Gebruik NIS2 om nu al ‘post quantum safe’ te worden
Blog
Gebruik NIS2 om nu al ‘post quantum safe’ te worden
De Europese NIS2 richtlijn biedt organisaties de kans om hun cybersecurity naar een hoger niveau te brengen. Hoewel de vertaling naar nationale wetgeving vertraging oploopt, kun je niet achteroverleunen. Besef hierbij dat je je niet alleen moet verweren tegen huidige cyberdreigingen, maar ook tegen toekomstige. Het risico bestaat namelijk dat door de komst van quantumcomputers bestaande cryptografische standaarden op termijn gebroken kunnen worden. Daar moet je bij de inrichting van de huidige security en connectivity goed rekening mee houden.Auteurs: Peter van der Ploeg, Healthcare Consultant en Security adviseur en Stanley Sjiew-A-Joen, Solutions Consultant Networking bij Telindus
Quantumcomputing is een uitkomst nu organisaties in het kader van kunstmatige intelligentie (artificial intelligence, AI) steeds grotere datasets moeten verwerken. Quantumomputers kunnen bepaalde berekeningen veel sneller uitvoeren dan traditionele computers door het gebruik van quantum bits (qubits). Dit kan AI-algoritmen aanzienlijk versnellen, vooral wanneer er grote hoeveelheden data verwerkt moeten worden. Zo kun je toewerken naar verbeterde patroonherkenning en ontstaan er efficiëntere machine learning modellen. Ontwikkelingen op dit gebied gaan zo snel, dat het moment dat quantumcomputing breed inzetbaar is, steeds sneller dichterbij komt. Dit biedt zowel kansen als bedreigingen voor alle sectoren. Specifiek voor de zorg biedt dit kansen om bijvoorbeeld biomedisch onderzoek te versnellen.
Versleutelde data
Deze toegenomen capaciteit kan echter ook voor verkeerde doeleinden aangewend worden. Quantumcomputing kan namelijk worden ingezet voor het breken van securitystandaarden die tot nog toe als veilig bestempeld worden. Een encryptie-algoritme als RSA zou dan wellicht niet veilig meer zijn over een aantal jaar. Versleutelde data die nu onderschept en opgeslagen wordt, kan op een later moment ontcijferd worden met een quantumcomputer volgens het ‘store now, decrypt later’ principe.
Dit betekent dat organisaties met gevoelige, lang levende data nu in actie moeten komen, om er zeker van te zijn dat gevoelige data zoals persoonsgegevens of intellectual property ook in de toekomst adequaat beveiligd is. Dit is iets wat je in het kader van NIS2 zeker in kaart moet brengen. Organisaties in onder andere de zorgsector, moeten hier rekening mee houden.
Je moet er namelijk niet vreemd van opkijken wanneer hackers nu al geheime informatie stelen om deze te ontcijferen zodra nieuwe quantumcomputers beschikbaar komen, wat naar verwachting omstreeks 2030 zal zijn.
Daar komt bij dat organisaties in verschillende sectoren steeds meer digitaal gegevens met elkaar uitwisselen; ook data die gevoelig zijn en bijvoorbeeld een wettelijke bewaartermijn hebben. De ‘Wet elektronische gegevensuitwisseling in de zorg’ (Wegiz) reguleert de elektronische uitwisseling van gegevens binnen de zorgsector. Deze wet streeft naar een veilige, betrouwbare en efficiënte manier van digitale gegevensuitwisseling tussen zorgverleners, patiënten en andere betrokken partijen om toe te werken naar databeschikbaarheid. Het adequaat versleuteld uitwisselen van deze data valt dan ook onder je verantwoordelijkheid.
Secure connectivity
Daarom is het slim om nu al te beginnen met de overstap naar een veiliger systeem dat ook tegen quantumcomputers kan. De Nederlandse inlichtingendienst AIVD adviseert dit ook aangezien de overgang naar Post Quantum Proof encryptie nog vele jaren kan duren. Een oplossing kan zijn om nu al een extra beveiligingslaag toe te voegen aan de huidige beveiliging bij kritische en gevoelige datasets. Dat kan door een laag symmetrische encryptie te leggen op de data die reeds van (asymmetrische) encryptie is voorzien, wat resulteert in een extra beveiligde data-uitwisseling. Hiermee bewerkstellig je nu al secure connectivity die Post Quantum Safe is om vervolgens toe te werken naar Post Quantum Proof zodra er nieuwe quantum encryptie standaarden zijn ontwikkeld.
Kijk naar de toekomst
Dit is natuurlijk geen sinecure. Het is nu al lastig genoeg om in de huidige tijd cyberaanvallers buiten de deur te houden. En nu wordt er ook van je verwacht dat je naar de toekomst kijkt en daar nu al naar handelt. Telindus speelt hierop in met Post Quantum Safe netwerkdienstverlening die door de AIVD gecertificeerd is voor de rubriceringsniveaus Departementaal Vertrouwelijk, Nato restriced en EU Restricted en voldoet aan de gestelde beveiligingsrichtlijnen tegen de dreiging van quantumcomputers. Telindus biedt dit aan als een managed service, zodat je als organisatie verzekerd bent van de juiste kennis en resources. Je hebt geen omkijken naar onderhoud en beheer.
De conclusie is dat je je als organisatie moet verdiepen in de risico’s van quantumcomputing. En nu je toch bezig bent met het implementeren van NIS2, is het verstandig daar nu meteen werk van te maken net zoals het Digital Trust Center nu al adviseert. De toekomst begint vandaag.