с конфиденциальной информацией в долгосрочной перспективе, должны начать рассматривать этот риск как часть своих оценок безопасности», — говорит он, и эта тенденция распространяется и на поставщиков услуг кибербезопасности, «которые постепенно включают в свои продукты квантово-устойчивые алгоритмы и механизмы», как это происходит в Fortinet.
Относительно текущего спроса Де Меркадо отмечает первоначальную тенденцию к PQC, «поскольку это требует меньших инвестиций и легче интегрируется в существующие среды. QKD зарезервировано для очень специфических сценариев, таких как высокочувствительные соединения между крупными штаб-квартирами или центрами обработки данных».
В целом он видит «неравномерный» уровень обеспокоенности: наиболее регулируемые сектора или те, где требования к конфиденциальности наиболее высоки, находятся на более продвинутой стадии тестирования, планирования перехода или даже начального развертывания защищенных коммуникаций.
«Как правило, чем более зрелой является организация в области кибербезопасности, тем лучше она справляется с немедленными рисками и тем выше ее способность предвидеть возникающие угрозы, такие как квантовые вычисления», — заключает он.
Как защититься
Банковский сектор, в лице CaixaBank, подходит к квантовой угрозе, «понимая, что это реальный риск, и как таковой им необходимо управлять проактивно», — заявил представитель компании по электронной почте.
«Риск уже актуален, и необходимо принять меры по его смягчению уже сейчас», — продолжил представитель. «В то же время подход заключается не просто в замене одного криптографического алгоритма другим, а в том, чтобы наделить банк необходимой криптогибкостью для быстрой и контролируемой ротации ключей, смены криптографических моделей или принятия новых стандартов при необходимости. Таким образом, не только смягчается эта конкретная угроза, но и структурно укрепляется устойчивость и готовность банка к будущим технологическим изменениям».
Сама фирма уже разрабатывает комплексный план, который находится в стадии реализации, с целевой датой 2029 года для создания надежной модели криптогибкости. Этот план имеет два взаимодополняющих аспекта. С одной стороны, он включает новые схемы PQC, которые банк в настоящее время анализирует, чтобы определить, как их можно упорядоченно интегрировать.
«Цель состоит в том, чтобы банк был технически готов защищать как передаваемые, так и хранящиеся данные по мере достижения этими новыми стандартами необходимой зрелости», — сказал представитель банка. Но «подход выходит далеко за рамки разового технологического перехода, используя возможность построить структурно более надежную, автоматизированную и повторяемую модель, которая обеспечит гораздо большую гибкость при внедрении любых будущих криптографических изменений».
CaixaBank также участвует в европейских проектах по проверке практических постквантовых решений безопасности, применимых к финансовому сектору, а также в отраслевых форумах, таких как Quantum Safe Financial Forum (QSFF), где они «делятся опытом, определяют лучшие практики и вносят вклад в переход, который является реалистичным, совместимым и соответствует регуляторным требованиям сектора», по словам представителя банка.
По мере того как квантовая угроза становится все более распространенной, пересмотр модели кибербезопасности скоро станет обязательным для всех компаний.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – María Ramos Domínguez
